[发明专利]一种面向安卓APP加密内容的快速识别方法及系统

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种面向安卓APP加密内容的快速识别方法及系统。

背景技术

近年来，智能手机逐渐从简单的移动设备发展成为复杂而紧凑的小型计算机。纵观各种移动操作系统的发展进程，美国谷歌公司的Android操作系统无疑发展最快。根据全球知名数据调查公司Netmarketshare网站发布的数据，截止到2017年5月，在各大操作系统市场份额占比中，Android操作系统高达63.66％，苹果公司的iOS操作系统占比33.03％，而仅剩的3.31％的市场份额由Windows Phone等操作系统瓜分。由于Android操作系统采取免费、开源的市场策略，也使其成为黑客的主要攻击目标。随着Android用户数量的迅速增长，Android恶意软件的数量也呈喷井式增加，因此对Android操作系统的安全研究十分重要。

目前，Android操作系统的检测主要包括静态检测方法和动态检测方法两种。静态检测方法是指无需安装和运行Android应用程序，通过利用现有的Android软件逆向技术来获取应用程序反编译后的代码，并分析应用程序代码，从而判断应用软件是否拥有恶意行为。动态检测方法是指在虚拟机上安装应用软件，之后模拟用户的使用，监控应用软件的运行情况并记录其行为以进行分析。这两种检测方法在一定程度上能够检测恶意软件，但是目前许多恶意软件的恶意代码、传输内容等都是以加密或者特殊编码的形式出现，而这些密文恰能逃过静态检测方法的检测。而对于动态检测方法，许多恶意软件在触发恶意行为之前通常会检测执行环境，从而导致动态检测失效，同时这些检测执行环境的逻辑都可能被加密或者编码。因此，传统的检测方法不能检测出有加密行为的恶意软件中的加密内容。

发明内容

为解决上述问题，本发明的目的在于提供一种面向安卓APP加密内容的快速识别方法及系统，该方法及系统能够快速识别安卓APP加密内容，从而能够有效检测有加密行为的恶意软件中的恶意行为。

为实现上述目的，本发明所采用的技术方案为：

一种面向安卓APP加密内容的快速识别方法，其步骤包括：

对待测APK(Android Package，即安卓安装包)进行识别，得到与待测APK相应的识别特征，并将待测APK相应的安卓APP安装于一安卓应用端；

根据上述识别特征，在上述安卓应用端和一PC端搭建监控框架，用于监控上述安卓APP的加密记录；

根据加密记录截获加密内容，并根据加密内容生成监控日志；

对上述监控日志进行加解码处理，得到与加密内容相应的明文报告。

进一步地，搭建所述监控框架的步骤包括：

通过修改与安卓应用端相应版本的安卓操作系统源码，使安卓操作系统所有activity暴露并载入用以获取加密内容的程序；

将上述安卓操作系统刷入安卓应用端；

在PC端基于安卓架构的Java层和Native层编写一监控程序；

将监控程序安装到安卓应用端。

进一步地，所述识别特征为与待测APK相应的包名、类名、方法名及activity。

进一步地，所述加密内容包括截获的每条加密记录的内容和时间、加密方式、编码方式、APK包名和路径。

进一步地，所述加解码为base64加解码。

一种面向安卓APP加密内容的快速识别系统，包括：

一预处理模块，用于对待测APK进行识别，得到与待测APK相应的识别特征，并将待测APK相应的安卓APP安装于一安卓应用端；

一程序安装模块，用于根据上述识别特征，在上述安卓应用端和一PC端搭建用于监控上述安卓APP的加密记录的监控框架；

一加密获取模块，用于根据加密记录截获加密内容，并根据加密内容生成监控日志；

一日志处理模块，用于对上述监控日志进行加解码处理，得到与上述安卓APP加密内容相应的明文报告。

进一步地，所述加密获取模块搭建所述监控框架的步骤包括：

通过修改与安卓应用端相应版本的安卓操作系统源码，使安卓操作系统所有activity暴露并载入用以获取加密内容的程序；

将上述安卓操作系统刷入安卓应用端；

在PC端基于安卓架构的Java层和Native层编写一监控程序；

将监控程序安装到安卓应用端。

进一步地，所述与待测APK相应的识别特征是指与待测APK相应的包名、类名、方法名及activity。