[发明专利]基于混合分析面向动态代码加载安卓恶意软件检测方法

说明书

本发明属于软件安全领域中的安卓应用安全子领域，为加强安卓系统对安卓应用在通过热补丁技术动态加载外部代码的过程中的安全检测，防止恶意程序通过热补丁技术动态加载恶意代码以绕过Google应用商店安全检测的行为。提高系统安全性，保护用户隐私。为此，本发明采取的技术方案是，基于混合分析面向动态代码加载安卓恶意软件检测方法，步骤如下：1)拦截动态加载的代码；2)补充过程间控制流图；3)补充控制流图中由反射形成的边；4)污点分析：在获得过程间控制流图以后，使用污点分析工具对过程间控制流图进行完整的污点分析。本发明主要应用于应用安全场合。

技术领域

本发明属于软件安全领域中的安卓应用安全子领域，涉及到安卓热补丁动态化部署技术、安卓应用的安全性问题、恶意代码检测技术、基于混合分析的安卓恶意软件检测技术以及用户隐私保护问题，具体涉及基于混合分析的面向动态代码加载安卓恶意软件检测方法。

背景技术

安卓设备的日益流行导致了恶意软件开发商将越来越多的目光投向了安卓应用，Google(谷歌)在应用商店中通过静态分析技术和动态分析技术的应用，使恶意软件的数量得到了遏制，但恶意软件在其他途径传播的可能性仍然不能被忽视。

热补丁技术是安卓动态化部署的重要应用场景之一，该技术是指在应用系统不停止运行的情况下，将补丁分发至应用并安装更新。安卓系统用户很少主动更新应用软件的习惯，促使应用开发者更热衷于通过热补丁更新方案的使用来修复应用缺陷、加快迭代速度。该技术在开发者和用户之间搭起了直接的代码分发通道，恶意软件开发者可利用该通道绕过应用商店的恶意软件检测机制。

基于静态分析的软件检测技术是一种在不执行程序的情况下检测应用程序的技术，它通过逆向分析或者直接分析程序的源代码来理解程序并检测程序的中的恶意代码。该技术通过一个分析器可以实现很高的代码覆盖率，它将应用程序中包含的ELF(Executable and Linkable Format，可执行与可链接格式)格式的二进制文件和已知的root(系统用户及权限)代码进行比较，对安卓应用程序的生命周期状态进行建模，并基于回调和UI(User Interface，用户界面)对象或者机器学习的相关方法进行污点分析来达到恶意代码检测的效果。静态污点分析可以在不运行程序代码的情况下对程序内的信息流进行跟踪，它通过分析程序中各个数据变量之间的相互依赖关系来找出程序中所包含的从污染源到泄漏点的数据通路。静态污点分析一般会将程序的源代码或者某种中间表示输入给分析器。分析器将对污点传播问题的分析变成了对静态数据相互依赖的分析，这样，静态污点分析可以快速准确的突显出与未被净化的受污染变量相关的潜在安全问题。静态污点分析过程如附图1所示。

基于动态分析的软件检测技术是通过在真正的或者虚拟的执行环境中执行一个应用程序，通过观察该应用程序的的各种行为及状态的分析方法。该技术通过跟踪无源代码的信息流来分析可执行文件，将某些输入数据标记为受污染的并将其存储，然后根据指令类型和指令操作数等因素设计相应的传播逻辑传播污点标记。针对安卓应用程序的动态污点分析通常在虚拟机中对应用程序进行模拟执行，并对隐私泄漏行为进行检测。

发明内容

为克服现有技术的不足，本发明旨在加强安卓系统对安卓应用在通过热补丁技术动态加载外部代码的过程中的安全检测，防止恶意程序通过热补丁技术动态加载恶意代码以绕过Google应用商店安全检测的行为。提高系统安全性，保护用户隐私。为此，本发明采取的技术方案是，基于混合分析面向动态代码加载安卓恶意软件检测方法，步骤如下：

1)拦截动态加载的代码

采用应用程序编程接口钩子API Hook(Application Programming InterfaceHook)技术，修改代码加载API方法的入口，并将入口指向自定义的Hook模块入口，当应用程序在使用加载器动态加载代码时，Hook模块拦截并提取到动态加载的代码，首先提取出应用要加载的代码地址，并按该地址找到代码的二进制文件，然后对该文件进行验证；