[发明专利]一种移动应用代码内存动态还原的检测方法

说明书

本发明涉及信息安全技术领域，具体为一种移动应用代码内存动态还原的检测方法，将应用安装到定制机器上运行，通过系统函数拦截获取应用加载的所有dex文件，记作集合A，遍历所有dex文件中的所有类并获取类名、函数名，并存储记作集合B，获取所有的类名、函数名，调用定制机器上函数模拟执行方法，得到机器码并分类，记作集合C，对集合C和集合A进行遍历，机器码填充到对应dex文件的相关函数中，所有dex文件结构调整，并输出到文件回填到apk文件中，至此代码还原结束，本发明同现有技术相比，针对一般加固后应用无法进行逆向分析的问题，通过新的技术手段来提升分析恶意应用的行为。

技术领域

本发明涉及信息安全技术领域，具体为一种移动应用代码内存动态还原的检测方法。

背景技术

随着移动互联网的高速发展，移动终端App成为了人们生活当中的必需品；各种行业、公司的App组成了丰富的移动生活场景，极大的方便了人们的生活。在各种业务都App化的过程中，这些App在为我们生活的各个方面提供诸多便利，但也为移动互联网黑灰产滋生了发展的土壤。

目前市面上已经出现了比较多的移动安全App加固技术方案，来保护移动App的安全，其中App代码的机密性属于最基本得防护手段之一，一般通过对代码的整体加密来保证代码得机密性，后面又引申出来了更高级得代码防护手段，不在对代码进行整体加密，开始对代码里面得函数进行单独的加密，只有运行到对应得函数在进行解密还原，此种技术手段是一个比较大的提升，攻击者不可能一次性的获取到整体得代码文件。

但伴随着恶意软件的不断发展，恶意软件对自身的保护技术也不断增强，各类恶意软件通过对自身的APK安装文件进行加固，实现了一定程度上的反编译、反逆向，导致对恶意软件进行技术分析的难度也越来越大，为了能够准确识别、分析、处理各类恶意软件，对于加固的应用进行逆向分析已经成为一种重要的恶意软件分析检测手段，目前通常采用的APK逆向方法主要为静态分析法，通过APK文件自身进行分析，从而得到其dex程序文件实现分析，而对于加固的APK来说，静态分析是无法达到预定的效果。

因此，需要设计一种移动应用代码内存动态还原的检测方法，在程序运行时通过模拟执行所有的方法，动态地从内存中dump得到代码片段后进行组装成完成的dex文件，从而再进行分析，针对一般加固后应用无法进行逆向分析的问题，通过新的技术手段来提升分析恶意应用的行为。

发明内容

本发明的目的是克服现有技术的不足，提供了一种移动应用代码内存动态还原的检测方法，在程序运行时通过模拟执行所有的方法，动态地从内存中dump得到代码片段后进行组装成完成的dex文件，从而再进行分析，针对一般加固后应用无法进行逆向分析的问题，通过新的技术手段来提升分析恶意应用的行为。

为了达到上述目的，本发明提供一种移动应用代码内存动态还原的检测方法，包括以下步骤：

S1:将待还原的应用安装到定制机器上；

S2:运行该应用，通过系统函数拦截获取应用加载的所有dex文件，记作集合A；

S3:遍历集合A中的所有dex文件中的所有类，并获取类名、函数名，并存储记作集合B；

S4:遍历集合B，获取所有的类名、函数名，调用定制机器上函数模拟执行方法，得到相关函数的机器码，将得到所有机器码进行分类，记作集合C；

S5:对集合C和集合A进行遍历，并将集合C中的机器码填充到对应dex文件的相关函数中；

S6:对集合A中的所有dex文件结构调整，并输出到文件，记为集合D；

S7:将集合D中的文件回填到apk文件中，至此代码还原结束。

定制机器为安卓系统智能终端。

定制机器的操作系统可定制改造，用于监控移动应用的内存运行状况。