[发明专利]一种Android应用中恶意行为的动态检测方法

摘要

本发明公开了一种Android应用中恶意行为的动态检测方法，以使得Android应用程序的使用者不受不良软件以及其中恶意代码的伤害。本发明首先获取需要分析的Android App的apk文件并对其进行反编译，获得反编译后的Java代码，之后将获取的Java代码放入转换器，将其转换为中间表示形式，以便后面插桩的工作，然后使用Soot工具对之前的代码进行插桩操作，在相关代码处如涉及发送短信及Http链接请求处，危险API调用处，需要强制执行的条件语句处插桩以便提取信息，并将插桩完成的代码再放入编译器编译，形成新的apk文件，之后运行形成的新文件，将因插桩获取的信息保存进数据库中，方便下一步的研究，运用之前提出的区分恶意行为以及良性行为的方法对数据库中的日志信息进行分析。

主权项

一种Android应用中恶意行为的动态检测方法，其特征在于，包括如下步骤：将Android应用程序的APK包转换成为相应的Java代码的步骤；对Android应用中的Java代码进行插桩操作的步骤：在需要提取信息的地方进行代码插桩，并将插桩完成的代码放入编译器编译，形成新的APK文件；同时通过代码分析工具强制执行所有条件语句，用以扩大代码的覆盖率；运行上个步骤形成的新的APK文件，将因插桩获取的信息保存进数据库中，并提取需要的信息，再利用Java代码分析工具产生该Android应用程序对应的调用流图及其控制流图；对于数据库中的日志信息进行分析，通过分析其与用户行为是否匹配，来判断其是否属于恶意行为；对于判定为恶意行为的，对其进行进一步分析，以确定该恶意行为具体的类型；所述方法对于存在的恶意行为进行进一步分析的过程具体为：获取分析后定位得到的恶意行为的程序段；通过调用关系图以及控制流图，找到与该程序段相关的语句；将这些语句以谓词逻辑的形式表示为相对应的逻辑表达式；将所述逻辑表达式放入求解器中求解；所述将Android应用程序的APK包转换成为相应的Java代码的步骤具体为，获取需要分析的Android应用程序的APK文件并对其进行反编译，获得反编译后的Java代码，之后将获取的Java代码放入转换器，将其转换为中间表示形式，以便后面的插桩工作。