一种动态监测安卓应用程序的方法-西北工业大学学报导航页.PDF

２０１６年１２月 西 北 工 业 大 学 学 报 Ｄｅｃ． ２０１６ 第３４卷第６期 Ｊｏｕｒｎａｌ ｏｆ Ｎｏｒｔｈｗｅｓｔｅｒｎ Ｐｏｌｙｔｅｃｈｎｉｃａｌ Ｕｎｉｖｅｒｓｉｔｙ Ｖｏｌ．３４ Ｎｏ．６ 一种动态监测安卓应用程序的方法 蒋煦，张慧翔，慕德俊 （西北工业大学 自动化学院，陕西 西安　 ７１００７２） 摘　 要：针对安卓应用程序在终端用户未知的情况下获取系统服务的问题，提出了动态监测应用程序 获取系统服务的方法。 首先，检查应用程序是否存在第三方库，如存在，则检查第三方库中是否存在 敏感函数。 如果不存在敏感函数，就将应用程序安装到监测系统，实施对应用程序获取系统服务的实 时监测。 实验结果表明，该方法在能够避免恶意应用程序对监测系统进行破坏的前提下，可以实时监 测到应用程序来自Ｊａｖａ层或是本地层对系统服务的调用，而且该方法的实现对时间的开销也在可接 受的范围内。 关　 键　 词：应用程序编程接口；网络安全；Ｊａｖａ语言；实时系统；数据安全；第三方库；挂钩子；系统 服务调用；Ｌｉｎｕｘ；安卓应用程序；动态监测 中图分类号：ＴＰ３０９　 　 　 文献标志码：Ａ　 　 　 文章编号：１０００⁃２７５８（２０１６）０６⁃１０７４⁃０８ 　 　 随着移动互联网的飞速发展，智能手机承载着 码进行修改，在敏感 ＡＰＩ 调用处添加监控代码，从 越来越多的服务功能。 Ａｎｄｒｏｉｄ 系统由于其开源的 而监控应用程序的执行，虽然该方法无需对系统进 原因，市场占有率稳居第一，因此成为了恶意应用程 行修改重新编译，但无法监控应用程序的动态加载， ［１］ 序重要的滋生平台 。 需要对应用程序进行重新打包签名，有可能影响应 针对Ａｎｄｒｏｉｄ恶意应用程序的检测主要分为静 用程序的正常执行。 态检测和动态检测。 静态检测是指在不运行应用程 无论采取哪种检测方式，都必须要面对应用程 序的情况下，通过扫描反编译的应用程序代码，发现 序第三方库。 而目前绝大多数的检测方案集中在 ［２］ 其恶意行为。 Ｆｅｌｔ等 从应用程序中提取出相关申 Ｊａｖａ层，导致恶意应用程序的开发者通过第三方库 请权限，通过分析应用程序的权限判断应用程序是 实现其恶意行为，达到绕过Ｊａｖａ层检测的目的，甚 ［３］ ［６］ 否为恶意应用程序。 ＣＨＥＸ 首先通过识别应用程 至有可能破坏Ｊａｖａ层的安全检测系统 。 所以，对 序中可能被调用的接口，然后对这些接口进行数据 于Ａｎｄｒｏｉｄ 检测系统的研究，应用程序第三方库的 流分析，判断接口是否有可能被恶意应用程序利用 行为检测应该得到相应的重视。 以达到提权的目的。 静态检测方法的优点是可以快 本文在充分研究Ａｎｄｒｏｉｄ系统Ｂｉｎｄｅｒ机制及其 速地判断应用程序是否存在恶意行为，但无法应对 源码后，提出了全新的Ａｎｄｒｏｉｄ 系统动态监测方法。 代码的混淆、加密、动态加载等情况。 首先，检测应用程序的第三方库中是否存在敏感函 动态检测是在应用程序执行的过程中实时监控 数破坏监测系统，其次，将应用程序安装到动态链接 应用程序的行为，一旦发现恶意行为，立刻提示终端 文件ｌｉｂｂｉｎｄｅｒ．ｓｏ 中的ｉｏｃｔｌ 函数被挂钩子的系统中， ［４］ 用户。 ＴａｉｎｔＤｒｏｉｄ 对Ａｎｄｒｏｉｄ系统应用程序框架层 监测来自Ｊａｖａ层