技術領域

本發明屬于病毒防御技術領域，具體涉及一種跟蹤Android程序行為的方法及系統。

背景技術

Android是一種以Linux為基礎的開放源代碼操作系統，主要使用于便攜設備。目前尚未有統一中文名稱，中國大陸地區較多人使用“安卓”或“安致”。Android操作系統最初由AndyRubin開發，最初主要支持手機。2005年由Google收購注資，并組建開放手機聯盟開發改良，逐漸擴展到平板電腦及其他領域上。

反匯編：把目標代碼轉為匯編代碼的過程，也可說是把機器語言轉為匯編語言代碼，低級轉高級的意思，常用于軟件破解（例如找到它是如何注冊的，從而解出它的注冊碼或者編寫注冊機。），外掛技術，病毒分析，逆向工程，軟件漢化。通常，編寫程序是利用高級語言如C，pascal等高級語言進行編程的，然后再經過編譯程序生成可以被計算機系統直接執行的文件（機器語言）。反匯編即是指將這些執行文件反編譯還原成匯編語言或其他高級語言。但通常反編譯出來的程序與原程序會存在些許不同，雖然執行效果相同，但程序代碼會發生很大的變化，要讀懂反匯編需要有扎實的高級語言編寫功底，和匯編功底。目前網絡上的免費軟件，PSP PS NDS游戲機的破解和蘋果iOS系統的越獄都跟反匯編息息相關。

隨著Android系統的不斷普及，各種Android病毒程序也日漸興起，目前面對這些程序的分析方法通常就是將其反編譯成明文，然后人工逐一分析器程序行為，進而判斷其是否具有一些惡意行為，比如：刪除系統文件等等。這種方法不僅效率低下，而且通常病毒制作者也會對程序加密，反編譯出來是一些亂碼，根本無法分析。

發明內容

為了解決上述問題，本發明的目的在于提供一種跟蹤Android程序行為的方法及系統，以自動分析和監控其運行行為。

為了實現上述發明目的，基于上述研究發現，得到了以下技術方案：

一種跟蹤Android程序行為的方法，包括以下步驟：

解包并反匯編所述Android程序；

插入監控程序段至反匯編后的Android程序中，所述監控程序段用于監控所述Android程序運行過程中的運行行為；

匯編并打包插入了監控程序段的Android程序；

運行重新匯編后的Android程序，并通過所述監控程序段獲取該Android程序的運行行為數據。

進一步的，所述的運行行為包括調用系統函數行為。

進一步的，所述運行行為數據包括傳入參數、傳出參數、以及返回值。

進一步的，所述運行重新匯編后的Android程序，具體是：將重新匯編后的Android程序置于設備模擬器或真實設備中運行。

一種跟蹤Android程序行為的系統，包括以下模塊：

解包和反匯編模塊，解包并反匯編所述Android程序；

監控程序插入模塊，插入監控程序段至反匯編后的Android程序中，所述監控程序段用于監控所述Android程序運行過程中的運行行為；

匯編和打包模塊，匯編并打包插入了監控程序段的Android程序；

模擬運行模塊，運行重新匯編后的Android程序，并通過所述監控程序段獲取該Android程序的運行行為數據。

進一步的，所述的運行行為包括調用系統函數行為。

進一步的，所述運行行為數據包括傳入參數、傳出參數、以及返回值。

進一步的，所述運行重新匯編后的Android程序，具體是：將重新匯編后的Android程序置于設備模擬器或真實設備中運行。

本發明通過插入監控程序段，然后通過監控程序段在Android程序運行過程中獲取其運行行為數據，根據這些運行行為數據即可知道該Android程序是否為病毒程序。此過程不僅可以自動完成提高分析效率，而且對加密后的Android程序也可以進行分析。

附圖說明

此附圖說明所提供的圖片用來輔助對本發明的進一步理解，構成本申請的一部分，并不構成對本發明的不當限定，在附圖中：

圖1是本發明方法對應的流程圖；

圖2是本發明系統對應的框圖。

具體實施方式

如圖1所示，本實施例公開了一種跟蹤Android程序行為的方法，包括以下步驟：