技術領域

本發明屬于計算機技術領域，具體涉及一種Android程序行為的監控方法及監控系統。

背景技術

Android是一種基于Linux的自由及開放源代碼的操作系統，主要使用于便攜設備，如智能手機和平板電腦。目前尚未有統一中文名稱，中國大陸地區較多人使用“安卓”或“安致”。Android操作系統最初由Andy?Rubin開發，主要支持手機。2005年由Google收購注資，并組建開放手機聯盟開發改良隨后，逐漸擴展到平板電腦及其他領域上。第一部Android智能手機發布于2008年10月。2011年第一季度，Android在全球的市場份額首次超過塞班系統，躍居全球第一。2012年11月數據顯示，Android占據全球智能手機操作系統市場76%的份額，中國市場占有率為90%。

APK是Android?Package的縮寫，即Android安裝包(APK)。APK是類似Symbian?Sis或Sisx的文件格式。通過將APK文件直接傳到Android模擬器或Android手機中執行即可安裝。APK文件和sis一樣，把android?sdk編譯的工程打包成一個安裝程序文件，格式為apk。APK文件其實是zip格式，但后綴名被修改為apk，通過UnZip解壓后，可以看到Dex文件，Dex是Dalvik?VM?executes的全稱，即Android?Dalvik執行程序，并非Java?ME的字節碼而是Dalvik字節碼。

目前，對于未知的可疑的APK程序，是采用人工靜態分析的方法，分析其運行時是否具有惡意行為，從而辨別該未知程序是否為病毒程序。此種方法，不僅分析速度慢，而且對于一些加密程序無法分析。

發明內容

為了解決上述問題，本發明的目的在于提供一種Android程序行為的監控方法及監控系統，以提高Android程序行為的分析效率。

為了實現上述發明目的，得到了以下技術方案：

一種Android程序行為的監控方法，包括以下步驟：

通過注入程序將So動態庫文件注入到系統所有進程中；

通過所述So動態庫文件監控系統中運行的Android程序行為。

進一步的，所述通過所述So動態庫文件監控系統中運行的Android程序行為，具體是：

通過So動態庫文件中的掛鉤導入表程序將系統導入表中記錄的系統函數地址修改為代理函數地址；

啟動運行所述可疑Android程序；

當所述可疑Android程序運行過程中調用系統函數時，通過代理函數代替所述系統函數執行相應的動作，并記錄相應的程序行為。

一種Android程序行為的監控系統，包括以下模塊：

注入模塊，用于通過注入程序將So動態庫文件注入到系統所有進程中；

監控模塊，用于通過所述So動態庫文件監控系統中運行的Android程序行為。

進一步的，所述監控模塊包括以下子模塊：

修改子模塊，用于通過So動態庫文件中的掛鉤導入表程序將系統導入表中記錄的系統函數地址修改為代理函數地址；

啟動子模塊，用于啟動運行所述可疑Android程序；

行為記錄模塊，用于當所述可疑Android程序運行過程中調用系統函數時，通過代理函數代替所述系統函數執行相應的動作，并記錄相應的程序行為。

本發明利用So動態庫文件的代理函數替換現有的系統函數，進而在完成現有系統函數相同功能的情況下，記錄其運行行為，可使得程序分析效率和準確率都更高。不僅如此，難以閱讀的加密程序，在其運行時其相關行為則無處遁形。因此，本發明相對于現有分析方法分析效率和準確率都更高。

附圖說明

此附圖說明所提供的圖片用來輔助對本發明的進一步理解，構成本申請的一部分，并不構成對本發明的不當限定，在附圖中：

圖1是本發明方法對應的流程圖；

圖2是圖1第（2）步的流程圖；

圖3是本發明系統對應的框圖；

圖4是本發明系統監控模塊的框圖。

具體實施方式

實施例1

如圖1所示，本實施例公開了一種Android程序行為的監控方法，包括以下步驟：