技術領域

本發明屬于計算機技術領域，具體涉及一種通過Android模擬器檢測病毒程序的方法及系統。

背景技術

Android是一種基于Linux的自由及開放源代碼的操作系統，主要使用于便攜設備，如智能手機和平板電腦。目前尚未有統一中文名稱，中國大陸地區較多人使用“安卓”或“安致”。Android操作系統最初由Andy?Rubin開發，主要支持手機。2005年由Google收購注資，并組建開放手機聯盟開發改良隨后，逐漸擴展到平板電腦及其他領域上。第一部Android智能手機發布于2008年10月。2011年第一季度，Android在全球的市場份額首次超過塞班系統，躍居全球第一。2012年11月數據顯示，Android占據全球智能手機操作系統市場76%的份額，中國市場占有率為90%。

Android模擬器是Android?SDK（Software?Development?Kit，即軟件開發工具包）自帶一個移動模擬器。它是一個可以運行在電腦上的虛擬設備。Android模擬器可以不需使用物理設備即可預覽、開發和測試Android應用程序。

APK是AndroidPackage的縮寫，即Android安裝包(apk)。APK是類似Symbian?Sis或Sisx的文件格式。通過將APK文件直接傳到Android模擬器或Android手機中執行即可安裝。apk文件和sis一樣，把android?sdk編譯的工程打包成一個安裝程序文件，格式為apk。APK文件其實是zip格式，但后綴名被修改為apk，通過UnZip解壓后，可以看到Dex文件，Dex是Dalvik?VM?executes的全稱，即Android?Dalvik執行程序，并非Java?ME的字節碼而是Dalvik字節碼。

為了檢測一個APK程序是否為病毒程序，目前的做法是將其安裝到Android模擬器中運行，通過判斷其運行行為是否具有惡意行為，比如盜取手機號碼、手機型號、手機ID號、SM卡編號等行為。但通過申請人研究發現上述方法病毒程序的檢出率越來越低，已經不能適應現有病毒的發展。

通過申請人的仔細研究發現，現有模擬器的基本信息都是一些特定的信息，比如手機號為13000000000。病毒程序在運行時首先通過獲取模擬器中的這些基本信息，然后比對這些基本信息與其收集的模擬器常用的特定信息進行比對，如匹配則判定其運行的當前環境為模擬器。然后，將其惡意行為部分的程序關閉，進而逃過模擬器的檢測。

發明內容

為了上述問題，本發明的目的在于提供一種通過Android模擬器檢測病毒程序的方法及系統，以提高病毒程序的檢出率。

為了實現上述發明目的，本發明采取的技術方案如下：

一種通過Android模擬器檢測病毒程序的方法，其特征在于包括以下步驟：

（1）提供隨機的模擬器基本信息給所述可疑APK程序；

（2）在模擬器中運行所述可疑APK程序檢測其運行過程是否具有惡意行為。

進一步的，所述第（1）步具體是：直接根據隨機算法將模擬器基本信息隨機化以提供給所述可疑APK程序。

進一步的，所述第（1）步具體包括以下子步驟：

（11）將所述可疑APK程序進行反編譯；

（12）在反編譯出的程序代碼中查找出能夠獲取模擬器信息的應用程序接口（API）；

（13）修改所述應用程序接口（API）的返回值，以使所述可疑APK程序獲取一個隨機的模擬器基本信息；

（14）重新編譯所述程序代碼。

進一步的，所述第（1）步具體是：通過鉤掛系統函數的應用程序接口（API），返回隨機的模擬器基本信息給所述可疑APK程序。

一種通過Android模擬器檢測病毒程序的系統，包括以下模塊：

隨機信息提供模塊，用于提供隨機的模擬器基本信息給所述可疑APK程序；

運行檢測模塊，用于在模擬器中運行所述可疑APK程序檢測其運行過程是否具有惡意行為。

進一步的，所述隨機信息提供模塊提供隨機的模擬器基本信息給所述可疑APK程序，具體是：直接根據隨機算法將模擬器基本信息隨機化以提供給所述可疑APK程序。

進一步的，所述隨機信息提供模塊具體包括以下子模塊：

反編譯模塊，將所述可疑APK程序進行反編譯；

查找模塊，在反編譯出的程序代碼中查找出能夠獲取模擬器信息的應用程序接口（API）；