技術領域

本發明涉及軟件技術領域，具體涉及一種應用程序的行為監測方法和系統。

背景技術

隨著軟件技術的發展，越來越多的應用被開發。以使用安卓Android操作系統的移動終端為例，由于Android系統的開源性，基于Android系統進行開發的第三方應用種類繁多，同一款應用甚至有十幾上百個衍生變種。而且，隨著ROOT權限技術的不斷普及，越來越多的用戶對移動終端的系統進行修改，移動終端的系統應用的種類也日益繁多。為便于描述本發明的方案，本文中，將應用，如，第三方應用或系統應用，統稱為應用程序。

然而，在相關技術中，應用程序在啟動之后，應用程序的所有進程都在后臺運行，應用程序具體的行為是不可見的。故，即使應用程序在后臺正在進行一些侵犯用戶隱私、竊取用戶資料等威脅用戶安全的行為，用戶也無法感知。從而導致用戶無法確定安裝的應用程序是否是安全的，無法從種類繁多的應用程序中甄別出安全的應用程序進行安裝使用。

由此可見，如何對應用程序的行為進行監測，使應用程序的行為透明化、可見化，以確定應用程序是安全的、可信任的已成為本領域技術人員亟需解決的問題。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種應用程序的行為監測方法和系統。

依據本發明的一個方面，提供了一種應用程序的行為監測方法，包括：

判斷應用程序的當前行為是否是待監測行為；

當確定所述當前行為是待監測行為時，確定所述待監測行為對應的重配置方法結構體；其中，所述重配置方法結構體為對所述待監測行為的原始方法結構體進行重配置后的方法結構體，所述重配置方法結構體中包括：用于指示記錄函數對應的調用接口的位置的分發函數；所述記錄函數用于記錄所述待監測行為的信息；

根據所述分發函數獲取所述記錄函數對應的調用接口，通過所述記錄函數對應的調用接口調用所述記錄函數，并通過所述記錄函數記錄所述待監測行為的行為信息；

根據記錄的待監測行為的行為信息確定所述應用程序的安全性。

可選地，所述對所述待監測行為的原始方法結構體進行重配置，包括：

獲取所述待監測行為對應的原始方法結構體；

將所述原始方法結構體的屬性修改為設定屬性；其中，所述設定屬性用于指示執行所述分發函數；

將所述原始方法結構體成員的指針替換為所述分發函數；其中，所述指針用于指示執行所述待監測行為的原始調用函數的接口的位置；

備份所述原始方法結構體。

可選地，所述判斷應用程序的當前行為是否是待監測行為，包括：

獲取所述當前行為對應的方法結構體的屬性；

根據所述當前行為對應的方法結構體的屬性判斷所述當前行為是否是待監測行為；其中，當所述當前行為的方法結構體的屬性是所述設定屬性時，確定所述當前行為是待監測行為。

可選地，所述將所述原始方法結構體的屬性修改為設定屬性，包括：

將所述原始方法結構體的屬性修改為native屬性。

可選地，在所述根據所述分發函數獲取所述記錄函數對應的調用接口的步驟之前，所述方法還包括：

獲取分發參數，所述分發參數用于指示所述行為信息的類型；

其中，所述獲取分發參數包括：

遍歷args參數，獲取所述待監測行為對應的args參數；

將所述待監測行為對應的args參數添加到數組中，將所述數組作為所述分發參數。

可選地，在所述記錄所述待監測行為的行為信息的步驟之后，所述方法還包括：

當所述行為信息記錄完成之后，從備份內存中獲取備份的原始方法結構體；

根據所述原始方法結構體中的指針獲取所述待監測行為對應的原始調用函數的接口，通過所述原始調用函數的接口調用所述待監測行為對應的原始調用函數，以完成所述待監測行為的執行。

可選地，所述根據記錄的待監測行為的行為信息確定所述應用程序的安全性，包括：

將記錄的待監測行為的行為信息作為所述應用程序的行為信息輸出；

根據輸出的行為信息判斷所述應用程序的行為是否是風險行為；若是，則確定所述應用程序是風險應用程序；否則，確定所述應用程序是安全應用程序；

其中，所述風險行為包括：讀取用戶隱私信息，和/或篡改用戶資料信息，和/或竊取賬號密碼信息，和/或惡意撥打電話。

可選地，所述虛擬機包括：Dalvik虛擬機。

可選地，所述方法使用種子進程執行。