1.一種基于APK加殼軟件動態行為的查殼方法，所述查殼方法通過安卓系統的Hook函數，針對殼程序對系統函數和特征函數的調用進行動態行為監控，一旦被監控的函數被調用，則跳轉到Hook函數中進行記錄，再通過特征比對，得到加殼的程序相應的殼程序的類型；具體包括如下步驟：

1)通過Hook函數對加殼軟件的函數調用進行動態行為監控，分別檢測APK加殼軟件對通用系統函數和特征函數的調用行為，構造得到所述APK加殼軟件的加殼函數調用特征，包括加殼調用通用系統函數特征和加殼調用特征函數特征；

2)啟動某一加殼的程序；

3)針對步驟2)所述加殼的程序，通過Hook函數對加殼程序的函數調用進行動態行為監控，判斷加殼程序調用的函數是否是特征函數；

4)如果加殼程序調用的函數是特征函數，則將所述特征函數的名稱與特征函數特征庫中的加殼調用特征函數特征進行匹配，若找到特征匹配項，則輸出相應的殼類型，結束操作；若未找到特征匹配項，則返回步驟3)，通過Hook函數繼續監控被調用的函數；

5)如果加殼程序調用的函數不是特征函數，記錄所述被調用函數的函數調用序列和函數調用參數；返回步驟3)，通過Hook函數繼續監控被調用的函數；

6)所述APK加殼的程序(原程序)成功啟動后，將步驟5)記錄的函數調用序列和函數調用參數與步驟1)中的通用系統函數特征庫中的加殼調用通用系統函數特征進行匹配，匹配成功則得出加殼軟件的類型；匹配不成功則輸出未知殼。

2.如權利要求1所述基于APK加殼軟件動態行為的查殼方法，其特征是，步驟1)所述檢測APK加殼軟件對通用系統函數的調用行為，構造通用系統函數特征庫包括如下步驟：

1A)殼程序一啟動即進入Hook函數，記錄即將加載殼程序的動態鏈接庫a.so；

1B)加載殼程序的動態鏈接庫a.so；

1C)進入Hook函數，記錄即將加載殼程序的動態鏈接庫b.so；

1D)加載殼程序的動態鏈接庫b.so；

1E)原程序正常啟動；

1F)得到函數調用序列，作為加殼調用通用系統函數特征；

1G)將1F)所述函數調用序列加入到通用系統函數特征庫。

3.如權利要求1所述基于APK加殼軟件動態行為的查殼方法，其特征是，步驟1)所述檢測加殼軟件對特征函數的調用行為，具體為：使用IDA逆向工具對加殼軟件的主程序或動態鏈接程序進行逆向，通過人工分析匯編代碼邏輯，定位涉及核心算法的函數，得到加殼軟件在解密原程序前調用的特征函數，將所述特征函數的名稱作為加殼調用特征函數特征。

4.如權利要求1所述基于APK加殼軟件動態行為的查殼方法，其特征是，步驟1)所述檢測APK加殼軟件具體為通過分別檢測多種類型的加殼軟件，得到所述多種類型加殼軟件的加殼調用通用系統函數特征和加殼調用特征函數特征，建立多種類型加殼軟件的加殼調用通用系統函數特征和加殼調用特征函數特征數據庫。