技術領域

本發明涉及計算機技術領域，尤其涉及一種面向安卓APP加密內容的快速識別方法及系統。

背景技術

近年來，智能手機逐漸從簡單的移動設備發展成為復雜而緊湊的小型計算機。縱觀各種移動操作系統的發展進程，美國谷歌公司的Android操作系統無疑發展最快。根據全球知名數據調查公司Netmarketshare網站發布的數據，截止到2017年5月，在各大操作系統市場份額占比中，Android操作系統高達63.66％，蘋果公司的iOS操作系統占比33.03％，而僅剩的3.31％的市場份額由Windows Phone等操作系統瓜分。由于Android操作系統采取免費、開源的市場策略，也使其成為黑客的主要攻擊目標。隨著Android用戶數量的迅速增長，Android惡意軟件的數量也呈噴井式增加，因此對Android操作系統的安全研究十分重要。

目前，Android操作系統的檢測主要包括靜態檢測方法和動態檢測方法兩種。靜態檢測方法是指無需安裝和運行Android應用程序，通過利用現有的Android軟件逆向技術來獲取應用程序反編譯后的代碼，并分析應用程序代碼，從而判斷應用軟件是否擁有惡意行為。動態檢測方法是指在虛擬機上安裝應用軟件，之后模擬用戶的使用，監控應用軟件的運行情況并記錄其行為以進行分析。這兩種檢測方法在一定程度上能夠檢測惡意軟件，但是目前許多惡意軟件的惡意代碼、傳輸內容等都是以加密或者特殊編碼的形式出現，而這些密文恰能逃過靜態檢測方法的檢測。而對于動態檢測方法，許多惡意軟件在觸發惡意行為之前通常會檢測執行環境，從而導致動態檢測失效，同時這些檢測執行環境的邏輯都可能被加密或者編碼。因此，傳統的檢測方法不能檢測出有加密行為的惡意軟件中的加密內容。

發明內容

為解決上述問題，本發明的目的在于提供一種面向安卓APP加密內容的快速識別方法及系統，該方法及系統能夠快速識別安卓APP加密內容，從而能夠有效檢測有加密行為的惡意軟件中的惡意行為。

為實現上述目的，本發明所采用的技術方案為：

一種面向安卓APP加密內容的快速識別方法，其步驟包括：

對待測APK(Android Package，即安卓安裝包)進行識別，得到與待測APK相應的識別特征，并將待測APK相應的安卓APP安裝于一安卓應用端；

根據上述識別特征，在上述安卓應用端和一PC端搭建監控框架，用于監控上述安卓APP的加密記錄；

根據加密記錄截獲加密內容，并根據加密內容生成監控日志；

對上述監控日志進行加解碼處理，得到與加密內容相應的明文報告。

進一步地，搭建所述監控框架的步驟包括：

通過修改與安卓應用端相應版本的安卓操作系統源碼，使安卓操作系統所有activity暴露并載入用以獲取加密內容的程序；

將上述安卓操作系統刷入安卓應用端；

在PC端基于安卓架構的Java層和Native層編寫一監控程序；

將監控程序安裝到安卓應用端。

進一步地，所述識別特征為與待測APK相應的包名、類名、方法名及activity。

進一步地，所述加密內容包括截獲的每條加密記錄的內容和時間、加密方式、編碼方式、APK包名和路徑。

進一步地，所述加解碼為base64加解碼。

一種面向安卓APP加密內容的快速識別系統，包括：

一預處理模塊，用于對待測APK進行識別，得到與待測APK相應的識別特征，并將待測APK相應的安卓APP安裝于一安卓應用端；

一程序安裝模塊，用于根據上述識別特征，在上述安卓應用端和一PC端搭建用于監控上述安卓APP的加密記錄的監控框架；

一加密獲取模塊，用于根據加密記錄截獲加密內容，并根據加密內容生成監控日志；

一日志處理模塊，用于對上述監控日志進行加解碼處理，得到與上述安卓APP加密內容相應的明文報告。

進一步地，所述加密獲取模塊搭建所述監控框架的步驟包括：

通過修改與安卓應用端相應版本的安卓操作系統源碼，使安卓操作系統所有activity暴露并載入用以獲取加密內容的程序；

將上述安卓操作系統刷入安卓應用端；

在PC端基于安卓架構的Java層和Native層編寫一監控程序；

將監控程序安裝到安卓應用端。

進一步地，所述與待測APK相應的識別特征是指與待測APK相應的包名、類名、方法名及activity。