一种android应用程序恶意行为的动态检测及拦截方法温圣召，温巧燕，张华**510152025303540（北京邮电大学网络安全研究中心）摘要：本文主要是研究如何对基于Android平台的恶意应用的恶意行为的动态检测及拦截技术。通过对Android系统架构、binder通信及代码注入技术的研究，设计出一种基于native层代码注入方式的拦截技术，实现对恶意应用的恶意行为的拦截；通过对binder协议的研究及通信数据的逆向，实现对用户定制的黑白名单应用的拦截、放行或检测。该系统可以接受用户定制、实现用户行为自学习等功能，通过用户定制及自学习结果，减少与用户的交互，实现后台拦截。相对于其他检测或保护方法，本文给出的方法具有时时、动态的特性，这些特性可以实现在恶意应用的恶意行为发生前或发生时进行检测拦截，进而减少用户的机密信息泄漏或经济损失，在学术研究及商业应用上有着广阔的研究价值及应用前景。关键词：Android；代码注入；动态检测；动态拦截；用户定制；：TP311.1Onekindofandroidapplicationdynamicallydetectmaliciousbehaviorandinterceptmethodwenshengzhao,wenqiaoyan,zhanghua(Bei激nguniversityofpostsandtelecommunications(BUPT)TheNetworkSecurityResearchCenter(NSRC))Abstract:Thispaperistostudyhowdynamicallydetectandinterceptthemaliciousactionoftheapplicationsonandroidsystem.ThroughstudyoftheAndroidsystemarchitecture,bindercommunicationsandcodeinjectiontechnology,designanativelayercodeinjectionmethodtoachievetheinterceptofmaliciousapplication'saction.Throughresearchbindercommunicationprotocolandreverseconnunicationdatatoachievetheintercept,releaseordetectionoftheblackandwhitelistsofapplicationsthatgivenbyuser.Thissystemcanacceptuserconstomizeandlearnuserbehaviors,soitcanreducetheinteractivewithuserandruninthebackground.Comparedwithothermethods,thismethodhavepromptnessanddynamicscharacters.thesecharacterscanachievetointerceptthemaliciousactionbeforeitexecutedorbeingexecuted，soitcanprotectuser'sconfidentialinformationandreduceeconomiclosses.Thismethodhavabroadresearchvalueandbusinessuse.Keywords:Android;codeinject;dynamicdetection;dynamicintercept;userconstomize;0引言目前Android系统的移动设备已经得到了广泛的应用。去年上半年搭载Android系统的智能终端出货量达到一亿多部，市场占有率近70%[1]。随着移动智能终端的发展，Android平台上的安全问题也日益突出，恶意软件的数量出现爆发式的增长。仅2012年第三季度就查杀恶意软件2.3万余款，感染手机991万部，且94%的恶意软件集中在Android平台[2]。作者简介：温圣召（1990-），男，硕士研究生，信息安全通信联系人：温巧燕(1959-)，女，教授，1997年7月至1999年4月在北京邮电大学信号与信息处理博士后科研流动站进行博士后研究，1999年5月出站，现受聘与北京邮电大学网络技术研究院网络安全研究中心。主要研究方向和关注领域为：现代密码理论，量子密码与布尔函数研究，网络安全及移动互联网安全技术.wqy@bupt.edu-1-目前主流的安全软件都无法有效遏制恶意软件的大范围传播，这使得Android用户面临着越来越大的安全威胁。目前对Android恶意应用程序的检测方法主要有两种：一种是按照病毒查杀的方式进行检测，将恶意软件当成病毒，按照特征签名的方式进行检测[3]。该方法4550可以快速检测出已知恶意软件，对于新出现的应用程序多采用人工分析的方式，因此检测结果存在一定的滞后期。另一种是采用动态监控的方法，通过动态实时监控应用程序的执行及其与外部环境的交互进行检测[4]。采用动态分析方法，可以自动生成输入并在程序执行过程中记录日志，通过分析记录的日志信息来检测应用程序当中是否存在隐私泄露行为。该方法依赖要分析的日志文件，而日志文件是在恶意应用执行后生成的。通过分析其生成的日志文件虽然能检测出恶意应用，却有一定的滞后性，无法在恶意应用执行期间进行解析及拦截。本文通过对android系统架构、bin...