[发明专利]基于动态激活及行为监测的Android恶意代码检测装置和方法

权利要求书

1.一种基于动态激活及行为监测的Android恶意代码检测装置，其特征在于：所述检测装置控制手机终端自动安装与启动准备检测的应用，自动激活应用的行为；同时在应用运行的整个过程中，实时监控该手机终端包括文件访问、短信发送、网络连接及其流量、系统资源占用和硬件资源访问的信息，检测恶意代码进行的恶意行为，并生成检测报告提供给用户，完成对所检测的应用的行为的动态检测；设有应用行为动态激活模块、应用行为实时监控模块和检测结果分析处理模块共三个组成模块：其中：

应用行为动态激活模块，负责对待检测的Android应用自动完成应用的安装、启动和运行，乃至卸载；且在运行过程中，自动激活应用的操作行为，以便对其行为执行后台监控，再将应用的执行结果发送给检测结果分析处理模块；设有：安装启动单元、自动化运行单元和截图分析单元共三个组件；

应用行为实时监控模块，负责根据对常见的入侵操作过程以及Android操作系统工作原理的分析，从各种系统调用中甄别可能产生恶意行为的系统调用函数并重写，且增加监控功能后，被推送到手机终端，使其在完成动态激活应用行为的同时，对手机终端进行实时监控；还在应用程序自动运行的整个过程中，分别监控该手机终端文件是否被访问、网络连接及其流量、短信发送、系统资源占用和硬件资源访问的多种信息，检测恶意代码是否产生恶意行为；再把应用行为的监控结果送到检测结果分析处理模块；设有下述六个组件：文件监控单元、联网监控单元、短信发送监控单元、系统资源占用监测单元、硬件资源访问监控单元和内核-用户接口单元；

检测结果分析处理模块，负责分别接收应用行为动态激活模块提交的截图和从截图中识别的文本，以及应用行为实时监控模块提交的各种监控记录文件，然后进行分析并生成检测报告；设有文本及记录分析单元和报告生成单元。

2.根据权利要求1所述的装置，其特征在于：所述应用行为动态激活模块中的各个组件的功能如下：

安装启动单元，用于通过数据线，将手机终端连接到电脑，并确保两者之间能够正常传递信息后，安装并启动应用；

自动化运行单元，用于与手机终端进行套接字Socket通信，获取并解析控件数据流信息，从数据流信息中解析出坐标数据，利用这些坐标数据计算得到控件绝对坐标，自动化生成触摸脚本、输入脚本、截图脚本和返回脚本并执行之，模拟人工点击应用，动态激活应用的行为；

截图分析单元，用于在应用运行过程中不断获取当前界面的截图，并使用设定的图片识别方法解析截取的图片，获取该图片的文本内容，一起提交到检测结果分析处理模块中的文本及记录分析单元。

3.根据权利要求1所述的装置，其特征在于：所述应用行为实时监控模块中的各个组件的功能如下：

文件监控单元，用于捕获用户在配置文件中规定的需要监控的文件，然后对这些文件实施监控：将测试过程中任何恶意应用对该被监控文件的读写操作都进行存储备案，再传递给内核-用户接口单元；

联网监控单元，用于监测应用程序对网络通道的操控情况，实时监测手机终端的上网流量，甄别利用网络收发恶意数据信息的行为，并监测和记录非用户行为的数据流量的流失信息，再将上述信息传递给内核-用户接口单元；

短信发送监控单元，用于监测应用程序对短信通道的操控情况，甄别发送/接收恶意短信的行为，并监控并记录后台偷发短信行为，再将上述信息传递给内核-用户接口单元；

系统资源占用监测单元，用于监测应用程序对系统中软硬件资源的占用情况，包括应用程序在监测过程中各个采样时间使用的CPU、内存和闪存的硬件信息，甄别和记录破坏系统运行环境的恶意行为，再将上述信息传递给内核-用户接口单元；

硬件资源访问监控单元，因应用使用手机终端硬件实现的功能都是通过内核中的硬件驱动程序完成的，故该单元用于监控手机终端中的各种硬件驱动程序的调用，从而监控并记录相应的应用操作行为，再将该信息传递给内核-用户接口单元；

内核-用户接口单元，用于将所述各个监控单元传送来的各种监控信息传递到用户态的程序中，保存为相应的监控报告，再提交给检测结果分析处理模块。