[发明专利]一种基于截屏图片的重打包检测方法及系统

说明书

本发明公开了一种基于截屏图片的重打包检测方法，包括：获取正版应用各界面的截屏图，形成第一图集；获取待测应用各界面的截屏图，形成第二图集；比较第二图集与第一图集的相似度，相似度满足一预设值时，判定为相似截屏图；统计第二图集的相似截屏图数目，若相似截屏图数量超过一预设值，则获取正版应用和待测应用的认证信息并进行对比，若认证信息不同则判定待测应用为重打包应用。本检测方法具有适用性强、准确度高的优点。本发明还提出了一种基于截屏图片的重打包检测系统。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于截屏图片的重打包检测方法及系统。

背景技术

智能手机和平板电脑已经成为人们日常生活中不可或缺的一部分，而市场中基于安卓的移动设备占比已经超过80%。然而，基于安卓平台的移动设备的安全问题也愈发严重。由于第三方市场没有严格的APP审查，导致安卓中的恶意软件大部分来自于第三方市场。并且经过调查，86%的恶意软件采用重打包技术，通过重打包技术，恶意软件开发者对正版安卓应用进行反编译，嵌入恶意代码或者修改部分代码。当用户下载安装这些重打包代码后，可能会遭遇恶意扣费、个人信息被窃取等恶意行为，进而对用户带来严重的经济损失。

目前的重打包检测方法主要通过对比重打包应用和正版安卓应用之间的相似性进行区分。而相似性计算又分为基于代码克隆检测的相似性检测方法和基于资源文件的相似性检测方法两种。

基于代码克隆的相似性检测方法，是通过反编译安卓应用中的可执行文件，例如DroidMOSS方法通过提取 Dalvik 字节码中的操作码序列，使用模糊散列的方法对应用程序产生一个指纹签名并作为特征，通过比较应用程序指纹之间的编辑距离得到应用程序的相似度。从反编译出的Dalvik字节码中提取静态的特征信息，但是DroidMOSS方法容易受到代码混淆的影响，通过交换代码顺序或者增添删除操作码都会导致应用程序的指纹发生改变从而导致检测方法失效；DNADroid方法通过比较应用的程序依赖图(PDG)来检测重打包应用，它利用程序的语义信息，检测准确率有所提高，但是基于程序的依赖图的检测方法执行效率不高，很难应用到大规模的重打包应用检测中。

基于文件的相似性检测方法，主要通过从安卓应用中提取出资源文件，包括XML布局文件、声音文件、图片文件等，以此生成应用特征。通过这些应用特征构造结构树或者哈希值，进行相似性计算。然而这种方法也需要反编译安卓应用，并且采用的聚合分类法的耗时长，不利于大规模检测，而且无法检测样本运行过程中动态加载的界面。

发明内容

针对上述技术问题，本发明采用如下方法来实现：一种基于截屏图片的重打包检测方法，包括：

获取正版应用各界面的截屏图，形成第一图集；

获取待测应用各界面的截屏图，形成第二图集；

比较第二图集与第一图集的相似度，相似度满足一预设值时，判定为相似截屏图；

统计第二图集的相似截屏图数目，若相似截屏图数量超过一预设值，则获取待测应用和正版应用的认证信息并进行对比，若不匹配，则判定待测应用为重打包应用。

进一步的，所述待测应用和正版应用安装并运行于同一环境中。

进一步的，所述获取待测应用和正版应用各界面下的截屏图的方法为：

HOOK待测应用和正版应用的行为，使其具备界面跳转时自动截屏功能；

模拟操作所述待测应用和正版应用使得所有界面得到遍历，获取各界面下的截屏图；其中，所述模拟操作包括：模拟点击或者模拟输入。

进一步的，判断相似截屏图的方法包括：

采用感知哈希算法计算第二图集与第一图集中各截屏图的汉明距离，根据所述第二图集与第一图集的汉明距离是否小于一预设值来判定所述二个图集中的是否是相似截屏图。