基于smali的Android软件敏感API调用日志模块嵌入系统

吕晓庆,邹仕洪

2012-12-28

在恶意软件动态分析中，需要用到软件运行时的API调用日志，特别是敏感API的调用日志，而Android系统的日志仅提供了有限的信息。为获取丰富的日志信息，本文设计了基于smali的Android软件敏感API调用日志模块嵌入系统，该系统能够针对指定敏感API，自动在Android软件中嵌入调用日志模块，以达到在软件运行时记录敏感API的输入和输出等详细信息的目的。实验证明，本系统是有效可行的。

北京邮电大学网络与交换技术国家重点实验室，北京 100876,北京邮电大学网络与交换技术国家重点实验室，北京 100876

#计算机科学技术#

一种基于Xposed框架的Android应用恶意行为检测方法

王赛,郭燕慧,吴秋新,刘元冬

2015-12-25

针对Android终端日益猖獗的恶意攻击，本文从恶意行为的触发和捕获两个方面对现有方法进行改进，提出一种基于Xposed框架的Android应用恶意行为检测方法。构建基于应用界面控件的控件树，通过对其遍历实现对应用控件全覆盖的自动化运行，尽可能多的触发恶意行为。然后利用Xposed框架编写监控模块，通过直接对Android系统敏感API调用的监控实现对应用恶意行为的检测，并且能获取调用行为及其参数的详细信息。实验表明，本方法能有效检测出Android应用的恶意行为，并且对应用的行为监控具有很强可扩展性。

物联网感知层入侵检测方法研究（61302087）

北京邮电大学软件安全中心，北京 100876,北京邮电大学软件安全中心，北京 100876,北京信息科技大学理学院，北京 100196,北京邮电大学软件安全中心，北京 100876

#计算机科学技术#

Android智能终端应用关联检测研究

孔浩浩,郭燕慧

2016-12-05

针对Android智能终端中应用之间跨应用的组件调用行为，提出了一种Android智能终端应用关联行为检测的方法。首先静态预处理智能终端中的应用程序，获取跨应用的组件调用关系表；然后，恢复从源组件到目的组件、源应用到目的应用的关联行为图，使用高效的评估算法PageRank，对以应用为单位的关联关系进行评估，衡量应用在关联关系中的影响力；其次，在关联评估结果基础上结合权限申明以及组件调用参数信息，分析关联行为的权限泄露和权限劫持风险；最后，用该方法对Android智能终端中的应用进行检测。结果显示:在10个测试终端样本共160款应用的测试中，该检测方法可以有效地提取出关联行为，终端中应用种类越多，检测出的关联行为越完整，关联评估结果较好地描述了应用在关联网中的影响力，安全分析得到针对关联行为的权限泄露、组件劫持分析成果。

北京邮电大学网络空间安全学院，北京 100876,北京邮电大学网络空间安全学院，北京 100876

#计算机科学技术#

基于动态特征的Android恶意代码检测和定位方法

王淞鹤,郭燕慧

2021-03-08

恶意代码检测是android恶意应用检测中的重要一环，用于对可疑应用进行代码研判和危害性判定。该环节通常需要安全人员进行手动分析并定位恶意代码。为了解决分析过程繁琐的问题，本文提出一种基于运行时特征的Android恶意代码检测方法，针对应用程序运行过程中的敏感API调用与用户意图间的关系检测恶意行为并定位恶意代码。该方法根据触发条件将恶意行为分为主动触发类和被动触发类，通过收集的应用运行时信息构建行为-意图预测模型和多元时间序列作为恶意行为检测方法。本文对标记的602个恶意应用进行测试，恶意代码检测精确率为90.54%，实验结果表明，该方法可以有效检测出恶意行为并定位恶意代码位置。

School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing, 100876,School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing, 100876

#计算机科学技术#

基于组件间通信的Android应用安全分析

黄炎裔,郭燕慧,李祺

2019-01-23

近年来，Android恶意应用逐渐出现直接或间接利用其它应用达到不法目的的现象，因此对于Android应用的安全研究也逐渐由单个应用转向多应用联合分析。针对Android应用特有的组件间通信行为，本文提出一种基于组件间通信的Android应用关联安全分析的方法。首先通过匹配应用的声明与调用信息，基于集合约束建立关联关系，并通过概率模型筛除不可靠关联。然后基于虚拟主函数与代码插桩方式解决代码不可达问题，从而建立完整控制流图。在控制流图中获得关联过程中的激活事件与环境因素，最后根据关联关系的权限使用、敏感API使用、关联关系的激活事件与关联过程中的环境因素等信息，综合判断关联关系是否存在隐私泄露问题。最后使用该方法对选取的Android应用样本集进行分析。结果显示该分析方法可提高关联关系提取的准确性，并有效降低隐私泄露分析的假阳性值。

School of cyberspace security, Beijing University of Posts and Telecommunications, Beijing 100876,School of cyberspace security, Beijing University of Posts and Telecommunications, Beijing 100876,School of cyberspace security, Beijing University of Posts and Telecommunications, Beijing 100876

#计算机科学技术#