[发明专利]一种通过Android模拟器检测病毒程序的方法及系统

说明书

技术领域

本发明属于计算机技术领域，具体涉及一种通过Android模拟器检测病毒程序的方法及系统。

背景技术

Android是一种基于Linux的自由及开放源代码的操作系统，主要使用于便携设备，如智能手机和平板电脑。目前尚未有统一中文名称，中国大陆地区较多人使用“安卓”或“安致”。Android操作系统最初由Andy Rubin开发，主要支持手机。2005年由Google收购注资，并组建开放手机联盟开发改良随后，逐渐扩展到平板电脑及其他领域上。第一部Android智能手机发布于2008年10月。2011年第一季度，Android在全球的市场份额首次超过塞班系统，跃居全球第一。2012年11月数据显示，Android占据全球智能手机操作系统市场76%的份额，中国市场占有率为90%。

Android模拟器是Android SDK（Software Development Kit，即软件开发工具包）自带一个移动模拟器。它是一个可以运行在电脑上的虚拟设备。Android模拟器可以不需使用物理设备即可预览、开发和测试Android应用程序。

APK是AndroidPackage的缩写，即Android安装包(apk)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。apk文件和sis一样，把android sdk编译的工程打包成一个安装程序文件，格式为apk。APK文件其实是zip格式，但后缀名被修改为apk，通过UnZip解压后，可以看到Dex文件，Dex是Dalvik VM executes的全称，即Android Dalvik执行程序，并非Java ME的字节码而是Dalvik字节码。

为了检测一个APK程序是否为病毒程序，目前的做法是将其安装到Android模拟器中运行，通过判断其运行行为是否具有恶意行为，比如盗取手机号码、手机型号、手机ID号、SM卡编号等行为。但通过申请人研究发现上述方法病毒程序的检出率越来越低，已经不能适应现有病毒的发展。

通过申请人的仔细研究发现，现有模拟器的基本信息都是一些特定的信息，比如手机号为13000000000。病毒程序在运行时首先通过获取模拟器中的这些基本信息，然后比对这些基本信息与其收集的模拟器常用的特定信息进行比对，如匹配则判定其运行的当前环境为模拟器。然后，将其恶意行为部分的程序关闭，进而逃过模拟器的检测。

发明内容

为了上述问题，本发明的目的在于提供一种通过Android模拟器检测病毒程序的方法及系统，以提高病毒程序的检出率。

为了实现上述发明目的，本发明采取的技术方案如下：

一种通过Android模拟器检测病毒程序的方法，其特征在于包括以下步骤：

（1）提供随机的模拟器基本信息给所述可疑APK程序；

（2）在模拟器中运行所述可疑APK程序检测其运行过程是否具有恶意行为。

进一步的，所述第（1）步具体是：直接根据随机算法将模拟器基本信息随机化以提供给所述可疑APK程序。

进一步的，所述第（1）步具体包括以下子步骤：

（11）将所述可疑APK程序进行反编译；

（12）在反编译出的程序代码中查找出能够获取模拟器信息的应用程序接口（API）；

（13）修改所述应用程序接口（API）的返回值，以使所述可疑APK程序获取一个随机的模拟器基本信息；

（14）重新编译所述程序代码。

进一步的，所述第（1）步具体是：通过钩挂系统函数的应用程序接口（API），返回随机的模拟器基本信息给所述可疑APK程序。

一种通过Android模拟器检测病毒程序的系统，包括以下模块：

随机信息提供模块，用于提供随机的模拟器基本信息给所述可疑APK程序；

运行检测模块，用于在模拟器中运行所述可疑APK程序检测其运行过程是否具有恶意行为。

进一步的，所述随机信息提供模块提供随机的模拟器基本信息给所述可疑APK程序，具体是：直接根据随机算法将模拟器基本信息随机化以提供给所述可疑APK程序。

进一步的，所述随机信息提供模块具体包括以下子模块：

反编译模块，将所述可疑APK程序进行反编译；

查找模块，在反编译出的程序代码中查找出能够获取模拟器信息的应用程序接口（API）；