[发明专利]一种移动应用信息窃取回传主控地址的检测方法及系统

权利要求书

1.一种移动应用信息窃取回传主控地址的检测方法，其特征在于其包括以下步骤：

步骤1：获取需要检测的移动应用样本安装文件；

步骤2：对移动应用样本安装文件进行逆向反编译；

步骤3：采用静态分析法，对逆向反编译后得到的配置文件、程序文件进行文件内容解析，得到移动应用程序申请的文件读写操作、数据库访问操作、网络连接请求操作，及操作的行为许可状态；

步骤4：采用静态分析法，对逆向反编译后得到的配置文件、程序文件进行文件内容解析，得到移动应用外连的各个静态配置的IP地址、URL地址；

步骤5：采用静态分析法，对逆向反编译后得到的程序文件进行程序结构分析得到移动应用程序中各函数的调用逻辑关系；

步骤6：综合移动应用程序申请的各种操作行为、操作行为许可状态、函数调用逻辑关系，发现移动应用是否存在有应用信息窃取行为；

步骤7：根据移动应用程序各函数的调用逻辑关系，获取信息外传的函数，发现移动应用程序向主控地址回传移动应用信息的时机；

步骤8：通过动态检测法对移动应用进行应用运行时动态行为监测得到移动应用运行时外连的各个IP地址、URL地址；

步骤9：通过关联分析法，将静态分析得到的移动应用外连IP地址、URL地址，以及动态监测得到的移动应用外连IP地址、URL地址，与黑名单地址情报库进行关联分析；

步骤10：通过应用程序根据关联分析结果得到移动应用回传应用信息的主控地址，及主控地址关联的攻击者信息。

2.根据权利要求1所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的步骤1中所需要检测的移动应用样本安装文件，包含可运行在iOS平台上的移动应用程序和安卓平台上的移动应用程序。

3.根据权利要求1-2所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的iOS平台和安卓平台上的移动应用程序，采用的工具包含但不限于Cycript、Reveal、IDA、MachOView、Class-dump、Hopper Disassembler、Debugserver、LLDB。

4.根据权利要求2所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的安卓平台上的移动应用程序，采用的工具包含但不限于Apktool、Smali、Dex2jar、Jad。

5.根据权利要求3所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的Cycript、Reveal，用于实现iOS平台移动应用程序的界面可视化分析。

6.根据权利要求3所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的IDA，用于实现加固类iOS平台移动应用程序的脱壳，得到加固前的IPA包文件。

7.根据权利要求3所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的MachOView、Class-dump、Hopper Disassembler，用于实现iOS平台移动应用程序的代码分析。

8.根据权利要求3所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的Debugserver、LLDB，用于实现iOS平台移动应用程序的动态调试。

9.根据权利要求4所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的Apktool，用于实现安卓平台的APK文件逆向解析。

10.根据权利要求4所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的Smali用于实现安卓平台的dex格式文件反汇编。

11.根据权利要求4所述的一种移动应用信息窃取回传主控地址的检测方法，其特征在于所述的Dex2jar用于实现安卓平台移动应用的dex文件和java的.class文件查看。