[发明专利]一种多dex文件分析方法及系统

说明书

本发明提出一种多dex文件分析方法及系统，通过分析样本文件中的主dex文件和副dex文件，生成各dex文件的分析结果，根据各dex文件的分析结果对应用从多个方面进行分析包括：dex文件之间的结构关联性、AndroidManifest.xml文件内容与各dex文件的跳转关联、dex文件之间的行为关联性，是一种结构化输出多dex应用关联信息的方法，能有效对多dex文件文件的恶意行为进行关联分析，并按需输出分析结果，多dex文件能很好的保障用户信息安全。

技术领域

本发明涉及移动安全技术领域，尤其涉及一种多dex文件分析方法及系统。

背景技术

Dex文件格式是Android应用程序运行的一种可执行文件格式。在Android 5.0之前，Android的Java虚拟机Dalvik在执行dex文件时，使用了原生类型short来索引dex文件中的方法，并且APK包默认只能包含一个dex文件，因此dex文件中的方法总数及基于Android开发的项目的方法数被限制，这极大的限制了android项目的规模。Google在APK包中引入多个dex文件的方式来解决该问题。多dex文件就是将一个大的dex文件拆分成一个主dex和多个副dex文件，在APK运行时首先载入主dex，然后动态载入其它的dex文件运行。主dex和多副dex的权限、引用的库文件等信息都定义在一个xml文件中，即AndroidManifest.xml，每个安卓应用都必须定义和包含该xml文件，它描述了应用程序的名字、版本、权限以及引用的库文件等信息。

随着移动互联网及业务的迅猛发展，安卓应用安全问题越来越多。以安卓移动端的恶意仿冒应用为例，恶意仿冒应用更加频繁、更加复杂，实现安卓仿冒应用的有效分析迫在眉睫。而目前市场上，针对安卓仿冒应用的静态分析工具也层出不穷，例如apktool,jeb2等分析工具。然而这些工具无法进行多dex APK的分析，只能展示主dex的内容，其它dex的内容需要手动解压APK，并开启多个工具窗口分别加载每个dex文件。这种分析多dexAPK的方法没有考虑各个dex文件中的结构和代码是否有关联性。

APK应用具有多dex机制无疑给安全应用分析工具分析恶意的仿冒应用增加了难度。例如，仿冒应用并不将恶意代码只放在主dex中或者某个副dex中，而是这类应用将恶意代码分散部署在各个dex中，更糟糕的情形是这些恶意代码之间有一定的关联性（例如利用了其它dex中的恶意代码的输出结果），使用目前现有的分析方案并不能满足这类仿冒应用的有效分析需求。

发明内容

针对上述现有技术存在的缺陷，本发明提出一种多dex文件分析方法及系统，能结构化输出多dex应用关联信息，有利于保障用户信息安全。

一种多dex文件分析方法，包括：

载入应用的样本文件，分析样本文件中的主dex文件和副dex文件，生成各dex文件的分析结果；

根据得到的各dex文件的分析结果按照如下至少一种方法对应用进行分析：

一、合并经标记的各dex文件的分析结果得到各dex文件之间的结构关联性；

二、构建AndroidManifest.xml文件到各dex文件的关联跳转，得到AndroidManifest.xml文件到各dex文件的跳转关联性；

三、分析各dex文件之间的信息跳转，构建出各dex文件之间的数据信息和控制信息的传递关联，并依此得到dex之间的控制流图展示关联跳转信息，得到dex文件之间的行为关联性；

输出分析结果。

进一步的，所述dex文件的分析结果包括：dex文件的类结构、dex文件中跨dex文件访问的数据信息和控制信息、AndroidManifest.xml文件到dex文件的映射信息。

本发明还公开了一种多dex文件分析系统，包括：输入模块、分析模块、输出模块，其中：