[发明专利]一种对android应用进行自动化安全检测的方法在审
| 申请号: | 201610801346.0 | 申请日: | 2016-09-02 |
| 公开(公告)号: | CN106446689A | 公开(公告)日: | 2017-02-22 |
| 发明(设计)人: | 龚成博;高振鹏 | 申请(专利权)人: | 中科信息安全共性技术国家工程研究中心有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100195 北京市海淀区杏*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种对android应用进行自动化安全检测的方法是通过特定的android系统对android应用进行dex文件的拦截,然后利用特定的findbugs在漏洞规则库的基础上对android应用源代码进行安全检测。本发明所述技术方案的有益效果在于:本发明所述方法将代码审查与漏洞挖掘融合为了一体,可以对加壳应用进行安全检测;对Android应用检测时,无需人工对应用进行反编译、调试、代码审查、渗透测试,利用本发明所述技术方案,可以实现高效快速的安全分析;可以对海量应用实现自动化安全测试;帮助开发者定位到漏洞关键代码片段,方便开发人员解决安全隐患,提高了开发者安全加固的效率。 | ||
| 搜索关键词: | 一种 android 应用 进行 自动化 安全 检测 方法 | ||
【主权项】:
一种对android应用进行自动化安全检测的方法,其特征在于:所述自动化安全检测的方法包括android应用自动化安全检测的环境搭建和android应用自动化检测两部分;所述android应用自动化安全检测的环境搭建包括如下步骤:步骤一:针对常见android安全漏洞,建立漏洞规则库;步骤二:修改android系统的dalvik虚拟机源代码形成定制android系统,所述定制android系统主要获取加壳android应用的源码,即通过定制android系统完成android应用的dex文件的拦截;步骤三:搭建 findbugs的执行方式,包括封装接口,以及设置插件路径、字节码路径、报告输出路径的配置信息;所述android应用自动化检测包括如下步骤:步骤一:获取待检测Android应用;步骤二:采用反编译技术,获取待检测Android应用的AndroidManifest.xml清单文件配置信息;步骤三:针对待检测Android应用,再次修订漏洞规则库;步骤四:基于ADB,将待检测Android应用安装至定制android系统中并运行,同时定制android系统的dalvik虚拟机拦截待检测Android应用的dex文件;步骤五:利用dex2jar工具将拦截的dex文件逆向生成classes.jar文件,并解压classes.jar文件以生成java字节码;步骤六:采用搭建的findbugs,基于建立的漏洞规则库,对生成的java字节码进行漏洞检测;步骤七:将定制Android系统拦截的dex文件与待检测Android应用自行解压生成的dex文件进行比较;如果定制Android系统拦截的dex文件与待检测Android应用自行解压生成的dex文件信息一致,说明待检测Android应用未加壳,利用 androguard获取步骤六中的漏洞检测结果方法体的java代码信息并进行展示;如果定制Android系统拦截的dex文件与待检测Android应用自行解压生成的dex文件信息不一致,说明待检测Android应用加壳,将待检测Android应用自行解压目录下的dex文件替换为定制Android系统拦截的dex文件,重新打包待检测Android应用,利用 androguard获取步骤六中的漏洞检测结果方法体的java代码信息并进行展示。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中科信息安全共性技术国家工程研究中心有限公司,未经中科信息安全共性技术国家工程研究中心有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610801346.0/,转载请声明来源钻瓜专利网。
