事件觸發(fā)器及事件觸發(fā)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)通信安全技術(shù)領(lǐng)域�����,尤其涉及一種事件觸發(fā)器及事件觸發(fā)方法�����。
【背景技術(shù)】
[0002]隨著Android惡意軟件數(shù)量的急劇增長(zhǎng)�����,迫切需要開(kāi)發(fā)能夠?qū)?yīng)用程序的漏洞和惡意行為進(jìn)行自動(dòng)智能分析的軟件工具��。動(dòng)態(tài)分析一般指在程序運(yùn)行時(shí)監(jiān)控所調(diào)用的函數(shù)����,通過(guò)監(jiān)測(cè)和記錄執(zhí)行的每一個(gè)相關(guān)的操作(如發(fā)送短信�����,從存儲(chǔ)中讀取數(shù)據(jù)�,連接到遠(yuǎn)程服務(wù)器等),自動(dòng)產(chǎn)生分析報(bào)告�����。動(dòng)態(tài)分析需要在Android設(shè)備上運(yùn)行應(yīng)用程序�,檢測(cè)速度相對(duì)較慢但相當(dāng)有效����。動(dòng)態(tài)分析需要考慮的一個(gè)問(wèn)題是如何觸發(fā)惡意行為���,對(duì)于大多數(shù)惡意軟件��,僅僅安裝應(yīng)用程序并不能觸發(fā)惡意行為�����,這需要用戶(hù)與應(yīng)用程序進(jìn)行交互來(lái)觸發(fā)某些惡意行為����。為了能夠在實(shí)際設(shè)備或模擬器中自動(dòng)安裝應(yīng)用程序�����,并自動(dòng)模擬用戶(hù)操作(如按鍵輸入��、觸摸屏輸入等)�,大多數(shù)檢測(cè)方案采用自動(dòng)控制腳本策略。例如MonkeyRunner工具�,該工具能夠產(chǎn)生足夠數(shù)量的隨機(jī)事件流來(lái)確保一次可以觸發(fā)大量的交互行為。
[0003]但不同的應(yīng)用程序?qū)τ诓煌挠脩?hù)事件流的頻率存在較大的差異,單純的隨機(jī)觸發(fā)不能保證應(yīng)用程序的針對(duì)性�,這種方法并沒(méi)有考慮到事件觸發(fā)應(yīng)用程序的某些行為。例如在程序運(yùn)行過(guò)程中���,若用戶(hù)在某地點(diǎn)轉(zhuǎn)到另一地點(diǎn)的過(guò)程中����,地理位置發(fā)生了變化����,單純的測(cè)試無(wú)法實(shí)現(xiàn)這種行為。當(dāng)然還有接收到別的用戶(hù)發(fā)來(lái)的短信息或撥打的電話(huà)等行為�,這些行為有可能會(huì)觸發(fā)應(yīng)用程序的某種惡意行為(比如泄露位置信息的變化或泄露接收到的短信息消息等)。
【發(fā)明內(nèi)容】
[0004]為了解決上述技術(shù)中存在的問(wèn)題��,本發(fā)明提供一種事件觸發(fā)器����,包括清單文件解析模塊�,用于分析待測(cè)試的應(yīng)用程序,解析應(yīng)用程序的清單文件�����,提取出用于注冊(cè)回調(diào)函數(shù)的API列表;事件預(yù)觸發(fā)模塊�����,當(dāng)應(yīng)用程序要使用某個(gè)系統(tǒng)服務(wù)時(shí)�����,該服務(wù)的回調(diào)函數(shù)通過(guò)API注冊(cè)�����,所述事件預(yù)觸發(fā)模塊向偽造虛假事件模塊發(fā)出請(qǐng)求�,通知所述偽造虛假事件模塊偽造相應(yīng)的虛假事件;偽造虛假事件模塊�,用于在接收到所述事件預(yù)觸發(fā)模塊的通知后偽造相應(yīng)的事件;事件觸發(fā)模塊���,用于觸發(fā)偽造的虛假事件�,當(dāng)硬件設(shè)備檢測(cè)到事件的發(fā)生����,通知應(yīng)用程序更新最新的信息,為應(yīng)用程序的進(jìn)一步分析觸發(fā)更多的惡意行為��。
[0005]偽造的事件包括所述清單文件中列出的回調(diào)函數(shù)和運(yùn)行時(shí)被調(diào)用的API的回調(diào)函數(shù)。
[0006]所述偽造的虛假事件是位置變化�、收到短消息或電話(huà)。
[0007]另一方面���,本發(fā)明提供了一種事件觸發(fā)方法����,包括步驟1��、清單文件解析模塊解析應(yīng)用程序的清單文件����,提取用于注冊(cè)回調(diào)函數(shù)的API列表;
步驟2、在沙盒中運(yùn)行應(yīng)用程序���,當(dāng)回調(diào)函數(shù)通過(guò)API注冊(cè)時(shí)����,事件預(yù)觸發(fā)模塊通知偽造虛假時(shí)間模塊偽造相應(yīng)的虛假事件�; 步驟3����、偽造虛假事件模塊偽造相應(yīng)的虛假事件,硬件設(shè)備檢測(cè)到事件的發(fā)生,通知應(yīng)用程序更新最新的信息�。
[0008]所述偽造的虛假事件是位置變化、收到短消息或電話(huà)���。
[0009]本發(fā)明通過(guò)偽造Android手機(jī)經(jīng)常出現(xiàn)的行為事件(手機(jī)用戶(hù)地理位置變化����、接收到短信息����、接收到撥打的電話(huà)等行為事件)來(lái)觸發(fā)某個(gè)應(yīng)用程序可能會(huì)產(chǎn)生的惡意行為(泄露位置信息的變化或泄露接收到的短信息消息等),解決了普通觸發(fā)器僅觸發(fā)隨機(jī)的UI事件問(wèn)題�,能夠?yàn)閼?yīng)用程序的開(kāi)發(fā)者或使用者提供更多的行為分析信息。
【附圖說(shuō)明】
[0010]圖1為事件觸發(fā)流程圖���;
圖2為事件觸發(fā)器結(jié)構(gòu)圖����;
圖3為事件觸發(fā)器觸發(fā)事件行為的總體架構(gòu)�����。
【具體實(shí)施方式】
[0011]為了使本發(fā)明的目的��、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實(shí)施例����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
[0012]流程圖如圖1所示:
步驟一:首先解析應(yīng)用程序的清單文件(Manifest, xml)��,提取用于注冊(cè)回調(diào)函數(shù)的API列表����,即對(duì)某個(gè)事件函數(shù)的預(yù)先定義;
步驟二:在沙盒中運(yùn)行應(yīng)用程序���,當(dāng)某個(gè)回調(diào)函數(shù)通過(guò)API注冊(cè)時(shí)���,通知事件觸發(fā)器偽造相關(guān)的事件;
步驟三:事件觸發(fā)器偽造相關(guān)的虛假事件��,硬件設(shè)備檢測(cè)到事件的發(fā)生���,通知應(yīng)用程序更新最新的信息��。
[0013]事件觸發(fā)器包括清單文件解析模塊����,事件預(yù)觸發(fā)模塊��,偽造虛假事件模塊�,事件觸發(fā)模塊,如圖2所示����。
[0014]其中清單文件解析模塊用于分析待測(cè)試的應(yīng)用程序,解析應(yīng)用程序的清單文件(Manifest, xml )�����,提取出用于注冊(cè)回調(diào)函數(shù)的API列表����,即預(yù)定義的某些事件函數(shù)。
[0015]事件預(yù)觸發(fā)模塊是指當(dāng)應(yīng)用程序想要使用某個(gè)系統(tǒng)服務(wù)時(shí)��,該服務(wù)的回調(diào)函數(shù)會(huì)通過(guò)API注冊(cè)�����,即預(yù)定義的某些事件函數(shù)即將被調(diào)用,事件預(yù)觸發(fā)模塊會(huì)向偽造虛假事件模塊發(fā)出請(qǐng)求���,偽造相應(yīng)的虛假事件��。
[0016]偽造虛假事件模塊接收到偽造事件請(qǐng)求信息時(shí)���,該模塊可以實(shí)時(shí)的偽造相應(yīng)的事件,偽造的事件不僅包括清單文件中列出的回調(diào)函數(shù)����,同時(shí)也包括在運(yùn)行時(shí)被調(diào)用的API的回調(diào)函數(shù)。
[0017]事件觸發(fā)模塊用于觸發(fā)偽造的虛假事件����,當(dāng)硬件設(shè)備檢測(cè)到事件的發(fā)生,通知應(yīng)用程序更新最新的信息��,為應(yīng)用程序的進(jìn)一步分析觸發(fā)更多的惡意行為�。
[0018]偽造虛假事件模塊中偽造的虛假事件包括偽造地理位置的改變、偽造收到短信息����,偽造接收到電話(huà)等事件��。以偽造地理位置改變事件為例,整個(gè)過(guò)程是應(yīng)用程序在虛擬機(jī)中運(yùn)行的過(guò)程中進(jìn)行的�����。當(dāng)偽造虛假事件模塊接收到事件預(yù)觸發(fā)模塊的偽造地理位置改變請(qǐng)求時(shí)���,偽造虛假事件模塊首先虛擬當(dāng)前地理坐標(biāo)(沙盒中的Android模擬器無(wú)法自動(dòng)定位位置坐標(biāo))�����;其次��,進(jìn)行一系列的關(guān)于位置信息的初始化:定位初始化����、接口初始化��、搜索模塊初始化�����、數(shù)據(jù)初始化等等���,為位置的改變做好前期的準(zhǔn)備�����;接著開(kāi)啟線(xiàn)程��,設(shè)置改變的位置的坐標(biāo)信息�����;最后����,當(dāng)偽造地理位置改變事件被觸發(fā)后,銷(xiāo)毀地理坐標(biāo)信息��,等待下一次的觸發(fā)����。
[0019]事件觸發(fā)器偽造虛假事件時(shí)運(yùn)行在沙盒中,如圖3所示���。首先解析應(yīng)用程序的清單文件(Manifest, xml )����,提取用于注冊(cè)回調(diào)函數(shù)的API列表。然后在沙盒中運(yùn)行應(yīng)用程序�,當(dāng)某個(gè)回調(diào)函數(shù)通過(guò)API注冊(cè)時(shí),通知事件觸發(fā)器偽造相關(guān)的事件����。在整個(gè)通信過(guò)程中�����,框架層實(shí)現(xiàn)服務(wù)的類(lèi)是ManagerService�,這是一個(gè)系統(tǒng)服務(wù)。系統(tǒng)中有一個(gè)專(zhuān)門(mén)用來(lái)管理系統(tǒng)服務(wù)的類(lèi)ServiceManager����,這個(gè)類(lèi)負(fù)責(zé)注冊(cè)并管理所有的系統(tǒng)服務(wù)。兩者通過(guò)Binder機(jī)制進(jìn)行通信����。當(dāng)應(yīng)用程序想要使用某個(gè)系統(tǒng)服務(wù)時(shí),需要通過(guò)服務(wù)的代理來(lái)調(diào)用服務(wù)�,并通過(guò)進(jìn)程間通訊將請(qǐng)求發(fā)送到system_server進(jìn)程,由該進(jìn)程來(lái)響應(yīng)服務(wù)��,然后再返回結(jié)果。當(dāng)硬件設(shè)備檢測(cè)到事件的發(fā)生�����,通知應(yīng)用程序更新最新的信息�,以此來(lái)觸發(fā)應(yīng)用程序更多的行為,使得進(jìn)一步的動(dòng)態(tài)分析能夠發(fā)現(xiàn)更多的惡意行為信息�����。
[0020]應(yīng)用程序運(yùn)行過(guò)程注冊(cè)某個(gè)回調(diào)函數(shù)時(shí)�,事件觸發(fā)器立即偽造相應(yīng)的虛假事件,硬件設(shè)備檢測(cè)到該虛假事件后���,調(diào)用注冊(cè)的回調(diào)函數(shù)����,并通知應(yīng)用程序更新最新的事件信息�。
[0021]本發(fā)明方案所公開(kāi)的技術(shù)手段不僅限于上述實(shí)施方式所公開(kāi)的技術(shù)手段,還包括由以上技術(shù)特征任意組合所組成的技術(shù)方案����。
【主權(quán)項(xiàng)】
1.一種事件觸發(fā)器,其特征在于��,包括 清單文件解析模塊,用于分析待測(cè)試的應(yīng)用程序��,解析應(yīng)用程序的清單文件����,提取出用于注冊(cè)回調(diào)函數(shù)的API列表; 事件預(yù)觸發(fā)模塊�,當(dāng)應(yīng)用程序要使用某個(gè)系統(tǒng)服務(wù)時(shí),該服務(wù)的回調(diào)函數(shù)通過(guò)API注冊(cè)�����,所述事件預(yù)觸發(fā)模塊向偽造虛假事件模塊發(fā)出請(qǐng)求���,通知所述偽造虛假事件模塊偽造相應(yīng)的虛假事件; 偽造虛假事件模塊���,用于在接收到所述事件預(yù)觸發(fā)模塊的通知后偽造相應(yīng)的事件�����;事件觸發(fā)模塊��,用于觸發(fā)偽造的虛假事件����,當(dāng)硬件設(shè)備檢測(cè)到事件的發(fā)生,通知應(yīng)用程序更新最新的信息�,為應(yīng)用程序的進(jìn)一步分析觸發(fā)更多的惡意行為。2.根據(jù)權(quán)利要求1所述的事件觸發(fā)器��,其特征在于��,偽造的事件包括所述清單文件中列出的回調(diào)函數(shù)和運(yùn)行時(shí)被調(diào)用的API的回調(diào)函數(shù)���。3.根據(jù)權(quán)利要求1所述的事件觸發(fā)器���,其特征在于,所述偽造的虛假事件是位置變化�、收到短消息或電話(huà)。4.一種事件觸發(fā)方法���,其特征在于���,包括, 步驟1�、清單文件解析模塊解析應(yīng)用程序的清單文件,提取用于注冊(cè)回調(diào)函數(shù)的API列表; 步驟2����、在沙盒中運(yùn)行應(yīng)用程序�����,當(dāng)回調(diào)函數(shù)通過(guò)API注冊(cè)時(shí)�,事件預(yù)觸發(fā)模塊通知偽造虛假時(shí)間模塊偽造相應(yīng)的虛假事件���; 步驟3����、偽造虛假事件模塊偽造相應(yīng)的虛假事件��,硬件設(shè)備檢測(cè)到事件的發(fā)生�,通知應(yīng)用程序更新最新的信息���。5.根據(jù)權(quán)利要求4所述的事件觸發(fā)方法�,其特征在于��,所述偽造的虛假事件是位置變化��、收到短消息或電話(huà)��。
【專(zhuān)利摘要】本發(fā)明公開(kāi)一種事件觸發(fā)器和事件觸發(fā)方法,事件觸發(fā)器包括清單文件解析模塊��,用于分析待測(cè)試的應(yīng)用程序�����,解析應(yīng)用程序的清單文件����;事件預(yù)觸發(fā)模塊,向偽造虛假事件模塊發(fā)出請(qǐng)求�,通知偽造虛假事件模塊偽造相應(yīng)的虛假事件;偽造虛假事件模塊�����,用于在接收到所述事件預(yù)觸發(fā)模塊的通知后偽造相應(yīng)的事件�;事件觸發(fā)模塊,用于觸發(fā)偽造的虛假事件�����,當(dāng)硬件設(shè)備檢測(cè)到事件的發(fā)生��,通知應(yīng)用程序更新最新的信息����,為應(yīng)用程序的進(jìn)一步分析觸發(fā)更多的惡意行為����。解決了普通觸發(fā)器僅觸發(fā)隨機(jī)的UI事件問(wèn)題��,能夠?yàn)閼?yīng)用程序的開(kāi)發(fā)者或使用者提供更多的行為分析信息��。
【IPC分類(lèi)】G06F11/36
【公開(kāi)號(hào)】CN105404586
【申請(qǐng)?zhí)枴緾N201510900209
【發(fā)明人】寧卓, 胡婷, 邰淳亮, 孫知信, 石偉
【申請(qǐng)人】南京郵電大學(xué)
【公開(kāi)日】2016年3月16日
【申請(qǐng)日】2015年12月9日