1 引言

1.1 目的

本文通过分析Android系统恶意代码样本研究运行机理，并找到有效地检测Android系统恶意代码方法。 首先，根据恶意代码的运行机理与实现特点，研究了在Android系统恶意代码检测中的关键技术，综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本。

1.2 背景

Android系统于2007年在美国推出后， Android凭借其良好的用户体验，低廉的成本和较高的开放性吸引着越来越多的终端厂商采用，根据Gartner等国际研究机构的报告，Android在2010年第3季度全球智能手机市场的份额已达25.5%，而在去年同期Android市场份额只有3.5%。

Android平台具有五大优势特色

（一）开放性

在优势方面，Android平台首先就是其开放性，开发的平台允许任何移动终端厂商加入到Android联盟中来。显著的开放性可以使其拥有更多的开发者，随着用户和应用的日益丰富，一个崭新的平台也将很快走向成熟。 开放性对于Android的发展而言，有利于积累人气，这里的人气包括消费者和厂商，而对于消费者来讲，最大的受益正是丰富的软件资源。开放的平台也会带来更大竞争，如此一来，消费者将可以用更低的价位购得心仪的手机。

（二）挣脱运营商的束缚

在过去很长的一段时间，特别是在欧美地区，手机应用往往受到运营商制约，使用什么功能接入什么网络，几乎都受到运营商的控制。自从iPhone上市，用户可以更加方便地连接网络，运营商的制约减少。随着EDGE、HSDPA这些2G至3G移动网络的逐步过渡和提升，手机随意接入网络已不是运营商口中的笑谈。

（三）丰富的硬件选择

这一点还是与Android平台的开放性相关，由于Android的开放性，众多的厂商会推出千奇百怪，功能特色各具的多种产品。功能上的差异和特色，却不会影响到数据同步、甚至软件的兼容。好比你从诺基亚Symbian风格手机一下改用苹果iPhone，同时还可将Symbian中优秀的软件带到iPhone上使用、联系人等资料更是可以方便地转移。 

（四）不受任何限制的开发商

　  Android平台提供给第三方开发商一个十分宽泛、自由的环境。因此不会受到各种条条框框的阻挠，可想而知，会有多少新颖别致的软件会诞生。但也有其两面性，血腥、暴力、情色方面的程序和游戏如何控制正是留给Android难题之一。 

随着Android市场份额的急剧扩大，针对Android智能手机的恶意程序数量正以惊人的速率增长，使得用户面临非常严峻的安全性问题。 针对Android的安全性问题， 开发出恶意代码检测程序。

3 智能手机恶意代码与计算机病毒的区别

3.1  计算机病毒

在1994年中华人民共和国国务院颁布的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒是一个程序，一段可执行代码。就像生物病毒一样，计算机病毒有独特的复制能力，但又有别于生物病毒，因为它不是天然存在的，而是某些人利用计算机软、硬件所固有的安全上的缺陷有目的地编制而成的具有特殊功能的程序。计算机病毒可以迅速的传播，又常常难以根除。它们能把自身附着在各种类型的文件上，当染毒文件被复制或从一个用户传送到另一个用户时，它们就随同该文件一起蔓延开来。除复制能力外，某些计算机病毒还有其他一些共同特性：一个被感染的程序是能够传播病毒的载体。当你看到病毒似乎仅表现在文字和图像上时，它们可能也已毁坏了文件、格式化了你的硬盘或引发了其他类型的灾害。若病毒并不寄生于一个感染程序，它仍然能通过占据存储空间给你带来麻烦，并降低计算机的性能。总之，计算机病毒不仅能够破坏计算机系统，而且还能够传播、感染到其他其他系统，它能够影响计算机软件、硬件的正常运行，破坏数据的正确性与完整，造成无法估量的损失。

从1986年出现第一个感染PC的计算机病毒开始，此后，各种病毒一直是威胁计算机系统安全的重大隐患。尽管反毒技术的推陈更新，但似乎永远也更不上病毒的繁衍滋生的速度。计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者纯粹为了寻开心而制造出来的，有的则是软件公司为保护自己的产品不被非法复制而制造的报复性惩罚，因为他们发现用病毒比用加密对付非法复制更有效而且更具有威胁，这种情况助长了病毒的传播。还有一种情况就是蓄意破坏，它分为个人行为和政府行为两种。个人行为多为雇员对雇主的抱负行为，而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或者实验而设计的“有用”程序，由于某种原因失去控制扩散出实验室或研究所，从而成为危害四方的计算机病毒。

3.2恶意代码

恶意代码（Unwanted Code）是指没有作用却会带来危险的代码，这些软件也可是广告软件（adware）、间谍软件（spyware）、恶意共享软件（malicious shareware）。是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。最近，根据AVL移动安全团队统计2014年移动恶意代码数据时发现：本年度Android恶意代码总量已增至123万。

以手机为代表的智能终端大发展，无意间也促进了恶意代码的发展，恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。

Android恶意代码的主要行为依然是恶意扣费。由于短信拦截木马的爆发，导致隐私窃取类恶意代码数量增长明显。并且恶意代码正在利用各种技术手段躲避手机安全软件的查杀。

大量广告应用被植入恶意代码，主要用于窃取用户重要隐私信息、推送其他恶意应用等，严重侵犯用户利益。

　恶意代码紧盯手机用户的网银支付账号密码，手机支付类病毒越来越多。网银信息泄露会给用户造成无法估量的经济损失。攻击者通过伪基站传播钓鱼网站，诱导用户安装短信拦截马。该木马主要用于窃取用户银行卡信息，最终实现资金窃取。

一些恶意应用在安装后会在后台不断推送恶意应用，消耗手机流量、非法赚取推广费用甚至发送扣费短信，会给用户造成严重经济损失。

3.3 病毒与恶意代码的区别 

恶意代码是在未经授权认证的情况下破坏系统完整性、窃取系统中未公开秘密信 息的程序或代码。手机恶意代码与计算机相同， 是指针对手机、平板等手持设备的恶意代码。

手机恶意代码可以简单地划分为复制型恶 意代码和非复制型恶意代码。其中复制型恶意 代码主要包括病毒（Virus）、蠕虫（Worm）， 非复制型恶意代码主要包括特洛伊木马后门 程序（Tro jan H or se）、流氓软件（Ro gu e Software）、恶意移动代码（Malicious Mobile Code，MMC）以及Rootkit程序等。

手机病毒是一种具有传染性、破坏性的手机程序，可用杀毒软件进行清除与查杀，也可以手动卸载。其可利用发送短信、彩信，电子邮件，浏览网站，下载铃声，蓝牙等方式进行传播，会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短（彩）信等进行恶意扣费，甚至会损毁 SIM卡、芯片等硬件，导致使用者无法正常使用手机。