[00003388]基于内核的安卓程序实时行为分析方法及系统
技术详细介绍
本发明公开了基于内核的安卓程序实时行为分析方法以及能够实现该方法的行为分析系统,其中方法包括系统调用监控初始化步骤;内核系统调用拦截监控与解析步骤;基于解析结果生成信息日志步骤;基于信息日志的应用程序行为重构步骤。本发明通过在内核中拦截并解析系统调用,重构出应用程序的文件,网络以及安卓特有的进程间同行等行为,整个过程在内核中进行实时监控,保证行为获取的准确性,同时内核拥有最高的权限,恶意软件难以进行规避。本方法不修改安卓系统的任何代码,性能损耗低,实践证明本方法所产生的结果能作为取证的关键证据,以及提供恶意软件检测的依据。
