南开大学硕士论文：Android病毒行为分析工具设计与实现

随着移动互联网的快速发展，Android操作系统凭借其开源特性在智能手机市场取得了巨大成功，但这也带来了安全隐患。本文由南开大学研究生王伟撰写，针对Android手机病毒行为的自动分析进行了深入研究。作者首先概述了当前Android手机安全形势，强调了由于Android的开放性，病毒程序可能造成的隐私泄露和系统破坏问题。相比于传统计算机病毒检测，静态码分析方法在应对快速变化的手机病毒上显得力不从心。 论文的核心内容包括四个方面： 1. **Android安全现状与传统检测方法**：作者详细介绍了Android系统中的安全挑战，并探讨了现有的检测技术在识别病毒程序时的局限性，特别是对于动态行为分析的不足。 2. **ARMLinux系统调用与LKM模块**：为了克服传统方法的局限，论文利用Linux可加载内核模块（LKM）技术，扩展了Android内核的功能。通过在内核空间中动态搜索系统调用表地址，作者修改系统调用表，实现了对系统调用函数的钩子（hook），以监控和记录病毒程序的活动。 3. **Android病毒行为自动分析工具设计**：利用Android SDK提供的模拟器功能，结合LKM模块，作者设计了一款病毒行为分析工具。该工具将Android模拟器作为沙盒环境，隔离病毒程序，记录其系统调用日志，捕捉恶意行为。 4. **系统调用日志记录与验证**：在ARMLinux内核源码基础上，作者采用了hook技术，实现了对301个系统调用的精确记录。为了确保工具的有效性，作者编写了测试样本，如读写用户文件、发送通讯录等，结果显示该工具能准确识别恶意行为，为Android病毒行为分析提供了强有力的数据支持。 关键词：Android病毒行为分析、Linux可加载内核模块(LKM)、系统调用。这篇硕士论文不仅提升了对Android手机安全的认识，还提供了一种实用的工具和技术，有助于提高Android设备的安全防护能力。