吳俊昌，羅圣美，巫 妍，程紹銀，蔣 凡

（1.中國科學技術大學信息安全測評中心，安徽合肥230027；2.中興通訊，江蘇南京210012）

1 引言

近年來，移動互聯(lián)網(wǎng)迅猛發(fā)展，對智能終端的需求也在與日劇增。根據(jù)Gartner提供的數(shù)據(jù)，智能終端數(shù)量在2011年第三季度已達1.49億［1］，并且在今年其總量已經(jīng)超過個人電腦的數(shù)量［2］。Google Android［3］已經(jīng)成為移動終端［4～6］最主流的操作系統(tǒng)，其市場占有率為52.5%［1］，已經(jīng)超過其他智能終端系統(tǒng)占有率的總和。

豐富的智能終端應用程序也是智能終端流行的一大原因。為了便于應用程序開發(fā)者發(fā)布應用程序和用戶下載安裝應用程序，出現(xiàn)了很多應用程序商店，其中最著名的兩個應用程序商店為Google的Android Play［7］和蘋果的App Store［8］。同時還存在諸多第三方應用程序商店，比如機鋒市場等。相比較蘋果應用程序的管理，Android的應用程序就顯得十分混亂，這也導致Android系統(tǒng)上的惡意應用程序頻發(fā)，讓用戶能夠放心安全地使用應用程序成為亟待解決的問題。

PiOS［9］使用程序切片的技術檢測iOS上應用程序中的隱私泄漏問題，該方法只針對隱私泄漏問題，沒有涉及其他惡意行為。SCanDroid［10］對Android應用程序的源碼和Android Manifest文件進行分析，生成應用程序的證書，以此來描述應用程序權限的使用情況，但是在一般情況下很難得到應用程序的源碼，對于只有二進制代碼的應用程序不適用。Enck W等人［11］實現(xiàn)了Dalvik字節(jié)碼反匯編工具ded，將字節(jié)碼轉換為源碼，通過現(xiàn)有的Java源碼分析工具，分析應用程序中存在的安全問題，該方法需要兩次代碼轉換，轉換過程會導致信息丟失，不利于應用程序的安全性分析。Droid－MOSS［12］計算應用程序模糊散列值，與官方的應用程序比較，檢測在第三方應用商店上被重新打包的應用程序，并沒有檢測應用程序是否為惡意的，對重新打包的應用程序沒有分析其是否增加了惡意行為。與上述方法相比，本文方法不需要應用程序的源碼，直接通過對應用程序字節(jié)碼指令進行模擬執(zhí)行，構建出函數(shù)的摘要，在函數(shù)摘要上使用污點傳播算法，分析出存在惡意行為的路徑。

針對使用Android系統(tǒng)提供的內(nèi)部機制所開發(fā)的惡意應用程序，本文提出一種基于程序分析的方法，對未知的應用程序進行惡意行為檢測，進而分析應用程序的安全性。通過對應用程序在不同粒度上的模擬執(zhí)行，對應用程序進行分析。在指令級別上的模擬執(zhí)行計算函數(shù)摘要，針對不同的函數(shù)設計原子函數(shù)摘要和組合函數(shù)摘要來滿足分析需要。在函數(shù)級別上的模擬執(zhí)行進行應用程序的惡意行為檢測，通過惡意行為檢測完成對應用程序的安全性評估。

2 Android系統(tǒng)機制的安全性分析

Android系統(tǒng)為了簡化應用程序的開發(fā)以及各種軟硬件資源和權限的管理，設計了很多的機制，例如廣播與監(jiān)聽機制、服務機制等等。從開發(fā)和管理的角度上說，這些機制的確使開發(fā)和管理變得簡單；但是，從用戶安全的角度上說，這些機制卻將使用應用程序的用戶暴露于極大的安全隱患之中。

2.1 廣播與監(jiān)聽機制

在Android系統(tǒng)中存在各種各樣的廣播，比如電池的使用狀態(tài)的改變、電話的接聽和短信的接收都會產(chǎn)生一個廣播，應用程序開發(fā)者可以監(jiān)聽這些廣播并做出相應的處理。應用程序在安裝時便會向Android系統(tǒng)注冊所使用的廣播監(jiān)聽器，Android系統(tǒng)接收到廣播時便通知注冊了該廣播的應用程序執(zhí)行相應的廣播監(jiān)聽器。

惡意應用開發(fā)者可以在開發(fā)的應用程序中注冊比較常用的廣播監(jiān)聽器，比如電話和短信的廣播，當監(jiān)聽到Android系統(tǒng)發(fā)送這類廣播時，就可以在廣播處理事件中做一些有害于用戶的行為，例如獲取用戶的通訊錄信息，并通過網(wǎng)絡發(fā)送出去。使用這種方法的應用程序的惡意行為比較隱蔽，只有在監(jiān)聽到特定廣播才會觸發(fā)，而此時已對用戶造成了損失。

2.2 服務機制

服務是不可見的，主要是在后臺運行。服務機制一般用于支持比較耗時或者長時間運行的操作。服務分為兩種：本地服務和遠程服務。本地服務一般用于應用程序內(nèi)部一些耗時的任務，比如查詢升級信息等，并不占用應用程序比如Activity［13］所屬線程，而是單開線程后臺執(zhí)行。遠程服務一般是用于Android系統(tǒng)內(nèi)部的應用程序之間的，可以被其他應用程序復用，比如天氣預報服務，其他應用程序不需要再寫這樣的服務，直接調(diào)用已有的即可。相比于本地服務，遠程服務更具危險性。

服務可以提供很多方式供惡意應用程序開發(fā)者開發(fā)惡意應用。例如，一個惡意應用程序在運行時并不需要任何與外界交互的權限，比如發(fā)送短信或訪問網(wǎng)絡的權限，而只要通過一個具有以上權限的服務，就可以將非法收集到的用戶隱私信息發(fā)送出去。

2.3 本地代碼執(zhí)行機制

在Android系統(tǒng)中主要存在三種本地代碼：shell命令、本地庫文件（.SO）以及字節(jié)碼文件（.JAR和.DEX）。Android系統(tǒng)為shell命令提供了exec接口；為將本地庫加載到當前應用程序內(nèi)存中提供了load和load Library兩個接口，本地庫文件可以使用NDK（Native Development Kit）［14］開發(fā)；為字節(jié)碼的使用提供了DexClassLoader［15］類來處理字節(jié)碼文件的執(zhí)行。

本地代碼的執(zhí)行具有極大的靈活性，且方式多樣。應用程序開發(fā)者可以在發(fā)布應用程序時，不將存在惡意代碼的文件放入安裝文件中，而是在用戶使用時再將這些代碼文件從網(wǎng)絡上下載，這加大了對應用程序進行檢測分析的難度。

3 方法設計

針對上述Android系統(tǒng)提供的機制存在的安全問題，本文給出了一種惡意行為的檢測方法。本方法不需要安裝應用程序，直接在PC上對應用程序的字節(jié)碼文件進行靜態(tài)分析，主要包括如下四個步驟：程序結構恢復、函數(shù)調(diào)用圖重構、函數(shù)摘要構建以及惡意行為檢測，如圖1所示。程序結構恢復是在內(nèi)存中對當前應用程序中類的結構的恢復，恢復的結構信息主要包括類的繼承關系、類中的屬性以及類中的方法等；函數(shù)調(diào)用圖重構是針對Android系統(tǒng)以消息為驅(qū)動方式以及使用面向?qū)ο蟮腏ava編程語言設計的，完成函數(shù)調(diào)用的唯一性確定以及控件消息處理事件的調(diào)用，重構出近似于函數(shù)運行時的調(diào)用圖；函數(shù)摘要構建是結合恢復的程序結構和重構的函數(shù)調(diào)用圖，對函數(shù)中字節(jié)碼指令進行模擬執(zhí)行，求解出函數(shù)的輸入與輸出之間的語義邏輯關系；惡意行為檢測通過在已計算出的函數(shù)摘要信息上使用靜態(tài)污點傳播算法，檢測函數(shù)調(diào)用路徑上的惡意行為。

Figure 1 Analysis detecting method圖1 分析檢測方法

Android應用程序主要使用Java語言開發(fā)。Java是一種面向?qū)ο蟮恼Z言，存在大量的類和對象。但是，與一般的Java程序相比，Android應用程序不存在主入口函數(shù)main，例如存在界面的Android應用程序的主入口函數(shù)一般是一個Activity組件的onCreate函數(shù)，該信息可以從Android Manifest.xml文件中獲取。Android Manifest.xml文件中定義了本應用程序需使用的Activity組件、Service組件、Receiver組件以及所需要的權限列表等。這些組件的啟動函數(shù)都可以作為分析的入口。

在Android系統(tǒng)中，應用程序的運行是以消息為驅(qū)動的。在對應用程序進行分析檢測的時候，對于應用程序分析過程中存在消息響應的控件，在該控件對象生成時，就對該控件的消息處理事件進行分析。因為大部分的事件是與用戶交互形成的，而這些控件對象初始化之后，就已經(jīng)具備了完成相應消息處理事件所必須的信息。

3.1 程序結構恢復

Android應用程序一般是用Java語言開發(fā)的，存在著大量的類和對象。在對函數(shù)進行分析的過程中，需要確定被調(diào)用函數(shù)以及屬性的歸屬，這些都需要程序結構的支撐。

結構的恢復需要依賴應用程序安裝包中的.DEX文件。對該文件進行反匯編，目前已有很多可以使用的Dalvik字節(jié)碼的反匯編工具，例如baksmali［16］、IDA Pro［17］等，本文使用功能強大的IDA Pro作為反匯編工具。不需人工參與，通過編寫自動化的python腳本，可以從反匯編的結果中獲取所有類的屬性列表、函數(shù)列表以及所有函數(shù)的字節(jié)碼信息，并在內(nèi)存中恢復這些程序結構。

類中的方法和屬性的恢復是通過對方法名和屬性名進行解析完成的。IDA Pro對方法名和屬性名反匯編出的命名是規(guī)則的。方法名一般格式為：包名＄類名＄內(nèi)部類名.函數(shù)名＠返回值及形參列表類型。返回值及形參列表的類型一般用一個字母表示一種類型，例如void用V表示。屬性名一般格式為：包名＄類名＄類部類名＿屬性名。根據(jù)這些命名規(guī)則，可以解析出方法和屬性的類名，再根據(jù)解析出的類名將這些方法和屬性劃分到各自原本的類中。

默認情況下，所有類的父類為Object類，而構建類的繼承關系，主要是構建類直接繼承過來的父類。直接繼承的父類需要通過分析特定的指令獲取，Dalvik字節(jié)碼中有兩個指令（INVOKE＿SUPER和INVOKE＿SUPER＿RANGE）指定調(diào)用父類中同名的函數(shù)，從而可以分析出該函數(shù)所在類的父類。Dalvik字節(jié)碼指令是通過INVOKE＿XXX指令進行函數(shù)調(diào)用的，可以根據(jù)這類指令信息構建出整個應用程序的函數(shù)調(diào)用圖。

3.2 函數(shù)調(diào)用圖重構

Android系統(tǒng)中存在組件的生命周期、消息的驅(qū)動以及類的繼承等，使得“程序結構恢復”階段構建函數(shù)時得出的函數(shù)調(diào)用圖不完整或存在錯誤，因此必須進行修復和重構。

Android應用程序由Activity、Service以及Receiver等組件組成，這些組件是Android應用程序所特有的，每個組件各有一個完整的生命周期，不同組件的生命周期差別很大，在整個生命周期使用的函數(shù)都是由系統(tǒng)進行調(diào)用的，它們在函數(shù)調(diào)用圖中是沒有前驅(qū)節(jié)點的，在系統(tǒng)實際運行中遵循一定的調(diào)用順序，該調(diào)用順序可以從Android應用程序開發(fā)文檔中獲取。以Activity［13］為例，如圖2a所示，一個Activity組件啟動時，調(diào)用該Activity的onCreate函數(shù)初始化一些Activity的基本數(shù)據(jù)；調(diào)用onStart后一個Activity即可顯示；on Resume和onPause分別是繼續(xù)和暫停當前Activity；onStop是停止當前Activity，此時Activity已不再顯示；最后使用onDestroy銷毀一個Activity。從Activity的生命周期可以分析出，Activity的函數(shù)執(zhí)行序列一般是onCreate、onStart、onPause、on Resume、onStop、on Destroy，如圖2b所示。所以可以重新構建出Activity生命周期在運行時的函數(shù)調(diào)用圖。

Figure 2 Reconstruction of function calls in Activity圖2 Activity中的函數(shù)調(diào)用重構

Android應用程序存在大量的控件，例如按鈕、輸入框等?？丶氖录幚砗瘮?shù)是由Android系統(tǒng)確定調(diào)用的，在對應用程序進行分析的過程中需要適當?shù)卣{(diào)用這些函數(shù)。例如，按鈕控件有個點擊事件，即onClick事件，當用戶點擊按鈕時才會觸發(fā)，而在靜態(tài)分析過程中不存在與用戶的交互，可以根據(jù)前述方法，將點擊事件處理函數(shù)在按鈕初始化。

3.3 函數(shù)摘要構建

函數(shù)摘要是對函數(shù)的一種抽象解釋。Android應用程序中存在類的繼承、接口的實現(xiàn)等面向?qū)ο缶幊烫卣鳎谶@些特征可以將函數(shù)的摘要分為兩類，即原子函數(shù)摘要和組合函數(shù)摘要。

定義1 原子函數(shù)摘要：所摘要的函數(shù)不存在子函數(shù)調(diào)用，或者雖然存在子函數(shù)調(diào)用，但這些子函數(shù)調(diào)用都是可以唯一確定的。

定義2 組合函數(shù)摘要：所摘要的函數(shù)存在子函數(shù)調(diào)用，且至少有一個子函數(shù)調(diào)用在該函數(shù)體內(nèi)不能唯一確定。

函數(shù)摘要構建是在指令級別上對函數(shù)體中的指令進行模擬執(zhí)行的過程。算法1是函數(shù)摘要構建的算法，語句5～8處理函數(shù)調(diào)用指令，從重構的函數(shù)調(diào)用圖call Grpah中獲取被調(diào)函數(shù)function信息，并在局部參數(shù)local Variables中查找該被調(diào)函數(shù)的實參，存放到實參列表arguments中，最后將實參列表arguments和被調(diào)函數(shù)function信息保存到函數(shù)摘要summary，即在函數(shù)摘要中構建一條函數(shù)調(diào)用信息（下稱函數(shù)調(diào)用點）；語句9～14處理函數(shù)間的調(diào)用關系，將被調(diào)函數(shù)對形參fun－Parameters的影響傳遞給主調(diào)函數(shù)中的實參arguments；語句15～16處理函數(shù)返回指令（包括拋出異常的指令），合并所有影響形參值的變量信息，將結果保存到形參中；語句17～19處理既不是函數(shù)返回指令又不是函數(shù)調(diào)用指令的指令，對這種指令根據(jù)Dalvik字節(jié)碼的語義進行模擬，并更新相應局部變量的狀態(tài)。例如，指令new－instance v6，〈t：Sms〉是新建一個Sms對象，將該對象放入v6中。在模擬執(zhí)行過程中，則會構建一個與Sms相對應的對象保存Sms的信息。

算法1 函數(shù)摘要構建算法

3.4 惡意行為檢測

Android應用程序沒有像Java應用程序存在一個統(tǒng)一的入口函數(shù)main，在對存在多個組件的Android應用程序進行分析時會帶來不便。為了解決這個問題，在對應用程序進行分析之前，對應用程序先構建一個虛擬的main函數(shù)，將每個組件按其生命周期構建函數(shù)的執(zhí)行序列，同一個組件共享同一個this對象。

惡意行為檢測是建立在已經(jīng)構建好的函數(shù)摘要基礎上的。從上述虛擬main函數(shù)開始，在計算的函數(shù)摘要上進行函數(shù)級別上的模擬執(zhí)行，在執(zhí)行過程中組合摘要中的占位函數(shù)需要結合已恢復的程序結構和函數(shù)調(diào)用時所傳入的this對象來確定。

在檢測過程中，需要用到源函數(shù)模式庫和危險函數(shù)模式庫，以及惡意行為模式庫，這些模式庫都是來源于人工分析的經(jīng)驗積累。源函數(shù)模式庫包含引入污染數(shù)據(jù)的函數(shù)，這可以是訪問手機中的隱私數(shù)據(jù)，比如用戶的通訊錄等，也可以是啟動手機的某個功能模塊，比如地理位置定位系統(tǒng)等。危險函數(shù)模式庫包含可以與外界交互的函數(shù)，例如訪問網(wǎng)絡、發(fā)送短信等。惡意行為模式庫包含源函數(shù)與危險函數(shù)相結合后所產(chǎn)生的危害行為模式，例如啟動地理位置定位系統(tǒng)與發(fā)送短信結合，則可能屬于遠程控制設備的行為。

檢測惡意行為的步驟主要如下：

（1）設置分析入口。廣播與監(jiān)聽機制和服務機制有特定的入口函數(shù)，可將其構建到虛擬main函數(shù)中。然而本地代碼執(zhí)行機制并沒有固定的入口函數(shù)，則根據(jù)已重構好的函數(shù)調(diào)用圖，在某個圖中如果存在本地調(diào)用特征的函數(shù)，則將這個函數(shù)調(diào)用的真實入口加入到虛擬main函數(shù)中。

（2）標記污染信息。從虛擬main函數(shù)開始，根據(jù)每個函數(shù)已構建的函數(shù)摘要，將函數(shù)調(diào)用點的函數(shù)信息與源函數(shù)模式庫匹配，標記出污染變量中的污染信息。

（3）污染信息傳播。將污染信息通過函數(shù)的實參傳入被調(diào)函數(shù)中，計算傳入信息對被調(diào)函數(shù)各個函數(shù)調(diào)用點的影響，依次遞歸進行。

（4）惡意行為匹配。在過程（3）中結合危險函數(shù)模式庫，若匹配到一個危險函數(shù)時，并且污染信息也傳播到這個危險函數(shù)，再根據(jù)惡意行為模式庫中的惡意行為信息進行匹配，如果匹配成功，則報告一條危險行為及其相關信息。

4 原型系統(tǒng)與實驗評估

根據(jù)上述方法，本文實現(xiàn)了一個原型系統(tǒng)。系統(tǒng)包含2.2萬行Java代碼和1 650行python代碼，可以直接對Android應用程序安裝包的字節(jié)碼進行靜態(tài)分析。主要包含三個模塊：預處理、核心分析引擎以及檢測結果，如圖3所示。

Figure 3 Detection prototype system of system mechanism’s malicious behavious圖3 系統(tǒng)機制的惡意行為檢測原型系統(tǒng)

預處理模塊將Android應用程序安裝包中的字節(jié)碼信息導入數(shù)據(jù)庫中?？焖龠^濾部分，通過分析應用程序安裝包中的Android Manifest.xml文件中的權限列表，快速篩除肯定不存在惡意行為的應用程序。由于不同應用程序的安裝包存在相同的字節(jié)碼文件，在將字節(jié)碼信息導入數(shù)據(jù)庫之前，首先計算DEX文件的MD5值，如果數(shù)據(jù)庫中不存在該MD5值的應用程序，才會將應用程序的字節(jié)碼通過IDA Pro進行反匯編，再導入到數(shù)據(jù)庫中。反匯編和導入數(shù)據(jù)庫功能使用腳本自動實現(xiàn)的，不需要人工參與。

核心分析引擎通過對導入數(shù)據(jù)庫中的字節(jié)碼信息進行分析，恢復出應用程序結構以及近似運行時的函數(shù)調(diào)用圖，并進一步構建出每一個函數(shù)的摘要信息，最后通過惡意行為檢測分析出應用程序的惡意行為。

檢測結果模塊根據(jù)惡意行為檢測獲取的信息，剔除惡意行為中存在與用戶交互的惡意行為，將沒有與用戶交互的惡意行為作為最終的檢測結果（即Android系統(tǒng)機制相關的惡意行為）輸出。

我們使用了文獻［18］中使用的惡意應用程序數(shù)據(jù)庫，含有1 260個惡意應用程序樣本。我們將這些惡意程序樣本導入數(shù)據(jù)庫，由于樣本中存在DEX文件的MD5值相同，最終導入數(shù)據(jù)庫的惡意樣本數(shù)為866個。使用上述原型系統(tǒng)對數(shù)據(jù)庫中的樣本進行分析，其中有650個樣本在使用系統(tǒng)機制時添加惡意行為；而有216個樣本在使用系統(tǒng)機制時沒有添加惡意行為，但是不排除在非系統(tǒng)機制代碼部分添加了惡意行為，但是本文不關注這個方面，分析結果如圖4所示。

Figure 4 Detection results圖4 檢測結果在應用程序中的分布

在這650個樣本中，總共檢測出4 313條惡意行為，廣播與監(jiān)聽機制中出現(xiàn)惡意行為的個數(shù)為380，占9%；本地代碼執(zhí)行機制中出現(xiàn)惡意行為的個數(shù)為464，占11%；服務機制中出現(xiàn)惡意行為的個數(shù)為3 469，占80%，分布情況如圖5所示。不難看出，在服務機制出現(xiàn)的惡意行為最多，這也與服務機制的特點有關。在Android系統(tǒng)注冊一個服務，不僅當前應用程序可以使用這個服務，其他應用程序也可以使用，這樣可以實現(xiàn)兩個應用程序聯(lián)合完成惡意行為，一個應用程序注冊服務，另一個應用程序使用已注冊的服務，這樣協(xié)作的惡意行為更具隱蔽性，更難被檢測。

Figure 5 Malicious behavious detected圖5 各系統(tǒng)機制中出現(xiàn)的惡意行為

例如，應用程序0d90ccfae4bb1ad17dd55768f－380406ef3b0eced.apk（歡樂斗地主）檢測出一條隱私竊取的惡意行為。通過人工確認，該應用程序中確實存在這種行為。函數(shù)調(diào)用過程為：

MainService＄SMSReceiver.onReceive＠VLL

→MainService.access＄7＠VLLL

→MainService.sendSMS＠VLL

→Sms Manager.send Text Message＠VLLLLL

在這個函數(shù)調(diào)用過程中使用函數(shù)Sms Message.get Display Originating Address＠L讀取游戲期間發(fā)送短信的源地址，即發(fā)送該短信的用戶手機號碼，最后使用Sms Manager.send Text Message＠VLLLLL將該信息發(fā)送出去。

5 結束語

本文從指令級和函數(shù)級兩個不同粒度上對Android應用程序進行模擬執(zhí)行。在指令級上模擬構建函數(shù)摘要，在函數(shù)摘要上模擬并結合恢復的程序結構和先驗的特殊機制處理，完成對應用程序危險機制中的惡意行為檢測?；谏鲜龇椒▽崿F(xiàn)了一個原型系統(tǒng)，并通過檢測惡意樣本，進一步驗證了Android提供這些便于開發(fā)的機制，在不當使用時便成為危害用戶的危險機制。我們將進一步研究如何提高這些機制的安全性。

［1］ Gartner says worldwide smartphone sales soared in fourth quarter of 2011 With 47 percent growth［EB/OL］.［2012－02－15］http：//www.gartner.com/it/page.jsp？id＝1924314.

［2］ IDC.Android Rises，Symbian 3 and Windows phone 7 launch

as worldwide smartphone shipments increase 87.2%year over year［EB/OL］.［2011－02－07］http：//www.idc.com/about/viewpressrelease.jsp？containerId＝pr US22689111.

［3］ Google android［EB/OL］.［2012－02－15］.http：//www.android.com/.

［4］ Bell D.Samsung Galaxy Tab Android tablet goes official［EB/OL］.［2010－09－02］.http：//news.cnet.com/8301－17938＿105－20015395－1.html.

［5］ GIZMODO［EB/OL］.［2010－06－21］http：//gizmodo.com/5568458/toshiba－ac100－netbook－runs－androidand－h(huán)as－massive－seven－days－of－standbybattery－life.

［6］ Notion Ink.Adam Tablet［EB/OL］.［2011－02－07］.http：//www.notionink.in/.

［7］ Google Play［EB/OL］.［2012－03－14］.https：//play.google.com/store.

［8］ App Store［EB/OL］.［2012－03－14］.http：//itunes.apple.com/gb/app/apple－store/id375380948？mt＝8.

［9］ Egele M，Kruegel C，Kirda E，et al.PiOS：Detecting privacy leaks in iOS applications［C］∥Proc of the 18th Annual Network and Distributed System Security Symposium，NDSS’11，2011：29－33.

［10］ Fuchs A P，Chaudhuri A，F(xiàn)oster J S.SCanDroid：Automated security certification of Android applications［EB/OL］.［2012－03－14］.http：//www.cs.umd.edu/～avik/papers/scandroidascaa.pdf.

［11］ Enck W，Octeau D，McDaniel P，et al.A study of Android application security［C］∥Proc of the 20th USENIX Security Symposium，2011：21.

［12］ Zhou W，Zhou Y，Jiang X，et al.Droid MOSS：Detecting repackaged smartphone applications in third－party Android marketplaces［C］∥Proc of the 2nd ACM Conference on Data and Application Security and Privacy，2012：317－326.

［13］ Activity［EB/OL］.［2011－02－07］.http：//developer.android.com/intl/zh－CN/guide/components/activities.html.

［14］ Android NDK［EB/OL］.［2011－02－15］.http：//developer.android.com/tools/sdk/ndk/index.html.

［15］ DexClass Loader［EB/OL］.［2011－02－15］.http：//developer.android.com/reference/dalvik/system/Dex Class Loader.html.

［16］ Baksmali［EB/OL］.［2011－02－15］.http：//code.google.com/p/smali/.

［17］ IDA Pro［EB/OL］.［2011－02－15］.http：//www.hex－rays.com/products/ida/index.shtml.

［18］ Zhou Y，Jiang X.Dissecting android malware：Characterization and evolution［C］∥Proc of the 33rd IEEE Symposium on Security and Privacy（2012），2012：95－109.

［19］ Android application development documentation［EB/OL］.［2011－02－07］.http：//developer.android.com/intl/zh－CN/develop/index.html.