论文总字数：24022字

摘 要

近些年来，随着移动设备的快速发展，安卓系统及其产品凭借其优势占据了大量市场，但是攻击者利用安卓平台的开放特性，重新打包并发布安卓应用以满足其非法目的，这给安卓系统以及安卓用户带来巨大的威胁，使用一种行之有效的方法来检测重打包应用是很有必要的。尽管目前已经有一些针对此方面的研究，相比静态检测在自动检测以及面对加密或隐藏处理过后的重打包应用的不足，动态检测更灵活、更高效也更准确。

本文旨在研究如何有效地动态提取应用的布局，并针对提取到的布局进行相似性比较，通过多次实验对提高动态提取布局的准确性和效率，以及提升布局相似度比较运行时速率和结果的准确性进行探究。本篇论文主要介绍了以下内容和工作：

（1）重打包出现的原因、相关技术、发展现状，以及静态和动态检测重打包的相关技术和研究现状；

（2）对三个数据集中相似应用对、不相似应用对以及重打包应用对的运行时布局的动态自动化提取；

（3）对提取到的布局集合通过一定的预处理后，两两成对进行比较，观察输出的相似度数值，并与已知结果进行对比，判断其准确性以及可用性。

关键词：重打包，动态检测，安卓安全，恶意软件检测。

ABSTRACT

In recent years, with the rapid development of mobile devices, Android system and its products have occupied a large market by virtue of its advantages. But attackers use the open features of Android platform to repackage and distribute Android applications to meet their illegal purposes, which poses a huge threat to Android system and Android users. It is very important to use an effective method to detect repackaged applications.Although there have been some studies on this aspect, dynamic detection is more flexible, efficient and accurate than static detection in automatic detection and in the face of the shortcomings of re-packaging applications after encryption or hiding processing.

The purpose of this dissertation is to study how to extract the application layout effectively and dynamically, and to compare the similarity of the extracted layout,and to explore how to improve the accuracy and efficiency of the dynamic extraction layout, and how to improve the running speed and the accuracy of the results of the layout similarity comparison. This design mainly introduces the following contents and work:

(1) Reasons for the occurrence of repackaging, related technologies, development status, as well as static and dynamic detection of repackaging technology and research status;

(2)Dynamic automatic extraction of runtime layout of similar application pairs, dissimilar application pairs and repackaged application pairs in three datasets;

(3) After some pretreatment, the extracted layout sets are compared in pairs, and the output similarity values are observed and compared with the known results to determine the accuracy and availability.

Keywords: repackaging, dynamic detection, Android security, malware detection.

目 录

摘 要 I

ABSTRACT II

第一章 绪论 1

1.1研究背景 1

1.2国内外相关研究现状 1

1.3论文研究的主要内容 4

1.4论文的组织结构 4

第二章 相关技术基础和理论研究 5

2.1安卓应用程序和重打包应用程序 5

2.2应用程序布局 6

2.3布局的相似度比较 6

第三章 方案设计和流程 8

3.1应用布局的动态提取和存储 8

3.1.1布局动态提取的方案设计 8

3.1.2 Uiautomator2库 8

3.1.3应用布局的动态提取 10

3.1.4应用布局的存储 12

3.2应用布局的预处理 14

3.2.1应用布局预处理的方案设计 14

3.2.2被提取布局的应用简介 15

3.2.3提取特征元素 16

3.2.4样本预处理 17

3.2.5预处理结果分析 19

3.3应用布局的相似度比较 20

3.3.1应用布局相似度比较的方案设计 20

3.3.2文本文件的相似度 20

3.3.3实验结果的显示内容 21

第四章 实验结果分析 23

4.1数据集1的实验结果分析 23

4.2数据集2的实验结果分析 24

4.3数据集3的实验结果分析 25

第五章 结论与展望 27

5.1结论 27

5.2下一步展望 28

参考文献 29

致 谢 31

第一章 绪论

1.1研究背景

近年来，移动互联网得到了飞速发展，随着3G和4G网络的覆盖全面升级，我国的移动互联网行业进入了一个崭新的时代。由于智能终端设备在普通民众中得到了普及，人们的日常生活也发生了翻天覆地的变化，智能手机渐渐的占据了人们的生活重心，而在智能手机蓬勃发展的势头之下，安卓系统及其产品以其强大的功能和良好的性能迅速占据了大量市场，在智能手机市场的占有率排名第一。同时，随着安卓移动设备的快速发展，安卓应用程序的数量呈现爆炸性的增长趋势，安卓应用商店里开始出现各种各样，层出不穷的应用程序。根据维基相关资料显示，截止到2018年2月时，Google Play市场上已经有超过360万个应用程序可供使用，但如此之多的应用程序在丰富人们的生活之余，也带来一系列安全问题。

由于安卓是一个开放性的平台，这导致了应用程序开发者可以随意开发安卓平台上的应用程序，并且在不经过身份验证的情况下将其发布，因此恶意的应用程序开发者设计发布恶意应用到安卓市场进行传播。据资料显示，5%到13%的应用程序是安卓市场中正版软件的抄袭版本，并且1260个恶意软件样本中有1083个是具有包含恶意的合法应用程序的重打包版本。攻击者为满足非法目的对应用程序进行重打包并发布，这给安卓系统和用户带来了巨大的威胁。

1.2国内外相关研究现状

目前，除了来自平台供应商（例如Google和Apple）的官方市场之外，还有许多第三方市场托管者数千个应用。2012年，Zhou Wu等人[1]对六个流行的基于安卓系统的第三方市场进行了系统研究，发现了一种常见的“野外”做法，即重新打包合法应用程序并通过第三方市场发布重新打包的应用程序。他们实现了一个名为DroidMOSS的应用程序相似性度量系统，该系统应用模糊散列技术来进行本地化和检测应用程序重打包行为的变化。结果表明，在这些研究过的市场上托管的应用程序中有5％到13％被重新打包，进一步的人工调查表明，这些重新包装的应用程序主要用于替换现有的应用内广告或嵌入新广告以“窃取”广告收入。他们还确定了一些在重新打包的应用程序中植入了后门或恶意负载的案例。因此需要严格的审查程序，才能更好地监管第三方智能手机应用程序市场。

剩余内容已隐藏，请支付后下载全文，论文总字数：24022字