劉井強(qiáng)，李斌，陳立章，陳彬

（哈爾濱工業(yè)大學(xué)（威海）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 威海264209）

基于Android系統(tǒng)免Root主防方法的研究

劉井強(qiáng)，李斌，陳立章，陳彬

（哈爾濱工業(yè)大學(xué)（威海）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 威海264209）

為解決Android手機(jī)獲取Root權(quán)限系統(tǒng)安全性的降低，非Root授權(quán)下Android手機(jī)安全應(yīng)用防護(hù)效果不理想的一系列問(wèn)題，研究了ART運(yùn)行時(shí)工作原理、Java反射機(jī)制和AOP原理，設(shè)計(jì)驗(yàn)證了一套免Root主動(dòng)防御機(jī)制，避免了傳統(tǒng)防護(hù)應(yīng)用在系統(tǒng)內(nèi)核層Hook系統(tǒng)關(guān)鍵函數(shù)需要Root授權(quán)帶來(lái)的安全問(wèn)題以及在應(yīng)用層調(diào)用API效果不理想的現(xiàn)狀，實(shí)現(xiàn)了對(duì)手機(jī)應(yīng)用的敏感行為攔截，能夠達(dá)到增強(qiáng)Android手機(jī)防護(hù)的效果。

Android系統(tǒng)；免Root主防；AOP；Hook；行為攔截；Dalvik

1　引言

Android是Google推出的以Linux內(nèi)核為基礎(chǔ)的開(kāi)源移動(dòng)操作系統(tǒng)，采用4層分層架構(gòu)，從上層到底層依次為應(yīng)用層、應(yīng)用框架層、Android運(yùn)行時(shí)和庫(kù)文件層、Linux內(nèi)核層，Android系統(tǒng)層次架構(gòu)如圖1所示。

近幾年智能手機(jī)的普及暴露出一系列移動(dòng)平臺(tái)安全問(wèn)題，尤其是Android平臺(tái)惡意應(yīng)用泄露隱私的現(xiàn)象更是屢見(jiàn)不鮮[1]，Android平臺(tái)敏感行為檢測(cè)已經(jīng)成為安全研究的熱點(diǎn)[2]。入侵檢測(cè)等被動(dòng)防御技術(shù)不能在系統(tǒng)的脆弱性方面做出預(yù)判斷，而主動(dòng)防御技術(shù)能夠克服這一缺點(diǎn)，通過(guò)分析敏感操作預(yù)測(cè)攻擊角度，做出主動(dòng)防御策略響應(yīng)[3]。通過(guò)在Linux內(nèi)核層對(duì)服務(wù)和進(jìn)程進(jìn)行注入，Android安全應(yīng)用從惡意代碼定義出發(fā)，Hook系統(tǒng)關(guān)鍵函數(shù)調(diào)用，能夠?qū)Τ绦驉阂庑袨樽龀雠袛?，但前提是取得Root授權(quán)。鑒于開(kāi)放Root授權(quán)后會(huì)降低手機(jī)系統(tǒng)安全性，手機(jī)生產(chǎn)廠商反對(duì)Root授權(quán)。安全應(yīng)用廠商以漏洞利用方式獲取Root授權(quán)，但漏洞生命周期有限，使手機(jī)獲取Root授權(quán)難度加大。多數(shù)Android惡意應(yīng)用在免Root授權(quán)情況下仍可正常運(yùn)行，如廣告推廣、短信推送、隱私竊取[4]，但在相同條件下，Android安全應(yīng)用不能達(dá)到有效的手機(jī)防護(hù)效果[5]。

一些研究者對(duì)Android系統(tǒng)的安全防護(hù)做出如下嘗試。Sanz等[6]和Felt等[7]以Android應(yīng)用的權(quán)限聲明為依據(jù)，判斷軟件是否存在惡意行為，這種方式僅從聲明某項(xiàng)敏感權(quán)限的角度出發(fā)，對(duì)軟件是否存在惡意行為做出判斷，存在不準(zhǔn)確性的缺點(diǎn)。Androguard[8]作為流行的Android應(yīng)用安全分析工具，對(duì)Android相似性應(yīng)用采用歸一化壓 縮 距 離 （ NCD,Normalized compression distance）[9]方法，結(jié)合函數(shù)熵等方法，形式化描述函數(shù)特征，僅通過(guò)比較應(yīng)用的相似性，不能從應(yīng)用自身行為出發(fā)做出有效判斷。語(yǔ)義分析和特征碼分析法[10]從被動(dòng)防御角度出發(fā)，判斷軟件是否存在惡意行為。在代碼的語(yǔ)義分析方面，對(duì)于PC端應(yīng)用的語(yǔ)義檢測(cè)，已經(jīng)做了一些理論研究[11,12]，有利于從該角度出發(fā)進(jìn)行病毒變種檢測(cè)分析；在特征碼分析方面，移動(dòng)端的防護(hù)研究在實(shí)踐方面取得了一定的進(jìn)展，Desnos[13]從應(yīng)用程序的敏感代碼特征出發(fā)在相似性上做出比較，是一種被動(dòng)防御的手段，存在軟件防護(hù)滯后性的缺點(diǎn)。

本文利用反射機(jī)制和面向切面編程（AOP，aspect oriented programming）原理，基于安卓運(yùn)行時(shí)（ART，Android runtime），將Java層定義的方法修改為Native層定義的方法，使被修改后的方法調(diào)用由Java層轉(zhuǎn)為Native層，在Native層改變?cè)谐绦虼a的執(zhí)行邏輯，可以在免Root授權(quán)情況下動(dòng)態(tài)劫持和判斷程序敏感行為。

圖1　Android系統(tǒng)架構(gòu)

2　普通手機(jī)安全應(yīng)用隱患分析

2.1主動(dòng)防御角度的安全應(yīng)用隱患分析

從主動(dòng)防御角度出發(fā)，普通手機(jī)安全應(yīng)用防護(hù)隱患主要存在以下兩個(gè)層面。

1)基于Linux內(nèi)核層的安全防護(hù)。以進(jìn)程注入方式Hook系統(tǒng)關(guān)鍵函數(shù)調(diào)用，需要Root授權(quán)，因此會(huì)降低系統(tǒng)安全性，如惡意程序在手機(jī)Root授權(quán)后可以靜默安裝其他程序[14]。

2)基于應(yīng)用層的安全防護(hù)。通過(guò)Android系統(tǒng)頂層框架的應(yīng)用程序編程接口（API，application programming interface），為開(kāi)發(fā)者提供的封裝類庫(kù)在功能上已經(jīng)被事先定義。如觸發(fā)短信發(fā)送到短信接收前，該時(shí)間段內(nèi)未提供可操作的API來(lái)檢測(cè)短信的狀態(tài)。

2.2被動(dòng)防御角度的安全應(yīng)用隱患分析

當(dāng)一種木馬或病毒開(kāi)始在網(wǎng)絡(luò)中傳播被發(fā)現(xiàn)后，第三方安全廠商（如360、騰訊等）會(huì)對(duì)帶有該木馬或病毒的惡意軟件進(jìn)行行為分析，找出惡意軟件行為特征碼，形成自己的軟件安全病毒庫(kù)。手機(jī)安全防護(hù)應(yīng)用根據(jù)病毒庫(kù)進(jìn)行特征碼匹配，判斷軟件是否存在安全隱患。被動(dòng)防御的缺點(diǎn)是只有當(dāng)用戶的利益受到損失后，才能發(fā)現(xiàn)惡意軟件的危害，在安全應(yīng)用防護(hù)方面存在滯后性，防御效率較低[15]。

2.3手機(jī)生產(chǎn)廠商和第三方安全廠商的配合問(wèn)題

隨著手機(jī)隱患受到大家的廣泛關(guān)注，手機(jī)生產(chǎn)廠商開(kāi)始陸續(xù)定制自己的安全防護(hù)功能，該功能是一種ROM內(nèi)置的防護(hù)措施[16]，可以深入系統(tǒng)底層對(duì)手機(jī)系統(tǒng)進(jìn)行防護(hù)，不需要取得Root授權(quán)，能夠?qū)κ謾C(jī)的敏感行為進(jìn)行攔截，但手機(jī)生產(chǎn)廠商并沒(méi)有第三方安全廠商在安全防護(hù)方面的技術(shù)優(yōu)勢(shì)。同時(shí)，手機(jī)生產(chǎn)廠商沒(méi)有為第三方安全廠商提供深入底層的防護(hù)接口。兩方廠商配合不當(dāng)，最終導(dǎo)致用戶的手機(jī)防護(hù)效果不能最大化。

3　基于普通手機(jī)安全應(yīng)用的改進(jìn)

3.1改進(jìn)原理介紹

Java VM在虛擬棧上運(yùn)行，執(zhí)行.class文件，Dalvik VM在寄存器上運(yùn)行，執(zhí)行.class文件經(jīng)dex工具處理后的.dex文件。基于ART運(yùn)行時(shí)，調(diào)用libdvm.so中的方法，將Dalvik VM原有的執(zhí)行流程和處理方法進(jìn)行修改，初始化原Dalvik VM的同時(shí)，執(zhí)行自定義方法，將Java層方法修改為Native層方法，為應(yīng)用層調(diào)用Native層方法提供自定義API支持，Java VM、Dalvik VM和ART運(yùn)行時(shí)三者關(guān)系如圖2所示。

在應(yīng)用層調(diào)用JNI的Native方法，如果該方法沒(méi)有被顯示聲明，程序會(huì)從lib庫(kù)中自動(dòng)加載.so文件，在該文件中找到并注冊(cè)JNI的Native方法?；贏RT運(yùn)行時(shí)，改變?cè)袑?duì)象方法在Dalvik虛擬機(jī)的定義，并為應(yīng)用層提供修改后的API，通過(guò)JNI回調(diào)應(yīng)用層的統(tǒng)一處理方法。在應(yīng)用層，主要應(yīng)用Invoke反射機(jī)制，基于AOP原理在API統(tǒng)一處理方法中調(diào)用并重寫(xiě)before、after函數(shù)，形成加固模塊，Dalvik VM的啟動(dòng)時(shí)序如圖3所示。

圖2　Java VM、Dalvik VM和ARTVM的關(guān)系

圖3　Dalvik VM啟動(dòng)時(shí)序

解壓待加固的應(yīng)用程序安裝包，其主要組成如表1所示。

表1　APK解壓包主要文件組成

在清單文件中修改普通應(yīng)用程序的Application入口為加固程序入口，在Application中全局初始化應(yīng)用加固模型，添加所有其他類和權(quán)限聲明，合并資源文件，將APK重打包并重簽名，生成新的加固安裝包，應(yīng)用加固模型如圖4所示。

3.2改進(jìn)模型實(shí)現(xiàn)

1)加固應(yīng)用執(zhí)行流程

在用戶啟動(dòng)加固應(yīng)用時(shí)，Zygote進(jìn)程以Root身份創(chuàng)建并fork自身，然后加載Android運(yùn)行時(shí)環(huán)境（虛擬機(jī)、類庫(kù)、動(dòng)態(tài)庫(kù)），切換為應(yīng)用相應(yīng)的用戶身份，加載應(yīng)用包并運(yùn)行應(yīng)用。安裝加固程序包，程序加載加固模塊，預(yù)定義Hook請(qǐng)求，加載并初始化系統(tǒng)服務(wù)，當(dāng)程序向系統(tǒng)服務(wù)請(qǐng)求預(yù)定義的關(guān)鍵函數(shù)時(shí)，加固模塊攔截該請(qǐng)求并進(jìn)行敏感行為審核。只有審核通過(guò)后，才能繼續(xù)請(qǐng)求調(diào)用系統(tǒng)服務(wù)，返回處理結(jié)果；否則，屏蔽該請(qǐng)求，執(zhí)行加固過(guò)程如圖5所示。加固模塊執(zhí)行在應(yīng)用相應(yīng)的用戶身份下，在Android運(yùn)行時(shí)層調(diào)用libdvm.so庫(kù)中的方法反射得到Native層的方法，沒(méi)有在內(nèi)核層Hook系統(tǒng)的函數(shù)調(diào)用或者注入服務(wù)進(jìn)程，也沒(méi)有在Native層執(zhí)行需要Root授權(quán)的操作，在攔截函數(shù)調(diào)用時(shí)可以免Root授權(quán)。

2)Java層調(diào)用Native層方法

通過(guò)查找待Hook類的方法定義的類名、方法名、參數(shù)信息，依次調(diào)用Class.forName()、Class.getDeclaredMethod()、 Field.getIField()、Constructor.getParameterTypes()方法，反射得到待Hook類的對(duì)象、方法、函數(shù)偏移量和待Hook方法的參數(shù)信息。Java層加載.so文件，將待Hook類的對(duì)象、方法、函數(shù)偏移量和Hook方法的參數(shù)信息作為參數(shù)，傳入 Native層的自定義hookMethodNative()方法。Java層調(diào)用Native層方法的執(zhí)行流程如圖6所示。

圖4　應(yīng)用加固模型

圖5　加固應(yīng)用執(zhí)行流程

圖6　Java層調(diào)用Native層方法

3)Native層Hook Java層方法

在 Native層調(diào)用 initNative()，初始化Native層信息，JNI注冊(cè)Java中的待Hook類和方法。

static int register_com_protectdemo_Bridge (JNIEnv* env) { return env->RegisterNatives (javaClass,javaMethods,NELEM(javaMethods));}

調(diào)用libdvm.so庫(kù)中的dvmDecodeIndirectRef()方法來(lái)獲得要注冊(cè)JNI方法的類對(duì)象，調(diào)用dvmSlotToMethod()方法，根據(jù)函數(shù)的偏移量從ClassLoader中獲取函數(shù)指針，獲得待Hook的方法并保存被Hook的方法信息。在ART將方法標(biāo)記置為 ACC_NATIVE方法，讓方法屬性nativeFunc指向本地的methodCallbackHandler。將Java層代碼的待Hook方法聲明為Native方法后，執(zhí)行Java層代碼的方法會(huì)從Native層查找方法定義，而非在Java層執(zhí)行代碼，從而在Native層實(shí)現(xiàn)改變代碼的執(zhí)行邏輯。被Hook方法修改的關(guān)鍵代碼如下。

此時(shí)，待Hook方法已經(jīng)被成功Hook，代碼的執(zhí)行邏輯轉(zhuǎn)為methodCallbackHandler調(diào)用本地的 nativeCallbackHandler()方 法 ， 本 地 的nativeCallbackHandler()方法調(diào)用dvmCallMethod()方法，執(zhí)行nativeCallbackHandler()方法，該方法回調(diào)Java端的handleHookedMethod()方法，其關(guān)鍵代碼如下。

dvmCallMethod(self, nativeCallbackHandler, NULL,&result,originalReflected,(int)original, additionalInfo,thisObject,argsArray);

bridgeClass = env->FindClass("com/ protectDemo/android/Bridge");

nativeCallbackHandler= (Method*)env-> GetStaticMethodID(bridgeClass,"handleHookedMeth od",

"(Ljava/lang/reflect/Member;ILjava/lang/Object;Lja va/lang/Object;[Ljava/lang/Object;)Ljava/lang/Obje ct;");

Native層Hook Java層方法執(zhí)行流程如圖7所示。

4)Java層實(shí)現(xiàn)AOP Proxy機(jī)制

Java端的 handleHookedMethod()方法通過(guò)AOP Proxy機(jī)制，實(shí)現(xiàn)before()和after()方法，通過(guò)在before()和after()中修改被Hook方法的執(zhí)行邏輯來(lái)添加自定義的方法，實(shí)現(xiàn)對(duì)Hook方法的敏感行為攔截，執(zhí)行流程如圖8所示。

4　實(shí)驗(yàn)及結(jié)果分析

Android實(shí)驗(yàn)機(jī)未進(jìn)行Root授權(quán)，分別安裝主流手機(jī)安全應(yīng)用軟件和卸載主流手機(jī)安全應(yīng)用軟件，對(duì)未經(jīng)允許自動(dòng)發(fā)送短信程序做如下實(shí)驗(yàn)。

1)將安全應(yīng)用軟件金山、獵豹、360、百度、騰訊推出的主流手機(jī)安全衛(wèi)士安裝至手機(jī)，安裝用戶未經(jīng)允許發(fā)送短信的程序，點(diǎn)擊短信發(fā)送按鈕，沒(méi)有收到安全應(yīng)用軟件的攔截提示，短信發(fā)送成功。如果手機(jī)安全應(yīng)用開(kāi)啟全面防護(hù)，要求用戶Root授權(quán)，加固應(yīng)用執(zhí)行流程界面如圖9所示。

圖7　Native層Hook Java層方法

圖8　Java層AOP Proxy機(jī)制

圖9　加固應(yīng)用執(zhí)行流程界面

2)卸載手機(jī)安全應(yīng)用軟件，安裝用戶未經(jīng)允許發(fā)送短信的程序，程序加固后提供關(guān)閉短信攔截和開(kāi)啟短信攔截功能，短信發(fā)送行為檢測(cè)程序示意如圖10所示。

圖10　短信發(fā)送行為檢測(cè)程序示意

3)使用關(guān)閉短信攔截功能，點(diǎn)擊短信發(fā)送按鈕，短信發(fā)送成功，關(guān)閉短信發(fā)送行為檢測(cè)功能如圖11所示。

4)卸載手機(jī)安全應(yīng)用軟件，安裝用戶未經(jīng)允許發(fā)送短信的程序，開(kāi)啟短信攔截功能，從嘗試發(fā)送短信到接收方未收到短信時(shí)間段內(nèi)，短信發(fā)送過(guò)程被中斷并提醒用戶，開(kāi)啟短信發(fā)送行為檢測(cè)功能如圖12所示。

對(duì)于上述自動(dòng)發(fā)送短信程序?qū)嶒?yàn)可做如下分析。

圖11　關(guān)閉短信發(fā)送行為檢測(cè)功能

1)手機(jī)安全應(yīng)用在免Root情況下沒(méi)有檢測(cè)到短信發(fā)送的敏感行為并通知用戶。如果手機(jī)安裝帶有惡意軟件的程序，比如：自動(dòng)發(fā)送短信的惡意程序，用戶手機(jī)會(huì)在不知不覺(jué)中發(fā)送短信，導(dǎo)致利益受損。另一方面，隨著第三方Android系統(tǒng)的定制，手機(jī)Root授權(quán)的難度增加，如小米手機(jī)根據(jù)手機(jī)安全應(yīng)提供的Root步驟獲取權(quán)限失敗。

2)經(jīng)過(guò)本文的加固方案后，在免Root情況下，可以檢測(cè)到手機(jī)軟件的敏感行為并通知用戶，避免了Root授權(quán)后手機(jī)安全風(fēng)險(xiǎn)的增加，同時(shí)彌補(bǔ)了普通手機(jī)安全應(yīng)用攔截敏感行為效果不理想的局限性。

圖12　開(kāi)啟短信發(fā)送行為檢測(cè)功能

5　結(jié)束語(yǔ)

相對(duì)于普通手機(jī)安全應(yīng)用，本文方法有以下優(yōu)點(diǎn)：

1)不需要手機(jī)Root授權(quán)即可運(yùn)行，進(jìn)而提高手機(jī)安全性；

2)主動(dòng)發(fā)現(xiàn)并提醒手機(jī)使用者惡意應(yīng)用存在的敏感行為；

3)避免手機(jī)安全應(yīng)用在沒(méi)有Root授權(quán)下防護(hù)功能受限的不足。

因此，相對(duì)于普通手機(jī)安全應(yīng)用獲取Root授權(quán)后手機(jī)安全性降低，未取得Root授權(quán)時(shí)安全防護(hù)功能存在局限性的特點(diǎn)，本文方法能夠?qū)崿F(xiàn)對(duì)手機(jī)應(yīng)用敏感操作的行為監(jiān)控，對(duì)于Android手機(jī)安全應(yīng)用提高免Root主防能力有現(xiàn)實(shí)意義。

[1]騰訊移動(dòng)安全實(shí)驗(yàn)室2015年第三季度手機(jī)安全報(bào)告[EB/OL].(2015-11-03).http://m.qq.com/security_lab/news_detail_335.html.Mobile security report of Tencent mobile security laboratory in 2015,third quarter[EB/OL].(2015-11-03).http://m.qq.com/security_ lab/news_detail_335.html.

[2]李挺,董航,袁春陽(yáng),等.基于Dalvik指令的Android惡意代碼特征描述及驗(yàn)證[J].計(jì)算機(jī)研究與發(fā)展,2014,51(7):1458-1466.LI T,DONG H,YUAN C Y,et al.Description of Android malware feature based on Dalvik instructions[J].Journal of Computer Research and Development,2014,51(7):1458-1466.

[3]李志,單洪,馬春來(lái),等.基于攻防圖的網(wǎng)絡(luò)主動(dòng)防御策略選取研究[J].計(jì)算機(jī)應(yīng)用研究,2015,32(12).LI Z,SHAN H,MA C L,et al.Network active defense strategy selection based on attack-defense graph[J].Application Research of Computers,2015,32(12).

[4]李淑民.Android手機(jī)隱私泄露研究[J].軟件,2015(2):69-72.LI S M.Research on privacy leakage of Android smart phones[J].Computer Engineering&Software,2015(2):69-72.

[5]吳茂林.微信紅包折射手機(jī)安全防護(hù)軟肋[J].通信世界, 2015(6):17.WU M L.We Chat ked envelope reflects a soft soft spot of mobile security protection[J].Communications World,2015(6):17.

[6]SANZ B,SANTOS I,LAORDEN C,et al.PUMA:permission usage to detect malware in Android[C]//The 5th International Conference on Computational Intelligence in Security for Information Systems(CISIS’02).Berlin:Springer,c2103:289-298.

[7]FELT A P,CHIN E,HANNA S,et al.Android permissions demystified[C]//The 18th ACM Conference on Computer and Communications Security,New York.c2011:627-638.

[8]DESNOS A.Reverse engineering,malware and goodware analysis of Android applications…and more(ninja!)[CP/OL].(2013-03-26).https://github.com/androguard/androguard.

[9]CILIBRASI R,VITANYI P M B.Clustering by compression[J].IEEE Transactions on Information Theory,2005,51(4):1523-1545.

[10]南秦博,慕德俊,侯艷艷.Android系統(tǒng)惡意程序檢測(cè)技術(shù)研究[J].現(xiàn)代電子技術(shù),2015(12):47-50.NAN Q B,MU D J,HOU Y Y.Research of malicious program detection technology for Android system[J].Modern Electronics Technique,2015(12):47-50.

[11]CHRISTODORESCU M,JHA S,SESHIA S A,etal.Semantics-aware malware detection[C]//The 2005 IEEE Symposium on Security and Privacy(Oakland’05).c2005:32-46.

[12]王蕊,馮登國(guó),楊軼,等.基于語(yǔ)義的惡意代碼行為特征提取及檢測(cè)方法[J].軟件學(xué)報(bào),2012,23(2):378-393.WANG R,FENG D G,YANG Y,et al.Semantics-based malware behavior signature extraction and detection method[J].Journal of Software,2012,23(2):378-393.

[13]DESNOS A.Android: static analysis using similarity distance[C]//The 45th Hawaii International Conference on System Sciences(HICSS),c2012:5394-5403.

[14]楊超,劉文慶,張偉,等.基于利用方式的Android Root漏洞分析[J].計(jì)算機(jī)科學(xué),2014,41(S1):343-346.YANG C,LIU W Q,ZHANG W,et al.Utilization pattern based Android Root vulnerability analysis[J].Computer Science,2014, 41(S1):343-346.

[15]盧文杰.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2015(4):148.LU W J.Network security active defense technology[J].Network Security Technology&Application,2015(4):148.

[16]孫曉奇.面向多國(guó)發(fā)布的手機(jī)軟件定制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：中國(guó)科學(xué)院大學(xué),2014.SUN X Q.Design and implementation of software custom ization for global released mobile phone[D].Beijing:University of ChineseAcademy of Sciences,2014.

Research based on the method of Android system active defense without Root permission

LIU Jing-qiang,LI Bin,CHEN Li-zhang,CHEN Bin

(College of Computer Science and Technology,Harbin Institute of Technology,(Weihai),Weihai 264209,China)

In order to solve the problem that the system security is reduced through getting Root permission and that the security of Android smartphone is not effective without Root permission,the working principle of ART,the Java reflection mechanism and AOP principle were studied.The new mechanism was designed and implemented to avoid the security problem caused by the traditional protection application of Hooking system function in the kernel layer and the limitations with calling API in the application layer ineffectively.The interception of sensitive behavior and the protection of smartphone were both achieved.

Android system,active defense without Root,AOP,Hook,behavior interception,Dalvik

TP309

A

10.11959/j.issn.2096-109x.2016.00013

2015-10-10；

2015-12-30。通信作者：李斌，libin@hit.edu.cn

劉井強(qiáng)（1991-），男，山東青州人，哈爾濱工業(yè)大學(xué)（威海）碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全和移動(dòng)安全。

李斌（1962-），男，黑龍江慶安人，哈爾濱工業(yè)大學(xué)（威海）教授，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全。

陳立章（1980-），男，湖南邵東人，哈爾濱工業(yè)大學(xué)（威海）高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與內(nèi)容安全、網(wǎng)絡(luò)管理等。

陳彬（1968-），男，吉林省吉林市人，博士，哈爾濱工業(yè)大學(xué)（威海）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院副院長(zhǎng)、副教授，主要研究方向?yàn)槿斯ぶ悄?、機(jī)器學(xué)習(xí)。