实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0111]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0112]本领域内的技术人员应明白,本发明的实施方式可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0113]本发明是参照根据本发明实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0114]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0115]以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种Android应用的日志审计方法,包括: 对Android应用的安装包进行反编译,得到反编译文件; 根据所述反编译文件中的日志输出函数得到反编译日志信息和所述安装包在运行时可能得到的运行日志信息; 对所述反编译日志信息进行还原,得到原始日志信息; 将所述原始日志信息和所述运行日志信息统一输出,得到最终日志信息; 根据审计日志信息白名单对所述最终日志信息进行过滤,确定待审计的日志信息; 利用所述待审计的日志信息进行Android应用的审计。2.根据权利要求1所述的方法,其中根据所述反编译文件中的日志输出函数得到反编译日志信息和所述安装包在运行时可能得到的运行日志信息包括: 遍历所述反编译文件,定位所述反编译文件的日志输出函数,获取所述日志输出函数输出的反编译日志信息和所述安装包在运行时可能得到的运行日志信息。3.根据权利要求1所述的方法,其中对所述反编译日志信息进行还原,得到原始日志信息包括: 根据所述安装包中的资源文件得到所述安装包的待审计版本; 根据所述待审计版本的版本信息确定所述安装包在所述待审计版本下的映射文件的地址并下载所述映射文件; 根据所述映射文件对所述反编译日志信息进行还原,得到原始日志信息。4.根据权利要求1所述的方法,其中根据审计日志信息白名单对所述最终日志信息进行过滤,确定待审计的日志信息包括:接收自云端服务器分发或向云端服务器请求下载而获得的所述审计日志信息白名单;根据所述审计日志信息白名单中的日志信息对所述最终日志信息进行过滤,将所述最终日志信息中不在所述审计日志信息白名单范围内的日志信息确定为待审计的日志信息。5.根据权利要求1-4中任一项所述的方法,其中利用所述待审计的日志信息进行Andro id应用的审计包括: 利用所述待审计的日志信息确定漏洞特征; 将所述漏洞特征存储到云端漏洞知识库中; 根据所述云端漏洞知识库对待审计的Android应用的安装包进行检测。6.一种Andrο id应用的日志审计系统,包括: 反编译单元,用于对Android应用的安装包进行反编译,得到反编译文件; 日志生成单元,用于根据所述反编译文件中的日志输出函数得到反编译日志信息和所述安装包在运行时可能得到的运行日志信息,并对所述反编译日志信息进行还原,得到原始日志信息; 日志输出单元,用于将所述原始日志信息和所述运行日志信息统一输出,得到最终日志信息; 日志筛选单元,用于根据审计日志信息白名单对所述最终日志信息进行过滤,确定待审计的日志信息; 日志审计单元,用于利用所述待审计的日志信息进行Andr ο i d应用的审计。7.根据权利要求6所述的系统,其中所述日志生成单元用于遍历所述反编译文件,定位所述反编译文件的日志输出函数,获取所述日志输出函数输出的反编译日志信息和所述安装包在运行时可能得到的运行日志信息。8.根据权利要求6所述的系统,其中所述日志生成单元包括日志还原模块,用于: 根据所述安装包中的资源文件得到所述安装包的待审计版本; 根据所述待审计版本的版本信息确定所述安装包在所述待审计版本下的映射文件的地址并下载所述映射文件; 根据所述映射文件对所述反编译日志信息进行还原,得到原始日志信息。9.根据权利要求6所述的系统,其中所述日志筛选单元用于:接收自云端服务器分发或向云端服务器请求下载而获得的所述审计日志信息白名单;根据所述审计日志信息白名单中的日志信息对所述最终日志信息进行过滤,将所述最终日志信息中不在所述审计日志信息白名单范围内的日志信息确定为待审计的日志信息。10.根据权利要求6-9中任一项所述的系统,其中所述日志审计单元用于: 利用所述待审计的日志信息确定漏洞特征; 将所述漏洞特征存储到云端漏洞知识库中; 根据所述云端漏洞知识库对待审计的Android应用的安装包进行检测。
【专利摘要】本发明涉及一种Android应用的日志审计方法,包括:对Android应用的安装包进行反编译,得到反编译文件;根据反编译文件中的日志输出函数得到反编译日志信息和安装包在运行时可能得到的运行日志信息;对反编译日志信息进行还原,得到原始日志信息;将原始日志信息和运行日志信息统一输出,得到最终日志信息;根据审计日志信息白名单对最终日志信息进行过滤,确定待审计的日志信息;利用所述待审级的日志信息进行Android应用的审计。本发明还提供了相应的系统。本发明所述方法对大多数Android应用来说都是可用的,提高了Android应用日志审计的覆盖率,且与现有技术需要人工检测的方式相比节省了重复检测的时间,提高了日志审计的效率。
【IPC分类】G06F21/55
【公开号】CN105653943
【申请号】
【发明人】李功文, 宋照春
【申请人】北京奇虎科技有限公司, 奇智软件(北京)有限公司
【公开日】2016年6月8日
【申请日】2015年12月24日