自从2013年第一款安卓勒索软件诞生以来,其发展和传播速度迅猛,每年都有大量的安卓设备感染勒索软件。这些安卓勒索软件经常伪装成具有迷惑性或者诱惑性的应用,通过论坛、邮件或者仿冒的应用商店进行传播和扩散。用户设备一旦被感染,勒索软件便会锁住设备屏幕或者加密设备中的文件,并以解锁设备或解密文件为条件向用户实施勒索,给用户带来了极大的安全威胁。为了更好的应对安卓勒索软件的攻击,本文提出了一种基于代码改写的安卓勒索软件检测和防御方法。该方法基于代码改写技术,在应用层监控应用行为,能够实时地动态检测应用的恶意行为,进而对安卓勒索软件进行防范。与现有的解决方案相比,本文提出的方法具有如下的优点:第一,本方法是一个静态分析和动态检测相结合的检测与防御方案。它通过静态分析检测应用中的勒索文本,同时动态监控勒索软件运行时的行为,实时地对安卓勒索软件进行检测和防御。它结合了静态分析和动态分析方法的优点,克服了单纯的静态分析方法无法有效地分析应用运行时的行为,而动态分析方法则无法很好的检测勒索软件中勒索文本的不足。第二,本文方法是一种应用层解决方案。它不需要root权限,也不需要修改安卓框架层和操作系统,兼容性好,应用部署方便。同时,本文方法可以根据勒索软件的新特点灵活的调整检测策略,对检测模块进行有效的扩展。第三,本文提出的方法可以同时监控安卓勒索软件在Java层和native层代码中的恶意行为,能够全面的检测和防御勒索软件的攻击。具体来说,首先,本文根据安卓勒索软件的特征行为,定制化编写Java层和native层中特定API的监控代理。然后,本文对应用进行静态分析和预处理,反编译应用的APK文件,提取其中的文本信息进行静态的检测分析,将勒索文本检测结果设置到检测策略中,并在静态分析勒索文本后将Java层和native层监控代理注入到应用中。最后,在应用运行时,Java层和native层的监控代理会代理执行相应的框架层API和native层外部函数调用,在代理执行的过程中施加相应的检测策略,判断应用是否是勒索软件并进行安全处理,从而抵御勒索软件的攻击。本文基于安卓9.0版本实现了原型系统,并收集了1919个安卓勒索软件样本对原型系统进行功能和性能测试。测试结果表明,系统能够以较低的性能开销准确有效地识别出安卓勒索软件,应用改写平均时间为1.23ms/k B,运行时平均开销小于4%,样本检测准确率达到100%。同时,原型系统兼容性较强,改写后的应用运行时具有良好的稳定性。