随着移动互联网的高速发展,搭载Android操作系统的智能手机已经成为人们生活中不可或缺的一部分。由于Android系统的开放性,应用程序开发者可以随意在Android平台上开发和发布应用程序,并且无需进行身份认证,因此Android系统成了恶意程序集中爆发的一个平台。静态检测虽然效率较高,但是难以应对代码加密混淆和多态变形技术。动态检测技术因其通过实际运行程序来获取应用行为特征,可以有效弥补静态检测所带来的局限性。影响动态检测方法检出率的关键技术有两个:一个是应用行为监控技术;另一个是软件行为触发技术;对于应用行为的监控,现有的技术已较为丰富,通过此类技术,可以在多个层次,多个维度对应用行为进行监控,因此行为触发成为了动态分析的重点和难点。本文首先介绍了当前Android恶意代码检测技术的研究现状,分析了当前在动态检测方法上的不足。从如何提高恶意行为触发率角度出发,结合当前Android平台下自动化检测技术,提出了基于双重遍历的行为触发方法。该方法由深度界面遍历以及组件遍历两部分构成。深度界面遍历以基于控件的深度遍历算法,重新构建遍历规则,并且在遍历的过程中会对界面进行分析,对控件进行筛选以此减少重复操作提高遍历的效率。组件遍历用以对应用程序的Service、Receiver进行遍历,以期触发可能隐藏于Service和Receiver中的恶意行为。同时,为实现Android恶意应用的行为监控,对基于Zygote注入的HOOK技术方案进行了研究与实现,通过对应用程序框架层以及核心库中API的劫持,获取应用行为特征。在行为分析阶段,使用机器学习中的分类算法-支持向量机对应用进行检测判别。实验分析结果表明,本文所提出的行为触发方案能够提高程序运行过程的函数覆盖率和恶意行为触发率,进而在一定程度上提高恶意行为检测效果。