Android应用重新打包肆意泛滥,对Android的整个生态产生了严重的威胁。重新打包不仅仅通过替换广告库来谋取不正当利益,助长了盗版软件在电子市场中活跃程度。更为恶劣的是插入恶意代码和恶意广告。由于二次打包的制作成本低,感染手机成功率高,使二次打包越来越成为一种低成本作恶手段,造成了严重的Android平台病毒威胁。Android生态的开放性和复杂性,使实现重打包的检测存在着诸多的困难和挑战。首先,检测的准确性,检测方法需要有低误报率和高查全率。因为重打包应用的修改可以在Dalvik字节码以及资源文件中通过改变包名,代码路径结构,混淆,更改资源文件以及加入其它代码等多种方式对原应用进行修改。其次,系统必须要有时效性,能够快速在海量应用中检测到重打包应用。针对上述问题,主要包括以下三个方面的研究1)针对于重打包应用的加壳处理,研究通用脱壳方法来获取应用字节码文件;2)针对于重打包应用的混淆与变形技术,该技术使获取的反编译代码丧失了大量的语义与程序结构信息,研究如何在混淆与变形技术下能够反映程序语义与结构的特征提取方法;3)针对于海量的Android应用,研究快速的特征向量相似性比较方法,解决时间效率问题。相比现有的技术方案,本文提出的方法通过在虚拟机部分代码加入钩子函数读取内存区域,实现较为通用的脱壳技术来获取其字节码文件;选取Android框架API为基础的特征值,这些特征值在现有的混淆与变形技术下保持不变;快速哈希方法解决特征向量的比较时效性问题。并通过实验证明了本文提出的方法具有良好的准确性,可扩展性与时效性。