A tool to disassemble malicious code.(Based on n-gram model)

说明：一个提取恶意apk的n-gram特征的python工具
（使用时请删除apk_sample与smali文件夹中的DeleteWhenUse文件，之所以上传这些空txt文件是因为github不支持上传空文件夹）
（未反编译的恶意代码和良性代码存放于apk_sample文件夹，反编译后的apk自动存放于n-gramTool\smali\virus或kind，对smali文件的汇总自动存放于n-gramTool\smali\summary\virus或kind）

执行命令顺序
python to_standard.py
python decompiling.py
python make_csv.py
python smali2feature.py 2
python smali2feature.py 3
python smali2feature.py 4
python smali2feature.py 5
python logisticsRegression.py 2

各模块、包的作用
1.decompiling.py：（1）apk重命名（2）调用cmd命令，利用apktool反编译apk
2.make_csv.py： （1）调用工具包中的smali解析模块，汇总smali （2）将各apk的smali字节码文件汇总到data.csv中
3.smali2feature.py： 根据n-gram滑动窗口生成n-gram文件，存放各apk的特征。（n-gram的n作为参数输入在后面）
4.logisticsRegression.py: 使用逻辑回归对训练集数据进行训练，得出准确率
5.DependPackage包： 包括字节码字典（共7个指令集）、smali文件解析（递归文件树汇总smali的OpCode）、特征字典等模块，用于作为上述模块的依赖。

样本来源
1.良性样本：来源于安卓市场
2.恶意样本：见于我fork的'malware~'项目

对data.csv文件的说明
每行的形式为：ApkName，feature（此样本对应的OpCode，用|分割每个模块），isVirus（是为 1，不是为 0）
在Excel中显示的feature（csv中拼写错了，没改..）可能会超过单元格，但实际上还是和文件名是同一行的，无需担心

对n_gram.csv文件的说明
每行的前 7^n 列为操作码对应的个数，最后一列为代码类别（0 / 1，表示是否为恶意代码）