CN103294953B - 一种手机恶意代码检测方法及系统 - Google Patents
一种手机恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN103294953B CN103294953B CN201210580587.9A CN201210580587A CN103294953B CN 103294953 B CN103294953 B CN 103294953B CN 201210580587 A CN201210580587 A CN 201210580587A CN 103294953 B CN103294953 B CN 103294953B
- Authority
- CN
- China
- Prior art keywords
- described file
- malicious code
- file
- decompressed data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种手机恶意代码检测方法及系统,首先,对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。从而,避免了解压缩安装包内的所有文件,减轻了系统压力,提高了检测速度,并且能够对伪装格式的未知手机恶意代码程序及时发现并检测。
Description
技术领域
本发明涉及移动终端安全技术领域,尤其涉及一种手机恶意代码检测方法及系统。
背景技术
随着移动互联网的快速发展,恶意代码的种类增多、传播速度增快和影响范围逐渐增大。恶意代码已经成为威胁智能手机信息安全和手机系统安全的重要因素,因此研制更加高效的恶意代码检测程序是所有手机安全策略中的重要环节。但是,目前很多手机恶意代码深度检测的方法中,大部分都是要对手机应用程序安装包进行解压缩处理,而手机应用程序安装包中,不仅仅包含程序代码文件,例如APK中的dex,IPA中的mach-o,sisx中的epoc,同时还包括大量的资源数据文件,例如图片、声音和视频等资源数据。而如果简单的通过文件名、文件类型后缀等方法是无法准确判断文件的真实格式信息的,在这种情况下,目前采用的方法是对于安装包中所有的文件都进行解压缩,并一一检测,这样就导致恶意代码的检测速度慢,浪费系统资源。
发明内容
针对上述技术问题,本发明提供了一种手机恶意代码检测方法及系统,该方法通过部分解压缩文件判断文件格式,对于有威胁格式的文件进行全部解压缩,从而节省系统资源,提高检测效率。
本发明采用如下方法来实现:一种手机恶意代码检测方法,包括:
对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
方法中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
方法中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程序格式的特征值。
一种手机恶意代码检测系统,包括:
数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
系统中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
系统中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程序格式的特征值。
综上所述,本发明提供了一种手机恶意代码检测方法及系统,通过对安装包中的文件的解压缩数据进行部分解压缩,获取所述文件的格式信息,然后与恶意代码程序格式特征库进行匹配,对于匹配成功的文件进行全部解压缩之后检测。从而避免了过多的占用系统资源,提高检测效率,对于伪装格式的恶意代码程序文件可以及时发现并检测。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种手机恶意代码检测方法流程图;
图2为本发明提供的一种手机恶意代码检测系统结构图。
具体实施方式
本发明给出了一种手机恶意代码检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种手机恶意代码检测方法,如图1所示,包括:
S101对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
S102对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
S103将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式识别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征内容长度或者格式的类型。
本发明还提供了一种手机恶意代码检测系统,如图2所示,包括:
数据提取模块201,对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
解压缩模块202,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
匹配模块203,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式识别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征内容长度或者格式的类型。
如上所述,本发明给出了一种手机恶意代码检测方法及系统,其与传统方法的区别在于,并不是将安装包中的所有文件全部解压缩,而是解压缩安装包内的文件的头部数据,基于头部数据获取文件的格式信息,对于有威胁的格式信息对应的文件全部解压缩。此时,不仅节省了检测时间,而且节省了系统资源,并且可以及时的作出响应。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种手机恶意代码检测方法,其特征在于,包括:
对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测;
所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程序格式的特征值。
2.如权利要求1所述的方法,其特征在于,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
3.一种手机恶意代码检测系统,其特征在于,包括:
数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文件的格式信息;
匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测;
所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程序格式的特征值。
4.如权利要求3所述的系统,其特征在于,所述指定长度的头部数据为所述文件的解压缩数据中的前128个字节。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210580587.9A CN103294953B (zh) | 2012-12-27 | 2012-12-27 | 一种手机恶意代码检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210580587.9A CN103294953B (zh) | 2012-12-27 | 2012-12-27 | 一种手机恶意代码检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103294953A CN103294953A (zh) | 2013-09-11 |
| CN103294953B true CN103294953B (zh) | 2016-01-13 |
Family
ID=49095795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210580587.9A Active CN103294953B (zh) | 2012-12-27 | 2012-12-27 | 一种手机恶意代码检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103294953B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573514B (zh) * | 2013-10-29 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 压缩文件的检测方法及装置 |
| CN104504333B (zh) * | 2014-11-25 | 2018-03-06 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN104657504A (zh) * | 2015-03-12 | 2015-05-27 | 四川神琥科技有限公司 | 一种文件快速识别方法 |
| CN106055375B (zh) * | 2016-07-13 | 2020-02-28 | 青岛海信移动通信技术股份有限公司 | 应用程序安装方法及装置 |
| CN107871080A (zh) * | 2017-12-04 | 2018-04-03 | 杭州安恒信息技术有限公司 | 大数据混合式Android恶意代码检测方法及装置 |
| CN109120593A (zh) * | 2018-07-12 | 2019-01-01 | 南方电网科学研究院有限责任公司 | 一种移动应用安全防护系统 |
| CN109460229A (zh) * | 2018-09-17 | 2019-03-12 | 深圳壹账通智能科技有限公司 | 代码文件生成方法、装置、计算机设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750482A (zh) * | 2012-06-20 | 2012-10-24 | 东南大学 | 一种安卓市场中重包装应用的检测方法 |
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN102799826A (zh) * | 2012-07-19 | 2012-11-28 | 腾讯科技(深圳)有限公司 | 应用程序安装包解压过程的检测方法与装置、客户端设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050080664A (ko) * | 2004-02-10 | 2005-08-17 | 주식회사 팬택앤큐리텔 | 무선통신단말기를 이용한 컴퓨터 바이러스 치료 시스템 및그 방법 |
| WO2007117567A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware detection system and method for limited access mobile platforms |
| CN102045368A (zh) * | 2011-01-20 | 2011-05-04 | 中兴通讯股份有限公司 | 智能移动终端的病毒防御方法及系统 |
-
2012
- 2012-12-27 CN CN201210580587.9A patent/CN103294953B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102750482A (zh) * | 2012-06-20 | 2012-10-24 | 东南大学 | 一种安卓市场中重包装应用的检测方法 |
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN102799826A (zh) * | 2012-07-19 | 2012-11-28 | 腾讯科技(深圳)有限公司 | 应用程序安装包解压过程的检测方法与装置、客户端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103294953A (zh) | 2013-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103294953B (zh) | 一种手机恶意代码检测方法及系统 | |
| TWI526825B (zh) | Web page link detection method, device and system | |
| CN102819723B (zh) | 一种恶意二维码检测方法和系统 | |
| CN103810425B (zh) | 恶意网址的检测方法及装置 | |
| CN103268449A (zh) | 一种手机恶意代码的高速检测方法和系统 | |
| CN103679012A (zh) | 一种可移植可执行文件的聚类方法和装置 | |
| CN103793298A (zh) | 实现Android手机信息读取的方法 | |
| CN103839005A (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| CN102243699A (zh) | 一种恶意代码检测方法及系统 | |
| CN103401845B (zh) | 一种网址安全性的检测方法、装置 | |
| CN103914654A (zh) | 一种对Android ART运行时代码进行恶意代码检测的方法及系统 | |
| CN103955660A (zh) | 一种批量二维码图像识别方法 | |
| CN102999480B (zh) | 编辑文档的方法及系统 | |
| CN105426759A (zh) | Url的合法性识别方法及装置 | |
| CN105095330A (zh) | 一种基于压缩包内容的文件格式识别方法及系统 | |
| CN103425931A (zh) | 一种网页异常脚本检测方法及系统 | |
| CN106709350B (zh) | 一种病毒检测方法及装置 | |
| CN105975855A (zh) | 一种基于apk证书相似性的恶意代码检测方法及系统 | |
| CN103631589A (zh) | 应用识别方法与装置 | |
| CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
| CN102682237A (zh) | 针对网络下载文件的判毒方法及系统 | |
| CN105468661A (zh) | 一种查找elf文件中符号信息的方法及系统 | |
| CN102902686A (zh) | 一种网页检测的方法及系统 | |
| CN103268443A (zh) | 一种基于符号的Android恶意代码检测方法及系统 | |
| CN104299014A (zh) | 身份证识别系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 430000, Hubei, Wuhan province East Lake Wuhan New Technology Development Zone Software Park Road 1, software industry phase 4-1, B4, building 12, room 01 Patentee after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Patentee before: Wuhan Antian Information Technology Co., Ltd. |