CN102567674A - 基于行为判断软件是否含有病毒的方法和设备 - Google Patents
基于行为判断软件是否含有病毒的方法和设备 Download PDFInfo
- Publication number
- CN102567674A CN102567674A CN2012100303518A CN201210030351A CN102567674A CN 102567674 A CN102567674 A CN 102567674A CN 2012100303518 A CN2012100303518 A CN 2012100303518A CN 201210030351 A CN201210030351 A CN 201210030351A CN 102567674 A CN102567674 A CN 102567674A
- Authority
- CN
- China
- Prior art keywords
- software
- detected
- automatically
- virus
- weights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供一种基于行为判断软件是否含有病毒的方法和设备,其中,所述方法包括以下步骤:S1,获取待检测软件的一种以上敏感行为信息;S2,分别为S1获取到的各敏感行为信息设置对应的权值;S3,按预设算法对S2得到的权值进行综合计算,得到总权值;S4,根据所述总权值的大小判断所述待检测软件中含有病毒的概率。本发明提供的基于行为判断软件是否含有病毒的方法和设备,通过对软件已执行或可能执行的敏感行为进行分析,从而判断软件含有病毒的概率,因此,所查找到的病毒并不局限于病毒库中已知的病毒,也包括未知的病毒,从而使软件使用者能够及时发现软件中包含的病毒,避免了病毒传播的范围和可能造成的危害。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种基于行为判断软件是否含有病毒的方法和设备。
背景技术
软件中的恶意代码通常含义为软件中的病毒,当软件中含有病毒时,不仅会妨碍软件的正常运行,还会给安装软件的操作系统带来很多危害,所以,在软件安装或使用过程中,需要频繁扫描软件,判断软件中是否含有病毒。
现有技术中,判断软件中是否含有病毒的方法为:反病毒研究人员根据已经掌握的现有各种病毒样本信息,从中提取出病毒特征码,然后将各类病毒特征码组成一个病毒库;当对某一待检测软件进行扫描时,判断待检测软件中是否存在与病毒库中已存在的病毒特征码相同的代码,如果判断结果为是,则认为该待检测软件已感染了该病毒。
例如:如果研究人员发现感染了病毒A的软件中全都存在以下代码:
“X5O !P%AP[4\PZX54(P^)7CC]7]$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*”,则研究人员将上述代码设置为病毒特征码,并取名为“AN/EICAR.Virus”,然后将该病毒特征码加入病毒库中;当后续对其他软件扫描时,一旦发现该软件中存在与上述代码相同的代码,则认为该软件被感染了“AN/EICAR.Virus”病毒。
基于病毒特征码的扫描采用了“同一病毒或同类病毒的某一部分代码相同”的原理,也就是说,如果病毒及其变种具有同一性,则可以对这种同一性进行描述,作为该病毒的特征码,通过程序体与特征码进行比较来查找病毒。
上述基于病毒特征码的扫描方法只能判断待检测软件中是否被感染已知病毒,但却无法判断待检测软件中是否存在未知病毒,例如:新出现的病毒,从而导致新病毒无法尽早查杀,扩大了病毒传播和危害的范围。
发明内容
针对现有技术存在的缺陷,本发明提供一种基于行为判断软件是否含有病毒的方法和设备,通过对软件已执行或可能执行的行为进行分析,从而判断软件是否含有病毒,因此,所查找到的病毒并不局限于病毒库中已知的病毒,也包括未知的病毒,从而使软件使用者能够及时发现软件中包含的病毒,避免了病毒传播的范围和可能造成的危害。
本发明采用的技术方案如下:
本发明提供一种基于行为判断软件是否含有病毒的方法,包括以下步骤:
S1,获取待检测软件的一种以上敏感行为信息;
S2,分别为S1获取到的各敏感行为信息设置对应的权值;
S3,按预设算法对S2得到的权值进行综合计算,得到总权值;
S4,根据所述总权值的大小判断所述待检测软件中含有病毒的概率。
优选的,所述敏感行为信息具体为:所述待检测软件已自动执行或将要自动执行的操作信息。
优选的,所述操作包括以下操作的一种或几种:所述待检测软件自动后台运行、所述待检测软件自动启动、所述待检测软件在安装及运行时使用与通用惯例不符合的名称或标识符、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出和/或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头和所述待检测软件自动调用麦克风。
优选的,S4之后,还包括:
S5,根据所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当所述概率高于预设极大值时,发出报警信号。
本发明还提供一种基于行为判断软件是否含有病毒的装置,包括:
获取模块,用于获取待检测软件的一种以上敏感行为信息;
权值设置模块,用于分别为所述获取模块获取到的各敏感行为信息设置对应的权值;
权值计算模块,用于按预设算法对所述权值设置模块设置的权值进行综合计算,得到总权值;
判断模块,用于根据所述权值计算模块计算得到的总权值的大小判断所述待检测软件中含有病毒的概率。
优选的,所述敏感行为信息具体为:所述待检测软件已自动执行或将要自动执行的操作信息。
优选的,所述操作包括以下操作的一种或几种:所述待检测软件自动后台运行、所述待检测软件自动启动、所述待检测软件在安装及运行时使用与通用惯例不符合的名称或标识符、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出和/或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头和所述待检测软件自动调用麦克风。
优选的,还包括:显示模块,用于根据所述判断模块判断的所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当所述判断模块判断的所述概率高于预设极大值时,发出报警信号。
本发明的有益效果如下:
本发明提供的基于行为判断软件是否含有病毒的方法和设备,通过对软件已执行或可能执行的敏感行为进行分析,从而判断软件含有病毒的概率,因此,所查找到的病毒并不局限于病毒库中已知的病毒,也包括未知的病毒,从而使软件使用者能够及时发现软件中包含的病毒,避免了病毒传播的范围和可能造成的危害。
附图说明
图1为本发明提供的基于行为判断软件是否含有病毒的方法的流程示意图;
图2为本发明提供的基于行为判断软件是否含有病毒的装置的结构图。
具体实施方式
以下结合附图对本发明详细介绍:
如图1所示,为本发明实施例提供的一种基于行为判断软件是否含有病毒的方法的流程示意图,包括以下步骤:
S1,获取待检测软件的一种以上敏感行为信息;
其中,敏感行为信息具体为待检测软件已自动执行或将要自动执行的操作信息。具体操作方式包括但不限于:所述待检测软件自动后台运行、所述待检测软件自动启动、所述待检测软件在安装及运行时使用与通用惯例不符合的名称或标识符、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出和/或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头和所述待检测软件自动调用麦克风。
本发明中,获取待检测软件的敏感行为信息的方式包括以下两种:
第一种,对于待检测软件自动启动、自动联网、自动进行蓝牙操作、自动读取和/或接收和/或发送短信、自动向SD卡内读出或写入数据、自动获取通讯录信息、自动获取通话记录信息、自动调用摄像头、自动调用麦克风等敏感行为,由于待检测软件在执行该类敏感行为前,均需要向系统申请执行权限,系统记录并审核该执行权限,只有当系统审核通过后,待检测软件才能执行该类敏感行为,所以,本发明中,通过读取并分析系统记录的与待检测软件对应的执行权限,可以获知待检测软件已执行或将要执行的操作。
第二种,对于待检测软件自动后台运行、待检测软件的名称或标识符与通用惯例不符合等敏感行为,由于待检测软件在执行该类敏感行为前,不需要向系统申请执行权限,但是,待检测软件在安装后,会自动在系统中注册一些注册信息,所以,本发明中,通过读取并分析该注册信息,可以获知待检测软件是否自动后台运行以及待检测软件的名称或标识符是否与通用惯例不符合。
S2,分别为S1获取到的各敏感行为信息设置对应的权值;
具体的,根据各敏感行为信息中含有病毒概率的高低,为其设置对应的权值。例如:按照通常理解,对使用者而言,待检测软件自动获取通话记录信息的危险性高于待检测软件自动后台运行,所以,可以为待检测软件自动获取通话记录信息这一操作设置高的权值,例如,80;而为待检测软件自动后台运行设置低的权值,例如:30。
也就是说,各敏感行为信息对应权值的大小可以根据使用者或反病毒专家的经验等灵活设置,只要各敏感行为信息对应权值的大小与待检测软件中含有病毒的概率间存在相关性即可。
S3,按预设算法对S2得到的权值进行综合计算,得到总权值;
作为一种具体实现方式,可以对各权值进行求和运算。
S4,根据所述总权值的大小判断所述待检测软件中含有病毒的概率。
S4之后,还包括:
S5,根据所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当所述概率高于预设极大值时,发出报警信号。
具体的,可以设置预设极小值和预设极大值两个参数,例如:预设极小值为60、预设极大值为80。当总权值小于预设极小值时,则认为待检测软件中不含有病毒;当总权值位于预设极小值和预设极大值之间时,则认为待检测软件中可能含有病毒,从而向终端发出提示信息;当总权值大于预设极大值时,则认为待检测软件中含有病毒,在向终端发出提示信息的同时,向终端发出报警信号。
如图2所示,本发明还提供一种基于行为判断软件是否含有病毒的装置,包括:
获取模块21,用于获取待检测软件的一种以上敏感行为信息;
其中,敏感行为信息具体为:所述待检测软件已自动执行或将要自动执行的操作信息,具体的操作方式包括:所述待检测软件自动后台运行、所述待检测软件自动启动、判断所述待检测软件的名称或标识符与通用惯例是否符合、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头、所述待检测软件自动调用麦克风。
权值设置模块22,用于分别为获取模块21获取到的各敏感行为信息设置对应的权值;
权值计算模块23,用于按预设算法对权值设置模块22设置的权值进行综合计算,得到总权值;
判断模块24,用于根据权值计算模块23计算得到的总权值的大小判断所述待检测软件中含有病毒的概率。
还包括:显示模块25,用于根据判断模块24判断的所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当判断模块判断的概率高于预设极大值时,发出报警信号。
综上所述,本发明提供的基于行为判断软件是否含有病毒的方法和设备,通过对软件已执行或可能执行的敏感行为进行分析,从而判断软件含有病毒的概率,因此,所查找到的病毒并不局限于病毒库中已知的病毒,也包括未知的病毒,从而使软件使用者能够及时发现软件中包含的病毒,避免了病毒传播的范围和可能造成的危害。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
Claims (8)
1.一种基于行为判断软件是否含有病毒的方法,其特征在于,包括以下步骤:
S1,获取待检测软件的一种以上敏感行为信息;
S2,分别为S1获取到的各敏感行为信息设置对应的权值;
S3,按预设算法对S2得到的权值进行综合计算,得到总权值;
S4,根据所述总权值的大小判断所述待检测软件中含有病毒的概率。
2.根据权利要求1所述的基于行为判断软件是否含有病毒的方法,其特征在于,所述敏感行为信息具体为:所述待检测软件已自动执行或将要自动执行的操作信息。
3.根据权利要求2所述的基于行为判断软件是否含有病毒的方法,其特征在于,所述操作包括以下操作的一种或几种:所述待检测软件自动后台运行、所述待检测软件自动启动、所述待检测软件在安装及运行时使用与通用惯例不符合的名称或标识符、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出和/或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头和所述待检测软件自动调用麦克风。
4.根据权利要求1所述的基于行为判断软件是否含有病毒的方法,其特征在于,S4之后,还包括:
S5,根据所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当所述概率高于预设极大值时,发出报警信号。
5.一种基于行为判断软件是否含有病毒的装置,其特征在于,包括:
获取模块,用于获取待检测软件的一种以上敏感行为信息;
权值设置模块,用于分别为所述获取模块获取到的各敏感行为信息设置对应的权值;
权值计算模块,用于按预设算法对所述权值设置模块设置的权值进行综合计算,得到总权值;
判断模块,用于根据所述权值计算模块计算得到的总权值的大小判断所述待检测软件中含有病毒的概率。
6.根据权利要求5所述的基于行为判断软件是否含有病毒的装置,其特征在于,所述敏感行为信息具体为:所述待检测软件已自动执行或将要自动执行的操作信息。
7.根据权利要求5所述的基于行为判断软件是否含有病毒的装置,其特征在于,所述操作包括以下操作的一种或几种:所述待检测软件自动后台运行、所述待检测软件自动启动、所述待检测软件在安装及运行时使用与通用惯例不符合的名称或标识符、所述待检测软件自动联网、所述待检测软件自动进行蓝牙操作、所述待检测软件自动读取和/或接收和/或发送短信、所述待检测软件自动向SD卡内读出和/或写入数据、所述待检测软件自动获取通讯录信息、所述待检测软件自动获取通话记录信息、所述待检测软件自动调用摄像头和所述待检测软件自动调用麦克风。
8.根据权利要求5所述的基于行为判断软件是否含有病毒的装置,其特征在于,还包括:
显示模块,用于根据所述判断模块判断的所述待检测软件中含有病毒的概率的高低向终端显示对应的提示内容,并当所述判断模块判断的所述概率高于预设极大值时,发出报警信号。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100303518A CN102567674A (zh) | 2012-02-10 | 2012-02-10 | 基于行为判断软件是否含有病毒的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100303518A CN102567674A (zh) | 2012-02-10 | 2012-02-10 | 基于行为判断软件是否含有病毒的方法和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102567674A true CN102567674A (zh) | 2012-07-11 |
Family
ID=46413057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100303518A Pending CN102567674A (zh) | 2012-02-10 | 2012-02-10 | 基于行为判断软件是否含有病毒的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102567674A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN103544435A (zh) * | 2013-10-18 | 2014-01-29 | 广东欧珀移动通信有限公司 | 防止偷拍的方法与装置 |
CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN104469709A (zh) * | 2013-09-13 | 2015-03-25 | 联想(北京)有限公司 | 识别短信的方法及电子设备 |
CN104794051A (zh) * | 2014-01-21 | 2015-07-22 | 中国科学院声学研究所 | 一种Android平台恶意软件自动化检测方法 |
CN104954342A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 一种安全评估方法,及装置 |
CN106375289A (zh) * | 2016-08-29 | 2017-02-01 | 深圳天珑无线科技有限公司 | 一种查找病毒的方法及装置 |
CN106407098A (zh) * | 2015-07-27 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 一种应用程序状态监测方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100642716B1 (ko) * | 2005-08-22 | 2006-11-10 | 이채현 | 에이알피 패킷을 이용한 웜 탐지 방법 및 그 장치 |
CN100557545C (zh) * | 2004-12-31 | 2009-11-04 | 福建东方微点信息安全有限责任公司 | 一种区分有害程序行为的方法 |
CN100595778C (zh) * | 2007-07-16 | 2010-03-24 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置 |
US7950059B2 (en) * | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
-
2012
- 2012-02-10 CN CN2012100303518A patent/CN102567674A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7950059B2 (en) * | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
CN100557545C (zh) * | 2004-12-31 | 2009-11-04 | 福建东方微点信息安全有限责任公司 | 一种区分有害程序行为的方法 |
KR100642716B1 (ko) * | 2005-08-22 | 2006-11-10 | 이채현 | 에이알피 패킷을 이용한 웜 탐지 방법 및 그 장치 |
CN100595778C (zh) * | 2007-07-16 | 2010-03-24 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN102855440B (zh) * | 2012-09-13 | 2015-09-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN104469709A (zh) * | 2013-09-13 | 2015-03-25 | 联想(北京)有限公司 | 识别短信的方法及电子设备 |
CN103544435A (zh) * | 2013-10-18 | 2014-01-29 | 广东欧珀移动通信有限公司 | 防止偷拍的方法与装置 |
CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
CN103839005B (zh) * | 2013-11-22 | 2016-09-28 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
CN104794051A (zh) * | 2014-01-21 | 2015-07-22 | 中国科学院声学研究所 | 一种Android平台恶意软件自动化检测方法 |
CN104954342B (zh) * | 2014-03-31 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 一种安全评估方法,及装置 |
CN104954342A (zh) * | 2014-03-31 | 2015-09-30 | 腾讯科技(深圳)有限公司 | 一种安全评估方法,及装置 |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN106407098A (zh) * | 2015-07-27 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 一种应用程序状态监测方法及装置 |
CN106375289A (zh) * | 2016-08-29 | 2017-02-01 | 深圳天珑无线科技有限公司 | 一种查找病毒的方法及装置 |
CN106375289B (zh) * | 2016-08-29 | 2019-11-15 | 王君 | 一种查找病毒的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102567674A (zh) | 基于行为判断软件是否含有病毒的方法和设备 | |
CN109831420B (zh) | 内核进程权限的确定方法及装置 | |
CN108268771B (zh) | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 | |
US8726387B2 (en) | Detecting a trojan horse | |
KR101609124B1 (ko) | 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치 | |
US9690936B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
CN102663288B (zh) | 病毒查杀方法及装置 | |
RU2573265C2 (ru) | Способ выявления ложных положительных результатов сканирования файлов на вредоносное по | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
WO2018182126A1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
US20130067577A1 (en) | Malware scanning | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
CA2777125C (en) | Using file prevalence to inform agressiveness of behavioral heuristics | |
KR20150044490A (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
KR20150124370A (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
CN112084497A (zh) | 嵌入式Linux系统恶意程序检测方法及装置 | |
CN109727027B (zh) | 账户识别方法、装置、设备及存储介质 | |
US9398032B1 (en) | Apparatus and methods for detecting malicious scripts in web pages | |
JP5832954B2 (ja) | タグ付与装置及びタグ付与方法 | |
KR20100005518A (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
CN102957673A (zh) | 一种信息的处理方法、设备和系统 | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120711 |