CN103096320B - 移动终端恶意软件的分析方法和装置 - Google Patents
移动终端恶意软件的分析方法和装置 Download PDFInfo
- Publication number
- CN103096320B CN103096320B CN201110339489.1A CN201110339489A CN103096320B CN 103096320 B CN103096320 B CN 103096320B CN 201110339489 A CN201110339489 A CN 201110339489A CN 103096320 B CN103096320 B CN 103096320B
- Authority
- CN
- China
- Prior art keywords
- doubtful
- software
- mobile terminal
- sample
- software sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了移动终端恶意软件的分析方法和装置。根据本申请的实施方案,移动终端恶意软件的分析方法可包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。
Description
技术领域
本申请涉及移动终端恶意软件的分析方法和装置。
背景技术
随着移动终端互联网的迅速发展,智能移动终端的增多,移动终端上相应的恶意代码威胁也逐渐增多。移动终端的恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题,给客户利益带来极大危害,也给通信运营商带来不利影响。
在目前主流的移动终端恶意软件中,很多的恶意软件都存在主动的网络连接行为。通过网络连接,恶意软件可与远程控制服务器进行连接,下载和传播新的恶意代码,也可以接受远程服务器的指令进而触发相应的恶意行为。另外,频繁的网络连接也造成了大量的无意义的网络流量,对网关设备造成了冲击。
针对移动终端的恶意软件,可对采集的疑似样本进行恶意行为分析,提取特征码更新特征库。目前针对手机恶意软件的分析,主要可采用的手段有:对恶意软件进行静态分析,即,通过解析具体的逻辑,特殊字符串,导入导出函数表,签名证书等信息来进行分析;在PC机上对恶意软件进行养殖,通过进行网络抓包,分析其恶意行为。
由于静态分析通常采用反汇编或反编译进行,因此计算量较大。而对于在PC机上养殖恶意软件的动态分析,由于PC机与例如手机等的移动终端的通信方式存在区别,导致通过传统的网络抓包进行分析也存在困难。因此,上述分析方法的效率和准确率较低。
发明内容
为了解决现有移动终端恶意软件的分析效率和准确率较低的问题,本申请提出了一种移动终端恶意软件的分析方法和装置。
根据本申请的一个方面,提出了一种移动终端恶意软件的分析方法,可包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
根据本申请的另一个方面,提出了一种移动终端恶意软件的分析方法,可包括:在移动终端中运行疑似软件样本,记录所述疑似软件样本执行的可疑行为;若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。
根据本申请的又一个方面,提出了一种移动终端恶意软件的分析装置,可包括:解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;触发模块,在移动终端运行所述疑似软件样本期间,根据解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为;以及判断模块,根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
根据本申请的再一个方面,提出了一种移动终端恶意软件的分析装置,可包括:记录模块,在移动终端运行疑似软件样本期间,记录所述疑似软件样本执行的可疑行为;加密处理模块,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则所述加密处理模块记录待发送数据的明文信息;以及判断模块,根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。
根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。
附图说明
图1是根据本申请一个实施方案的移动终端恶意软件的分析方法的流程图;
图2是根据本申请另一实施方案的移动终端恶意软件的分析方法的流程图;
图3是根据本申请一个实施方案的移动终端恶意软件的分析装置的框图;
图4是根据本申请另一个实施方案的移动终端恶意软件的分析装置的框图;
图5是根据本申请又一实施方案的移动终端恶意软件的分析装置的框图;以及
图6是根据本申请再一实施方案的移动终端恶意软件的分析装置的框图。
具体实施方式
下面参照附图,对本申请的实施方案进行详细说明。
在本申请中,移动终端可以是使用移动通信网络的手机终端、pad终端等。
如图1所示,在根据本申请一个实施方案的移动终端恶意软件的分析方法中,可首先对疑似软件样本进行解析,以获取该疑似软件样本执行可疑行为的触发条件(步骤S1002)。可以理解,可通过反编译或反汇编的方式解析疑似软件样本,但是,该解析步骤并不是对疑似软件样本进行完全的逆向分析,而仅采用自动化分析,获取触发条件。在本申请的实施方案中,疑似软件样本执行可疑行为的触发条件指的是疑似软件样本在满足某些触发条件时(如连接到网络、位置变更、信号变化、接收到短信、开机启动等)便能够执行可能具有恶意目的的可疑行为(例如网络访问、位置信息获取、短信发送、短信拦截、进程终止、通讯录访问等)。可以理解,该解析步骤所针对的触发条件可预先设定,并可根据技术发展进行增加或修改。
为了对疑似软件样本进行分析,可在移动终端中运行该疑似软件样本,换言之,将移动终端作为疑似软件样本养殖环境。在疑似软件样本运行期间,根据步骤S1002中获取的触发条件,触发疑似软件样本执行可疑行为(步骤S1004)。之后,根据所述疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。
根据本申请的一个实施方案,步骤S1002中获取的触发条件可包括,运行疑似软件样本的移动终端的信号变化(例如,网络信号的增强或减弱等)、网络连接变化、接收短信和/或接收彩信。例如,可在移动终端的连接网络或断开网络、或者接收到特定内容短信时触发疑似软件样本执行某些可疑行为。根据一个具体实施例,在步骤S1002中,可通过解析疑似软件样本的配置文件,获取触发条件。
由于获取了触发条件,因此在步骤S1004中,可根据所获取的触发条件,有针对性地满足触发条件,以触发疑似软件样本执行可疑行为。例如,可通过控制移动终端的信号变化、控制移动终端网络连接或断开,向移动终端发送短信或彩信等,来触发疑似软件样本执行对应的可疑行为。这样,可提高获取疑似软件样本执行可疑行为的效率,从而提高分析效率。
在步骤S1006中,可根据疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。在一个实施例中,可设定步骤S1004执行的时间周期,例如,24-48小时,也有可能1周等,步骤S1006根据步骤S1004执行预定时间周期所获取的可疑行为进行是否为恶意软件的判断。
根据一个实施例,可预设可疑行为的数据库,在步骤S1006中,将获取的可疑行为与该数据库的内容进行比对,从而判断执行这些可疑行为的疑似软件样本是否为恶意软件。
根据本申请的实施方案,在如图1所示的步骤S1004触发疑似软件样本执行可疑行为之后,还可进一步判断可疑行为是否是采用加密通信协议的通信行为,或是否是发送加密数据的通信行为。若是,则在执行该可疑行为之前,记录待发送数据的明文信息。
可以理解,若疑似软件样本执行的可疑行为是采用加密通信协议(如https等)的通信行为,或是发送加密数据的通信行为,例如,对敏感数据信息加密后发送,则会增加分析可疑行为的难度,导致准确率下降。根据本申请的该实施方案,可在执行上述加密通信行为之前,记录待发送的数据的明文信息,例如,可插入相关监测代码模块。这样,可结合所记录的待发送数据的明文信息,进行可疑行为的分析,从而可提高分析的准确率。
图2示出了根据本申请另一实施方案的移动终端恶意软件的分析方法。
如图2所示,首先在步骤S2002中,在移动终端中运行疑似软件样本,并疑似软件样本执行的可疑行为。然后,在步骤S2004中,判断可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则在执行该通信行为之前,记录待发送数据的明文信息。之后在步骤S2006中,根据步骤S2002中记录的可疑行为和步骤S2004中记录的明文信息,判断该疑似软件样本是否为恶意软件。
如上所述,若疑似软件样本执行的可疑行为是采用加密通信协议或发送加密数据的通信行为,则会降低分析的准确率。而根据本申请的实施方案,可结合明文信息和可疑行为,分析疑似软件样本是否是恶意软件,因此可提高分析的准确率。
为了进一步提高疑似软件样本的分析效率,可在图2所示方法的基础上增加根据触发条件触发疑似软件样本执行可疑行为。具体而言,可在图2所示的步骤S2002之前,对疑似软件样本进行解析,以获取该疑似软件样本执行可疑行为的触发条件。这样,在步骤S2002中,可根据所获取的触发条件,通过满足触发条件的方式,有针对性地触发疑似软件样本执行可疑行为。
类似地,获取的触发条件可包括,运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。
下面参照图3至图6,描述根据本申请的移动终端恶意软件的分析装置。
如图3所示,根据一个实施方案的移动终端恶意软件的分析装置30可包括解析模块302、触发模块304以及判断模块306。解析模块302可解析疑似软件样本,获取该疑似软件样本执行可疑行为的触发条件。触发模块304可在移动终端作为养殖环境运行疑似软件样本期间,根据解析模块302所获取的触发条件,触发疑似软件样本执行可疑行为。判断模块306则可根据疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。
由于可根据解析模块302获取的触发条件来触发疑似软件样本执行可疑行为,因此提高分析疑似软件样本的分析效率。
根据一个实施例,解析模块302所获取的触发条件可包括:运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。
图4示出了根据另一个实施方案的移动终端恶意软件的分析装置40。该移动终端恶意软件的分析装置40可包括解析模块402、触发模块404、判断模块406以及加密处理模块408,其中,解析模块402和触发模块404与参照图3所示的装置30中的解析模块302和触发模块304类似,此处不再赘述。
在图4中,加密处理模块408可在触发模块402触发疑似软件样本执行可疑行为之后,判断某可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则所述加密处理模块记录待发送数据的明文信息。这时,判断模块408则可根据疑似软件样本执行的可疑行为和加密处理模块408所记录的明文信息,判断疑似软件样本是否为恶意软件。
根据图4所示的移动终端恶意软件的分析装置,可进一步提高分析的准确率。
图5示出了根据本申请实施方案的移动终端恶意软件的分析装置50。该分析装置50可包括记录模块502、加密处理模块504和判断模块506。记录模块502可在移动终端运行疑似软件样本期间,记录疑似软件样本执行的可疑行为。加密处理模块504可在所述可疑行为是采用加密通信协议或发送加密数据的通信行为时,记录待发送数据的明文信息。判断模块506则可根据记录模块502记录的可疑行为和加密处理模块504记录的明文信息,判断疑似软件样本是否为恶意软件。
通过图5所示的移动终端恶意软件的分析装置50,可提高对移动终端恶意软件进行分析的准确率。
图6示出了根据本申请实施方案的移动终端恶意软件的分析装置60。该分析装置60可包括记录模块602、加密处理模块604、判断模块606、解析模块608和触发模块610。解析模块608可解析疑似软件样本,获取该疑似软件样本执行可疑行为的触发条件,而触发模块610可在移动终端运行所述疑似软件样本期间,根据解析模块608获取的触发条件,触发疑似软件样本执行可疑行为。可以理解,在本实施方案中,记录模块602记录的可疑行为是经触发模块610触发后疑似软件样本所执行的可疑行为,加密处理模块604仍判断可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则记录待发送数据的明文信息。判断模块606与图5所示的判断模块506类似,可根据记录模块602记录的可疑行为和加密处理模块604记录的明文信息,判断疑似软件样本是否为恶意软件。
根据一个实施例,解析模块608所获取的触发条件可包括:运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。
由于可根据解析模块608获取的触发条件来触发疑似软件样本执行可疑行为,因此提高了分析疑似软件样本的分析效率。
以上参照附图对本申请的示例性的实施方案进行了描述。本领域技术人员应该理解,上述实施方案仅仅是为了说明的目的而所举的示例,而不是用来进行限制。凡在本申请的教导和权利要求保护范围下所作的任何修改、等同替换等,均应包含在本申请要求保护的范围内。
Claims (4)
1.移动终端恶意软件的分析方法,包括:
解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;
在移动终端中运行疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;
记录所述疑似软件样本执行的可疑行为;
若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及
根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。
2.如权利要求1所述的方法,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
3.移动终端恶意软件的分析装置,包括:
解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;
触发模块,在移动终端运行所述疑似软件样本,根据所述解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为;
记录模块,在移动终端运行疑似软件样本期间,记录所述疑似软件样本执行的可疑行为;
加密处理模块,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则所述加密处理模块记录待发送数据的明文信息;以及
判断模块,根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。
4.如权利要求3所述的装置,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110339489.1A CN103096320B (zh) | 2011-11-01 | 2011-11-01 | 移动终端恶意软件的分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110339489.1A CN103096320B (zh) | 2011-11-01 | 2011-11-01 | 移动终端恶意软件的分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103096320A CN103096320A (zh) | 2013-05-08 |
| CN103096320B true CN103096320B (zh) | 2016-08-10 |
Family
ID=48208335
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110339489.1A Active CN103096320B (zh) | 2011-11-01 | 2011-11-01 | 移动终端恶意软件的分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103096320B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10050798B2 (en) * | 2015-02-06 | 2018-08-14 | Mitsubishi Electric Corporation | Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program |
| CN110858837B (zh) * | 2018-08-24 | 2022-09-06 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102012988A (zh) * | 2010-12-02 | 2011-04-13 | 张平 | 自动二进制恶意代码行为分析方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100454909C (zh) * | 2006-07-04 | 2009-01-21 | 华为技术有限公司 | 一种即时通信中信息过滤和保密的方法和装置 |
| US8566943B2 (en) * | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
-
2011
- 2011-11-01 CN CN201110339489.1A patent/CN103096320B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101959193A (zh) * | 2010-09-26 | 2011-01-26 | 宇龙计算机通信科技(深圳)有限公司 | 一种信息安全检测方法及移动终端 |
| CN102012988A (zh) * | 2010-12-02 | 2011-04-13 | 张平 | 自动二进制恶意代码行为分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| Automatically Identifying Trigger-based Behavior in malware;David Brumley;《Botnet Analysis and Defense》;20071231;第1页第1段-第2页第1段,第5页第4段-第8页第2段 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103096320A (zh) | 2013-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5518829B2 (ja) | 無線デバイス上の未認証の実行可能命令を検出及び管理するための装置及び方法 | |
| CN103780457B (zh) | 一种基于边界检测的移动智能终端安全检测方法 | |
| Chen et al. | Bookworm game: Automatic discovery of lte vulnerabilities through documentation analysis | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| CN107018001B (zh) | 一种应用故障定位方法及装置 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| CN103428183A (zh) | 恶意网址的识别方法和装置 | |
| CN103442361B (zh) | 移动应用的安全性检测方法及移动终端 | |
| CN106156611A (zh) | 智能手机应用程序的动态分析方法及系统 | |
| CN104640138B (zh) | 一种定位问题终端的方法及装置 | |
| CN113825129B (zh) | 一种5g网络环境下工业互联网资产测绘方法 | |
| CN103905423A (zh) | 一种基于动态行为分析的有害广告件检测方法及系统 | |
| CN106998554B (zh) | 一种伪基站的识别方法及装置 | |
| CN113271299B (zh) | 一种登录方法和服务器 | |
| CN103096320B (zh) | 移动终端恶意软件的分析方法和装置 | |
| Shi et al. | The penetration testing framework for large-scale network based on network fingerprint | |
| CN104580652B (zh) | 移动终端及其基于dtmf的会话认证方法 | |
| US10699022B1 (en) | Interception of unauthorized communications in an controlled-environment facility | |
| CN103369532B (zh) | 一种移动终端恶意软件行为的黑盒检测方法 | |
| CN103220662B (zh) | 一种应用程序的处理方法和移动终端 | |
| US20150373773A1 (en) | Key Server Utilized in Analyzing Signaling Messages of a Wireless Network | |
| CN102469450B (zh) | 一种手机病毒特征的识别方法及装置 | |
| CN104506599B (zh) | 信息处理的方法、服务器和终端 | |
| US20230037602A1 (en) | Information processing method and apparatus, node device, server and storage medium | |
| CN103944862A (zh) | 广告监管方法及广告监管装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |