CN103207969B - 检测Android恶意软件的装置以及方法 - Google Patents
检测Android恶意软件的装置以及方法 Download PDFInfo
- Publication number
- CN103207969B CN103207969B CN201310127940.2A CN201310127940A CN103207969B CN 103207969 B CN103207969 B CN 103207969B CN 201310127940 A CN201310127940 A CN 201310127940A CN 103207969 B CN103207969 B CN 103207969B
- Authority
- CN
- China
- Prior art keywords
- function
- software
- detected
- order
- invoked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
提供一种检测Android恶意软件的装置及方法。一种检测Android恶意软件的装置包括:Android系统模拟器,在其上执行待检测软件,所述Android系统模拟器中预先设有至少一个预定函数或命令的插桩监控代码,所述插桩监控代码用于截获所述预定函数或命令被调用的调用状态数据;监控数据分析器,用于对截获的所述预定函数或者命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码。
Description
技术领域
本申请涉及一种用于检测Android(安卓)操作系统中恶意软件的装置及方法,尤其涉及一种通过使用设置有插桩监控代码的Android系统模拟器来对Android应用进行安全检测的技术。
背景技术
随着移动互联网的崛起,智能手机的安全问题成为移动互联网行业以及移动互联网用户最为重视的问题之一,开源的Android平台上的安全问题尤为突出。在Android移动应用分发平台领域,如何能够给用户提供安全、放心的应用程序成为在移动互联时代互联网厂商“抢入口”的重要战略能力。
目前业界的Android手机安全产品主要是以手机安全助手这类的应用程序为主。该类应用以APK的形式,被用户下载并安装在Android手机上,从而启动病毒检测和安全防护等作用。
该类产品的病毒检测方式大致如下:
1)手机安全助手被用户下载到自己的手机,并启动。
2)手机安全助手在用户手机系统后台运行,当用户下载别的应用程序时,手机安全助手会分析提取该下载程序的特征码,并与之服务器端保存的特征库中的特征值做比对,如果发现匹配,则直接弹出提示框报知用户,提示刚刚的下载程序是病毒程序。这样用户就可以卸载掉病毒应用,避免受到伤害。
然而,对于没有在特征库中的病毒程序,安全助手只能提供一个人工标注的接口,当用户在受到未检测出的病毒应用伤害后,用户可以利用这个接口给安全助手进行病毒上报,从而安全助手在其服务器端进行特征库更新。这种上报在软件使用过程中遭遇的病毒的方法,以实际使用中遭受安全伤害为前提,对用户造成不便,并且可能对用户的装置安全留下潜在的威胁。
发明内容
本发明的目的在于提供一种用于检测Android恶意软件的装置以及方法,通过在Android系统模拟器中插桩监控以Android系统模拟器作为病毒培养皿,在Android系统模拟器上运行待检测软件时,通过对插桩收集的数据进行分析来确定待测软件是否包含恶意代码,从而可在用户实际使用应用前,前置性地检测恶意的Android软件,有助于最小化用户的Android系统可能遭受的安全危害。
根据本发明的一方面,本发明提供一种检测Android恶意软件的装置,包括:
Android系统模拟器,在其上执行待检测软件,所述Android系统模拟器中设有至少一个预定函数或命令的插桩监控代码,所述插桩监控代码用于截获所述预定函数或命令被调用的调用状态数据;
监控数据分析器,用于对截获的所述预定函数或者命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码。
根据本发明的另一方面,本发明提供一种检测Android恶意软件的方法,包括:
在Android系统模拟器上执行待检测软件;
在所述Android系统模拟器中设有至少一个预定函数或命令的插桩监控代码,所述插桩监控代码用于截获所述预定函数或命令被调用的调用状态数据;
对截获的所述预定函数或命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码。
附图说明
通过下面结合附图进行的描述,本发明的上述和其他目的和特点将会变得更加清楚,其中:
图1是示出根据本发明的示例性实施例的检测Android恶意软件的装置的逻辑框图;
图2是示出根据本发明的示例性实施例的检测Android恶意软件的方法的流程图。
具体实施方式
以下,将参照附图来详细说明本发明的实施例。
本发明提出了一种对Android软件执行前置安全检测的概念。由于Android的开源性特点,在本发明的实施例中,对Android系统模拟器的ROM(Read-Only Memory,只读存储器)执行深度定制,在Android系统模拟器中设置一些与系统安全相关的函数的插桩(Stub),从而进行病毒的培养和观察。其中,所谓插桩是指在程序中插入额外的代码以获得程序在执行时的行为信息,本发明的实施例中以在Android系统模拟器中插入用于执行恶意代码监控的代码为例进行描述。作为一个具体的例子,通过将待检测软件在所述Android系统模拟器上运行,然后通过对插桩截获的各个安全相关的函数的调用状态进行分析,来确定待检测软件是否包含恶意代码。
根据本发明的实施例,对Android系统中预定的类的函数或者预定的命令设置插桩。举例来说,所述预定的类或者命令为与安全相关的类或者命令,这些类或者命令被调用之后可以对用户造成某种程度的损害,比如涉及用户的经济损失、隐私安全、用户体验、系统安全等方面的损害。
这种在Android系统模拟器执行插桩的方式较通常通过Android SDK(软件开发工具包)的API(应用程序接口)设置钩子(HOOK)的方式更为强大、灵活,其不仅可对Android系统的内核对象执行监控,而且可对系统命令的调用进行监控,从而更全面地监控系统运行状态。
图1是示出根据本发明的示例性实施例的检测Android恶意软件的装置的逻辑框图。
参照图1,根据本发明的一个实施例的检测Android恶意软件的装置包括Android系统模拟器110和监控数据分析器140。
本实施例中,在Android系统模拟器110中设有至少一个预定函数或者命令的插桩监控代码,所述插桩监控代码用于截获所述预定函数或命令被调用的调用状态数据。这里所述的预定函数或者预定命令一般与Android系统的安全相关,可以是,但不限于,Android SDK中TelephonyManager、SmsManager、BroadcastReceiver、NotificationManager、PhoneStateListener以及PackageManager中的至少一个类的至少一个函数,所述预定命令包括su超级用户命令。
以TelephonyManager为例,可对其以下的函数设置插桩:
TelephonyManager.getDeviceId()
TelephonyManager.getSubscriberId()
TelephonyManager.getLine1Number()
TelephonyManager.getSubscriberId()
再以SmsManager为例,可对SmsManager.divideMessage()函数设置插桩,以检测该函数是否被调用,或者如果需要的话可以同时监控所述函数的调用参数,对于该函数例如包括目的号码、短信内容等,以确定待检测软件是否试图发送短信来订制损耗话费的服务。
再例如,对BroadcastReceiver中的“android.provider.Telephony.SMS_RECEIVED”动作进行监控,以检测是否有短信被拦截。
再例如,对系统PhoneStateListener进行监听,以检测应用是否有后台打电话。
对PackageManager.installPackage()设置插桩,可检测应用是否试图后台安装程序。
而针对su命令设置插桩可通过检测应用是否试图夺取超级用户权限来实现。
在本实施例中,截获的被调用的调用状态数据包括被调用的函数的函数名或者被调用的命令的命令名,也可以进一步的包括被调用的函数或者命令的参数。其中,被调用的函数或者命令的参数包括参数名和参数的值。举例来说,所述预定函数被调用的调用状态数据包括函数名以及函数参数的个数,并且如果函数参数的个数大于0,则所述调用状态数据还包括各个参数的名称和值。
监控数据分析器140用于对Android系统模拟器中设置的插桩监控代码截获的预定函数被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码。举例来说,如果监控数据分析器140通过对截获的预定函数被调用的调用状态数据进行分析后,发现待检测软件调用su命令来取得超级用户权限,那么就可以确定这种应用可能包含恶意代码;再例如,如果监控数据分析器140通过对截获的预定函数被调用的调用状态数据进行分析后,发现待检测软件调用TelephonyManager中的一些函数取得有关装置或用户的信息,那么就可以确定有使用取得的信息订制损耗话费的服务,也就可以确定待检测软件很可能包含恶意代码。
根据本发明的一个优选实施例,监控数据分析器140可以为每个函数或者命令被调用的调用状态数据设置危险等级,并且根据截获的预定函数或命令的调用状态数据确定待检测软件是否包含恶意代码以及危险等级。例如,监控数据分析器140为su命令的调用设置最高的危险等级,和/或为TelephonyManager类的函数的调用设置中等的危险等级,和/或为NotificationManager类和PackageManager类的方法的调用设置低等的危险等级。举例来说,对于危险等级最高的函数调用,可以直接确定待检测的应用包含恶意代码,对于危险等级中等或者较低的函数调用,可以结合其他因素或者手段进一步地判断待检测的应用是否包含恶意代码。根据本发明的优选实施例,为了模拟用户的操作行为,所述检测Android恶意软件的装置还进一步包括用户行为模拟设置器130。用户行为模拟设置器130用于在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置待模拟的用户行为参数。举例来说,用户行为模拟设置器130可通过Android的测试工具monkey来设置用户行为参数,例如触摸事件百分比、导航事件百分比以及固定延迟等。例如,可通过运行以下命令来设置用户行为参数:
adb shell monkey--pct-touch45--pct-motion20--pct-majornav10--pct-appswitch15--pct-anyevent10--throttle500–p$packagename100000
其中,--pct-touch用于调整触摸事件的百分比,--pct-motion用于调整动作事件的百分比,--pct-majornav用于调整“主要”导航事件的百分比,--pct-appswitch用于调整启动Activity的百分比,--pct-anyevent用于调整其它类型事件的百分比,--throttle用于在事件之间插入固定延迟,–p用于指定一个或几个包。
根据本发明的优选实施例,为了更好地模拟Android系统环境,所述检测Android恶意软件的装置还包括系统状态设置器120,其用于在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置系统属性。根据本发明的示例性实施例,所述设置的装置属性包括IMEI(InternationalMobile Equipment Identification Number,国际移动设备识别码)、IMSI(International Mobile Subscriber Identity,国际移动用户识别码)、移动运营商信息中的至少一个。
此外,软件的病毒或恶意代码通常在系统的某些运行状态下更易触发。因此,根据本发明的优选实施例,系统状态设置器120在待检测软件被执行前或在待检测软件被执行期间,还可以对Android系统模拟器设置以下状态或状态改变当中的至少一个:开机自启动、发送短信、接收短信、通话状态、信号强度改变、网络连接状态改变、屏幕开启或锁屏、地理位置改变、电池状态改变和横竖屏切换。举例来说,可使用echo命令对Android系统模拟器的控制接口发送用于触发特定运行状态的触发指令。以下是一些命令示例:
‐屏幕解锁
echo“event send EV_KEY:KEY_MENU:1EV_KEY:KEY_MENU:0”|nclocalhost5554;
‐长按home键
echo“event send EV_KEY:KEY_HOME:1”|nc localhost5554;
‐接收短信
echo“sms send<phonenumber><text message>”|nc localhost 5554;
‐来电
echo“gsm call<phonenumber>”|nc localhost 5554;
‐来电接通
echo“gsm accept<phonenumber>”|nc localhost 5554;
‐结束来电
echo“gsm cancel<phonenumber>”|nc localhost 5554;
‐修改信号强度和误码率
echo“gsm signal<rssi>[<ber>]”|nc localhost 5554;
‐改变电池交流电充电状态,充电状态->不充电状态
echo“power ac off”|nc localhost 5554;
‐改变电池交流电充电状态,不充电状态->充电状态
echo“power ac on”|nc localhost 5554;
‐网络环境切换至GSM/CSD
echo“network speed gsm”|nc localhost 5554;
‐无网络延迟
echo“network delay none”|nc localhost 5554;
‐调整最小延迟150ms,最大延迟550ms(GPRS)
echo“network delay gprs”|nc localhost 5554;
‐调整最小延迟80ms,最大延迟400ms(EDGE/EGPRS)
echo“network delay edge”|nc localhost 5554;
‐改变网络连接状态:无可用网络
echo“gsm data unregistered”|nc localhost 5554;
‐改变网络连接状态:处于本地网,无漫游
echo“gsm data home”|nc localhost 5554;
‐地理位置改变:通过经纬度设定位置
echo“geo fix<longitude><latitude>[<altitude>[<satellites>]]”|nclocalhost 5554。
举例来说,本发明实施例中用于检测Android恶意软件的装置的功能可以以web服务的形式来提供,或者也可以通过网络的服务器端、云端来提供。举例来说,监控数据分析器140在确定待检测软件是否包含恶意代码后,所述装置将待检测软件是否包含恶意代码的结果发送给web服务的请求方或者相应的客户端(与服务器连接的客户端)。作为一个例子,是否包含恶意代码的结果除了被检测的应用是否包括恶意代码之外,在包括恶意代码的情况下还包括恶意代码的危险等级。
图2是示出根据本发明的示例性实施例的检测Android恶意软件的方法的流程图。
参照图2,在S210,在Android系统模拟器上执行待检测软件,在所述Android系统模拟器中预先设有至少一个预定函数或命令的插桩监控代码,所述插桩监控代码用于截获所述预定函数或命令被调用的调用状态数据。
根据本发明的示例性实施例,预定函数或者预定命令一般与Android系统的安全相关,可以是,但不限于,Android SDK中TelephonyManager、SmsManager、BroadcastReceiver、NotificationManager、PhoneStateListener以及PackageManager中的至少一个类的至少一个函数,所述预定命令包括su超级用户命令。
以TelephonyManager为例,可对其以下的函数设置插桩:
TelephonyManager.getDeviceId()
TelephonyManager.getSubscriberId()
TelephonyManager.getLine1Number()
TelephonyManager.getSubscriberId()
再以SmsManager为例,可对SmsManager.divideMessage()函数设置插桩,以检测该函数是否被调用,或者如果需要的话可以同时监控所述函数的调用参数,对于该函数例如包括目的号码、短信内容等,以确定待检测软件是否试图发送短信来订制损耗话费的服务。
再例如,对BroadcastReceiver中的“android.provider.Telephony.SMS_RECEIVED”动作进行监控,以检测是否有短信被拦截。
再例如,对系统PhoneStateListener进行监听,以检测应用是否有后台打电话。
对PackageManager.installPackage()设置插桩,可检测应用是否试图后台安装程序。
而针对su命令设置插桩可通过检测应用是否试图夺取超级用户权限来实现。
在本实施例中,截获的被调用的调用状态数据包括被调用的函数的函数名或者被调用的命令的命令名,也可以进一步的包括被调用的函数或者命令的参数。其中,被调用的函数或者命令的参数包括参数名和参数的值。举例来说,所述预定函数被调用的调用状态数据包括函数名以及函数参数的个数,并且如果函数参数的个数大于0,则所述调用状态数据还包括各个参数的名称和值。
在S220,对截获的所述预定函数或命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码。
举例来说,如果通过对截获的预定函数被调用的调用状态数据进行分析后,发现待检测软件调用su命令来取得超级用户权限,那么就可以确定这种应用可能包含恶意代码;再例如,如果通过对截获的预定函数被调用的调用状态数据进行分析后,发现待检测软件调用TelephonyManager中的一些函数取得有关装置或用户的信息,那么就可以确定有使用取得的信息订制损耗话费的服务,也就可以确定待检测软件很可能包含恶意代码。
根据本发明的一个优选实施例,可以为每个函数或者命令被调用的调用状态数据设置危险等级,并且根据截获的预定函数或命令的调用状态数据确定待检测软件是否包含恶意代码以及危险等级。例如,为su命令的调用设置最高的危险等级,和/或为TelephonyManager类的函数的调用设置中等的危险等级,和/或为NotificationManager类和PackageManager类的方法的调用设置低等的危险等级。举例来说,对于危险等级最高的函数调用,可以直接确定待检测的应用包含恶意代码,对于危险等级中等或者较低的函数调用,可以结合其他因素或者手段进一步地判断待检测的应用是否包含恶意代码。根据本发明的示例性实施例,在待检测软件被执行前或在待检测软件被执行期间,还可以对Android系统模拟器设置待模拟的用户行为参数。对于具体如何对Android系统模拟器设置待模拟的用户行为参数,和在本发明的装置实施例中描述的设置待模拟的用户行为参数的方式是一样的,在此不再赘述。
根据本发明的示例性实施例,在待检测软件被执行前或在待检测软件被执行期间,还可以对Android系统模拟器设置系统属性。对于具体如何对Android系统模拟器设置系统属性,和在本发明的装置实施例中描述的设置Android系统模拟器系统属性的方式是一样的,在此不再赘述。
根据本发明的优选实施例,所述方法以web服务的形式被提供,或者在网络的服务器端或云端被提供。
根据本发明的优选实施例,所述的方法还包括:将确定待检测软件是否包含恶意代码的结果发送给web服务的请求方或者相应的客户端。
本发明上述实施例所描述的检测Android恶意软件的方法可以由本发明上述实施例所描述的检测Android恶意软件的装置来执行。
通过上述参照附图对本发明的示例性实施例的描述可以看出,本发明的检测Android恶意软件的装置和方法在Android系统模拟器中对与安全相关的至少一个函数或者命令设置插桩,通过在所述Android系统模拟器上运行待检测的软件来采集安全相关的函数或命令的调用状态数据,来确定待检测软件是否包含恶意代码,从而在正式使用所述Android软件之前对软件的安全性提前进行预防性的检测,尽可能降低所述软件对Android系统造成安全威胁的机会。
需要指出,根据实施的需要,可将本申请中描述的各个步骤拆分为更多步骤,也可将两个或多个步骤或者步骤的部分操作组合成新的步骤,以实现本发明的目的。
上述根据本发明的方法和装置可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的处理方法。此外,当通用计算机访问用于实现在此示出的处理的代码时,代码的执行将通用计算机转换为用于执行在此示出的处理的专用计算机。
尽管已参照优选实施例表示和描述了本发明,但本领域技术人员应该理解,在不脱离由权利要求限定的本发明的精神和范围的情况下,可以对这些实施例进行各种修改和变换。
Claims (22)
1.一种检测Android恶意软件的装置,包括:
Android系统模拟器,在其上执行待检测软件,所述Android系统模拟器中对Android系统中的至少一个安全相关函数或命令设有插桩监控代码,其中,所述插桩监控代码用于截获所述安全相关函数或命令被调用的调用状态数据的插桩监控代码;
监控数据分析器,用于对截获的所述安全相关函数或者命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码;
系统状态设置器,用于在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置以下状态或状态改变当中的至少一个:开机自启动、发送短信、接收短信、通话状态、信号强度改变、网络连接状态改变、屏幕开启或锁屏、地理位置改变、电池状态改变和横竖屏切换,
其中,所述安全相关函数或者命令被调用的调用状态数据包括所述被调用的函数的函数名或者被调用的命令的命令名。
2.如权利要求1所述的装置,其特征在于,所述安全相关函数或命令被调用的调用状态数据还包括所述被调用的函数或者命令的参数。
3.如权利要求1或2所述的装置,其特征在于,所述安全相关函数包括Android SDK中TelephonyManager、SmsManager、BroadcastReceiver、NotificationManager、PhoneStateListener以及PackageManager中的至少一个类的至少一个函数,所述安全相关命令包括su超级用户命令。
4.如权利要求1或2所述的装置,其特征在于,所述监控数据分析器为函数或命令的调用状态数据设置危险等级,并且根据截获的函数或命令被调用的调用状态数据确定待检测软件是否包含恶意代码以及恶意代码的危险等级。
5.如权利要求4所述的装置,其特征在于,所述监控数据分析器为函数或命令的调用状态数据设置危险等级具体包括:
将su超级命令的调用设置为最高危险等级;
和/或将TelephonyManager类的函数的调用设置为中等危险等级;
和/或将NotificationManager类和PackageManager类的函数的调用设置为低等的危险等级。
6.如权利要求1或2所述的装置,还包括:用户行为模拟设置器,用于在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置待模拟的用户行为参数。
7.如权利要求6所述的装置,其特征在于,用户行为模拟设置器设置的用户行为参数包括触摸事件百分比、导航事件百分比以及固定延迟。
8.如权利要求1或2所述的装置,其特征在于,系统状态设置器还在待检测软件被执行前或在待检测软件被执行期间,对所述Android系统模拟器设置系统属性。
9.如权利要求8所述的装置,其特征在于,所述设置的系统属性包括IMEI、IMSI、移动运营商信息中的至少一个。
10.如权利要求1所述的装置,其特征在于,所述装置的功能以web服务的形式被提供,或者在网络的服务器端或云端被提供。
11.如权利要求1所述的装置,其特征在于,所述装置将确定待检测软件是否包含恶意代码的结果发送给web服务的请求方或者相应的客户端。
12.一种检测Android恶意软件的方法,包括:
在Android系统模拟器上执行待检测软件,其中,在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置以下状态或状态改变当中的至少一个:开机自启动、发送短信、接收短信、通话状态、信号强度改变、网络连接状态改变、屏幕开启或锁屏、地理位置改变、电池状态改变和横竖屏切换;
在所述Android系统模拟器中对Android系统中的至少一个安全相关函数或命令设有插桩监控代码,其中,所述插桩监控代码用于截获所述安全相关函数或命令被调用的调用状态数据的插桩监控代码;
对截获的所述安全相关函数或命令被调用的调用状态数据进行分析,以确定待检测软件是否包含恶意代码,
其中,所述安全相关函数或者命令被调用的调用状态数据包括所述被调用的函数的函数名或者被调用的命令的命令名。
13.如权利要求12所述的方法,其特征在于,所述安全相关函数或命令被调用的调用状态数据还包括所述被调用的函数或者命令的参数。
14.如权利要求12或13所述的方法,其特征在于,所述安全相关函数包括Android SDK中TelephonyManager、SmsManager、BroadcastReceiver、NotificationManager、PhoneStateListener以及PackageManager中的至少一个类的至少一个函数,所述安全相关命令包括su超级用户命令。
15.如权利要求12或13所述的方法,其特征在于,所述方法进一步包括:
为函数或命令的调用状态数据设置危险等级,并且根据截获的函数或命令被调用的调用状态数据确定待检测软件是否包含恶意代码以及恶意代码的危险等级。
16.如权利要求15所述的方法,其特征在于,所述为函数或命令的调用状态数据设置危险等级具体包括:
将su超级命令的调用设置为最高危险等级;
和/或将TelephonyManager类的函数的调用设置为中等危险等级;
和/或将NotificationManager类和PackageManager类的函数的调用设置为低等的危险等级。
17.如权利要求12或13所述的方法,还包括:在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置待模拟的用户行为参数。
18.如权利要求17所述的方法,其特征在于,设置的用户行为参数包括触摸事件百分比、导航事件百分比以及固定延迟。
19.如权利要求12或13所述的方法,还包括:在待检测软件被执行前或在待检测软件被执行期间,对Android系统模拟器设置系统属性。
20.如权利要求19所述的方法,其特征在于,所述设置的系统属性包括IMEI、IMSI、移动运营商信息中的至少一个。
21.如权利要求12所述的方法,其特征在于,所述方法以web服务的形式被提供,或者在网络的服务器端或云端被提供。
22.如权利要求12所述的方法,还包括:将确定待检测软件是否包含恶意代码的结果发送给web服务的请求方或者相应的客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310127940.2A CN103207969B (zh) | 2013-04-12 | 2013-04-12 | 检测Android恶意软件的装置以及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310127940.2A CN103207969B (zh) | 2013-04-12 | 2013-04-12 | 检测Android恶意软件的装置以及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103207969A CN103207969A (zh) | 2013-07-17 |
CN103207969B true CN103207969B (zh) | 2016-10-05 |
Family
ID=48755186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310127940.2A Active CN103207969B (zh) | 2013-04-12 | 2013-04-12 | 检测Android恶意软件的装置以及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103207969B (zh) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104424403B (zh) * | 2013-08-30 | 2018-07-03 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN103473488B (zh) * | 2013-09-18 | 2016-04-06 | 浙江大学城市学院 | 一种android应用程序防盗版的方法及系统 |
CN103530559A (zh) * | 2013-09-27 | 2014-01-22 | 北京理工大学 | 一种Android系统的完整性保护系统 |
CN103685251B (zh) * | 2013-12-04 | 2016-08-17 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
CN103677956B (zh) * | 2013-12-06 | 2017-05-31 | 北京奇虎科技有限公司 | 一种在计算设备上模拟移动设备应用运行的方法和装置 |
CN104700031B (zh) * | 2013-12-06 | 2019-12-13 | 腾讯科技(深圳)有限公司 | 防止应用操作中远程代码被执行的方法、装置及系统 |
CN103778012B (zh) * | 2014-01-23 | 2017-01-04 | 北京奇虎科技有限公司 | 更改终端运营商信息的方法及装置 |
CN104092579B (zh) * | 2014-02-12 | 2016-06-08 | 腾讯科技(深圳)有限公司 | 网络类型的模拟方法及装置 |
CN103824004A (zh) * | 2014-02-26 | 2014-05-28 | 可牛网络技术(北京)有限公司 | 应用程序的保护方法和装置 |
CN105335654B (zh) * | 2014-06-27 | 2018-12-14 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
US10339303B2 (en) | 2015-01-22 | 2019-07-02 | Mcafee, Llc | Detection of malicious invocation of application program interface calls |
CN104715195B (zh) * | 2015-03-12 | 2017-11-03 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测系统及方法 |
CN104834859B (zh) * | 2015-04-24 | 2018-04-10 | 南京邮电大学 | 一种Android应用中恶意行为的动态检测方法 |
CN105550581B (zh) * | 2015-12-10 | 2018-09-25 | 北京奇虎科技有限公司 | 一种恶意代码检测方法及装置 |
CN105956424A (zh) * | 2016-04-25 | 2016-09-21 | 中山市天启智能科技有限公司 | 一种apk安装权限控制的方法 |
CN106708598B (zh) * | 2016-07-29 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 病毒分析环境搭建方法及装置 |
CN106357670A (zh) * | 2016-10-17 | 2017-01-25 | 成都知道创宇信息技术有限公司 | 基于模拟器的安卓应用服务端Web漏洞检测方法 |
CN107992747A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 加壳应用的恶意行为检测方法和系统 |
CN107038378B (zh) * | 2016-11-14 | 2018-06-26 | 平安科技(深圳)有限公司 | 应用软件安全漏洞检测方法和系统 |
CN106815058B (zh) * | 2016-12-08 | 2020-11-03 | 同盾控股有限公司 | 一种模拟器的识别方法和系统 |
CN108229165A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种恶意代码检测环境模拟方法及系统 |
CN106991038A (zh) * | 2017-04-07 | 2017-07-28 | 广东亿迅科技有限公司 | 基于java采集器的服务监控方法及装置 |
CN109634695B (zh) * | 2017-10-09 | 2022-02-08 | 武汉斗鱼网络科技有限公司 | 一种sdk界面自动适配软件横竖屏的方法及装置 |
CN108549600A (zh) * | 2018-03-29 | 2018-09-18 | 珠海市魅族科技有限公司 | 一种性能分析方法及装置、服务器和可读存储介质 |
CN109933986B (zh) * | 2019-03-08 | 2022-02-15 | 北京椒图科技有限公司 | 恶意代码检测方法及装置 |
CN112580024B (zh) * | 2019-09-30 | 2023-08-01 | 奇安信安全技术(珠海)有限公司 | 虚拟机的模拟方法及装置、存储介质、计算机设备 |
CN110990221A (zh) * | 2019-11-26 | 2020-04-10 | 武汉大学 | 基于内核LKM的Android平台恶意软件自动化检测方法与系统 |
CN111221733A (zh) * | 2020-01-06 | 2020-06-02 | 北京小米移动软件有限公司 | 信息处理方法、装置、移动终端及存储介质 |
WO2021142720A1 (zh) * | 2020-01-16 | 2021-07-22 | 上海卓悠网络科技有限公司 | 一种在Android系统中提供沙盒环境保护用户隐私的方法 |
CN111353149A (zh) * | 2020-02-20 | 2020-06-30 | 广东天波信息技术股份有限公司 | 一种安卓系统的root权限实时检测方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
US7376970B2 (en) * | 2004-02-20 | 2008-05-20 | Microsoft Corporation | System and method for proactive computer virus protection |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7370360B2 (en) * | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
-
2013
- 2013-04-12 CN CN201310127940.2A patent/CN103207969B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7376970B2 (en) * | 2004-02-20 | 2008-05-20 | Microsoft Corporation | System and method for proactive computer virus protection |
CN1961272A (zh) * | 2004-06-29 | 2007-05-09 | 英特尔公司 | 通过沙箱技术改进计算机安全性的方法 |
CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
Non-Patent Citations (1)
Title |
---|
基于Android平台的恶意代码行为分析研究;李寅;《中国优秀硕士学位论文全文数据库 信息科技辑》;20130115(第01期);第53页,第57-58页 * |
Also Published As
Publication number | Publication date |
---|---|
CN103207969A (zh) | 2013-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103207969B (zh) | 检测Android恶意软件的装置以及方法 | |
CN102752730B (zh) | 消息处理的方法及装置 | |
CN102209326B (zh) | 基于智能手机无线电接口层的恶意行为检测方法及系统 | |
CN103617387B (zh) | 一种防止自动安装应用程序的方法及装置 | |
CN106294102B (zh) | 应用程序的测试方法、客户端、服务器及系统 | |
CN103577750B (zh) | 隐私权限管理方法和装置 | |
CN104715195A (zh) | 基于动态插桩的恶意代码检测系统及方法 | |
CN109635523B (zh) | 应用程序检测方法、装置及计算机可读存储介质 | |
CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
CN102082802A (zh) | 一种基于行为的移动终端的安全防护系统和方法 | |
CN102810143A (zh) | 基于Android平台手机应用程序的安全检测系统及方法 | |
CN104244281A (zh) | 基站的检测方法和装置 | |
WO2006138123A2 (en) | Apparatus and methods for detection and management of unauthorized executable instructions on a wireless device | |
CN107315952A (zh) | 用于确定应用程序可疑行为的方法和装置 | |
CN103716785A (zh) | 一种移动互联网安全服务系统 | |
CN107330332A (zh) | 一种针对安卓手机app的漏洞检测方法 | |
CN108768960A (zh) | 病毒检测方法、装置、存储介质及计算机设备 | |
CN108965251B (zh) | 一种云端结合的安全手机防护系统 | |
CN105095753B (zh) | 广播安全检测方法、装置 | |
CN108062475A (zh) | 一种恶意代码识别装置及方法 | |
CN111813627A (zh) | 应用审计方法、装置、终端、系统及可读存储介质 | |
CN108197475A (zh) | 一种恶意so模块检测方法及相关装置 | |
CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
CN108959092B (zh) | 软件行为分析方法及系统 | |
CN110069922A (zh) | 一种系统界面劫持检测方法、装置及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |