CN103312887B - 一种手机应用篡改识别系统、方法及装置 - Google Patents
一种手机应用篡改识别系统、方法及装置 Download PDFInfo
- Publication number
- CN103312887B CN103312887B CN201210579542.XA CN201210579542A CN103312887B CN 103312887 B CN103312887 B CN 103312887B CN 201210579542 A CN201210579542 A CN 201210579542A CN 103312887 B CN103312887 B CN 103312887B
- Authority
- CN
- China
- Prior art keywords
- application
- terms
- application program
- information
- mobile phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种手机应用篡改识别系统,包括:应用采集模块,用于收集和保存各类手机应用程序;应用分析和处理模块,用于对应用采集模块得到的所有手机应用进行静态分析和识别处理,获取所述应用程序的各项信息;应用篡改识别模块,用于对应用程序文件的各项信息进行汇聚,对非白的应用程序文件的各项信息集合与基准信息集合进行差异比对;若都包含在基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文件被篡改。还公开了一种手机应用篡改识别方法。本发明基于大量对白名单手机应用程序提取应用信息特征集合后,能够快速对未知手机应用程序是否被篡改进行有效识别。
Description
技术领域
本发明涉及移动安全领域,尤其涉及一种手机应用篡改识别系统和方法、装置。
背景技术
随着移动互联网的高速发展,移动互联网的终端设备的处理能力和功能不断的增强,移动互联网应用进行高速发展的一个时期。目前Android系统上,已经出现了100多万不同的应用,给人们提供了极大的便利。而由于盗版,破解和篡改捆绑的技术的不断出现,大量的应用被篡改,破解之后被放在网上传播,不仅仅给应用的使用者带来安全隐患和问题,而且还严重损害了开发者的利益,同时大部分破解和篡改的应用都是恶意应用或是会给用户的移动设备带来其他安全隐患的风险应用。
发明内容
基于上述问题,本发明提出了一种手机应用篡改识别系统,应用采集模块来负责应用(手机应用程序)采集,收取手机上的应用,通过进行应用分析和处理模块的分析和处理,将应用对应的信息存储在数据库。应用篡改发现模块根据证书状态库对应用进行篡改发现和识别。最后可以由警告通知和输出模块输出所有识别出的被篡改应用的结果信息。
相应的,本发明还提出了一种手机应用篡改识别方法,包括:
对所有手机应用程序进行静态分析和识别处理,获取所述应用程序的各项信息;
对名称相同而hash值不同的应用程序文件的各项信息进行汇聚,然后对所述手机应用程序的各项信息集合与基准信息集合中包含的各项信息集合进行差异比对;
若所述安全状态为非白的应用程序文件的各项信息的集合的信息都包含在基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文 件被篡改。
相应的,本发明还提供了一种手机应用篡改识别装置,包括分析单元,比对单元和提示单元,可携带基准信息集合数据库用于本地系统,可用于手机客户端和云端服务器。
本发明的有益效果是:
本发明基于大量对白名单手机应用程序提取应用信息特征集合后,能够快速对未知手机应用程序是否被篡改进行有效识别。并且,在判别是否篡改的过程中,还能出现更多安全状态为白的应用,继而可以用于提取基准集合信息。如此不断循环和更替,篡改应用的识别则逐步更为精准。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明手机应用篡改识别系统结构示意图;
图2为本发明手机应用篡改识别方法流程图;
图3为本发明手机应用篡改识别装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
如图1所示,本发明的手机应用篡改识别系统结构示意图,包括:
101、应用采集模块
采集来源可以是各种来源,包括应用商店上报,网络设备采集,蜘蛛爬虫爬取,或者用户上报,等。
102、应用分析和处理模块
应用分析和处理模块102可以采用各种自动化的静态分析方法,通过对应用文件进行自动化的静态分析和识别处理,计算出,Hash,安装包的名称,版 本,证书使用者,证书颁发者,证书公钥,应用的权限,应用的注册代码申明,应用所包含的广告件,应用中可执行文件代码的所有系统函数符号集合,应用中可执行文件的所有用户申明的函数的符号集合,应用中所有函数的代码片段Hash信息。另外,还包括应用程序的安全状态,白、黑、未知三种状态,对于安全文件设置状态为白,有威胁文件设置为黑,本发明主要针对未知安全状态的应用程序进行篡改识别。
103、应用篡改发现模块
应用篡改发现模块103按应用包名进行汇聚,对同包名的所有不同Hash的应用文件的各列的信息进行汇聚,对应用安全状态为白的应用的信息进行聚合,形成一个用于异常发现的基准信息集合,这个大集合中,包含权限集合,注册代码申明集合,广告集合,系统函数符号集合,用户定义符号集合,代码hash集合,构成了一个大集合。
应用篡改识别模块103还用于遍历其它安全状态为非白的应用,进行对每个属性的集合的差异比对,对单列和所有列的差异比对可以采用各种差异比对,匹配识别的算法,包括聚类,分类算法,各种人工智能算法,统计算法,模糊识别算法等等。若发现出现差异,某列的集合中出现信息差异,则判定为发现篡改,若包含,则判定为未发现篡改。
进一步,可以将判断为没有被篡改的应用程序可进一步经过检测分析处理如果无威胁则可将安全状态设为白,则此应用程序的各项信息可继续被基准信息集合使用对未知应用程序的识别做贡献;
如图2所示,为本发明手机应用篡改识别方法流程图,包括:
S201、对所有手机应用程序进行静态分析和识别处理,获取所述应用程序的各项信息;
S202、对名称相同而hash值不同的应用程序文件的各项信息进行汇聚;
S203、对所有安全状态为白的应用程序的各项信息进行聚合得到的所述基准信息集合;
S204、遍历安全状态为非白的手机应用程序的各项信息集合,与基准信息集合中包含的各项信息集合进行差异比对;
若所述安全状态为非白的应用程序文件的各项信息的集合的信息都包含在 基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文件被篡改。
对名称相同而hash值不同的应用程序文件的各项信息进行汇聚之后还包括,
步骤S204之后还包括S205:输出所有识别出的被篡改的应用程序的结果信息。
步骤S204之后还包括:将判断为没有被篡改的应用程序可进一步经过检测分析处理如果无威胁则可将安全状态设为白。
如图3所示,显示了本发明一种手机应用篡改识别装置,包括:
分析单元301,用于对手机中的应用程序进行静态分析和识别处理,获取所述应用程序的各项信息;
比对单元302,用于对所述各项信息进行汇聚形成各项信息集合,与基准信息集合数据库中包含的各项信息集合进行差异比对;若所述应用程序文件的各项信息的集合的信息都包含在基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文件被篡改;所述基准信息集合数据库中包含安全状态为白的应用程序的各项信息集合;
提示单元303,反馈所述被篡改应用程序中的不包含在基准信息集合中的差异信息。
本装置除了将所有单元放置于本地系统之外,还有变形的实现方式,将所述基准信息集合数据库存储于云端服务器,所述比对单元将所述各项信息进行汇聚形成各项信息集合并上传到云端,与基准信息集合数据库中包含的各项信息集合进行差异比对。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (7)
1.一种手机应用篡改识别系统,其特征在于,包括:
应用采集模块,用于收集和保存各类手机应用程序;
应用分析和处理模块,用于对应用采集模块得到的所有手机应用程序进行静态分析和识别处理,获取所述应用程序的各项信息;
所述应用程序的各项信息包括:所述应用程序的hash,名称,版本,证书使用者,证书颁发者,证书公钥,权限,注册代码申明,所包含的广告,可执行文件代码的系统函数符号集合,可执行文件的用户自定义符号集合,函数的代码片段hash,应用程序的安全状态;
应用篡改识别模块,用于对名称相同而hash值不同的应用程序文件的各项信息进行汇聚,对安全状态为非白的应用程序文件的各项信息集合与基准信息集合中包含的各项信息集合进行差异比对;所述基准信息集合是对所有安全状态为白的应用程序的各项信息进行聚合得到的,所述基准信息集合中包含安全状态为白的应用程序的各项信息集合;
所述基准信息集合中包含的各项信息集合包括:权限集合,注册代码申明集合,广告集合,系统函数符号集合,用户定义符号集合,代码片段hash集合;
若所述安全状态为非白的应用程序文件的各项信息的集合的信息都包含在基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文件被篡改。
2.如权利要求1所述的系统,其特征在于,还包括:
警告通知和输出模块,用于输出被识别出的被篡改的应用程序的结果信息。
3.如权利要求1所述的系统,其特征在于,还包括鉴定模块,用于对判断为没有被篡改的应用程序进行安全状态检测后设置所述应用程序的安全状态。
4.一种手机应用篡改识别方法,其特征在于,应用于权利要求1所述的系统,所述方法包括:
对所有手机应用程序进行静态分析和识别处理,获取所述应用程序的各项信息;
所述应用程序的各项信息包括:所述应用程序的hash,名称,版本,证书使用者,证书颁发者,证书公钥,权限,注册代码申明,所包含的广告,可执行文件代码的系统函数符号集合,可执行文件的用户自定义符号集合,函数的代码片段hash;
对名称相同而hash值不同的应用程序文件的各项信息进行汇聚,然后对所述手机应用程序的各项信息集合与基准信息集合中包含的各项信息集合进行差异比对;
所述基准信息集合中包含的各项信息集合包括:权限集合,注册代码申明集合,广告集合,系统函数符号集合,用户定义符号集合,代码片段hash集合;
若所述安全状态为非白的应用程序文件的各项信息的集合的信息都包含在基准信息集合中,则判断所述应用程序没有被篡改;否则判断所述应用程序文件被篡改。
5.如权利要求4所述的方法,其特征在于,所述对名称相同而hash值不同的应用程序文件的各项信息进行汇聚之后还包括,对所有安全状态为白的应用程序的各项信息进行聚合得到的所述基准信息集合。
6.如权利要求4所述的方法,其特征在于,还包括:输出所有识别出的被篡改的应用程序的结果信息。
7.如权利要求4所述的方法,其特征在于,还包括:将判断为没有被篡改的应用程序安全状态设为白。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210579542.XA CN103312887B (zh) | 2012-12-28 | 2012-12-28 | 一种手机应用篡改识别系统、方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210579542.XA CN103312887B (zh) | 2012-12-28 | 2012-12-28 | 一种手机应用篡改识别系统、方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103312887A CN103312887A (zh) | 2013-09-18 |
CN103312887B true CN103312887B (zh) | 2016-09-28 |
Family
ID=49137660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210579542.XA Active CN103312887B (zh) | 2012-12-28 | 2012-12-28 | 一种手机应用篡改识别系统、方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103312887B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104766008A (zh) * | 2014-01-07 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 应用程序安装包的安全检测方法及服务器 |
CN105207775B (zh) | 2014-05-30 | 2019-03-01 | 北京奇虎科技有限公司 | 验证信息的读取方法及装置 |
CN106488320B (zh) * | 2016-11-22 | 2019-04-12 | 国家计算机网络与信息安全管理中心山东分中心 | 一种电视机顶盒安全监测分析研究方法与系统 |
CN108460049B (zh) * | 2017-02-21 | 2021-10-19 | 阿里巴巴集团控股有限公司 | 一种确定信息类别的方法和系统 |
CN109558732A (zh) * | 2017-09-27 | 2019-04-02 | 武汉斗鱼网络科技有限公司 | 一种防止应用程序文件被篡改的方法及服务器 |
JP7105640B2 (ja) * | 2018-07-10 | 2022-07-25 | キヤノン株式会社 | 画像処理装置、その制御方法、及びプログラム |
JP6861670B2 (ja) * | 2018-07-10 | 2021-04-21 | キヤノン株式会社 | 画像処理装置、その制御方法、及びプログラム |
CN109918948A (zh) * | 2019-01-23 | 2019-06-21 | 西安邮电大学 | 基于国密算法sm3的apk完整性校验方法、计算机程序 |
CN111581672A (zh) * | 2020-05-14 | 2020-08-25 | 杭州安恒信息技术股份有限公司 | 网页篡改检测的方法、系统、计算机设备和可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与系统 |
-
2012
- 2012-12-28 CN CN201210579542.XA patent/CN103312887B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103312887A (zh) | 2013-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103312887B (zh) | 一种手机应用篡改识别系统、方法及装置 | |
CN109525595B (zh) | 一种基于时间流特征的黑产账号识别方法及设备 | |
Seneviratne et al. | A measurement study of tracking in paid mobile applications | |
CN107888574B (zh) | 检测数据库风险的方法、服务器及存储介质 | |
CN105187395B (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
CN105205397B (zh) | 恶意程序样本分类方法及装置 | |
US20210035126A1 (en) | Data processing method, system and computer device based on electronic payment behaviors | |
CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
CN111291331B (zh) | 混源文件许可冲突检测方法 | |
CN107104973A (zh) | 用户行为的校验方法及装置 | |
CN108833186A (zh) | 一种网络攻击预测方法及装置 | |
CN110648172B (zh) | 一种融合多种移动设备的身份识别方法和系统 | |
CN107566390B (zh) | 一种基于威胁情报的工业控制系统网络安全性分析系统及方法 | |
CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
CN107145778B (zh) | 一种入侵检测方法及装置 | |
CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
CN105743877A (zh) | 一种网络安全威胁情报处理方法及系统 | |
CN105653947A (zh) | 一种评估应用数据安全风险的方法及装置 | |
CN110543506A (zh) | 数据分析方法、装置、电子设备及存储介质 | |
CN107193930A (zh) | 一种网站敏感词屏蔽方法 | |
CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
CN112291277A (zh) | 一种恶意软件检测方法、装置、设备及存储介质 | |
Tongaonkar | A look at the mobile app identification landscape | |
Zeydan et al. | Survey of anti-phishing tools with detection capabilities | |
Park et al. | A study of accident prevention effect through anomaly analysis in E-banking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 430000, Hubei province East Lake Wuhan New Technology Development Zone Software Park East Road 1 software industry phase 4-1, B4, building 12, room 01 Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
COR | Change of bibliographic data | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |