CN103365699B - 基于apk的系统api和运行时字符串的提取方法及系统 - Google Patents
基于apk的系统api和运行时字符串的提取方法及系统 Download PDFInfo
- Publication number
- CN103365699B CN103365699B CN201210559627.1A CN201210559627A CN103365699B CN 103365699 B CN103365699 B CN 103365699B CN 201210559627 A CN201210559627 A CN 201210559627A CN 103365699 B CN103365699 B CN 103365699B
- Authority
- CN
- China
- Prior art keywords
- file
- code
- depositor
- character string
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000006870 function Effects 0.000 claims description 19
- 230000006837 decompression Effects 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 238000012856 packing Methods 0.000 claims description 6
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 claims description 4
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 7
- 230000003252 repetitive effect Effects 0.000 abstract description 4
- 238000013459 approach Methods 0.000 abstract description 3
- 238000012545 processing Methods 0.000 abstract description 3
- 230000003068 static effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供的基于APK的系统API和运行时字符串提取方法及系统,通过对APK文件进行解包及对其中classes文件的反编译,分析classes文件中的smali文件,通过增加输出代码,实现自动提取调用系统API和运行时字符串信息的代码。本方法可以细粒度自动化的对APK文件进行处理,从而获取在程序当中调用的系统API方法,及运行时字符串等信息,为检测APK文件中是否存有恶意代码提供了有力并且更加深度的检测方式。同时减少人工分析的工作量,减少重复性工作,且提供的数据更加高效准确。
Description
技术领域
本发明涉及Android平台下的恶意代码自动化提取敏感信息技术,特别涉及一种基于APK的系统API和运行时字符串的提取方法及系统。
背景技术
伴随着Android系统的快速普及化,无论是社会关注度还是Android系统的用户量,都逐年增加起来,甚至呈现激增的态势。然而,Android系统增加的背后却存在巨大的隐患,基于Android系统的恶意代码也随之大量增加。为了应对日益增长的恶意软件,很多的安全分析人员,依旧是通过计算机端对APK(Android系统上的可执行文件压缩包)进行人工分析、校验,恶意代码的检测。目前现有工具对样本进行逆向操作,大都采用静态分析,即程序逻辑完全依靠分析人员的经验和精力来进行分析判断,这样的方法笨重,而且重复性工作过多,在时间和效率上都大打折扣。在不断分析的过程中也难免会出现遗漏和疏忽的地方。
发明内容
本发明提供一种基于APK的系统API和运行时字符串的提取方法及系统,实现了对Android平台下的APK文件中调用系统API和运行时产生字符串这两方面的重要信息进行自动化提取,极大加速分析的效率和准确率。
一种基于APK的系统API和运行时字符串的提取方法,包括:
a.对APK文件进行解压缩,获取classes.dex文件;
b.对classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
c.将每个smali文件映射到内存,并解析smali文件中的每个函数;
d.顺序读取函数中的代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行步骤h,否则执行步骤e;
e.判断当前代码指令是否为API调用入口点,如果是,则执行步骤g,否则执行步骤f;
f.判断当前代码指令是否为产生运行时字符串入口点,如果是,则确定产生运行时字符串的最终代码,并执行步骤g,否则返回步骤d;
g.在当前代码指令后添加输出代码,返回步骤d;
h.将全部smali文件生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
所述的方法中,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
所述的方法中,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。
所述的方法中,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
一种基于APK的系统API和运行时字符串的提取系统,包括:
解压缩单元,对APK文件进行解压缩,获取classes.dex文件;
反汇编单元,用于对解压缩单元获取的classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
映射单元,用于将每个smali文件映射到内存,并逐条解析各smali文件中的代码指令;
判断单元,用于顺序读取代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行新文件生成,否则执行系统API调用入口点判断;
系统API调用入口点判断单元,用于判断当前代码指令是否为系统API调用入口点,如果是,则执行添加代码,否则执行产生运行时字符串入口点判断;
产生运行时字符串入口点判断单元,用于判断当前代码指令是否为运行时字符串入口点,如果是,则确定产生运行时字符串的最终代码,并执行添加代码,否则返回判断单元;
添加代码单元,在当前代码指令后添加输出代码;
新文件生成单元,用于生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
所述的系统中,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
所述的系统中,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。
所述的系统中,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
通过本发明的方法,能够实现在计算机端自动化对APK文件进行处理,通过对APK当中的classes.dex进行修改,从而获取在程序当中调用系统API及产生运行时字符串等信息。
本发明提供的基于APK的系统API和运行时字符串的提取方法及系统,通过对APK文件进行解包及对其中classes文件的反编译,分析classes文件中的smali文件,通过增加输出代码,实现自动提取调用系统API和运行时字符串信息的代码。本方法可以细粒度自动化的对APK文件进行处理,从而获取在程序当中调用的系统API方法,及运行时字符串等信息,为检测APK文件中是否存有恶意代码提供了有力并且更加深度的检测方式。同时减少人工分析的工作量,减少重复性工作,且提供的数据更加高效准确。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于APK的系统API和运行时字符串的提取方法流程图;
图2为本发明基于APK的系统API和运行时字符串的提取系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种基于APK的系统API和运行时字符串的提取方法及系统,实现了对Android平台下的APK文件中调用系统API和运行时产生字符串这两方面的重要信息进行自动化提取,极大加速分析的效率和准确率。
一种基于APK的系统API和运行时字符串的提取方法,如图1所示,包括:
S101:对APK文件进行解压缩,获取classes.dex文件;APK文件为标准的zip文件格式,因此,常用的解压缩方法既可以对APK文件进行拆包,获取后续所需要的classes.dex可执行代码文件;
S102:对classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
classes.dex文件是一个或者多个扩展名为.class文件进行整合、优化后形成的,但通过对classes.dex文件的逆向反汇编操做并不能得到对应的.class文件,而是汇编指令文件,即.smali文件,因此后续对smali文件进行分析;
S103:将每个smali文件映射到内存,并解析smali文件中的每个函数;
S104:顺序读取函数中的代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行S109,否则执行S105;
S105:判断当前代码指令是否为API调用入口点,如果是,则执行S108,否则执行S106;
判断是否是系统API调用入口点,主要是判断该指令是否可能是系统API的调用入口点。如果该指令是invoke-kind指令或invoke-kind/range指令,且methodname是系统API函数,则该指令为系统API调用的入口点;
S106:判断当前代码指令是否为产生运行时字符串入口点,如果是,则执行S107,否则返回S104;
S107:确定产生运行时字符串的最终代码;
S108:在当前代码指令后添加输出代码,返回S104;
S109:将全部smali文件生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
输出新的smali文件后会生成一个或多个smali文件,将这些新产生的smali文件重新生成classes.dex文件。利用新生成的classes.dex文件替代原classes.dex文件,其他文件不做增加和删除,在运行新的APK文件时输出需要的信息。为了在新APK运行时能够获取这些信息,可以在指定目录下生成一个log.txt文件,当运行新的APK文件时,需要输出的信息则都输出到leg.txt文件中。
所述的方法中,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
产生运行时字符串入口点的判断,经分析发现监控在smali文件中创建string或stringbuilder的代码即可。
经过分析,在smali文件当中,能够产生运行时字符串的情况有很多种,但大多都会利用srting或stringbuilder作为媒介,因此仅监控创建上述代码的指令即可得到运行时字符串入口点。对于能够产生运行时字符串的指令列举如下:
Const-string指令,是创建一个静态字符串,形式如下:const-stringv,“string:。但是该静态串也存在可能产生动态串的可能性,例如,该对象调用string.equals()时,可实现静态串本身的解密行为。
new-instance指令,包括new-instancev,String和new-instancev,StringBuilder。其中,new-instancev,String指令不仅包含const-string指令情况,而且还支持多个串动态生成一个串的情况。对于new-instancev,StringBuilder,则是可以实现不断扩展,拼接字符串。
local指令,localVx,name:Ljava/lang/String或者localVx,name:Ljava/lang/StringBuilder。对于这两种情况,经过分析,最终可以归纳到new-instance上的两种情况。
其他指令包括new-array、filled-new-array、aget-object、sget-wide、sget-object等。
改变寄存器的值,例如moveVx,Vy指令即改变了Vx寄存器的值,那么在该条指令位置处就算是确定了最终产生的运行时字符串了。
所述的方法中,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。即当到达函数体结束位置时(“.endmethod”关键字处),如果在“寄存器池”当中还有未删除的寄存器,那么直接输出该寄存器的值即可。
所述的方法中,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
smali文件时一种文本文件,由于在smali文件当中并不全部都是指令代码,因此,定位到以.method关键字开头,以.endmethod关键字结尾之间,该区域为smali文件中的代码段。
一种基于APK的系统API和运行时字符串的提取系统,如图2所示,包括:
解压缩单元201,对APK文件进行解压缩,获取classes.dex文件;
反汇编单元202,用于对解压缩单元获取的classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
映射单元203,用于将每个smali文件映射到内存,并逐条解析各smali文件中的代码指令;
判断单元204,用于顺序读取代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行新文件生成,否则执行系统API调用入口点判断;
系统API调用入口点判断单元205,用于判断当前代码指令是否为系统API调用入口点,如果是,则执行添加代码,否则执行产生运行时字符串入口点判断;
产生运行时字符串入口点判断单元206,用于判断当前代码指令是否为运行时字符串入口点,如果是,则确定产生运行时字符串的最终代码,并执行添加代码;
添加代码单元207,在当前代码指令后添加输出代码;
新文件生成单元208,用于生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
所述的系统中,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
所述的系统中,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。
所述的系统中,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
通过本发明的方法,能够实现在计算机端自动化对APK文件进行处理,通过对APK当中的classes.dex进行修改,从而获取在程序当中调用系统API及产生运行时字符串等信息。
本发明提供的基于APK的系统API和运行时字符串的自动化提取方法及系统,通过对APK文件进行解包及对其中classes文件的反编译,分析classes文件中的smali文件,通过增加输出代码,实现自动提取调用系统API和运行时字符串信息的代码。本方法可以细粒度自动化的对APK文件进行处理,从而获取在程序当中调用的系统API方法,及运行时字符串等信息,为检测APK文件中是否存有恶意代码提供了有力并且更加深度的检测方式。同时减少人工分析的工作量,减少重复性工作,且提供的数据更加高效准确。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种基于APK的系统API和运行时字符串的提取方法,其特征在于,包括:
a.对APK文件进行解压缩,获取classes.dex文件;
b.对classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
c.将每个smali文件映射到内存,并解析smali文件中的每个函数;
d.顺序读取函数中的代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行步骤h,否则执行步骤e;
e.判断当前代码指令是否为API调用入口点,如果是,则执行步骤g,否则执行步骤f;
f.判断当前代码指令是否为产生运行时字符串入口点,如果是,则确定产生运行时字符串的最终指令,并执行步骤g,否则返回步骤d;
g.在当前代码指令后添加输出代码,返回步骤d;
h.将全部smali文件生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
2.如权利要求1所述的方法,其特征在于,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
3.如权利要求2所述的方法,其特征在于,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。
4.如权利要求1所述的方法,其特征在于,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
5.一种基于APK的系统API和运行时字符串的提取系统,其特征在于,包括:
解压缩单元,对APK文件进行解压缩,获取classes.dex文件;
反汇编单元,用于对解压缩单元获取的classes.dex文件进行反汇编,得到至少一个扩展名为.smali的文件;
映射单元,用于将每个smali文件映射到内存,并逐条解析各smali文件中的代码指令;
判断单元,用于顺序读取代码指令,并判断当前代码指令是否为最后一条代码指令,如果是,则执行新文件生成,否则执行系统API调用入口点判断;
系统API调用入口点判断单元,用于判断当前代码指令是否为系统API调用入口点,如果是,则执行添加代码,否则执行产生运行时字符串入口点判断;
产生运行时字符串入口点判断单元,用于判断当前代码指令是否为运行时字符串入口点,如果是,则确定产生运行时字符串的最终指令,并执行添加代码,否则返回判断单元;
添加代码单元,在当前代码指令后添加输出代码;
新文件生成单元,用于生成带有输出指令的smali文件,并将所有带有输出指令的smali文件重新打包为classes.dex文件,并将新生成的classes.dex文件替代原classes.dex文件,重新签名打包生成新APK文件。
6.如权利要求5所述的系统,其特征在于,所述的确定产生运行时字符串的最终指令为:
建立寄存器池,将可产生运行时字符串的寄存器存入寄存器池中,并监控全部寄存器池中寄存器所在函数体内的后续代码指令,如果代码指令改变寄存器的值,则所述条代码指令为产生运行时字符串的最终指令。
7.如权利要求6所述的系统,其特征在于,在产生运行时字符串的最终指令并添加了输出代码之后,删除寄存器池中对应的寄存器,若到达函数体结束指令后,寄存器池中有未删除的寄存器,则直接在该寄存器后添加输出代码。
8.如权利要求5所述的系统,其特征在于,所述smali文件中的代码指令为:以.method关键字开始,以.endmethod关键字结束的区间内的代码段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559627.1A CN103365699B (zh) | 2012-12-21 | 2012-12-21 | 基于apk的系统api和运行时字符串的提取方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210559627.1A CN103365699B (zh) | 2012-12-21 | 2012-12-21 | 基于apk的系统api和运行时字符串的提取方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103365699A CN103365699A (zh) | 2013-10-23 |
| CN103365699B true CN103365699B (zh) | 2016-08-03 |
Family
ID=49367128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210559627.1A Active CN103365699B (zh) | 2012-12-21 | 2012-12-21 | 基于apk的系统api和运行时字符串的提取方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103365699B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103761475B (zh) * | 2013-12-30 | 2017-04-26 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| WO2015101096A1 (zh) * | 2013-12-30 | 2015-07-09 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN104866504B (zh) * | 2014-02-25 | 2018-07-06 | 北京娜迦信息科技发展有限公司 | 一种对Android软件进行功能扩展的方法及装置 |
| CN104484585A (zh) * | 2014-11-26 | 2015-04-01 | 北京奇虎科技有限公司 | 一种应用程序安装包的处理方法、装置及移动设备 |
| CN104932929B (zh) * | 2015-05-26 | 2018-06-08 | 百度在线网络技术(北京)有限公司 | 一种文件处理方法及装置 |
| CN106326691B (zh) * | 2015-06-15 | 2021-06-18 | 中兴通讯股份有限公司 | 加解密功能的实现方法、装置及服务器 |
| CN106355087A (zh) * | 2015-07-17 | 2017-01-25 | 腾讯科技(深圳)有限公司 | 一种病毒检测结果的监控方法及装置 |
| CN105068813B (zh) * | 2015-08-19 | 2019-05-31 | 北京奇虎科技有限公司 | 一种提供安卓包apk修改服务的方法和装置 |
| CN107463420A (zh) * | 2016-06-02 | 2017-12-12 | 深圳市慧动创想科技有限公司 | 一种在Android APK中植入代码的便捷方法 |
| CN108614709B (zh) * | 2016-11-29 | 2021-08-03 | 北京明朝万达科技股份有限公司 | 一种控制Android应用安全访问网络的方法及系统 |
| CN106648676A (zh) * | 2016-12-28 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种利用运行时库识别编译器的方法及系统 |
| CN108734012B (zh) * | 2018-05-21 | 2020-11-03 | 上海戎磐网络科技有限公司 | 恶意软件识别方法、装置及电子设备 |
| CN110147671B (zh) * | 2019-05-29 | 2022-04-29 | 奇安信科技集团股份有限公司 | 一种程序内字符串提取方法及装置 |
| CN110941833A (zh) * | 2019-12-04 | 2020-03-31 | 厦门安胜网络科技有限公司 | 一种检测apk文件中漏洞的方法、装置及存储介质 |
| CN111045686B (zh) * | 2019-12-16 | 2023-05-30 | 北京智游网安科技有限公司 | 一种提高应用反编译速度的方法、智能终端及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005497A (zh) * | 2006-11-27 | 2007-07-25 | 科博技术有限公司 | 一种阻止恶意代码入侵的系统及方法 |
| CN102663281A (zh) * | 2012-03-16 | 2012-09-12 | 成都市华为赛门铁克科技有限公司 | 检测恶意软件的方法和装置 |
| CN102760219A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种Android平台软件保护系统、方法及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7735138B2 (en) * | 2005-01-14 | 2010-06-08 | Trend Micro Incorporated | Method and apparatus for performing antivirus tasks in a mobile wireless device |
-
2012
- 2012-12-21 CN CN201210559627.1A patent/CN103365699B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005497A (zh) * | 2006-11-27 | 2007-07-25 | 科博技术有限公司 | 一种阻止恶意代码入侵的系统及方法 |
| CN102760219A (zh) * | 2011-12-20 | 2012-10-31 | 北京安天电子设备有限公司 | 一种Android平台软件保护系统、方法及设备 |
| CN102663281A (zh) * | 2012-03-16 | 2012-09-12 | 成都市华为赛门铁克科技有限公司 | 检测恶意软件的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103365699A (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103365699B (zh) | 基于apk的系统api和运行时字符串的提取方法及系统 | |
| KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
| CN108734012B (zh) | 恶意软件识别方法、装置及电子设备 | |
| WO2015190446A1 (ja) | マルウェア判定器、マルウェア判定システム、マルウェア判定方法、プログラム | |
| CN106599242B (zh) | 一种基于相似度计算的网页变更监测方法和系统 | |
| KR102317833B1 (ko) | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN109753800A (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN109992969B (zh) | 一种恶意文件检测方法、装置及检测平台 | |
| CN107346284B (zh) | 一种应用程序的检测方法及检测装置 | |
| CA2956207C (en) | Program code comparison and reporting | |
| US10237285B2 (en) | Method and apparatus for detecting macro viruses | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN105205397A (zh) | 恶意程序样本分类方法及装置 | |
| CN111399848B (zh) | 一种硬编码数据检测方法、装置、电子设备和介质 | |
| CN104751053A (zh) | 移动智能终端软件的静态行为分析方法 | |
| US10229267B2 (en) | Method and device for virus identification, nonvolatile storage medium, and device | |
| CN110427757A (zh) | 一种Android漏洞检测方法、系统及相关装置 | |
| CN109902487B (zh) | 基于应用行为的Android应用恶意性检测方法 | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| US10031745B2 (en) | System and method for automatic API candidate generation | |
| CN102682237A (zh) | 针对网络下载文件的判毒方法及系统 | |
| CN108171057B (zh) | 基于特征匹配的Android平台恶意软件检测方法 | |
| CN104200164B (zh) | 一种加载器Loader病毒的查杀方法、装置及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Patentee after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Haidian District City, Zhongguancun, the main street, No. 1 Hailong building, room 1415, room 14 Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: System API and running character string extraction method and system based on APK Effective date of registration: 20170821 Granted publication date: 20160803 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2017990000776 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20180817 Granted publication date: 20160803 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2017990000776 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: System API and running character string extraction method and system based on APK Effective date of registration: 20180817 Granted publication date: 20160803 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990000700 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20191021 Granted publication date: 20160803 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990000700 |