CN104217162A - 一种智能终端恶意软件的检测方法及系统 - Google Patents

一种智能终端恶意软件的检测方法及系统 Download PDF

Info

Publication number
CN104217162A
CN104217162A CN201410450701.5A CN201410450701A CN104217162A CN 104217162 A CN104217162 A CN 104217162A CN 201410450701 A CN201410450701 A CN 201410450701A CN 104217162 A CN104217162 A CN 104217162A
Authority
CN
China
Prior art keywords
intelligent terminal
installation kit
jurisdictions mandate
legal
configuration file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410450701.5A
Other languages
English (en)
Inventor
李强
刘�东
李晓东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201410450701.5A priority Critical patent/CN104217162A/zh
Publication of CN104217162A publication Critical patent/CN104217162A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种智能终端恶意软件的检测方法及系统,以预防恶意软件、木马软件危害智能家电用户,涉及智能家电的信息安全领域。本发明技术要点:步骤1:对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;步骤2:逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;步骤3:判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的等。

Description

一种智能终端恶意软件的检测方法及系统
技术领域
本发明涉及智能家电的信息安全领域,尤其是一种智能终端上恶意软件的检测方法。
背景技术
近年来,电视机、冰箱等智能家电越来越智能化,这些智能家电上的中央处理器功能越来越强大,以至于原本在普通电脑上作恶的恶意软件逐步瞄上了这个新兴市场。
这些恶意软件在智能家电上盗取用户的资料、控制智能电视机连接的摄像头、偷窥用户的隐私,各种作恶手段层出不穷。
目前,智能家电对软件的保护通常是这样的,家电企业自建软件商店,智能家电连接企业自家的软件商店,软件商店内的所有软件都经过了企业的鉴定,用户下载和使用都是安全的。但是,某些智能电视机用户可能通过浏览器访问网页下载软件、通过U盘安装软件,这些途径安装的软件就难以保障智能家电的安全。
发明内容
鉴于上述问题,本发明提供了一种电视恶意软件的检测方法及系统,以预防恶意软件、木马软件危害智能家电用户。
本发明提供了一种智能终端恶意软件的检测方法,包括:
步骤1:对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;步骤2:逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;步骤3:判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的。
进一步,步骤3中当检测到所述安装包为合法时,将所述安装包的SHA-1值存入数据库。
进一步,在所述步骤1之前还包括:步骤0:扫描智能终端上的安装包,检测安装包中的SHA-1值是否存在于所述数据库中,若存在,则直接认为所述安装包为合法的,否则执行步骤1~3。
进一步,使用步骤0~3一一检测智能终端上存储的全部安装包。
进一步,步骤3中判断权限要求是否合法的步骤进一步包括:将权限要求与恶意行为规则库记录的权限要求比较,如存在于恶意行为规则库中则认为所述权限要求为非法的,如不存在于恶意行为规则库中则认为所述权限要求为合法的。
本发明还提供了一种智能终端恶意软件的检测系统,包括:
解压反编译模块,用于对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;
权限要求提取模块,用于逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;
权限要求检测模块,用于判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的。
进一步,所述权限要求检测模块还用于当检测到所述安装包为合法时,将所述安装包的SHA-1值存入数据库。
进一步,还包括SHA-1值检测模块,用于扫描智能终端上的安装包,检测安装包中的SHA-1值是否存在于所述数据库中,若存在,则直接认为所述安装包为合法的。
进一步,所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较,如存在于恶意行为规则库中则认为所述权限要求为非法的,如不存在于恶意行为规则库中则认为所述权限要求为合法的。
进一步,所述配置文件为AndroidManifest文件。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
实现了智能家电中恶意软件检测。利用安装包中的SHA-1值,在保证检测准确性的基础上,精简了恶意软件检测流程,有效节省了资源,提高了检测效率,尤其适用于智能家电。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明中恶意软件检测流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
第一实施例
一种智能终端恶意软件的检测方法包括:
步骤1:对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;步骤2:逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;步骤3:判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的。
第二实施例
一种智能终端恶意软件的检测方法包括:
步骤1:扫描智能终端上的所有存储设备,包括内存、Flash Disk、外设、U盘等。
步骤2:检测程序APK包(安装包)中的SHA-1值,并与后端数据库存储的SHA-1值进行比较。其中SHA-1值是国际开放的消息摘要算法,它可以用于校验某个设备上的安装软件是否为同一个APK,同一个软件不同的版本,它们的SHA-1值也是不同的。
步骤3:如果所述SHA-1值存在,表明该APK包已经检测过,可直接认为该APK包为合法的,无需进行下面的恶意软件检测步骤;如果SHA-1值不存在,表明该APK包还未检测,进入第4步,开始检测。
步骤4:对未检测的APK包进行解压和反编译,至少获得程序反编译后的AndroidManifest文件。其中解压可使用unzip解压缩软件完成,反编译可使用Google发布的Android SDK提供的反编译工具dexdump.exe。
步骤5:将AndroidManifest文件读到内存,逐行扫描内容,匹配权限标签<uses-permission>的文本行,提取出权限要求字符串,得到该APK包的权限要求;
步骤6:将所述权限要求与恶意行为规则库的内容进行比较,如所述权限要求存在于恶意行为规则库中则认为所述权限要求为非法的,如不存在于恶意行为规则库中则认为所述权限要求为合法的。
Android系统有上百个内置的权限,这些权限能够控制设备从拍照、发短信,到录音监听、网络控制等等操作功能。因此应用程序APK为了获取权限,就必须在AndroidManifest文件中明确的申请这些权限。申请权限使用的标签是<uses-permission>。
恶意行为规则库是自建的一个数据库,内容包含了我们对恶意行为进行恶意行为分类、恶意行为特征等信息,如安装包要求Android系统将发短信、发彩信、拨打电话、开启摄像头等权限开放给它们时,可以认为这些权限要求是恶意的,从而将这类权限要求写入恶意行为规则中。
步骤7:判断存储设备是否扫描完毕。如果没有,则继续扫码下一个软件APK包,从步骤1开始执行;如果扫描完毕,则输出扫描结果。
第三实施例
在第二实施例基础上,若检测出APK包为非法的,则提示用户存在恶意软件,并询问用户是否需要删除软件或对软件进行隔离。其中隔离是指在存取区建立一个目录专门用于存放恶意软件APK。用户在点击隔离按钮后,自动把软件APK包移动到这个目录下。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (10)

1.一种智能终端恶意软件的检测方法,其特征在于,包括:
步骤1:对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;
步骤2:逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;
步骤3:判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的。
2.根据权利要求1所述的一种智能终端恶意软件的检测方法,其特征在于,步骤3中当检测到所述安装包为合法时,将所述安装包的SHA-1值存入数据库。
3.根据权利要求2所述的一种智能终端恶意软件的检测方法,其特征在于,在所述步骤1之前还包括:
步骤0:扫描智能终端上的安装包,检测安装包中的SHA-1值是否存在于所述数据库中,若存在,则直接认为所述安装包为合法的,否则执行步骤1~3。
4.根据权利要求1所述的一种智能终端恶意软件的检测方法,其特征在于,使用步骤0~3一一检测智能终端上存储的全部安装包。
5.根据权利要求1或2或3或4所述的一种智能终端恶意软件的检测方法,其特征在于,步骤3中判断权限要求是否合法的步骤进一步包括:将权限要求与恶意行为规则库记录的权项要求比较,如存在于恶意行为规则库中则认为所述权限要求为非法的,如不存在于恶意行为规则库中则认为所述权限要求为合法的。
6.一种智能终端恶意软件的检测系统,其特征在于,包括:
解压反编译模块,用于对智能终端上的安装包进行解压缩及反编译,得到至少一个配置文件;
权限要求提取模块,用于逐行扫描所述配置文件,根据权限标签提取出配置文件中的权限要求;
权限要求检测模块,用于判断所述权限要求是否为非法要求,若是则提示用户存在恶意软件;若不是则认为该安装包为合法的。
7.根据权利要求6所述的一种智能终端恶意软件的检测系统,其特征在于,所述权限要求检测模块还用于当检测到所述安装包为合法时,将所述安装包的SHA-1值存入数据库。
8.根据权利要求7所述的一种智能终端恶意软件的检测系统,其特征在于,还包括SHA-1值检测模块,用于扫描智能终端上的安装包,检测安装包中的SHA-1值是否存在于所述数据库中,若存在,则直接认为所述安装包为合法的。
9.根据权利要求6或7或8所述的一种智能终端恶意软件的检测系统,其特征在于,所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较,如存在于恶意行为规则库中则认为所述权限要求为非法的,如不存在于恶意行为规则库中则认为所述权限要求为合法的。
10.根据权利要求6所述的一种智能终端恶意软件的检测系统,其特征在于,所述配置文件为AndroidManifest文件。
CN201410450701.5A 2014-09-05 2014-09-05 一种智能终端恶意软件的检测方法及系统 Pending CN104217162A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410450701.5A CN104217162A (zh) 2014-09-05 2014-09-05 一种智能终端恶意软件的检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410450701.5A CN104217162A (zh) 2014-09-05 2014-09-05 一种智能终端恶意软件的检测方法及系统

Publications (1)

Publication Number Publication Date
CN104217162A true CN104217162A (zh) 2014-12-17

Family

ID=52098637

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410450701.5A Pending CN104217162A (zh) 2014-09-05 2014-09-05 一种智能终端恶意软件的检测方法及系统

Country Status (1)

Country Link
CN (1) CN104217162A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105630684A (zh) * 2016-01-26 2016-06-01 百度在线网络技术(北京)有限公司 软件开发工具包识别方法和装置
CN106445807A (zh) * 2016-08-29 2017-02-22 Tcl集团股份有限公司 用于智能终端的应用安装包检测方法及装置
CN106803028A (zh) * 2017-01-18 2017-06-06 西安电子科技大学 一种防止安卓手机短信验证码被窃取的方法
CN108037928A (zh) * 2017-12-13 2018-05-15 北京小米移动软件有限公司 软件开发包工具sdk检测方法及装置
CN109446841A (zh) * 2018-10-29 2019-03-08 四川长虹电器股份有限公司 配置权限系统中权限条件的方法
CN111625823A (zh) * 2020-04-13 2020-09-04 北京邮电大学 Andriod平台VPN应用的安全性检测方法及装置
CN113158186A (zh) * 2021-03-19 2021-07-23 南京邮电大学 一种Android恶意软件静态检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060150256A1 (en) * 2004-12-03 2006-07-06 Whitecell Software Inc. A Delaware Corporation Secure system for allowing the execution of authorized computer program code
CN102779257A (zh) * 2012-06-28 2012-11-14 奇智软件(北京)有限公司 一种Android应用程序的安全检测方法及系统
CN103049692A (zh) * 2012-11-19 2013-04-17 北京小米科技有限责任公司 一种应用安装方法、装置和设备
CN103440456A (zh) * 2013-09-06 2013-12-11 Tcl集团股份有限公司 一种应用程序安全评估的方法及装置
CN103839000A (zh) * 2014-02-21 2014-06-04 北京奇虎科技有限公司 基于智能终端设备安装应用程序的方法与装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060150256A1 (en) * 2004-12-03 2006-07-06 Whitecell Software Inc. A Delaware Corporation Secure system for allowing the execution of authorized computer program code
CN102779257A (zh) * 2012-06-28 2012-11-14 奇智软件(北京)有限公司 一种Android应用程序的安全检测方法及系统
CN103049692A (zh) * 2012-11-19 2013-04-17 北京小米科技有限责任公司 一种应用安装方法、装置和设备
CN103440456A (zh) * 2013-09-06 2013-12-11 Tcl集团股份有限公司 一种应用程序安全评估的方法及装置
CN103839000A (zh) * 2014-02-21 2014-06-04 北京奇虎科技有限公司 基于智能终端设备安装应用程序的方法与装置

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105630684A (zh) * 2016-01-26 2016-06-01 百度在线网络技术(北京)有限公司 软件开发工具包识别方法和装置
CN105630684B (zh) * 2016-01-26 2019-10-11 百度在线网络技术(北京)有限公司 软件开发工具包识别方法和装置
CN106445807A (zh) * 2016-08-29 2017-02-22 Tcl集团股份有限公司 用于智能终端的应用安装包检测方法及装置
CN106445807B (zh) * 2016-08-29 2020-11-10 Tcl科技集团股份有限公司 用于智能终端的应用安装包检测方法及装置
CN106803028A (zh) * 2017-01-18 2017-06-06 西安电子科技大学 一种防止安卓手机短信验证码被窃取的方法
CN106803028B (zh) * 2017-01-18 2019-08-30 西安电子科技大学 一种防止安卓手机短信验证码被窃取的方法
CN108037928A (zh) * 2017-12-13 2018-05-15 北京小米移动软件有限公司 软件开发包工具sdk检测方法及装置
CN109446841A (zh) * 2018-10-29 2019-03-08 四川长虹电器股份有限公司 配置权限系统中权限条件的方法
CN111625823A (zh) * 2020-04-13 2020-09-04 北京邮电大学 Andriod平台VPN应用的安全性检测方法及装置
CN113158186A (zh) * 2021-03-19 2021-07-23 南京邮电大学 一种Android恶意软件静态检测方法

Similar Documents

Publication Publication Date Title
EP3568791B1 (en) Early runtime detection and prevention of ransomware
CN104217162A (zh) 一种智能终端恶意软件的检测方法及系统
US9953162B2 (en) Rapid malware inspection of mobile applications
US11822654B2 (en) System and method for runtime detection, analysis and signature determination of obfuscated malicious code
WO2014121714A1 (zh) 一种通知栏消息的处理方法、装置和系统
JP5690689B2 (ja) アプリケーション解析装置およびプログラム
WO2016019893A1 (zh) 应用安装的方法和装置
CN105205413B (zh) 一种数据的保护方法及装置
EP2893481B1 (en) Systems and methods for detecting illegitimate applications
CN104392176A (zh) 移动终端及其设备管理器权限的拦截方法
CN107330328B (zh) 防御病毒攻击的方法、装置及服务器
US9747449B2 (en) Method and device for preventing application in an operating system from being uninstalled
CN105683990A (zh) 用于保护动态库的方法和装置
CN104517054A (zh) 一种检测恶意apk的方法、装置、客户端和服务器
CN111191243B (zh) 一种漏洞检测方法、装置和存储介质
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
CN103810428A (zh) 一种宏病毒检测方法及装置
CN110855642B (zh) 应用漏洞检测方法、装置、电子设备及存储介质
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
CN102882875A (zh) 主动防御方法及装置
CN112231702A (zh) 应用保护方法、装置、设备及介质
CN105791250B (zh) 应用程序检测方法及装置
US20140298462A1 (en) Restricted Software Automated Compliance
CN103034810B (zh) 一种检测方法、装置及电子设备
Liu et al. No privacy among spies: Assessing the functionality and insecurity of consumer android spyware apps

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20141217

RJ01 Rejection of invention patent application after publication