CN105975858A - 安卓系统下基于虚拟技术的恶意代码检测方法及系统 - Google Patents
安卓系统下基于虚拟技术的恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN105975858A CN105975858A CN201510889821.XA CN201510889821A CN105975858A CN 105975858 A CN105975858 A CN 105975858A CN 201510889821 A CN201510889821 A CN 201510889821A CN 105975858 A CN105975858 A CN 105975858A
- Authority
- CN
- China
- Prior art keywords
- simulation
- code
- executable file
- behavior
- machine instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出了安卓系统下基于虚拟技术的恶意代码检测方法及系统,首先对安卓系统下的可执行文件进行识别和解析,拆分出各可执行文件的机器指令,利用虚拟技术模拟执行机器指令,并模拟指令运行时所需物理环境,并对可能的系统调用以及API调用进行模拟,监测并记录模拟执行以及模拟调用过程中产生的敏感信息,最终将敏感信息与规则库匹配中的特征进行匹配,判断是否存在含有恶意代码的可执行文件。本发明弥补了现有针对安卓系统下恶意代码静态检测技术中存在的不足,实现了对安卓系统下恶意代码的深度检测。
Description
技术领域
本发明涉及恶意代码监测技术领域,尤其涉及一种安卓系统下基于虚拟技术的恶意代码检测方法及系统。
背景技术
当前安卓系统下的恶意代码呈现出更加复杂的发展趋势,其采用了更加复杂的混淆、加密手段,并且加密算法通常采用自定义算法,给恶意代码的静态检测带来很大挑战,恶意代码将敏感字符串、执行代码、执行模块文件进行加密,使得现有的静态检测方案不能有效的对其进行智能检测。
安卓系统目前支持多种可执行文件格式,例如APK、DEX、ELF等,并且在Android4.4之后添加了一种新的运行时环境ART,该运行时环境下的可执行文件格式为OAT,Android5.0以后,便将原来的Dalvik运行时环境完全替代ART运行时环境,并且安卓系统在运行的CPU架构上,除了ARM,还增加了对X86、MIPS以及ARM64位的支持,由于安卓系统可执行文件和指令架构的多样化,恶意代码也以多种形态存在,所以安卓系统下对恶意代码的静态检测方案也必须支持多种格式和指令架构。
发明内容
针对现有安卓系统下恶意代码静态检测技术中存在的不足,本发明提出了一种安卓系统下基于虚拟技术的恶意代码检测方法及系统,首先对安卓系统下的可执行文件进行识别和解析,拆分出各可执行文件的机器指令,利用虚拟技术模拟执行机器指令,并模拟指令运行时所需物理环境,监测并记录敏感执行信息,以及敏感调用信息,最终通过规则库匹配,判断是否存在含有恶意代码的可执行文件。
具体发明内容包括:
安卓系统下基于虚拟技术的恶意代码检测方法,包括:
对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置,该过程支持多种可执行文件的格式识别和解析,包括APK、DEX、ELF、OAT等格式的可执行文件;
解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令,该过程支持多种架构下的代码指令的识别和解析,包括Dalvik、ARM、Thumb、ARM64、X86、MIPS等架构下的代码指令,并将解析的各代码指令拆分为相应架构下的机器指令;
解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为,该过程支持对不同架构下的机器指令进行解析和模拟执行;
将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述检测规则库中的特征包括:恶意代码字符串、恶意代码序列、恶意代码释放的代码模块名称、恶意API签名、恶意文件路径、恶意API调用序列。
进一步地,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
进一步地,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作,具体为:根据所要模拟执行的机器指令在执行过程中所占的内存,模拟分配一定的内存空间,实现模拟对内存的操作,并将模拟分配的内存空间中的一部分模拟为栈空间,利用模拟对寄存器的操作来模拟使用所述栈空间,从而实现对各可执行文件的机器指令进行模拟执行。
进一步地,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录,所述敏感调用行为包括文件系统写入、网络连接、通信、文件创建、文件删除、修改参数、修改返回值等。
进一步地,还包括对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述敏感信息包括敏感字符串、敏感代码、敏感执行信息等。
安卓系统下基于虚拟技术的恶意代码检测系统,包括:
可执行文件解析模块,用于对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置,该过程支持多种可执行文件的格式识别和解析,包括APK、DEX、ELF、OAT等格式的可执行文件;
指令架构解析模块,用于解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令,该过程支持多种架构下的代码指令的识别和解析,包括Dalvik、ARM、Thumb、ARM64、X86、MIPS等架构下的代码指令,并将解析的各代码指令拆分为相应架构下的机器指令;
虚拟执行模块,用于解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为,该过程支持对不同架构下的机器指令进行解析和模拟执行;
规则库匹配模块,用于将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述检测规则库中的特征包括:恶意代码字符串、恶意代码序列、恶意代码释放的代码模块名称、恶意API签名、恶意文件路径、恶意API调用序列。
进一步地,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
进一步地,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作,具体为:根据所要模拟执行的机器指令在执行过程中所占的内存,模拟分配一定的内存空间,实现模拟对内存的操作,并将模拟分配的内存空间中的一部分模拟为栈空间,利用模拟对寄存器的操作来模拟使用所述栈空间,从而实现对各可执行文件的机器指令进行模拟执行。
进一步地,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录,所述敏感调用行为包括文件系统写入、网络连接、通信、文件创建、文件删除、修改参数、修改返回值等。
进一步地,还包括对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述敏感信息包括敏感字符串、敏感代码、敏感执行信息等。
本发明的有益效果是:
本发明适用于现有安卓系统的多运行环境、多格式可执行文件以及多指令架构;
本发明将可执行文件解析为含有操作码和操作数的机器指令,并对机器指令进行模拟执行,而不是直接将解析的指令代码进行模拟执行,有效的减少了执行指令过程中所占用的内存;
本发明采用虚拟执行技术,在不安装或者运行可执行文件的前提下,对恶意代码进行静态检测,并且由于本发明实现的方法及系统具有占用内存小,运行时消耗资源少的优势,本发明可以直接实现在移动终端上;
本发明在模拟实现机器指令的同时,模拟了指令运行过程中所需环境,包括模拟寄存器、模拟内存分配、模拟栈操作,使得模拟执行结果更真实更精确,并且本发明还对指令执行过程中可能调用的系统指令以及API进行模拟操作,使得检测范围更全面,有效提高检测精度;
本发明只对指令执行过程中可能出现的系统调用以及API调用进行监测,而不是对全部系统指令以及API进行监测,使得在保障检测结果的同时,有效提高了检测速度,减少了在模拟执行和监测过程中的资源消耗;
进一步地,本发明还实现了对加密代码块的监测,首先识别代码块的加密、解密入口,其次通过模拟执行加密、解密代码来获取加密代码块的明文信息,并对明文信息中的敏感信息进行记录,实现了安卓系统下对恶意代码的深度检测,有效避免了通过加密手段进行隐藏的恶意代码所造成的威胁。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安卓系统下基于虚拟技术的恶意代码检测的方法流程图;
图2为本发明安卓系统下基于虚拟技术的恶意代码检测的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了安卓系统下基于虚拟技术的恶意代码检测的方法实施例,如图1所示,包括:
S101:对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置,该过程支持多种可执行文件的格式识别和解析,包括APK、DEX、ELF、OAT等格式的可执行文件;
S102:解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令,该过程支持多种架构下的代码指令的识别和解析,包括Dalvik、ARM、Thumb、ARM64、X86、MIPS等架构下的代码指令,并将解析的各代码指令拆分为相应架构下的机器指令;
S103:解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为,该过程支持对不同架构下的机器指令进行解析和模拟执行;
S104:将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述检测规则库中的特征包括:恶意代码字符串、恶意代码序列、恶意代码释放的代码模块名称、恶意API签名、恶意文件路径、恶意API调用序列。
进一步地,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
进一步地,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作,具体为:根据所要模拟执行的机器指令在执行过程中所占的内存,模拟分配一定的内存空间,实现模拟对内存的操作,并将模拟分配的内存空间中的一部分模拟为栈空间,利用模拟对寄存器的操作来模拟使用所述栈空间,从而实现对各可执行文件的机器指令进行模拟执行。
进一步地,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录,该过程可以由以下两种方法实现:
方法一:根据具体的可执行文件的机器指令,针对模拟执行机器指令过程中可能的系统调用以及API调用,编写简易代码,模拟实现所述系统调用以及API调用,并利用Hook技术拦截调用过程中的函数入口和出口,实现对调用行为的监测,并对敏感调用行为进行记录;
方法二:根据具体的可执行文件的机器指令,针对模拟执行机器指令过程中可能的系统调用以及API调用,记录调用值以及调用参数,并根据人工操作,返回虚拟调用执行结果,监测执行过程,并对敏感调用行为进行记录;
所述敏感调用行为包括文件系统写入、网络连接、通信、文件创建、文件删除、修改参数、修改返回值等。
进一步地,还包括对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述敏感信息包括敏感字符串、敏感代码、敏感执行信息等。
本发明还给出了安卓系统下基于虚拟技术的恶意代码检测的系统实施例,如图2所示,包括:
可执行文件解析模块201,用于对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置,该过程支持多种可执行文件的格式识别和解析,包括APK、DEX、ELF、OAT等格式的可执行文件;
指令架构解析模块202,用于解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令,该过程支持多种架构下的代码指令的识别和解析,包括Dalvik、ARM、Thumb、ARM64、X86、MIPS等架构下的代码指令,并将解析的各代码指令拆分为相应架构下的机器指令;
虚拟执行模块203,用于解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为,该过程支持对不同架构下的机器指令进行解析和模拟执行;
规则库匹配模块204,用于将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述检测规则库中的特征包括:恶意代码字符串、恶意代码序列、恶意代码释放的代码模块名称、恶意API签名、恶意文件路径、恶意API调用序列。
进一步地,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
进一步地,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作,具体为:根据所要模拟执行的机器指令在执行过程中所占的内存,模拟分配一定的内存空间,实现模拟对内存的操作,并将模拟分配的内存空间中的一部分模拟为栈空间,利用模拟对寄存器的操作来模拟使用所述栈空间,从而实现对各可执行文件的机器指令进行模拟执行。
进一步地,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录,所述敏感调用行为包括文件系统写入、网络连接、通信、文件创建、文件删除、修改参数、修改返回值等。
进一步地,还包括对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码,所述敏感信息包括敏感字符串、敏感代码、敏感执行信息等。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有安卓系统下恶意代码静态检测技术存在的不足,本发明提出了安卓系统下基于虚拟技术的恶意代码检测方法及系统,并且适用于现有安卓系统的多运行环境、多格式可执行文件以及多指令架构;本发明将可执行文件解析为含有操作码和操作数的机器指令,并对机器指令进行模拟执行,而不是直接将解析的指令代码进行模拟执行,有效的减少了执行指令过程中所占用的内存;本发明采用虚拟执行技术,在不安装或者运行可执行文件的前提下,对恶意代码进行静态检测,并且由于本发明实现的方法及系统具有占用内存小,运行时消耗资源少的优势,本发明可以直接实现在移动终端上;本发明在模拟实现机器指令的同时,模拟了指令运行过程中所需环境,包括模拟寄存器、模拟内存分配、模拟栈操作,使得模拟执行结果更真实更精确,并且本发明还对指令执行过程中可能调用的系统指令以及API进行模拟操作,使得检测范围更全面,有效提高检测精度;本发明只对指令执行过程中可能出现的系统调用以及API调用进行监测,而不是对全部系统指令以及API进行监测,使得在保障检测结果的同时,有效提高了检测速度,减少了在模拟执行和监测过程中的资源消耗;进一步地,本发明还实现了对加密代码块的监测,首先识别代码块的加密、解密入口,其次通过模拟执行加密、解密代码来获取加密代码块的明文信息,并对明文信息中的敏感信息进行记录,实现了安卓系统下对恶意代码的深度检测,有效避免了通过加密手段进行隐藏的恶意代码所造成的威胁。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.安卓系统下基于虚拟技术的恶意代码检测方法,其特征在于,包括:
对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置;
解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令;
解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为;
将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码。
2.如权利要求1所述的方法,其特征在于,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
3.如权利要求1所述的方法,其特征在于,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作。
4.如权利要求1所述的方法,其特征在于,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录。
5.如权利要求1所述的方法,其特征在于,还包括对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码。
6.安卓系统下基于虚拟技术的恶意代码检测系统,其特征在于,包括:
可执行文件解析模块,用于对安卓系统下的可执行文件进行格式识别和解析,并确定各可执行文件的代码块在内存中的分布位置;
指令架构解析模块,用于解析代码块中的代码指令,并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令;
虚拟执行模块,用于解析并模拟执行各可执行文件的机器指令,对模拟执行行为进行监测,同时记录敏感行为信息,并监测系统下的调用行为;
规则库匹配模块,用于将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码。
7.如权利要求6所述的系统,其特征在于,所述模拟执行各可执行文件的机器指令,包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配,所述寄存器包括通用寄存器、状态寄存器。
8.如权利要求6所述的系统,其特征在于,所述模拟执行行为包括:模拟对寄存器的操作、模拟对内存的操作、模拟对栈的操作。
9.如权利要求6所述的系统,其特征在于,所述监测系统下的调用行为,包括:对模拟执行机器指令过程中的系统调用以及API调用进行模拟,并监测模拟的调用行为,对敏感调用行为进行记录。
10.如权利要求6所述的系统,其特征在于,还包括加密代码监测模块,用于对可执行文件的代码块进行加密、解密入口识别,模拟执行加密、解密代码,获取加密代码块的明文信息,对所述明文信息中的敏感信息进行记录,并将记录的敏感信息与检测规则库中的特征进行匹配,判断相应的可执行文件中是否包含恶意代码。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510889821.XA CN105975858A (zh) | 2015-12-08 | 2015-12-08 | 安卓系统下基于虚拟技术的恶意代码检测方法及系统 |
| CN201611067174.5A CN106855926B (zh) | 2015-12-08 | 2016-11-28 | 安卓系统下的恶意代码检测方法、系统及一种移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510889821.XA CN105975858A (zh) | 2015-12-08 | 2015-12-08 | 安卓系统下基于虚拟技术的恶意代码检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105975858A true CN105975858A (zh) | 2016-09-28 |
Family
ID=56988241
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510889821.XA Pending CN105975858A (zh) | 2015-12-08 | 2015-12-08 | 安卓系统下基于虚拟技术的恶意代码检测方法及系统 |
| CN201611067174.5A Active CN106855926B (zh) | 2015-12-08 | 2016-11-28 | 安卓系统下的恶意代码检测方法、系统及一种移动终端 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611067174.5A Active CN106855926B (zh) | 2015-12-08 | 2016-11-28 | 安卓系统下的恶意代码检测方法、系统及一种移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN105975858A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
| CN108153666A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态检测安卓代码中的资源回收漏洞的方法和装置 |
| CN108734007A (zh) * | 2017-04-13 | 2018-11-02 | 中国移动通信集团上海有限公司 | 一种监控应用程序的处理方法及装置 |
| CN110659490A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
| CN113918950A (zh) * | 2021-12-14 | 2022-01-11 | 成都无糖信息技术有限公司 | 一种基于模拟执行的沙箱构建方法 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110866251A (zh) * | 2018-12-14 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种加密字符串的提取方法、装置、电子设备及存储介质 |
| CN110515652B (zh) * | 2019-08-30 | 2021-10-15 | 腾讯科技(深圳)有限公司 | 代码摘要的生成方法、装置和存储介质 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101393521B (zh) * | 2008-11-13 | 2012-04-25 | 上海交通大学 | Windows应用程序内部固化数据的提取系统 |
| CN104715199A (zh) * | 2012-03-21 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
| CN104318161A (zh) * | 2014-11-18 | 2015-01-28 | 北京奇虎科技有限公司 | 一种安卓样本的病毒检测方法及装置 |
| CN104850786B (zh) * | 2015-06-03 | 2018-03-20 | 舒辉 | 基于环境重构的恶意代码完整性分析方法 |
| CN104866766B (zh) * | 2015-06-05 | 2017-10-13 | 中国电子科技集团公司第五十八研究所 | 一种针对cpu内部隐藏指令型硬件木马的检测方法 |
-
2015
- 2015-12-08 CN CN201510889821.XA patent/CN105975858A/zh active Pending
-
2016
- 2016-11-28 CN CN201611067174.5A patent/CN106855926B/zh active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108153666A (zh) * | 2016-12-06 | 2018-06-12 | 北京奇虎科技有限公司 | 一种静态检测安卓代码中的资源回收漏洞的方法和装置 |
| CN108153666B (zh) * | 2016-12-06 | 2023-05-26 | 三六零科技集团有限公司 | 一种静态检测安卓代码中的资源回收漏洞的方法和装置 |
| CN108734007A (zh) * | 2017-04-13 | 2018-11-02 | 中国移动通信集团上海有限公司 | 一种监控应用程序的处理方法及装置 |
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
| CN110659490A (zh) * | 2019-09-20 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
| CN110659490B (zh) * | 2019-09-20 | 2023-02-24 | 安天科技集团股份有限公司 | 恶意样本的处理方法、装置、电子设备及存储介质 |
| CN113918950A (zh) * | 2021-12-14 | 2022-01-11 | 成都无糖信息技术有限公司 | 一种基于模拟执行的沙箱构建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106855926A (zh) | 2017-06-16 |
| CN106855926B (zh) | 2019-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105975858A (zh) | 安卓系统下基于虚拟技术的恶意代码检测方法及系统 | |
| CN104834859B (zh) | 一种Android应用中恶意行为的动态检测方法 | |
| CN102810143B (zh) | 基于Android平台手机应用程序的安全检测系统及方法 | |
| JP7115526B2 (ja) | 分析システム、方法、及び、プログラム | |
| WO2017049800A1 (zh) | 检测应用漏洞代码的方法和装置 | |
| TWI541669B (zh) | Detection systems and methods for static detection applications, and computer program products | |
| US20050108562A1 (en) | Technique for detecting executable malicious code using a combination of static and dynamic analyses | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| US10474479B1 (en) | Preventing framework conflicts for multi-OS applications | |
| CN102622536A (zh) | 一种恶意代码捕获方法 | |
| CN110096433B (zh) | 一种iOS平台上获取加密数据的方法 | |
| CN113569246B (zh) | 漏洞检测方法、装置、计算机设备和存储介质 | |
| CN108595953B (zh) | 对手机应用进行风险评估的方法 | |
| CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| WO2012103646A1 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
| CN107102885A (zh) | 利用adb方式检测安卓模拟器的方法及装置 | |
| CN104361285A (zh) | 移动设备应用程序的安全检测方法及装置 | |
| CN104504337A (zh) | 一种安卓数据泄露的恶意应用检测方法 | |
| CN114021142A (zh) | 一种安卓应用程序漏洞检测方法 | |
| CN105989294B (zh) | 安卓安装包检测方法及装置 | |
| CN103902908A (zh) | 一种对Android加固应用的恶意代码检测方法及系统 | |
| Yu et al. | Access control to prevent attacks exploiting vulnerabilities of webview in android OS | |
| CN104252594A (zh) | 病毒检测方法和装置 | |
| CN112329005A (zh) | 操作系统启动的引导度量方法、装置、电子设备和介质 | |
| CN105765531A (zh) | 对程序二进制文件的通用拆包 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160928 |