CN106708598A - 病毒分析环境搭建方法及装置 - Google Patents
病毒分析环境搭建方法及装置 Download PDFInfo
- Publication number
- CN106708598A CN106708598A CN201610617252.8A CN201610617252A CN106708598A CN 106708598 A CN106708598 A CN 106708598A CN 201610617252 A CN201610617252 A CN 201610617252A CN 106708598 A CN106708598 A CN 106708598A
- Authority
- CN
- China
- Prior art keywords
- adb
- android
- simulator
- sample data
- android simulator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3664—Environments for testing or debugging software
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Apparatus Associated With Microorganisms And Enzymes (AREA)
Abstract
本发明公开了一种病毒分析环境搭建方法及装置,属于数据安全技术领域。方法包括:初始化Android x86系统,Android x86系统安装在每一个Android模拟器上;在每一个Android模拟器和ADB服务端之间进行端口转发设置;对于每一个Android模拟器,通过ADB连接命令与ADB服务端之间建立ADB连接,基于ADB连接调用ADB服务端设置监控环境数据;通过ADB断开连接命令与ADB服务端之间断开ADB连接;制作镜像快照,完成病毒分析环境的搭建。本发明搭建的病毒分析环境,Android模拟器可以直接运行于x86环境,无需进行指令转换,该类模拟器的运行速度较快,占用系统资源较少,且由于采用端口转发方式完成ADB通信,所以没有最大实例限制,在物理资源充足的情况下,可尽量多的并行运行Android模拟器。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种病毒分析环境搭建方法及装置。
背景技术
安卓(Android)系统是一种基于Linux的自由且开放源代码的操作系统,由于其具备自由及开放性等特点,因此得到了广大用户和开发者的青睐。但随之而来的病毒入侵事件也使得各个机构、企事业单位以及个人受到了不同程度的侵害,比如用户个人隐私泄露、银行卡被盗刷等等。为了降低由安卓病毒引发的恶意事件的出现概率,时下一部分互联网公司搭建了病毒分析环境,用户在上传可能植入病毒的样本数据后,病毒分析环境可以对该样本数据的行为给出详细的安全分析报告,从而帮助用户便捷地识别恶意文件。
目前主流的病毒分析环境是由安卓SDK(Software Development Kit,软件开发工具包)自带的原生模拟器搭建。如图1所示,原生模拟器的运行基于ARM(Advanced RISCMachines,RISC微处理器)指令环境,直接运行在物理机操作系统上。原生模拟器在对样本数据进行分析得到行为日志后,辅助用户根据该行为日志对该样本数据进行是否为恶意文件的判定。之后,原生模拟器进行镜像重启恢复病毒分析环境,以便重复使用。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
原生模拟器的运行基于ARM指令环境,而时下服务器物理环境多为x86环境,因此在搭建病毒分析环境时需要进行指令转换,导致该类模拟器的运行速度较慢,占用系统资源较多,且最多支持同时运行16个原生模拟器,系统的吞吐量较小。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种病毒分析环境搭建方法及装置。所述技术方案如下:
一方面,提供了一种一种病毒分析环境搭建方法,所述方法包括:
初始化Android x86系统,所述Android x86系统安装在每一个Android模拟器上;
在每一个Android模拟器和ADB服务端之间进行端口转发设置;
对于每一个Android模拟器,通过ADB连接命令与所述ADB服务端之间建立ADB连接,基于ADB连接调用所述ADB服务端设置监控环境数据;
通过ADB断开连接命令与所述ADB服务端之间断开ADB连接;
制作镜像快照,完成病毒分析环境的搭建。
另一方面,提供了一种病毒分析环境搭建装置,其特征在于,所述装置包括:
初始化模块,用于初始化Android x86系统,所述Android x86系统安装在每一个Android模拟器上;
设置模块,用于在每一个Android模拟器和ADB服务端之间进行端口转发设置;
连接模块,用于对于每一个Android模拟器,通过ADB连接命令与所述ADB服务端之间建立ADB连接;
安装模块,用于基于ADB连接调用所述ADB服务端设置监控环境数据;
所述连接模块,还用于通过ADB断开连接命令与所述ADB服务端之间断开ADB连接;
制作模块,用于制作镜像快照,完成病毒分析环境的搭建。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例搭建的病毒分析环境,Android模拟器可以直接运行于x86环境,因此无需进行指令转换,所以该类模拟器的运行速度较快,占用系统资源较少,且由于采用端口转发方式完成ADB通信,所以没有最大实例限制,理论上在物理资源充足的情况下,可尽量多的并行运行Android模拟器,提升了系统吞吐量。此外,在ADB连接断开的情况下制作镜像快照,避免了在恢复镜像快照后无法进行ADB连接的情况。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明背景技术提供的一种病毒分析环境架构图;
图2是本发明实施例提供的一种病毒分析环境架构图;
图3是本发明实施例提供的一种样本数据的敏感行为日志的示意图;
图4是本发明实施例提供的一种病毒分析环境搭建方法的流程图;
图5A是本发明实施例提供的一种病毒分析环境搭建方法的流程图;
图5B是本发明实施例提供的一种对样本数据进行病毒分析的方法流程图;
图6是本发明实施例提供的一种病毒分析环境搭建装置的结构示意图;
图7是本发明实施例提供的一种服务器的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
在对本发明实施例进行详细地解释说明之前,先对本发明实施例涉及的实施环境进行简单介绍。参见图2,本发明实施例中病毒分析环境的搭建基于Intel(因特尔)x86硬件环境。在软件层面,通过Virtual box多实例方式,并行运行多个Android模拟器,各个模拟器中都构造了监控环境,该监控环境包括自研的Hook监控程序、以及病毒敏感数据环境。其中,病毒敏感数据环境通常模拟了短信、通讯录,移动网络、无线网络、GPS(GlobalPositioning System,全球定位系统)等用户最常使用的场景。在图2中,Virtual box实例与adb server(服务端)之间需要配置端口转发,不同的Virtual box实例配置不同端口,实现并行ADB通信。
需要说明的是,本发明实施例提及的病毒分析环境搭建方法已经对外部署到特定病毒分析系统中,用户可以通过特定病毒分析系统的web(网络)主页提交文件格式为APK(Android Package,安卓安装包)文件的样本数据到特定分系统的后台服务器,后台服务器是由多台Linux环境机器集群构成,每台物理机上部署多套病毒分析环境并行运行。在用户终端将样本数据提交到特定分析系统后,经过后台服务器分析,输出诸如图3所示的敏感行为日志并返回给用户终端。
图4是本发明实施例提供的一种病毒分析环境搭建方法。参见图4,本发明实施例提供的方法流程包括:
401、初始化Android x86系统,Android x86系统安装在每一个Android模拟器上。
402、在每一个Android模拟器和ADB服务端之间进行端口转发设置。
403、对于每一个Android模拟器,通过ADB连接命令与ADB服务端之间建立ADB连接,基于ADB连接调用ADB服务端设置监控环境数据。
404、通过ADB断开连接命令与ADB服务端之间断开ADB连接。
405、制作镜像快照,完成病毒分析环境的搭建。
本发明实施例提供搭建的病毒分析环境,Android模拟器可以直接运行于x86环境,因此无需进行指令转换,所以该类模拟器的运行速度较快,占用系统资源较少,且由于采用端口转发方式完成ADB通信,所以没有最大实例限制,理论上在物理资源充足的情况下,可尽量多的并行运行Android模拟器,提升了系统吞吐量。此外,在ADB连接断开的情况下制作镜像快照,避免了在恢复镜像快照后无法进行ADB连接的情况。
在另一个实施例中,所述Android模拟器为VirtualBox实例。
在另一个实施例中,所述制作镜像快照,完成病毒分析环境的搭建之后,该方法还包括:
若所述ADB服务端接收到用户终端上传的样本数据,则确定对所述样本数据进行病毒分析处理的指定Android模拟器;
恢复所述指定Android模拟器的镜像快照;
在所述指定Android模拟器与所述ADB服务端之间建立ADB连接;
通过所述ADB服务端与所述指定Android模拟器之间设置的端口,将所述样本数据发送至所述指定Android模拟器;
调用所述指定Android模拟器对所述样本数据进行分析。
在另一个实施例中,该方法还包括:,所述确定对所述样本数据进行病毒分析处理的指定Android模拟器,包括:
在多个Android模拟器中确定当前处于空闲状态的模拟器,将所述模拟器确定为对所述样本数据进行病毒分析处理的指定Android模拟器。
在另一个实施例中,该方法还包括:
在对所述样本数据进行分析时,通过所述指定Android模拟器的监控环境数据中Hook监控程序记录所述样本数据的敏感行为日志;
将所述敏感行为日志下发给所述用户终端。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图5A本发明实施例提供的一种病毒分析环境搭建方法的流程图。参见图5A,本发明实施例提供的方法流程包括:
501a、初始化每一个Android模拟器的Android x86系统。
如图2所示,本发明实施例通过引入轻量级虚拟机Virtual box实例,配合Androidx86项目搭建了基于x86指令环境的多个Android模拟器。其中,Virtual box是一款免费虚拟机软件,可虚拟的系统包括Windows、Mac OS X、Linux、OpenBSD、Solaris、IBM OS2甚至Android等操作系统。使用者可以在Virtual box上安装并且运行上述的这些操作系统。
在本发明实施例中,安装Android x86系统到每一个Virtual box实例,并初始化Android x86系统,以为后续搭建病毒分析环境作准备。其中,在获取到Android x86系统的镜像文件后,启动Virtual box实例在依次进行硬盘分区和格式化硬盘分区等设置后,完成Android x86系统的安装。初始化Android x86系统可分为启动BootLoader、加载系统内核、启动Zygote进程、启动Runtime进程、启动本地服务和启动Home Launcher等步骤,本发明实施例对此不进具体限定。
502a、在每一个Android模拟器和adb server之间进行端口转发设置。
adb是一个功能强大的命令行工具,通过它可以直接和模拟器或真机进行交互,本发明实施例通过adb server对各个Android模拟器进行管理。
在本发明实施例中,通过设置端口转发,来实现各个Android模拟器也即各个Virtual box实例,与adb server之间进行adb通信。也即,adb server与所有运行的Android模拟器建立连接,比如它通过一组范围从5555到5585的端口检索到所有的Android模拟器。每一台Android模拟器需要获取一个端口用于adb连接。通过为不同的Virtual box实例配置不同的转发端口,实现并行运行通信。这样,adb server在进行样本数据发送时,通过对应的端口将样本数据发送至Virtual box实例。
503a、对于每一个Android模拟器,通过adb连接命令在该Android模拟器与adb服务端之间建立adb连接,基于adb连接调用adb server设置监控环境数据。
其中,adb连接命令具体可诸如adb connect127.0.0.1:5555。这个连接命令的具体含义为adb server在本机地址的5555端口与某个Android模拟器建立连接,实现物理机和Android模拟器二者之间通过该端口进行adb通信。。
在本发明实施例中,adb server在与每一个Android模拟器均建立adb连接后,为每一个Android模拟器设置监控环境数据,以方便后续在对样本数据进行病毒分析时实时检测当前环境状态。
504a、通过adb断开连接命令,断开该Android模拟器与adb server之间的adb连接。
在本发明实施例中,在为每一个Android模拟器制作镜像快照之前,会断开每一个Android模拟器与adb server之间的adb连接。其中,adb断开连接命令具体可诸如adbdisconnect127.0.0.1。这个断开连接命令的具体含义为adb server断开当前的Android模拟器adb连接。
505a、为每一个Android模拟器制作镜像快照,完成病毒分析环境的搭建。
其中,镜像快照(Snapshot)是关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。镜像快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品。镜像快照的作用主要是能够进行在线数据备份与恢复。当存储设备发生应用故障或者文件损坏时可以进行快速的数据恢复,将数据恢复某个可用的时间点的状态。镜像快照的另一个作用是为存储用户提供了另外一个数据访问通道,当原数据进行在线应用处理时,用户可以访问快照数据,还可以利用镜像快照进行测试等工作。
在本发明实施例中,为了重复利用每一个Android模拟器,制作了镜像快照。这样病毒分析环境在被Android病毒污染后可以实现生产环境的快速恢复。需要说明的是,在病毒分析领域,样本在后台服务器的分析时间以及运行环境的多样性,决定了系统吞吐量的大小和敏感行为日志的质量。而分析时间又包括样本运行时间t1和恢复初始病毒分析环境时间t2。在t1时间不变的情况下,样本运行效率越高,得到的敏感行为信息越多。传统技术中的原生模拟器由于基于arm指令集,而现代服务器物理环境多为x86环境,导致该类模拟器运行速度慢,占用资源多,在t1和t2两个耗时都很长。此外,传统方案在快速恢复初始病毒分析环境方面也有较大局限,原生模拟器对镜像快照支持较差。Genymotion方案虽然整体运行速度提升了较多,但在Linux环境下兼容性较差,不支持镜像快照功能,无法满足快速恢复初始病毒分析环境的需求。
而本发明实施例中Android模拟器直接运行于x86环境,无需指令适配过程,在相同的t1时间内得到的敏感行为信息更多。同时,Virtual box实例天然支持镜像快照恢复功能,大大缩短了t2耗时。利用Virtual box的镜像快照功能,采用干净系统镜像,同时在断开adb连接下保存系统初始状态到Virtual box快照。这样避免了恢复镜像快照后,adbserver与Android模拟器之间无法建立adb连接的问题。另外,由于本发明实施例采用端口转发方式完成adb通信,所以没有最大实例限制,理论上在物理资源充足的情况下,可尽量多的并行运行Virtual box实例,提升系统吞吐量。
在相同的硬件配置环境下,本发明实施例提及的病毒分析环境在批量处理Android样本数据时,要大大优于本发明背景技术提及的病毒分析环境。二者批量处理Android样本的能力,可如下述表1所示:
| 病毒分析环境 | 平均分析耗时 | 单物理机吞吐量 | 错误率 |
| 背景技术方案 | 146秒 | 6000左右 | 0.57% |
| 本发明实施例方案 | 81秒 | 11000左右 | 0.48% |
由表1可知,本发明实施例提供的方案在保证了错误率不增加的前提下,分析耗时降低,吞吐量提升80%以上。需要说明的是,在通过上述步骤501a至步骤505a完成病毒分析环境的搭建后,便可如图5B所示接收用户终端上传的样本数据,基于已搭建的病毒分析换将对该样本数据进行分析,判断该样本数据是否存在潜在的危险行为,具体方法流程包括如下步骤。
501b、在接收到用户终端上传的样本数据后,adb server确定对该样本数据进行病毒分析处理的指定Android模拟器。
在本发明实施例中,目前仅支持用户终端上传数据格式为APK的样本数据。在接收到样本数据后,adb server会将该样本数据分配至当前处于空闲状态的指定Virtual box实例进行病毒分析。
502b、恢复指定Android模拟器的镜像快照。
在每一次对样本数据进行病毒分析时,均需提供干净的病毒分析环境,因此还需先恢复Virtual box实例的镜像快照。
503b、在指定Android模拟器与adb server之间建立adb连接,调用指定Android模拟器对该样本数据进行分析;在对该样本数据进行分析时,调用指定Android模拟器中Hook监控程序记录该样本数据的敏感行为日志。
在本发明实施例中,在保证adb连接断开且系统运行的情况下,制作镜像快照;在样本数据到达之后恢复镜像快照,且在与adb server建立adb连接后便可以开始对样本数据进行分析,比如控制样本数据执行安装、运行及状态模拟等流程。其中,每一个Virtualbox实例均包含了一个Hook监控程序。在样本数据运行过程中,该Hook监控程序记录下一系列的敏感行为日志,并将该敏感行为日志保存到系统中。进一步地,将该敏感行为日志分析处理成统一格式的日志文件,该日志文件后续可用于病毒样本的聚类以及黑白判定。
504b、将该敏感行为日志下发给用户终端。
其中,该敏感行为日志具体样式可如图3所示,包括样本数据的基本信息,诸如文件名称、MD5(Message Digest Algorithm,消息摘要算法)值、文件大小、上传时间、包名、最低运行环境、版权信息、以图标等,此外还包括样本数据的危险行为信息(诸如定位移动终端等),网络行为、文件行为、隐私行为、服务行为等等,本发明实施例对敏感行为日志包含的内容不进行具体限定。
本发明实施例提供搭建的病毒分析环境,Android模拟器可以直接运行于x86环境,因此无需进行指令转换,所以该类模拟器的运行速度较快,占用系统资源较少,且由于采用端口转发方式完成ADB通信,所以没有最大实例限制,理论上在物理资源充足的情况下,可尽量多的并行运行Android模拟器,提升了系统吞吐量。此外,在ADB连接断开的情况下制作镜像快照,避免了在恢复镜像快照后无法进行ADB连接的情况。进一步地,Virtualbox实例天然支持镜像快照功能,满足了快速恢复病毒分析环境的需求。
图6是本发明实施例提供的一种病毒分析环境搭建装置的结构示意图。参见图6,该装置包括:
初始化模块601,用于初始化Android x86系统,所述Android x86系统安装在每一个Android模拟器上;
设置模块602,用于在每一个Android模拟器和ADB服务端之间进行端口转发设置;
连接模块603,用于对于每一个Android模拟器,通过ADB连接命令与所述ADB服务端之间建立ADB连接;
安装模块604,用于基于ADB连接调用所述ADB服务端设置监控环境数据;
所述连接模块603,还用于通过ADB断开连接命令与所述ADB服务端之间断开ADB连接;
制作模块605,用于制作镜像快照,完成病毒分析环境的搭建。
在另一个实施例中,所述Android模拟器为开源虚拟机软件VirtualBox实例。
在另一个实施例中,该装置还包括:
确定模块606,用于若所述ADB服务端接收到用户终端上传的样本数据,则确定对所述样本数据进行病毒分析处理的指定Android模拟器;
恢复模块607,用于恢复所述指定Android模拟器的镜像快照;
所述连接模块603,还用于在所述指定Android模拟器与所述ADB服务端之间建立ADB连接;
发送模块608,用于通过所述ADB服务端与所述指定Android模拟器之间设置的端口,将所述样本数据发送至所述指定Android模拟器;
分析模块609,用于调用所述指定Android模拟器对所述样本数据进行分析。
在另一个实施例中,所述确定模块606,用于在多个Android模拟器中确定当前处于空闲状态的模拟器,将所述模拟器确定为对所述样本数据进行病毒分析处理的指定Android模拟器。
在另一个实施例中,该装置还包括:
记录模块610,用于在对所述样本数据进行分析时,通过所述指定Android模拟器的监控环境数据中Hook监控程序记录所述样本数据的敏感行为日志;
所述发送模块608,还用于将所述敏感行为日志下发给所述用户终端。
本发明实施例提供的装置,Android模拟器可以直接运行于x86环境,因此无需进行指令转换,所以该类模拟器的运行速度较快,占用系统资源较少,且由于采用端口转发方式完成ADB通信,所以没有最大实例限制,理论上在物理资源充足的情况下,可尽量多的并行运行Android模拟器,提升了系统吞吐量。此外,在ADB连接断开的情况下制作镜像快照,避免了在恢复镜像快照后无法进行ADB连接的情况。
需要说明的是:上述实施例提供的病毒分析环境搭建装置在进行病毒分析环境搭建时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的病毒分析环境搭建装置与病毒分析环境搭建方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图7是根据一示例性实施例示出的一种服务器,该服务器可以用于实施上述任一示例性实施例示出的病毒分析环境搭建方法。具体来讲:参见图7,该服务器700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(CentralProcessing Unit,CPU)722(例如,一个或一个以上处理器)和存储器732,一个或一个以上存储应用程序742或数据744的存储介质730(例如一个或一个以上海量存储设备)。其中,存储器732和存储介质730可以是短暂存储或持久存储。存储在存储介质730的程序可以包括一个或一个以上模块(图示没标出)。
服务器700还可以包括一个或一个以上电源728,一个或一个以上有线或无线网络接口750,一个或一个以上输入输出接口758,和/或,一个或一个以上操作系统741,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行上述一个或者一个以上程序包含用于进行病毒分析环境搭建的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种病毒分析环境搭建方法,其特征在于,所述方法包括:
初始化安卓Android x86系统,所述Android x86系统安装在每一个Android模拟器上;
在每一个Android模拟器和ADB服务端之间进行端口转发设置;
对于每一个Android模拟器,通过ADB连接命令与所述ADB服务端之间建立ADB连接,基于ADB连接调用所述ADB服务端设置监控环境数据;
通过ADB断开连接命令与所述ADB服务端之间断开ADB连接;
制作镜像快照,完成病毒分析环境的搭建。
2.根据权利要求1所述的方法,其特征在于,所述Android模拟器为虚拟机软件VirtualBox实例。
3.根据权利要求1所述的方法,其特征在于,所述制作镜像快照,完成病毒分析环境的搭建之后,所述方法还包括:
若所述ADB服务端接收到用户终端上传的样本数据,则确定对所述样本数据进行病毒分析处理的指定Android模拟器;
恢复所述指定Android模拟器的镜像快照;
在所述指定Android模拟器与所述ADB服务端之间建立ADB连接;
通过所述ADB服务端与所述指定Android模拟器之间设置的端口,将所述样本数据发送至所述指定Android模拟器;
调用所述指定Android模拟器对所述样本数据进行分析。
4.根据权利要求3所述的方法,其特征在于,所述确定对所述样本数据进行病毒分析处理的指定Android模拟器,包括:
在多个Android模拟器中确定当前处于空闲状态的模拟器,将所述模拟器确定为对所述样本数据进行病毒分析处理的指定Android模拟器。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在对所述样本数据进行分析时,通过所述指定Android模拟器的监控环境数据中钩子Hook监控程序,记录所述样本数据的敏感行为日志;
将所述敏感行为日志下发给所述用户终端。
6.一种病毒分析环境搭建装置,其特征在于,所述装置包括:
初始化模块,用于初始化安卓Android x86系统,所述Android x86系统安装在每一个Android模拟器上;
设置模块,用于在每一个Android模拟器和ADB服务端之间进行端口转发设置;
连接模块,用于对于每一个Android模拟器,通过ADB连接命令与所述ADB服务端之间建立ADB连接;
安装模块,用于基于ADB连接调用所述ADB服务端设置监控环境数据;
所述连接模块,还用于通过ADB断开连接命令与所述ADB服务端之间断开ADB连接;
制作模块,用于制作镜像快照,完成病毒分析环境的搭建。
7.根据权利要求6所述的装置,其特征在于,所述Android模拟器为开源虚拟机软件VirtualBox实例。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定模块,用于若所述ADB服务端接收到用户终端上传的样本数据,则确定对所述样本数据进行病毒分析处理的指定Android模拟器;
恢复模块,用于恢复所述指定Android模拟器的镜像快照;
所述连接模块,还用于在所述指定Android模拟器与所述ADB服务端之间建立ADB连接;
发送模块,用于通过所述ADB服务端与所述指定Android模拟器之间设置的端口,将所述样本数据发送至所述指定Android模拟器;
分析模块,用于调用所述指定Android模拟器对所述样本数据进行分析。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,用于在多个Android模拟器中确定当前处于空闲状态的模拟器,将所述模拟器确定为对所述样本数据进行病毒分析处理的指定Android模拟器。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
记录模块,用于在对所述样本数据进行分析时,通过所述指定Android模拟器的监控环境数据中钩子Hook监控程序,记录所述样本数据的敏感行为日志;
所述发送模块,还用于将所述敏感行为日志下发给所述用户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610617252.8A CN106708598B (zh) | 2016-07-29 | 2016-07-29 | 病毒分析环境搭建方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610617252.8A CN106708598B (zh) | 2016-07-29 | 2016-07-29 | 病毒分析环境搭建方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106708598A true CN106708598A (zh) | 2017-05-24 |
| CN106708598B CN106708598B (zh) | 2021-03-19 |
Family
ID=58940649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610617252.8A Active CN106708598B (zh) | 2016-07-29 | 2016-07-29 | 病毒分析环境搭建方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106708598B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111382016A (zh) * | 2018-12-28 | 2020-07-07 | 成都鼎桥通信技术有限公司 | 测试终端与计算机的连接方法和装置 |
| US11042398B2 (en) | 2018-07-09 | 2021-06-22 | Samsung Electronics Co., Ltd. | System and method for guest operating system using containers |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833392A (zh) * | 2011-06-17 | 2012-12-19 | 比亚迪股份有限公司 | 一种移动终端自动重启的方法及系统 |
| CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
| CN103279334A (zh) * | 2012-12-28 | 2013-09-04 | 武汉安天信息技术有限责任公司 | 一种android软件快速动态检测装置和方法 |
| CN103345406A (zh) * | 2013-06-21 | 2013-10-09 | 中国科学院深圳先进技术研究院 | 一种实现智能移动终端的云端虚拟移动终端的系统和方法 |
| CN103425472A (zh) * | 2012-05-23 | 2013-12-04 | 上海计算机软件技术开发中心 | 基于云计算的软件测试环境动态生成系统及其实现方法 |
| CN103778373A (zh) * | 2014-01-10 | 2014-05-07 | 深圳市深信服电子科技有限公司 | 病毒检测方法及装置 |
| US20140189690A1 (en) * | 2012-12-18 | 2014-07-03 | Dynavisor, Inc. | Dynamic device virtualization |
| CN103927256A (zh) * | 2013-01-16 | 2014-07-16 | 珠海市君天电子科技有限公司 | 一种控制多个安卓装置的方法 |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| CN105182111A (zh) * | 2015-08-17 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种移动终端的性能测试方法及系统 |
| CN105245373A (zh) * | 2015-10-12 | 2016-01-13 | 天津市普迅电力信息技术有限公司 | 一种容器云平台系统的搭建及运行方法 |
-
2016
- 2016-07-29 CN CN201610617252.8A patent/CN106708598B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833392A (zh) * | 2011-06-17 | 2012-12-19 | 比亚迪股份有限公司 | 一种移动终端自动重启的方法及系统 |
| CN103425472A (zh) * | 2012-05-23 | 2013-12-04 | 上海计算机软件技术开发中心 | 基于云计算的软件测试环境动态生成系统及其实现方法 |
| US20140189690A1 (en) * | 2012-12-18 | 2014-07-03 | Dynavisor, Inc. | Dynamic device virtualization |
| CN103279334A (zh) * | 2012-12-28 | 2013-09-04 | 武汉安天信息技术有限责任公司 | 一种android软件快速动态检测装置和方法 |
| CN103927256A (zh) * | 2013-01-16 | 2014-07-16 | 珠海市君天电子科技有限公司 | 一种控制多个安卓装置的方法 |
| CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
| CN103345406A (zh) * | 2013-06-21 | 2013-10-09 | 中国科学院深圳先进技术研究院 | 一种实现智能移动终端的云端虚拟移动终端的系统和方法 |
| CN103778373A (zh) * | 2014-01-10 | 2014-05-07 | 深圳市深信服电子科技有限公司 | 病毒检测方法及装置 |
| CN105187390A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 主动式移动终端恶意软件网络流量数据集获取方法及系统 |
| CN105182111A (zh) * | 2015-08-17 | 2015-12-23 | 上海斐讯数据通信技术有限公司 | 一种移动终端的性能测试方法及系统 |
| CN105245373A (zh) * | 2015-10-12 | 2016-01-13 | 天津市普迅电力信息技术有限公司 | 一种容器云平台系统的搭建及运行方法 |
Non-Patent Citations (4)
| Title |
|---|
| TANYA JHA: ""Automation of Smartphone Traffic Generation in a Virtualized Environment"", 《HTTPS://ARXIV.ORG/ABS/1510.07830》 * |
| WUHUA: "Android 调试桥", 《HTTPS://WWW.ITEYE.COM/TOPIC/260042》 * |
| 一块腹肌: "让你的模拟器不再卡:VirtualBox安裝 Android-x86 4.0", 《HTTPS://WWW.CNBLOGS.COM/JQYP/ARCHIVE/2012/02/26/2368790.HTML》 * |
| 齐梓杰: ""面向Android应用的云测试平台设计与实现"", 《中国优秀硕士论文全文数据库 信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11042398B2 (en) | 2018-07-09 | 2021-06-22 | Samsung Electronics Co., Ltd. | System and method for guest operating system using containers |
| CN111382016A (zh) * | 2018-12-28 | 2020-07-07 | 成都鼎桥通信技术有限公司 | 测试终端与计算机的连接方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106708598B (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110389900B (zh) | 一种分布式数据库集群测试方法、装置及存储介质 | |
| CN112667362B (zh) | Kubernetes上部署Kubernetes虚拟机集群的方法与系统 | |
| CN103778031A (zh) | 一种云环境下的分布式系统多级故障容错方法 | |
| US20060047776A1 (en) | Automated failover in a cluster of geographically dispersed server nodes using data replication over a long distance communication link | |
| US8893272B2 (en) | Method and device for recombining runtime instruction | |
| CN103164244A (zh) | 一种基于通用可扩展固件接口的固件系统远程更新方法 | |
| CN106339177A (zh) | 一种创建虚拟机的方法和装置 | |
| WO2017219676A1 (zh) | 一种云应用的检测方法及云应用检测装置 | |
| CN106776140A (zh) | 超容灾备恢复一体机的装置及方法 | |
| CN104461693A (zh) | 一种桌面云计算环境下的虚拟机更新方法和系统 | |
| CN114721719B (zh) | 一种在集群中容器化部署异构应用的方法和系统 | |
| CN112631614A (zh) | 应用部署方法、装置、计算机设备和存储介质 | |
| US20230359486A1 (en) | Transferral Of Process State And/Or Components In Computing Environments | |
| CN111737271A (zh) | 数据同步更新方法、装置、设备及存储介质 | |
| CN104899116A (zh) | 数据备份的方法、源服务器、目标服务器及系统 | |
| CN112783570A (zh) | 基于服务网格的应用迁移方法、系统和介质 | |
| US9330266B2 (en) | Safe data storage method and device | |
| CN106708598A (zh) | 病毒分析环境搭建方法及装置 | |
| CN113515316A (zh) | 一种新型边缘云操作系统 | |
| Chang et al. | Access security on cloud computing implemented in hadoop system | |
| CN113297133B (zh) | 一种服务迁移质量保障方法及系统 | |
| CN112367186B (zh) | 一种基于0penStack裸机的故障保护方法及装置 | |
| CN108804147A (zh) | 联动关机方法、装置及客户端 | |
| CN112015520B (zh) | 数据上传系统及方法 | |
| US11416383B1 (en) | Systems for remote communication with test devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |