CN107992747A - 加壳应用的恶意行为检测方法和系统 - Google Patents
加壳应用的恶意行为检测方法和系统 Download PDFInfo
- Publication number
- CN107992747A CN107992747A CN201610950405.0A CN201610950405A CN107992747A CN 107992747 A CN107992747 A CN 107992747A CN 201610950405 A CN201610950405 A CN 201610950405A CN 107992747 A CN107992747 A CN 107992747A
- Authority
- CN
- China
- Prior art keywords
- application
- malicious act
- shell adding
- plug
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种加壳应用的恶意行为检测方法和系统,涉及移动应用安全领域,其中的方法包括:通过恶意行为检测插件获取待测加壳应用的基本参数;根据待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API是否被恶意调用;若待测加壳应用的API被恶意调用,则调用应用插件支撑系统获取恶意行为的参数及调用信息;将恶意行为的参数及调用信息发送至应用检测平台,以便应用检测平台输出检测报告。本发明由于不需要源码分析,适用于加壳应用的检测,提高了加壳应用的检测效率和覆盖率。
Description
技术领域
本发明涉及移动应用安全领域,尤其涉及一种加壳应用的恶意行为检测方法和系统。
背景技术
我国目前有30多家主流应用商店,主流的网盘、论坛和下载站点超过100家,2015年检测到的感染移动恶意程序的用户达到2292万,其中Android平台1575万。2.2%的恶意程序样本经过加壳处理,加大了检测难度。传统的Android应用恶意行为检测解决方案中,人们多倾向于利用静态检测和反编译技术查看代码的方式解决。事实上,现在国内主流应用市场的Android应用很多经过了手机应用加壳服务商如360,爱加密等的加壳处理。此类加壳应用需要引入一种新的恶意行为检测方法和系统。
发明内容
本发明要解决的一个技术问题是提供一种加壳应用的恶意行为检测方法和和系统,能够提高加壳应用的检测效率和覆盖率。
根据本发明一方面,提出一种加壳应用的恶意行为检测方法,包括:通过恶意行为检测插件获取待测加壳应用的基本参数;根据待测加壳应用的基本参数,利用应用程序编程接口API检测插件动态检测待测加壳应用的API是否被恶意调用;若待测加壳应用的API被恶意调用,则调用应用插件支撑系统获取恶意行为的参数及调用信息;将恶意行为的参数及调用信息发送至应用检测平台,以便应用检测平台输出检测报告。
进一步地,将恶意行为的参数及调用信息发送至应用检测平台,以便应用检测平台输出检测报告包括:应用检测平台根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
进一步地,该方法还包括:若待测加壳应用的API未被恶意调用,API检测插件则向应检测平台发送无恶意行为触发消息,以便应用检测平台输出正常通过指令。
进一步地,该方法还包括:通过插桩模块设定应用插件支撑系统的基本参数和加壳应用的基本参数,实现加壳应用的注册。
进一步地,该方法还包括:通过靶向应用仓库获取待测安装包APK文件;恶意行为检测插件基于加壳应用的注册信息对APK文件进行动态修改和配置。
根据本发明的另一方面,还提出一种加壳应用的恶意行为检测系统,包括:恶意行为检测插件,用于获取待测加壳应用的基本参数;API检测插件,用于根据待测加壳应用的基本参数,动态检测待测加壳应用的应用程序编程接口API是否被恶意调用;应用插件支撑系统,用于若待测加壳应用的API被恶意调用,则获取恶意行为的参数及调用信息,并将恶意行为的参数及调用信息发送至应用检测平台;应用检测平台,用于接收应用插件支撑系统发送的恶意行为的参数及调用信息,并输出检测报告。
进一步地,该系统还包括恶意行为仓库;恶意行为仓库用于存储加壳应用的恶意行为序列;应用检测平台用于根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
进一步地,API检测插件用于若待测加壳应用的API未被恶意调用,则向应用检测平台发送无恶意行为触发消息,以便应用检测平台输出正常通过指令。
进一步地,该系统还包括插桩模块;插桩模块用于设定应用插件支撑系统的基本参数和加壳应用的基本参数,实现加壳应用的注册。
进一步地,该系统还包括靶向应用仓库;靶向应用仓库用于获取待测安装包APK文件;恶意行为检测插件用于基于加壳应用的注册信息对APK文件进行动态修改和配置。
与现有技术相比,本发明结合动态插桩技术获取待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API调用信息,若恶意行为被触发,则获取相应的恶意行为的参数及调用信息,反馈到应用检测平台汇总输出检测报告,由于不需要源码分析,本发明适用于加壳应用的检测,大大提高了加壳应用的检测效率和覆盖率。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明加壳应用的恶意行为检测方法的一个实施例的流程示意图。
图2为本发明加壳应用的恶意行为检测方法的另一个实施例的流程示意图。
图3为本发明加壳应用的恶意行为检测方法的一个具体实施例的流程示意图。
图4为本发明加壳应用的恶意行为检测系统的一个实施例的结构示意图。
图5为本发明加壳应用的恶意行为检测系统的再一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明加壳应用的恶意行为检测方法的一个实施例的流程示意图。该方法包括以下步骤:
在步骤110,通过恶意行为检测插件获取待测加壳应用的基本参数。其中,恶意行为检测插件为定制的Android(安卓)Dalvik虚拟机,用于获取加壳应用的基本参数,例如APK(AndroidPackage,Android安装包)的哈希、大小、包名、版本、证书、权限列表等。
在步骤120,根据待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API(Application Programming Interface,应用程序编程接口)是否被恶意调用。例如,采用Monkey脚本对Android应用界面元素进行遍历触发,定制的Android Dalvik虚拟机的API检测插件会在后台记录API的调用序列。
在步骤130,若待测加壳应用的API被恶意调用,则调用应用插件支撑系统获取恶意行为的参数及调用信息。其中,恶意行为的参数包括恶意行为API所涉及的方法、类、指令、参数、对象等;调用信息包括调用时间、调用顺序、行为序列等。
在步骤140,将恶意行为的参数及调用信息发送至应用检测平台,以便应用检测平台输出检测报告。例如,应用检测平台根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
在该实施例中,结合动态插桩技术获取待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API调用信息,若恶意行为被触发,则获取相应的恶意行为的参数及调用信息,反馈到应用检测平台汇总输出检测报告,由于不需要源码分析,该实施例适用于加壳应用的检测,大大提高了加壳应用的检测效率和覆盖率。
图2为本发明加壳应用的恶意行为检测方法的另一个实施例的流程示意图。该方法包括以下步骤:
在步骤210,通过插桩模块设定应用插件支撑系统的基本参数和加壳应用的基本参数,实现加壳应用的注册。用户通过系统强认证,进入注册流程,例如设定应用插件支撑系统的基本参数和加壳应用的基本参数,将待检测应用的包名写入配置文件,重启手机(reboot),定制的Android Dalvik虚拟机会在系统重启时将配置文件中的APK纳入监控范围,完成注册。
在步骤220,通过靶向应用仓库获取待测APK文件。
在步骤230,恶意行为检测插件基于加壳应用的注册信息对APK文件进行动态修改和配置。其中,根据加壳应用的注册数据对获取到的APK文件进行动态修改和配置方可进行恶意行为序列检测。
在步骤240,根据待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API是否被恶意调用。
在步骤250,若待测加壳应用的API被恶意调用,则调用应用插件支撑系统获取恶意行为的参数及调用信息。
在步骤260,应用插件支撑系统将恶意行为的参数及调用信息发送至应用检测平台。
在步骤270,应用检测平台根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。例如,访问通讯录+上传服务器算作一条恶意行为序列。其中,恶意行为仓库中包括有加壳应用的恶意行为序列,即潜在的恶意行为和关联的API信息。
在该实施例中,通过植入插件实现对加壳应用的恶意API调用的动态检测和对恶意行为主要参数的捕获,并将恶意行为的参数及调用信息发送至应用检测平台,应用检测平台对恶意行为进行序列识别和匹配,最终实现的是恶意行为组合序列识别和检测,由于可绕过源代码审计过程实现对加壳应用的检测,因此使得移动应用检测变得更加高效,覆盖范围更加广泛。
图3为本发明加壳应用的恶意行为检测方法的一个具体实施例的流程示意图。该方法包括以下步骤:
在步骤310,采集手机环境设置参数及加壳Android应用的基本参数。本方法可以运行在Android4.4.2系统版本,需要替换Android手机的Dalvik虚拟机,其中加壳Android应用基本参数包括AndroidAPK的哈希、大小、包名、版本、证书、权限列表等。
在步骤320,根据待测加壳Android应用的基本参数,利用API检测插件动态检测待测加壳Android应用的API是否被恶意调用,若被恶意调用则执行步骤330,否则执行步骤360。
在步骤330,调用应用插件支撑系统获取Android应用的恶意行为的参数及调用信息。
在步骤340,应用插件支撑系统将Android应用的恶意行为的参数及调用信息发送至应用检测平台。
在步骤350,应用检测平台根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。例如,访问通讯录+上传服务器算作一条恶意行为序列。其中,恶意行为仓库中包括有加壳Android应用的恶意行为序列,即潜在的恶意行为和关联的API信息。
在步骤360,API检测插件则向应检测平台发送无恶意行为触发消息。
在步骤370,应用检测平台输出正常通过指令。
在实施例中,通过采集手机环境设置参数及加壳Android应用的基本参数,植入插件插桩实现恶意API调用的动态检测和对恶意行为主要参数的捕获,并反馈给应用检测平台生成检测报告,使得加壳Android应用的某些恶意行为检测更加动态高效。
图4为本发明加壳应用的恶意行为检测系统的一个实施例的结构示意图。该系统包括恶意行为检测插件410、API检测插件420、应用插件支撑系统430和应用检测平台440,其中:
恶意行为检测插件410用于获取待测加壳应用的基本参数。其中,恶意行为检测插件为定制的Android(安卓)Dalvik虚拟机,用于获取加壳应用的基本参数,例如APK(AndroidPackage,Android安装包)的哈希、大小、包名、版本、证书、权限列表等。
API检测插件420用于根据待测加壳应用的基本参数,动态检测待测加壳应用的API是否被恶意调用。例如,采用Monkey脚本对Android应用界面元素进行遍历触发,定制的Android Dalvik虚拟机的API检测插件会在后台记录API的调用序列。
应用插件支撑系统430用于若待测加壳应用的API被恶意调用,则获取恶意行为的参数及调用信息,并将恶意行为的参数及调用信息发送至应用检测平台440。其中,恶意行为的参数包括恶意行为API所涉及的方法、类、指令、参数、对象等;调用信息包括调用时间、调用顺序、行为序列等。
应用检测平台440用于接收应用插件支撑系统430发送的恶意行为的参数及调用信息,并输出检测报告。例如,应用检测平台440根据调用信息调用恶意行为仓库,基于恶意行为的参数通过恶意行为仓库对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
在该实施例中,结合动态插桩技术获取待测加壳应用的基本参数,利用API检测插件动态检测待测加壳应用的API调用信息,若恶意行为被触发,则获取相应的恶意行为的参数及调用信息,反馈到应用检测平台汇总输出检测报告,由于不需要源码分析,该实施例适用于加壳应用的检测,大大提高了加壳应用的检测效率和覆盖率。
图5为本发明加壳应用的恶意行为检测系统的再一个实施例的结构示意图。该系统包括插桩模块510、靶向应用仓库520、恶意行为检测插件530、API检测插件540、应用插件支撑系统550和应用检测平台560,恶意行为仓库570,其中:
插桩模块510用于设定应用插件支撑系统的基本参数和加壳应用的基本参数,实现加壳应用的注册。用户通过系统强认证,进入注册流程,例如设定应用插件支撑系统的基本参数和加壳应用的基本参数,将待检测应用的包名写入配置文件,重启手机,定制的Android Dalvik虚拟机会在系统重启时将配置文件中的APK纳入监控范围,完成注册。靶向应用仓库520用于获取待测APK文件。恶意行为检测插件530用于基于加壳应用的注册信息对APK文件进行动态修改和配置。其中,根据加壳应用的注册数据对获取到的APK文件进行动态修改和配置方可进行恶意行为序列检测。
API检测插件540用于根据待测加壳应用的基本参数,动态检测待测加壳应用的API是否被恶意调用,若未被恶意调用,则向应检测平台560发送无恶意行为触发消息,以便应用检测平台560输出正常通过指令。应用插件支撑系统550用于若待测加壳应用的API被恶意调用,则获取恶意行为的参数及调用信息,并将恶意行为的参数及调用信息发送至应用检测平台560。应用检测平台560用于根据调用信息调用恶意行为仓库570,基于恶意行为的参数通过恶意行为仓库570对恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。恶意行为仓库570存储加壳应用的恶意行为序列。
在该实施例中,通过植入插件实现对加壳应用的恶意API调用的动态检测和对恶意行为主要参数的捕获,并将恶意行为的参数及调用信息发送至应用检测平台,应用检测平台对恶意行为进行序列识别和匹配,最终实现的是恶意行为组合序列识别和检测,由于可绕过源代码审计过程实现对加壳应用的检测,因此使得移动应用检测变得更加高效,覆盖范围更加广泛。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (10)
1.一种加壳应用的恶意行为检测方法,其特征在于,包括:
通过恶意行为检测插件获取待测加壳应用的基本参数;
根据所述待测加壳应用的基本参数,利用应用程序编程接口API检测插件动态检测所述待测加壳应用的API是否被恶意调用;
若所述待测加壳应用的API被恶意调用,则调用应用插件支撑系统获取恶意行为的参数及调用信息;
将所述恶意行为的参数及调用信息发送至应用检测平台,以便所述应用检测平台输出检测报告。
2.根据权利要求1所述的方法,其特征在于,将所述恶意行为的参数及调用信息发送至应用检测平台,以便所述应用检测平台输出检测报告包括:
所述应用检测平台根据所述调用信息调用恶意行为仓库,基于所述恶意行为的参数通过所述恶意行为仓库对所述恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
3.根据权利要求1所述的方法,其特征在于,还包括:
若所述待测加壳应用的API未被恶意调用,所述API检测插件则向所述应检测平台发送无恶意行为触发消息,以便所述应用检测平台输出正常通过指令。
4.根据权利要求1-3任一所述的方法,其特征在于,还包括:
通过插桩模块设定所述应用插件支撑系统的基本参数和加壳应用的基本参数,实现所述加壳应用的注册。
5.根据权利要求4所述的方法,其特征在于,还包括:
通过靶向应用仓库获取待测安装包APK文件;
所述恶意行为检测插件基于所述加壳应用的注册信息对所述APK文件进行动态修改和配置。
6.一种加壳应用的恶意行为检测系统,其特征在于,包括:
恶意行为检测插件,用于获取待测加壳应用的基本参数;
API检测插件,用于根据所述待测加壳应用的基本参数,动态检测所述待测加壳应用的API是否被恶意调用;
应用插件支撑系统,用于若所述待测加壳应用的API被恶意调用,则获取恶意行为的参数及调用信息,并将所述恶意行为的参数及调用信息发送至应用检测平台;
应用检测平台,用于接收所述应用插件支撑系统发送的所述恶意行为的参数及调用信息,并输出检测报告。
7.根据权利要求6所述的系统,其特征在于,还包括恶意行为仓库;
所述恶意行为仓库用于存储加壳应用的恶意行为序列;
所述应用检测平台用于根据所述调用信息调用恶意行为仓库,基于所述恶意行为的参数通过所述恶意行为仓库对所述恶意行为进行序列识别和匹配,根据识别和匹配结果输出检测报告。
8.根据权利要求6所述的系统,其特征在于,所述API检测插件用于若所述待测加壳应用的API未被恶意调用,则向所述应用检测平台发送无恶意行为触发消息,以便所述应用检测平台输出正常通过指令。
9.根据权利要求6-8任一所述的系统,其特征在于,还包括插桩模块;
所述插桩模块用于设定所述应用插件支撑系统的基本参数和加壳应用的基本参数,实现所述加壳应用的注册。
10.根据权利要求9所述的系统,其特征在于,还包括靶向应用仓库;
所述靶向应用仓库用于获取待测安装包APK文件;
所述恶意行为检测插件用于基于所述加壳应用的注册信息对所述APK文件进行动态修改和配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610950405.0A CN107992747A (zh) | 2016-10-27 | 2016-10-27 | 加壳应用的恶意行为检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610950405.0A CN107992747A (zh) | 2016-10-27 | 2016-10-27 | 加壳应用的恶意行为检测方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107992747A true CN107992747A (zh) | 2018-05-04 |
Family
ID=62029542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610950405.0A Pending CN107992747A (zh) | 2016-10-27 | 2016-10-27 | 加壳应用的恶意行为检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107992747A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112463266A (zh) * | 2020-12-11 | 2021-03-09 | 微医云(杭州)控股有限公司 | 执行策略生成方法、装置、电子设备以及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090177883A1 (en) * | 2008-01-03 | 2009-07-09 | Beijing Lenovo Software Ltd. | Method and device for online secure logging-on |
CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
CN105975856A (zh) * | 2015-09-25 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种移动终端病毒动态检测方法及系统 |
-
2016
- 2016-10-27 CN CN201610950405.0A patent/CN107992747A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090177883A1 (en) * | 2008-01-03 | 2009-07-09 | Beijing Lenovo Software Ltd. | Method and device for online secure logging-on |
CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
CN105975856A (zh) * | 2015-09-25 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种移动终端病毒动态检测方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112463266A (zh) * | 2020-12-11 | 2021-03-09 | 微医云(杭州)控股有限公司 | 执行策略生成方法、装置、电子设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108052334B (zh) | 页面跳转方法、装置、计算机设备和存储介质 | |
CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
Sharma et al. | Malicious application detection in android—a systematic literature review | |
Isohara et al. | Kernel-based behavior analysis for android malware detection | |
CN104766012B (zh) | 基于动态污点追踪的数据安全动态检测方法及系统 | |
Amin et al. | Androshield: Automated android applications vulnerability detection, a hybrid static and dynamic analysis approach | |
CN103632096B (zh) | 一种对设备进行安全检测的方法和装置 | |
Hu et al. | Migdroid: Detecting app-repackaging android malware via method invocation graph | |
CN105184160B (zh) | 一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
CN106548076A (zh) | 检测应用漏洞代码的方法和装置 | |
CN104182681B (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
CN107330332A (zh) | 一种针对安卓手机app的漏洞检测方法 | |
CN104834862A (zh) | 一种安卓权限提升攻击的全面静态分析系统 | |
CN103177210A (zh) | 一种在Android中植入动态污点分析模块的方法 | |
CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
CN107894889A (zh) | 埋点方法、设备及计算机可读存储介质 | |
CN104115117A (zh) | 用于安全性测试的单元测试的自动合成 | |
CN104504337A (zh) | 一种安卓数据泄露的恶意应用检测方法 | |
CN108984203A (zh) | 一种用于Android应用运行时数据采集的方法及其系统 | |
KR20120070019A (ko) | 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 | |
CN110427752A (zh) | 一种沙箱监控应用程序的方法、移动终端及存储介质 | |
Jia et al. | Who leaks my privacy: Towards automatic and association detection with gdpr compliance | |
CN106682491A (zh) | 应用下载方法和装置 | |
CN105760761A (zh) | 软件行为分析方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180504 |
|
RJ01 | Rejection of invention patent application after publication |