CN108090348A - 基于沙盒的Android恶意软件检测方法 - Google Patents
基于沙盒的Android恶意软件检测方法 Download PDFInfo
- Publication number
- CN108090348A CN108090348A CN201711340069.9A CN201711340069A CN108090348A CN 108090348 A CN108090348 A CN 108090348A CN 201711340069 A CN201711340069 A CN 201711340069A CN 108090348 A CN108090348 A CN 108090348A
- Authority
- CN
- China
- Prior art keywords
- code
- object code
- target software
- sandbox
- clouds
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及恶意软件检测技术。本发明解决了目前受电池、带宽、CPU及内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上的问题,提出了一种基于沙盒的Android恶意软件检测方法,其技术方案要点为:移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。本发明的有益效果是,在移动终端上面只做静态检测,在云端上做动态检测,有效的提高了恶意代码的检出率及减少对终端资源的消耗。
Description
技术领域
本发明涉及沙盒技术,特别涉及基于沙盒的Android恶意软件检测的技术。
背景技术
现有的Android恶意软件反逆向、抗检测技术不断发展成熟,恶意软件变种迅速,家族种类繁多,已经形成了以吸费扣费、恶意推广、隐私贩卖为目的的灰色利益产业链。安全公司每天面临大量待测可疑样本,分析检测工作量巨大,特征提取效率低下,导致了机遇静态扫描引擎的安全软件检出率不高。应用市场间竞争激烈,同质话严重,基本处于无序发展状态。受电池、带宽、CPU、内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上。如何针对Android移动平台恶意软件进行快速有效的分析检测成为当务之急。
发明内容
本发明的目的是提供一种基于沙盒的Android恶意软件检测方法,解决目前受电池、带宽、CPU及内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上的问题。
本发明解决其技术问题,采用的技术方案是:基于沙盒的Android恶意软件检测方法,其特征在于,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
具体地,所述移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
进一步地,所述云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,所述比对分析对象包括XML分析、DEX分析及相似性分析,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测。
具体地,所述云端运行在Linux操作系统上。
本发明的有益效果是,通过上述基于沙盒的Android恶意软件检测方法,在移动终端上面只做静态检测,在云端上做动态检测,有效的提高了恶意代码的检出率及减少对终端资源的消耗。
具体实施方式
下面结合实施例,详细描述本发明的技术方案。
本发明所述基于沙盒的Android恶意软件检测方法,由以下步骤组成:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
实施例
本发明实施例基于沙盒的Android恶意软件检测方法,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
上述方法中,移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性等,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
当云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,其中,比对分析对象包括XML分析、DEX分析及相似性分析等,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测;云端优选地运行在Linux操作系统上。
Claims (4)
1.基于沙盒的Android恶意软件检测方法,其特征在于,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
2.根据权利要求1所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
3.根据权利要求2所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,所述比对分析对象包括XML分析、DEX分析及相似性分析,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测。
4.根据权利要求1-3任意一项所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述云端运行在Linux操作系统上。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711340069.9A CN108090348A (zh) | 2017-12-14 | 2017-12-14 | 基于沙盒的Android恶意软件检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711340069.9A CN108090348A (zh) | 2017-12-14 | 2017-12-14 | 基于沙盒的Android恶意软件检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108090348A true CN108090348A (zh) | 2018-05-29 |
Family
ID=62175818
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711340069.9A Pending CN108090348A (zh) | 2017-12-14 | 2017-12-14 | 基于沙盒的Android恶意软件检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108090348A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569241A (zh) * | 2021-07-28 | 2021-10-29 | 新华三技术有限公司 | 一种病毒检测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103400076A (zh) * | 2013-07-30 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种移动终端上的恶意软件检测方法、装置和系统 |
CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
CN107092830A (zh) * | 2017-06-09 | 2017-08-25 | 武汉虹旭信息技术有限责任公司 | 基于流量分析的ios恶意软件预警和检测系统及其方法 |
CN107194253A (zh) * | 2017-05-23 | 2017-09-22 | 维沃移动通信有限公司 | 一种应用程序处理方法、移动终端及云服务器 |
-
2017
- 2017-12-14 CN CN201711340069.9A patent/CN108090348A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103400076A (zh) * | 2013-07-30 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种移动终端上的恶意软件检测方法、装置和系统 |
CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
CN107194253A (zh) * | 2017-05-23 | 2017-09-22 | 维沃移动通信有限公司 | 一种应用程序处理方法、移动终端及云服务器 |
CN107092830A (zh) * | 2017-06-09 | 2017-08-25 | 武汉虹旭信息技术有限责任公司 | 基于流量分析的ios恶意软件预警和检测系统及其方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113569241A (zh) * | 2021-07-28 | 2021-10-29 | 新华三技术有限公司 | 一种病毒检测方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sato et al. | Detecting android malware by analyzing manifest files | |
CN106778266A (zh) | 一种基于机器学习的安卓恶意软件动态检测方法 | |
US8290763B1 (en) | Emulation system, method, and computer program product for passing system calls to an operating system for direct execution | |
CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
CN105893848A (zh) | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 | |
US10387627B2 (en) | Systems and methods for analyzing software | |
CN104182688A (zh) | 基于动态激活及行为监测的Android恶意代码检测装置和方法 | |
CN105205397B (zh) | 恶意程序样本分类方法及装置 | |
US8256000B1 (en) | Method and system for identifying icons | |
CN102043915B (zh) | 一种非可执行文件中包含恶意代码的检测方法及其装置 | |
CN107808096A (zh) | 检测apk运行时被注入恶意代码的方法、终端设备及存储介质 | |
CN104598824A (zh) | 一种恶意程序检测方法及其装置 | |
CN104462962B (zh) | 一种检测未知恶意代码和二进制漏洞的方法 | |
CN102622536A (zh) | 一种恶意代码捕获方法 | |
CN111611591A (zh) | 一种固件漏洞的检测方法、装置、存储介质及电子设备 | |
CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
EP4158555A1 (en) | Undetectable sandbox for malware | |
Barabosch et al. | Bee master: Detecting host-based code injection attacks | |
KR101803888B1 (ko) | 유사도 기반 악성 어플리케이션 탐지 방법 및 장치 | |
US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
CN115827610A (zh) | 一种有效负荷的检测方法及装置 | |
KR20160090566A (ko) | 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법 | |
He et al. | Toward hybrid static-dynamic detection of vulnerabilities in IoT firmware | |
CN108090348A (zh) | 基于沙盒的Android恶意软件检测方法 | |
CN104200162A (zh) | 信息安全监控与防御的计算机程序产品及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180529 |
|
RJ01 | Rejection of invention patent application after publication |