CN108090348A - 基于沙盒的Android恶意软件检测方法 - Google Patents

基于沙盒的Android恶意软件检测方法 Download PDF

Info

Publication number
CN108090348A
CN108090348A CN201711340069.9A CN201711340069A CN108090348A CN 108090348 A CN108090348 A CN 108090348A CN 201711340069 A CN201711340069 A CN 201711340069A CN 108090348 A CN108090348 A CN 108090348A
Authority
CN
China
Prior art keywords
code
object code
target software
sandbox
clouds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711340069.9A
Other languages
English (en)
Inventor
黄德俊
张小青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201711340069.9A priority Critical patent/CN108090348A/zh
Publication of CN108090348A publication Critical patent/CN108090348A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及恶意软件检测技术。本发明解决了目前受电池、带宽、CPU及内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上的问题,提出了一种基于沙盒的Android恶意软件检测方法,其技术方案要点为:移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。本发明的有益效果是,在移动终端上面只做静态检测,在云端上做动态检测,有效的提高了恶意代码的检出率及减少对终端资源的消耗。

Description

基于沙盒的Android恶意软件检测方法
技术领域
本发明涉及沙盒技术,特别涉及基于沙盒的Android恶意软件检测的技术。
背景技术
现有的Android恶意软件反逆向、抗检测技术不断发展成熟,恶意软件变种迅速,家族种类繁多,已经形成了以吸费扣费、恶意推广、隐私贩卖为目的的灰色利益产业链。安全公司每天面临大量待测可疑样本,分析检测工作量巨大,特征提取效率低下,导致了机遇静态扫描引擎的安全软件检出率不高。应用市场间竞争激烈,同质话严重,基本处于无序发展状态。受电池、带宽、CPU、内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上。如何针对Android移动平台恶意软件进行快速有效的分析检测成为当务之急。
发明内容
本发明的目的是提供一种基于沙盒的Android恶意软件检测方法,解决目前受电池、带宽、CPU及内存资源限制,传统适用于PC的恶意软件分析检测手段不能直接运用在移动智能终端上的问题。
本发明解决其技术问题,采用的技术方案是:基于沙盒的Android恶意软件检测方法,其特征在于,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
具体地,所述移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
进一步地,所述云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,所述比对分析对象包括XML分析、DEX分析及相似性分析,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测。
具体地,所述云端运行在Linux操作系统上。
本发明的有益效果是,通过上述基于沙盒的Android恶意软件检测方法,在移动终端上面只做静态检测,在云端上做动态检测,有效的提高了恶意代码的检出率及减少对终端资源的消耗。
具体实施方式
下面结合实施例,详细描述本发明的技术方案。
本发明所述基于沙盒的Android恶意软件检测方法,由以下步骤组成:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
实施例
本发明实施例基于沙盒的Android恶意软件检测方法,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
上述方法中,移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性等,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
当云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,其中,比对分析对象包括XML分析、DEX分析及相似性分析等,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测;云端优选地运行在Linux操作系统上。

Claims (4)

1.基于沙盒的Android恶意软件检测方法,其特征在于,包括以下步骤:
移动终端首先对目标软件的目标代码进行静态检测,若静态检测出该目标代码为恶意代码,则提示用户该目标软件存在潜在威胁,否则由云端重新编译框架和/或虚拟机,并通过重新编译的框架和/或虚拟机动态执行该目标代码来判断该代码是否为恶意代码,若是则反馈给移动终端该目标软件存在潜在威胁。
2.根据权利要求1所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述移动终端对目标软件的目标代码进行的静态检测具体包括:移动终端的相应软件对目标软件的APK解压,先进行启发式扫描,然后检查Manifest.xml文件,最后分析DEX文件中的全部敏感属性,若以上三种结果均正常,或者三项中的结果只有一项为可疑结果,就上传APK至云端。
3.根据权利要求2所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述云端接收到上传的APK后,反汇编APK并对比APK源码结构,建立并管理签名数据库和恶意代码库,在云端结合恶意代码库,进行比对分析,所述比对分析对象包括XML分析、DEX分析及相似性分析,若比对分析后仍然没有结果,但目标代码的确存在可疑之处,则借助重新编译后的重新编译框架和/或虚拟机动态执行目标代码,从执行过程调用的系统框架层函数中,捕获所需参数信息,以及目标代码是否加载某些系统模块进行检测。
4.根据权利要求1-3任意一项所述的基于沙盒的Android恶意软件检测方法,其特征在于,所述云端运行在Linux操作系统上。
CN201711340069.9A 2017-12-14 2017-12-14 基于沙盒的Android恶意软件检测方法 Pending CN108090348A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711340069.9A CN108090348A (zh) 2017-12-14 2017-12-14 基于沙盒的Android恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711340069.9A CN108090348A (zh) 2017-12-14 2017-12-14 基于沙盒的Android恶意软件检测方法

Publications (1)

Publication Number Publication Date
CN108090348A true CN108090348A (zh) 2018-05-29

Family

ID=62175818

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711340069.9A Pending CN108090348A (zh) 2017-12-14 2017-12-14 基于沙盒的Android恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN108090348A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113569241A (zh) * 2021-07-28 2021-10-29 新华三技术有限公司 一种病毒检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103400076A (zh) * 2013-07-30 2013-11-20 腾讯科技(深圳)有限公司 一种移动终端上的恶意软件检测方法、装置和系统
CN105897807A (zh) * 2015-01-14 2016-08-24 江苏博智软件科技有限公司 一种基于行为特征的移动智能终端异常代码云检测方法
CN106650452A (zh) * 2016-12-30 2017-05-10 北京工业大学 一种Android系统内置应用漏洞挖掘方法
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107194253A (zh) * 2017-05-23 2017-09-22 维沃移动通信有限公司 一种应用程序处理方法、移动终端及云服务器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103400076A (zh) * 2013-07-30 2013-11-20 腾讯科技(深圳)有限公司 一种移动终端上的恶意软件检测方法、装置和系统
CN105897807A (zh) * 2015-01-14 2016-08-24 江苏博智软件科技有限公司 一种基于行为特征的移动智能终端异常代码云检测方法
CN106650452A (zh) * 2016-12-30 2017-05-10 北京工业大学 一种Android系统内置应用漏洞挖掘方法
CN107194253A (zh) * 2017-05-23 2017-09-22 维沃移动通信有限公司 一种应用程序处理方法、移动终端及云服务器
CN107092830A (zh) * 2017-06-09 2017-08-25 武汉虹旭信息技术有限责任公司 基于流量分析的ios恶意软件预警和检测系统及其方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113569241A (zh) * 2021-07-28 2021-10-29 新华三技术有限公司 一种病毒检测方法及装置

Similar Documents

Publication Publication Date Title
Sato et al. Detecting android malware by analyzing manifest files
CN106778266A (zh) 一种基于机器学习的安卓恶意软件动态检测方法
US8290763B1 (en) Emulation system, method, and computer program product for passing system calls to an operating system for direct execution
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN105893848A (zh) 一种基于代码行为相似度匹配的Android恶意应用程序防范方法
US10387627B2 (en) Systems and methods for analyzing software
CN104182688A (zh) 基于动态激活及行为监测的Android恶意代码检测装置和方法
CN105205397B (zh) 恶意程序样本分类方法及装置
US8256000B1 (en) Method and system for identifying icons
CN102043915B (zh) 一种非可执行文件中包含恶意代码的检测方法及其装置
CN107808096A (zh) 检测apk运行时被注入恶意代码的方法、终端设备及存储介质
CN104598824A (zh) 一种恶意程序检测方法及其装置
CN104462962B (zh) 一种检测未知恶意代码和二进制漏洞的方法
CN102622536A (zh) 一种恶意代码捕获方法
CN111611591A (zh) 一种固件漏洞的检测方法、装置、存储介质及电子设备
CN106599688A (zh) 一种基于应用类别的安卓恶意软件检测方法
EP4158555A1 (en) Undetectable sandbox for malware
Barabosch et al. Bee master: Detecting host-based code injection attacks
KR101803888B1 (ko) 유사도 기반 악성 어플리케이션 탐지 방법 및 장치
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN115827610A (zh) 一种有效负荷的检测方法及装置
KR20160090566A (ko) 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법
He et al. Toward hybrid static-dynamic detection of vulnerabilities in IoT firmware
CN108090348A (zh) 基于沙盒的Android恶意软件检测方法
CN104200162A (zh) 信息安全监控与防御的计算机程序产品及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180529

RJ01 Rejection of invention patent application after publication