CN109784057A - 安卓应用加固识别方法、控制器及介质 - Google Patents
安卓应用加固识别方法、控制器及介质 Download PDFInfo
- Publication number
- CN109784057A CN109784057A CN201910008863.6A CN201910008863A CN109784057A CN 109784057 A CN109784057 A CN 109784057A CN 201910008863 A CN201910008863 A CN 201910008863A CN 109784057 A CN109784057 A CN 109784057A
- Authority
- CN
- China
- Prior art keywords
- apk
- detected
- ratio
- reinforced
- file characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Stored Programmes (AREA)
Abstract
本发明涉及一种安卓应用加固识别方法、控制器及介质,所述方法包括:获取待检测APK的四大组件比例和/或可疑文件比例,将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固;将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。本发明仅通过分析四大组件比例和可疑文件比例等特征,无需运行应用程序即可识别安卓应用是否加固,提高了加固识别的运行效率和准确度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安卓应用加固识别方法、控制器及介质。
背景技术
随着安卓(Android)操作系统的快速发展,Android恶意应用(应用程序,可简称为“应用”)也随之发展。为了达到快速传播的目的,恶意软件创建者通常不会从头开始编写新的恶意软件,而是使用自动化工具(如重新打包,挂钩和注入器)从当前热门的合法应用程序快速开发恶意软件,并将其分发到不同的安卓设备中。
为阻止安卓恶意应用泛滥,可采用静态分析或动态分析来检测恶意Android安装包(AndroidPackage简称APK)。静态分析无需运行应用程序,仅需从应用的程序代码中提取特征以此判断程序行为,较为简单高效。动态分析是指运行应用程序并尽可能地触发应用的全部行为,从而判断应用程序是否执行了恶意性行为,但动态分析效率存在较大的短板。因此,静态分析是当前主要的分析手段。然而,随着安卓加固行业的发展,恶意应用也逐渐采用加固技术来逃避检测,静态分析方法存在新挑战。因此,在进行恶意应用分析之前,识别应用程序是否加固成为必要的步骤,但是,现有的安卓应用程序加固识别方法运行效率低且准确性差。
发明内容
本发明目的在于,提供一种安卓应用加固识别方法、控制器及介质,无需运行应用,仅通过分析四大组件比例和可疑文件比例等特征,无需运行应用程序即可识别安卓应用是否加固,提高了加固识别的运行效率和准确度。
为了解决上述技术问题,根据本发明第一实施例,提供了一种安卓应用加固识别方法,包括以下步骤:
获取待检测APK的四大组件比例和/或可疑文件比例,其中,所述四大组件比例为Androidmanifest.xml注册的组件在classes.dex文件中进行声明的比例,所述可疑文件比例为可疑文件大小与classes.dex文件大小比例;
将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固;
将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
进一步的,所述方法还包括:获取所述第一阈值和/或所述第二阈值,具体包括以下步骤:
选取一定数量的带加固标签的APK样本和带非加固标签的APK样本组成样本数据集;
统计所述样本数据集中的所有APK样本的四大组件比例和/或可疑文件比例;
基于所述样本数据集中的所有APK样本的四大组件比例获取所述第一阈值;
基于所述样本数据集中的所有APK样本的可疑文件比例获取所述第二阈值。
进一步的,所述第一阈值为0.5,所述第二阈值为0.21。
进一步的,所述获取待检测APK的四大组件比例和/或可疑文件比例之前,所述方法还包括:
根据所述待检测APK的so文件特征判断所述待检测APK是否加固,具体包括以下步骤:
获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配;
若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
进一步的,在所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
进一步的,所述获取待检测APK的四大组件比例和/或可疑文件比例之前,所述方法还包括:
根据dex文件特征判断所述待检测APK是否加固,具体包括以下步骤:
获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配;
若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
进一步的,在所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
进一步的,所述方法具体包括:
步骤S201、获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配,若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S202;
步骤S202、获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配,若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S203;
步骤S203、获取待检测APK的四大组件比例,将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,并结束执行所述方法,否则,判断所述待检测APK未加固,继续执行步骤S204;
步骤S204、获取待检测APK的可疑文件比例,将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
根据本发明第二实施例,提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述方法的步骤。
根据本发明第三实施例,提供一种计算机可读存储介质,用于存储计算机指令,所述指令在由一计算机或处理器执行时实现所述方法的步骤。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明一种安卓应用加固识别方法、控制器及介质可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:
本发明通过分析四大组件比例和可疑文件比例等特征,无需运行应用程序即可识别安卓应用是否加固,简单方便,便于实施,提高了加固识别的运行效率和准确度,此外,本发明可结合so文件特征以及dex文件特征来识别安卓应用是否加固,进一步提升加固识别的运行效率和准确度,且能识别对应的加固厂商,为恶意应用分析等提供保障。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为本发明一实施例提供安卓应用加固识别方法示意图;
图2为本发明另一实施例提供的安卓应用加固识别方法示意图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种安卓应用加固识别方法、控制器及介质的具体实施方式及其功效,详细说明如后。
本发明实施例提供了一种安卓应用加固识别方法,如图1所示,包括以下步骤:
步骤S1、获取待检测APK的四大组件比例和/或可疑文件比例;
步骤S2、将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固;
步骤S3、将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
通过步骤S1-步骤S3可适用于所有类型的安卓应用的加固识别,且加固识别的运行效率高、准确度高。
所述步骤S1可以仅获取检测APK的四大组件比例或可疑文件比例来判断待检测APK是否加固,也可同时获取待检测APK的四大组件比例和可疑文件比例,来判断待检测APK是否加固,同时通过四大组件比例和可疑文件比例来判断时,可以先通过四大组件比例来判断,再通过可疑文件比例来判断,若通过四大组件比例判断待检测APK加固,则无需进行后续判断,否则,再对判断待检测APK进行可疑文件比例判断;同理,也可先通过可疑文件比例判断,再通过四大组件比例来判断,若通过可疑文件比例判断待检测APK加固,则无需进行后续判断,否则,再对待检测APK进行四大组件比例。同时获取待检测APK的四大组件比例和可疑文件比例将避免其中一个检测步骤出现漏检,可以进一步提高安卓应用加固识别的准确度。
其中,所述四大组件比例为Androidmanifest.xml注册的组件在classes.dex文件中进行声明的比例,所述四大组件包括活动(Activity)组件、服务(Service)组件、内容提供者(Content Provider)组件和广播接收器(BroadcastReceiver)组件。所述可疑文件比例为可疑文件大小与classes.dex文件大小比例,所述可疑文件包括除音频、视频、图像等普通文件、classes.dex以外的Dalvik dex file version类型的文件、zip、JAR等压缩形式的文件、具有编程语言格式的文件(如c++文件、js文件)、可执行文件和脚本文件等。Androidmanifest.xml为Android安装包必须含有的清单文件,用来配置一些类似于包名、权限、程序组件等重要信息;classes.dex为Android安装包必须含有的文件,用于保存类定义及其关联的辅助数据。
作为一种示例,所述可疑文件可包括21种,可划分为可疑MIMETYPE和可疑magictype两种,如表1和表2所示:
表1
表2
作为一种示例,四大组件比例的具体获取过程为:
步骤S11、利用zipfile工具从待检测APK中提取出AndroidManifest.xml文件和以.dex为后缀名的文件;
步骤S12、获取dex文件中所含字符串列表;
作为一种示例,所述步骤S12具体包括:
步骤S121、利用zipfile工具从待检测APK中提取出以.dex为后缀名的文件;
步骤S122、以二进制读模式对dex文件进行读取,并利用python的struct模块进行解析,从而获得dex文件中的字符串列表。
步骤S13、利用axmlprinter与xml.dom.minidom对AndroidManifest.xml文件进行解析,获取待检测APK注册的四大组件列表(如AndroidManifest.xml文件中存在<serviceandroid:name="com.app.MyServer"/>,则认定待检测APK注册了"com.app.MyServer");
步骤S14、将dex文件中所含字符串列表与待检测APK注册的四大组件列表进行比对,若四大组件列表中的组件名称(如"com.app.MyServer")出现在dex文件字符串列表,则将该组件名称认定为两者共有的组件,将两者共有的所有组件整合成“共有组件列表”;
步骤S15、获取“共有组件列表”在待检测APK注册的四大组件列表中所占比例,得到所述四大组件比例。
作为一种示例,所述可疑文件比例的获取过程为:
步骤S111、利用zipfile工具从待检测APK中提取出所有文件;
步骤S112、以表1和表2中所列可疑文件为例,对待检测APK中除classes.dex、Androidmanifest.xml文件和META-INF目录下的文件以外的其他所有文件执行以下操作:
a.利用mimetypes获取文件的MIMETYPE,若文件的MIMETYPE属于15种可疑MIMETYPE,则将该文件认定为可疑文件,否则执行步骤b;
b.利用magic获取文件的文件类型(为了与上述进行区分,称为magic type),若文件的magic type属于6种可疑magic type,则认定该文件为可疑文件,否则认为该文件为非可疑文件。
步骤S113、将所有可疑文件的文件大小进行叠加,获得可疑文件总大小;
步骤S114、获取待检测APK中classes.dex文件大小,获取可疑文件总大小与classes.dex文件大小的比例,得到所述可疑文件比例。
未加固应用的Androidmanifest.xml注册的组件在classes.dex文件中进行声明的比例为100%,而一般加壳程序会将APK源Dex文件的内容抽离后加密,存储到单独文件,并用壳Dex文件代替源Dex文件成为classes.dex文件,因此四大组件比例较低。普通应用大多在classes.dex文件中调用官方应用程序编程接口API(Application ProgrammingInterface)、实现自定义类与自定义方法,而加壳程序将APK源classes.dex文件进行抽离后加密,存储到未知类型的文件中,并用壳Dex文件代替源Dex文件成为classes.dex文件,壳Dex文件较小,因此,加壳程序的Dex比重较低,而可疑文件比例上升,故两者的比值在未加固应用与加固应用中有很好的区分能力。
作为一种示例,所述方法还包括步骤S10、获取所述第一阈值和/或所述第二阈值,具体包括以下步骤:
步骤S101、选取一定数量的带加固标签的APK样本和带非加固标签的APK样本组成样本数据集;
例如,可以从AMD、Drebin公开的恶意软件数据集中选取一定数量的带加固标签的APK恶意样本和带非加固标签的APK恶意样本,从其他正规渠道爬取带加固标签的APK良性样本和带非加固标签的APK良性样本。
步骤S102、统计所述样本数据集中的所有APK样本的四大组件比例和/或可疑文件比例;
步骤S103、基于所述样本数据集中的所有APK样本的四大组件比例获取所述第一阈值;
步骤S104、基于所述样本数据集中的所有APK样本的可疑文件比例获取所述第二阈值。
作为一种示例,所述第一阈值为0.5,所述第二阈值为0.21。
为了进一步提高安卓应用加固识别的运行效率,所述步骤S1之前,所述方法还包括:
步骤S100、根据所述待检测APK的so文件特征判断所述待检测APK是否加固,so文件特征可以为so文件列表,其中,so文件为可被共享的对象文件(Shared object file)的缩写,指的是Android安装包可能含有的动态库文件。步骤S100具体包括以下步骤:
步骤S1001、获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配;
作为一种示例,可利用zipfile工具从待检测APK中获取所有文件列表,然后获取所有以.so为后缀名的文件名列表。
步骤S1002、若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
为了方便所述方法在恶意应用检测中的应用,在所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
作为一种示例,所述步骤S1之前,所述方法还包括步骤S110:根据dex文件特征判断所述待检测APK是否加固,dex文件特征可以为classes.dex文件中的字符串列表,其中,dex文件为Dalvik可执行格式(Dalvik Executable Format)文件的缩写,步骤S110具体包括以下步骤:
步骤S1101、获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配;
作为一种示例,具体可通过步骤S121-步骤S1222获取dex文件中的字符串列表。
步骤S1102、若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
为了方便所述方法在恶意应用检测中的应用,在所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
常见的加固厂商在对APK样本进行加固后通常会留下鲜明的so文件特征与dex文件特征,这些特征对应组成加固厂商so文件特征库和固厂商dex文件特征库。例如使用爱加密加固厂商进行加固的样本将含有libexec.so文件与libexecmain.so文件;使用360加固厂商进行加固的样本dex文件将含有"com.qihoo360.crpty.entryRunApplication"字符串与"com.qihoo.dexjiagu"字符串;使用百度加固的样本将含有libbaiduprotect.so文件;使用阿里加固的样本dex文件将含有Lcom/ali/fixHelper等。因此可通过步骤S100和步骤S110根据加固厂商的不同,获得每个加固厂商每个加固版本对应的so文件列表特征与dex文件字符串特征。从而识别常见的加固厂商所加固的APK,
以下以一具体实施例进行说明,如图2所示,包括以下步骤:
步骤S201、获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配,若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S202;
步骤S202、获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配,若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S203。
步骤S203、获取待检测APK的四大组件比例,将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,并结束执行所述方法,否则,判断所述待检测APK未加固,继续执行步骤S204;
步骤S204、获取待检测APK的可疑文件比例,将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
需要说明的是,步骤S201-步骤S204仅为一种示例,实际运行中,可将步骤S201和步骤S202执行的内容互换顺序,也可将步骤S203和步骤S204的内容互换顺序,然后串行执行所有步骤即可,任何一步检测出待检测APK加固,则结束流程,若检测出来未加固,则一直继续执行后续步骤,防止某一步骤漏检,提高了加固识别的准确率。
具体步骤S201-步骤S204执行过程中特征值和特征说明可参考表3:
表3
本发明实施例还提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述安卓应用加固识别方法的步骤。
本发明实施例还提供一种计算机可读存储介质,用于存储计算机指令,所述指令在由一计算机或处理器执行时实现所述安卓应用加固识别方法的步骤。
本发明实施例通过分析四大组件比例和可疑文件比例等特征,无需运行应用程序即可识别安卓应用是否加固,简单方便,便于实施,提高了加固识别的运行效率和准确度,此外,本发明实施例可结合so文件特征以及dex文件特征来识别安卓应用是否加固,进一步提升加固识别的运行效率和准确度,且能识别对应的加固厂商,为恶意应用分析等提供保障。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (10)
1.一种安卓应用加固识别方法,其特征在于,包括以下步骤:
获取待检测APK的四大组件比例和/或可疑文件比例,其中,所述四大组件比例为Androidmanifest.xml注册的组件在classes.dex文件中进行声明的比例,所述可疑文件比例为可疑文件大小与classes.dex文件大小比例;
将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固;
将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
2.根据权利要求1所述的安卓应用加固识别方法,其特征在于,
获取所述第一阈值和/或所述第二阈值,具体包括以下步骤:
选取一定数量的带加固标签的APK样本和带非加固标签的APK样本组成样本数据集;
统计所述样本数据集中的所有APK样本的四大组件比例和/或可疑文件比例;
基于所述样本数据集中的所有APK样本的四大组件比例获取所述第一阈值;
基于所述样本数据集中的所有APK样本的可疑文件比例获取所述第二阈值。
3.根据权利要求2所述的安卓应用加固识别方法,其特征在于,
所述第一阈值为0.5,所述第二阈值为0.21。
4.根据权利要求1所述的安卓应用加固识别方法,其特征在于,
所述获取待检测APK的四大组件比例和/或可疑文件比例之前,所述方法还包括:
根据所述待检测APK的so文件特征判断所述待检测APK是否加固,具体包括以下步骤:
获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配;
若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
5.根据权利要求1所述的安卓应用加固识别方法,其特征在于,
在所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
6.根据权利要求1-5中任意一项所述的安卓应用加固识别方法,其特征在于,
所述获取待检测APK的四大组件比例和/或可疑文件比例之前,所述方法还包括:
根据dex文件特征判断所述待检测APK是否加固,具体包括以下步骤:
获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配;
若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行下一步骤。
7.根据权利要求6所述的安卓应用加固识别方法,其特征在于,
在所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功时,判断所述待检测APK加固,并输出对应的加固厂商名称和判断依据。
8.根据权利要求6所述的安卓应用加固识别方法,其特征在于,所述方法具体包括:
步骤S201、获取所述待检测APK的so文件特征,并与预设的加固厂商so文件特征库进行匹配,若所述待检测APK的so文件特征与加固厂商so文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S202;
步骤S202、获取所述待检测APK的dex文件特征,并与预设的加固厂商dex文件特征库进行匹配,若所述待检测APK的dex文件特征与加固厂商dex文件特征库匹配成功,则判断所述待检测APK加固,并结束执行所述方法,否则,继续执行步骤S203;
步骤S203、获取待检测APK的四大组件比例,将所述四大组件比例与预设的第一阈值相比较,若所述四大组件比例小于所述第一阈值,则判断所述待检测APK加固,并结束执行所述方法,否则,判断所述待检测APK未加固,继续执行步骤S204;
步骤S204、获取待检测APK的可疑文件比例,将所述可疑文件比例与预设的第二阈值相比较,若所述可疑文件比例大于等于所述第二阈值,则判断所述待检测APK加固,否则,判断所述待检测APK未加固。
9.一种控制器,其包括存储器与处理器,其特征在于:所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现权利要求1至8中任意一项权利要求所述的方法的步骤。
10.一种计算机可读存储介质,用于存储计算机指令,其特征在于:所述指令在由一计算机或处理器执行时实现如权利要求1至8中任意一项权利要求所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910008863.6A CN109784057A (zh) | 2019-01-04 | 2019-01-04 | 安卓应用加固识别方法、控制器及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910008863.6A CN109784057A (zh) | 2019-01-04 | 2019-01-04 | 安卓应用加固识别方法、控制器及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109784057A true CN109784057A (zh) | 2019-05-21 |
Family
ID=66499950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910008863.6A Pending CN109784057A (zh) | 2019-01-04 | 2019-01-04 | 安卓应用加固识别方法、控制器及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109784057A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111046349A (zh) * | 2019-12-16 | 2020-04-21 | 北京智游网安科技有限公司 | 一种so库文件加固识别方法、智能终端及存储介质 |
CN111460449A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 应用程序识别方法、系统、存储介质以及电子设备 |
WO2023045744A1 (zh) * | 2021-09-23 | 2023-03-30 | 中兴通讯股份有限公司 | 加固方法、注册方法、运行方法、电子设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388062A (zh) * | 2008-10-17 | 2009-03-18 | 北京锐安科技有限公司 | 一种基于统计方法的加壳可执行文件识别方法及系统 |
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
CN105205358A (zh) * | 2015-09-21 | 2015-12-30 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种识别Android APP加固的方法及检测方法 |
US9805192B1 (en) * | 2015-06-26 | 2017-10-31 | Symantec Corporation | Systems and methods for file classification |
CN107742078A (zh) * | 2017-05-04 | 2018-02-27 | 四川大学 | 一种通用的dex自动脱壳方法与系统 |
-
2019
- 2019-01-04 CN CN201910008863.6A patent/CN109784057A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388062A (zh) * | 2008-10-17 | 2009-03-18 | 北京锐安科技有限公司 | 一种基于统计方法的加壳可执行文件识别方法及系统 |
CN102855440A (zh) * | 2012-09-13 | 2013-01-02 | 北京奇虎科技有限公司 | 一种检测加壳可执行文件的方法、装置和系统 |
US9805192B1 (en) * | 2015-06-26 | 2017-10-31 | Symantec Corporation | Systems and methods for file classification |
CN105205358A (zh) * | 2015-09-21 | 2015-12-30 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种识别Android APP加固的方法及检测方法 |
CN107742078A (zh) * | 2017-05-04 | 2018-02-27 | 四川大学 | 一种通用的dex自动脱壳方法与系统 |
Non-Patent Citations (2)
Title |
---|
MOZART的博客: "android加固厂商特征", 《HTTP://BLOG.SINA.COM.CN/S/BLOG_6E09B50F0102Y0NW.HTML》 * |
小码农: "拿到一个apk包后,怎么判断其是否加壳了?是否做了代码混淆", 《HTTPS://WWW.ZHIHU.COM/QUESTION/26438444》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111046349A (zh) * | 2019-12-16 | 2020-04-21 | 北京智游网安科技有限公司 | 一种so库文件加固识别方法、智能终端及存储介质 |
CN111460449A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 应用程序识别方法、系统、存储介质以及电子设备 |
WO2023045744A1 (zh) * | 2021-09-23 | 2023-03-30 | 中兴通讯股份有限公司 | 加固方法、注册方法、运行方法、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109784057A (zh) | 安卓应用加固识别方法、控制器及介质 | |
US7797743B2 (en) | File conversion in restricted process | |
CN101593253B (zh) | 一种恶意程序判断方法及装置 | |
WO2014166312A1 (zh) | 一种广告插件识别的方法和系统 | |
CN103839003A (zh) | 恶意文件检测方法及装置 | |
US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
CN108182363B (zh) | 嵌入式office文档的检测方法、系统及存储介质 | |
Song et al. | Permission Sensitivity‐Based Malicious Application Detection for Android | |
CN103902909A (zh) | 一种基于Opcode回溯的Android恶意代码检测系统及方法 | |
CN103294951A (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
CN111027054A (zh) | 基于安卓系统判断应用程序在多开环境中运行方法、系统 | |
CN110727952A (zh) | 一种移动应用程序第三方库隐私收集辨识方法 | |
CN104751051A (zh) | 恶意广告的识别方法及装置、移动终端 | |
CN104252594A (zh) | 病毒检测方法和装置 | |
US10296743B2 (en) | Method and device for constructing APK virus signature database and APK virus detection system | |
KR102045772B1 (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
KR101754720B1 (ko) | 비 실행 파일 내의 악성코드 검출 장치 및 방법 | |
CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
CN111177737A (zh) | 一种基于数据内容的数据加密方法以及相关装置 | |
CN108171014B (zh) | 一种rtf可疑文件的检测方法、系统及存储介质 | |
JP6602799B2 (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム | |
CN101510239B (zh) | 信息处理系统和信息处理方法 | |
Shaw et al. | Cloud based malware detection technique | |
US20110191762A1 (en) | Mining dependencies from disk images |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190521 |
|
RJ01 | Rejection of invention patent application after publication |