WO2013139215A1 - 病毒apk的识别方法及装置 - Google Patents

Abstract

本发明公开了一种病毒APK的识别方法及装置，其中，所述方法包括：预置病毒数据库，所述病毒数据库中包括病毒特征码；检测目标Android安装包APK中的指定文件中是否包含所述病毒特征码；若是，则确定所述目标Android安装包APK为病毒APK。本申请可以快速、准确、有效地识别出病毒APK及其变种，提高APK应用的安全性。

Description

病毒 APK的识别方法及装置 技术领域

本发明涉及网络信息安全的技术领域， 特别是涉及一种病毒 APK的 识别方法， 以及， 一种病毒 APK的识别装置。 背景技术

Android是一种以 Linux为基础的开放源码操作系统， 主要使用于手 机等移动终端， 目前尚未有统一中文名称。 Android平台由操作系统、 中 间件、 用户界面和应用软件组成。

APK是 Android application package file的缩写， 即 Android安装包， 也可以理解为 Android终端上安装的应用软件。 APK是类似 Symbian Sis 或 Sisx的文件格式。通过将 APK文件直接传到 Android模拟器或 Android 终端中执行即可安装。 apk文件和 sis—样， 把 android sdk编译的工程打 包成一个安装程序文件， 格式为 apk。 APK文件其实是 zip格式， 但后缀 名被修改为 apk, 通过 UnZip解压后， 可以看到 Dex文件， Dex是 Dalvik VM executes的全称， 即 Android Dalvik执行程序， 并非标准的 Java字节 码而是 Dalvik字节码。 Android在运行一个程序时首先需要 UnZip , 然后 类似 Symbian那样直接运行， 和 Windows Mobile中的 PE文件有区别。

具体而言， APK文件的结构如下表所示：

在具体应用时， APK可以通过数据线或者无线数据传输的方式导入 移动终端， 或者， 直接通过 market (工具软件， 如安卓市场） 、 网页等 方式下载安装。 随着 Android终端的普及和发展， 各种各样的 APK应运 而生， 这其中就包括了病毒 APK, 例如， 一些 APK通过诸如短信定制付 费服务、 拨打付费电话、 备份用户手机中的敏感数据至特定服务器等恶 意行为来损害用户的权益。

目前， 已经出现了一些专门针对移动终端的安全软件 （如手机杀毒 软件）来对这些病毒 APK进行查杀。 这些现有的安全软件查杀病毒 APK 的方法主要有以下两种：

第一种是通过 APK文件的 HASH、签名、 Package名字来对病毒 APK 进行识别，其原理是通过对 APK使用 HASH算法提取 KEY,之后即可依 据此 KEY去识别病毒 APK, 或者， 通过病毒 APK制作者的 APK数字签 名、 包名等对其进行识别。

然而， 上述现有的基于 APK文件的 HASH进行识别的方式， 很容易 通过重新混淆、 或者， 在 APK文件中添加新的资源文件乃至修改代码等 方式， 使通过 HASH算法提取 KEY发生改变， 进而导致无法识别； 上述 现有的基于签名的识别方式可以通过更换签名的方式绕过； 上述现有的 基于 Package名字来识别的方式也可通过修改包名的方式来绕过。而且更 改混淆方式， 修改 APK文件 （添加删除资源， 代码等） 或者更换签名对 病毒制造者而言都艮容易， 所以病毒制造者^ ^轻易地就可以制造新的病 毒变种从而绕过安全软件的识别。

第二种是通过 APK文件中的 classes. dex中的类名对其进行识别， 其 原理是通过分析 classes . dex中的类然后从中提取出若干个类的名字作为 病毒特征码， 之后即可解析病毒 APK的 classes.dex文件， 看其中是否包 含特定的类名来对其进行识别。

然而， 这种通过扫描类名来进行识别的方式， 一方面因为仅仅检查 类名从而容易误报， 另一方面也很容易被病毒制造者通过混淆或者直接 修改类名而绕过。

因此， 目前需要本领域技术人员解决的一个技术问题就是， 提供一 种病毒 APK的识别机制， 用以快速、 准确、 有效地识别出病毒 APK及 其变种， 提高 APK应用的安全性。 发明内容

鉴于上述问题， 提出了本发明以便提供一种克服上述问题或者至少 部分地解决或者减緩上述问题的病毒 APK的识别方法和装置。

根据本发明的一个方面，提供了一种病毒 APK的识别方法，其包括： 预置病毒数据库， 所述病毒数据库中包括病毒特征码； 检测目标 Android 安装包 APK中的指定文件中是否包含所述病毒特征码； 若是， 则确定所 述目标 Android安装包 APK为病毒 APK。

根据本发明的另一个方面， 提供了一种病毒 APK的识别装置， 其包 括： 病毒数据库生成模块， 用于预置病毒数据库， 所述病毒数据库中包 括病毒特征码； 病毒检测模块， 用于检测目标 Android安装包 APK中的 指定文件中是否包含所述病毒特征码； 病毒识别模块， 用于在所述目标 Android安装包 APK中的指定文件中包含病毒特征码时， 确定所述目标 Android安装包 APK为病毒 APK。

根据本发明的又一个方面， 提供了一种计算机程序， 其包括计算机 可读代码， 当所述计算机可读代码在服务器上运行时， 导致所述服务器 执行根据权利要求 1-8中的任一个所述的病毒 APK的识别方法。

根据本发明的再一个方面， 提供了一种计算机可读介质， 其中存储 了如权利要求 17所述的计算机程序。

本发明的有益效果为： 本申请通过扫描分析源 APK文件中的指定文 件， 如可执行文件、 文本文件等， 针对包含病毒信息的指令、 常量或头 部信息按预置规则生成相应的病毒特征码， 并汇编成病毒数据库； 之后 病毒 APK识别的过程中， 检测目标 APK文件中的指定文件， 判断该指 定文件中是否包含所述病毒数据库中的病毒特征码， 从而确定目标 APK 是否为病毒 APK。 应用本申请实施例， 无论病毒制造者如何通过修改混 淆方式、 增加资源、 修改代码 （改变类名、 函数名等） 、 更换签名、 包 名等方式来制作病毒变种其病毒 APK的特征码都不会变， 从而本申请可 以快速、 准确、 有效地识别出病毒 APK及其变种， 而且有针对性的更改 程序逻辑以及特定字符串（恶意号码、 恶意网址)来制作病毒变种相对病毒 制造者而言是比较麻烦、 耗时的， 从而这种方式也能有效的提高病毒制 作者制作病毒变种的难度， 提高 APK应用的安全性。

上述说明仅是本发明技术方案的概述， 为了能够更清楚了解本发明 的技术手段， 而可依照说明书的内容予以实施， 并且为了让本发明的上 述和其它目的、 特征和优点能够更明显易懂， 以下特举本发明的具体实 施方式。 附图说明

通过阅读下文优选实施方式的详细描述， 各种其他的优点和益处对 于本领域普通技术人员将变得清楚明了。 附图仅用于示出优选实施方式 的目的， 而并不认为是对本发明的限制。 而且在整个附图中， 用相同的 参考符号表示相同的部件。 在附图中：

图 1是本申请的一种病毒 APK的识别方法实施例 1的流程图； 图 2是本申请的一种病毒 APK的识别方法实施例 2的流程图； 图 3是本申请的一种病毒 APK的识别装置实施例的结构框图； 图 4示意性地示出了用于执行根据本发明的方法的服务器的框图； 图 5 示意性地示出了用于保持或者携带实现根据本发明的方法的程 序代码的存储单元。 具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

本申请实施例的核心构思之一在于， 通过扫描分析源 APK文件中的 指定文件， 如可执行文件、 文本文件等， 针对包含病毒信息的指令、 常 量或头部信息按预置规则生成相应的病毒特征码， 并汇编成病毒数据库； 之后病毒 APK识别的过程中， 检测目标 APK文件中的指定文件， 判断 该指定文件中是否包含所述病毒数据库中的病毒特征码， 从而确定目标 APK是否为病毒 APK。

参考图 1 , 示出了本申请的一种病毒 APK的识别方法实施例 1的步 骤流程图， 具体可以包括如下步骤：

步骤 101、 预置病毒数据库， 所述病毒数据库中包括病毒特征码； 在本申请的一种优选实施例中， 所述指定文件包括可执行文件， 可 以通过如下子步骤预置所述病毒数据库：

子步骤 Sl l、 扫描源 Android安装包 APK中的可执行文件； 子步骤 S12、提取所述可执行文件中的特定数据， 判断所述特定数据 是否包含病毒信息， 其中， 所述特定数据包括可执行文件的头部信息、 可执行文件常量池中的常量， 和 /或， 可执行文件中的操作指令；

子步骤 S13、 若是， 则根据所述特定数据生成病毒特征码；

子步骤 S14、 将所述病毒特征码保存至病毒数据库中。

对于 APK而言， 所述可执行文件可以包括 Dex文件， Dex文件主要 是 APK中的 classes. dex文件， 即 Dalvik Executable ( Dalvik虚拟机可执 行文件）。 公知的是， Dalvik是用于 Android平台的 Java虚拟机。 Dalvik 虚拟机（ Dalvik VM ) 是 Android移动设备平台的核心组成部分之一。 它 可以支持已转换为 .dex (即 Dalvik Executable )格式的 Java应用程序的 运行， .dex格式是专为 Dalvik设计的一种压缩格式， 适合内存和处理器 速度有限的系统。 Dalvik 经过优化， 允许在有限的内存中同时运行多个 虚拟机的实例，并且每一个 Dalvik应用作为一个独立的 Linux 进程执行。 独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。 Android安装包中的 JAR文件其实就是 Dex文件，只不过其扩展名为 .jar, 对于 APK中除 classes. dex之外的其他文件， 只要判定其为 Dex文件即可 决定是否进行扫描。

在实际应用中， 所述 Dex文件还可以包括其它 Dex格式的文件。 在本申请的一种优选实施例中， 所述可执行文件中的特定数据可以 按如下顺序来提取：

1 ) 可执行文件常量池中的常量；

具体而言， 所述指定文件中常量池中的常量可以包括字符串 strings, 类型 types、 域 fields和方法 methods中的常量， 所述可执行文件常量池 中的常量， 可以通过以下子步骤判断是否包含病毒信息：

子步骤 S21、 判断所述字符串 strings中的常量是否包含预定义的恶 意网址信息、 恶意文件名或恶意号码信息等恶意信息； 和 /或，

子步骤 S22、 判断所述类型 types、 域 fields和方法 methods中的常量 是否调用自定义的类名、 自定义的函数名或 Android系统 SDK类名、 Android系统函数名。

在具体应用中， 可以直接将所述常量中的病毒信息作为病毒特征码， 在实施例中生成的病毒特征码包括常量特征码、 类名函数名特征码。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下字符串： com.noshufou.android.su

I system/ app/ com. google, update . apk

在判定其为病毒信息后， 可直接将其作为病毒特征码并保存至病毒 数据库中。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 method: Lcom/ android/ main/ SmsReceiver;

Lcom/android/main/ActionReceiver;

在判定其为病毒信息后， 可直接将其作为病毒特征码并保存至病毒 数据库中。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 type:

Lcom/androidkernel/flash/Main$l；

在判定其为病毒信息后， 可直接将其作为病毒特征码并保存至病毒 数据库中。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 field: Lcom/androidkernel/flash/b/br$l ;ihis$0:Lcom/androidkernel/flash/b/br; 在判定其为病毒信息后， 可直接将其作为病毒特征码并保存至病毒 数据库中。

2 ) 可执行文件中的操作指令；

Dalvik VM是基于寄存器设计的，程序中使用的数据如 strings, types, fields和 methods保存在专门的数据存储区 （常量池） 中， 在程序当中通 过对应的索引来引用， 而字符文字常量则直接保存在 instructions (操作 指令） 中， 其操作码 (opcode)分为两类：

一类将指定的数据放入寄存器， 如参见如下例 1至例 4:

例 1 :

1303 6100 |0000： const/16 v3, #int 97 II #61 将整数 97放入寄存器 v3中。

例 2:

1700 0000 0040 |0049： const-wide/32 νθ, #float 2.000000 II

#40000000

将浮点数 2.000000放入寄存器 νθ中。

例 3 :

将字符串" .2fMB "放入寄存器 νθ中。

例 4: 将类 com . qihoo360. mobile safe . service .NetTraffic Service放入哥存器 v3中。

另外一类则基于寄存器进行操作， 如参见如下例 5至例 10:

例 5 :

3100 0305 |0042： cmp-long νθ, v3, v5

比较寄存器 v3和 v5中的 long值， 将比较结果存入寄存器 v0。

例 6:

3221 0400 |001a: if-eq vl, v2, OOle II +0004 条件 if, 根据 vl和 v2是否相等来决定执行流程。

例 7 :

3800 1500 |001e: if-eqz νθ, 0033 II +0015 条件 if, 判断 νθ是否等于 0来决定执行流程。

例 8:

6el0 0e29 0500 |0006： invoke-virtual {v5},

Ljava/io/File;. length :() J // method@290e

调用 File的 lengthO函数。

例 9:

7010 042a 0800 |01 Id: invoke-direct {v8},

Lj ava/lang/ StringBuilder ; . <init>： () V II method@2a04

调用 StringBuilder的 init函数。

例 10:

b021 |0035: add-int/2addr vl, v2 将 vl+v2的结果保存在 vl中。

APK中的 classes. dex文件和 JAR文件中的用户类名， 函数名， 字符 串会受到混淆或者修改而发生改变，但 Dalvik VM的指令以及对 Android 系统 SDK提供的类的调用不会受到用户类名， 函数名， 变量名等被混淆 或者修改的影响， 因此可以通过一组有序的特定指令来识别 APK。 因为 Dalvik VM是基于寄存器的， 因此其指令本身只能操作寄存器， 字符文字 常量， 数据存储区， 而寄存器地址是可变的， 因此识别时要模糊匹配也 即通过识别指令中的固定部分—— opcode及其相关的字符文字常量参数 或者数据存储区中的 strings, types, fields和 methods等， 当然也可以直接 使用指令及其操作数本身作为病毒特征码。 在本申请的一种优选实施例中， 可以通过如下子步骤判断所述操作 指令是否包含病毒信息：

子步骤 S31、 判断所述操作数中是否包含预定义的非法操作数； 和 /或，

子步骤 S32、判断所述操作码和操作数的组合是否符合预定义的非法 搭配规则。

在本申请的一种优选实施例中， 可以通过如下子步骤根据所述操作 指令生成病毒特征码：

子步骤 S41、 将所述操作指令本身作为病毒特征码； 和 /或， 子步骤 S42、 将所述操作指令的操作码， 以及， 操作数的字符串或通 配符作为病毒特征码。

应用本实施例生成的病毒特征码包括操作数特征码、 指令特征码、 指令特征码序列。

特征码生成方案一：

直接使用 APK中的 classes. dex文件和 JAR文件中的特定指令集本身 作为病毒特征码。

例如，上述例 1的特征码可以为 1303 6100 ,例 2的特征码可以为 1700 0000 0040 , 例 3的特征码可以为 laOO 7d00 , 例 4的特征码可以为 lc03 6e04 , 例 5的特征码可以为 3100 0305 , 例 6的特征码可以为 3221 0400 , 例 7的特征码可以为 3800 1500 , 例 8的特征码可以为 6el0 0e29 0500 , 例 9的特征码可以为 7010 042a 0800 , 例 10的特征码可以为 b021。

特征码生成方案二：

使用 APK中的 classes. dex文件和 JAR文件中的特定 opcode及其操 作数的字符串或通配符作为病毒特征码。

例如， 上述例 1的特征码可以为 13$* (其中 *代表模糊匹配， 下同， 需要说明的是， 此处的 "*，，仅用作举例， 实际中可以使用任意字符） ， 例

2的特征码可以为 17 $ * , 例 3的特征码可以为 1 a$ , 例 4的特征码可以为 以为 31$* , 例 6的特征码可以为 32$* , 例 7的特征码可以为 38$* , 例 8 的特征码可以为 6e$Ljava/io/File;.length:() , 例 9的特征码可以为

70$Ljava/lang/StringBuilder; <init>, 例 10的特征码可以为 b0$*。

特征码选择方案三： 混合使用上述方案一和方案二。 即将上述 APK中的 classes.dex中的 特定指令集本身， 以及， APK中的 classes.dex中的特定 opcode及其操作 数的字符串或通配符全部作为病毒特征码。

需要说明的是， 在本申请实施例中， 釆用 $为分隔符， 在实际中还可 釆用任意其他字符作为分隔符； 在本申请实施例中， 釆用 *作为通配符， 在实际中还可釆用任意其他字符作为通配符。

为使本领域技术人员更好地理解上述特征码生成的过程， 以下通过 一个具体示例进行说明。

针对提取 classes.dex中的常量池（ string、 type , field和 meth ) 当中 的常量提取的特征码如下： 例如， 某病毒在其字符串常量池当中包括以 下特征字符串：

zjphonecall.txt和 zjsms.txt, 在这 2个文件中包括了恶意电话号码以 及特服短信号码则可提取其作为病毒特征码。

针对反汇编 classes.dex提取的特征码如下：

例如， 病毒 X卧底. apk中包含以下指令用以备份用户隐私数据至 http://www.mybackup.me , 按照其出现的先后顺序列举如下：

2200 f600 |0000： new-instance νθ, Ljava/lang/StringBuilder; II type@00f6

提取其病毒特征码为： 2200f600或 22$Ljava/lang/StringBuilder 7010 9804 0000 |0002： invoke-direct {νθ} ,

Ljava/lang/StringBuilder; <init>:()V II method@0498

提取其病毒特征码为： 701098040000或

70$Ljava/lang/StringBuilder;.<init>

laOl 5506 |0005： const-string vl , "http：〃 www.mybackup.me" II string@0655

提取其病毒特征码为： 701098040000 或 l a$http://www.mybackup.me 6e20 9e04 1000 |0007： invoke -virtual {νθ, vl } ,

Lj ava/lang/ StringBuilder;. append： (Lj ava/lang/ String ;)Lj ava/lang/ StringBuild er; II method@049e

提取其病毒特征码为： 6e209e041000或

6e$Ljava/lang/StringBuilder;. append

3902 0900 |0005 : if-nez v2, OOOe II +0009 提取其病毒特征码为： 39020900 或 39$*

0c02 |0003： move-result-object v2 提取其病毒特征码为： 0c02或 0c$*

最终获得的特征码为：

特征码选择方案一：

2200f6007010980400007010980400006e209e041000390209000c02 特征码选择方案二：

22$Ljava/lang/StringBuilder$70$Ljava/lang/StringBuilder;.<init>$la$ht tp://www.mybackup.me$6e$Ljava/lang/StringBuilder;.append$39$*$0c$* 特征码选择方案三：

22$Ljava/lang/StringBuilder$701098040000$la$http://www.mybackup. me$6e$Ljava/lang/StringBuilder;.append$39$*$0c02

又如， 某个 APK的 classes. dex文件中的 Instructions (操作指令 )如 下所示：

laOc bb08 |009b: const-string vl2, "tiger" II string@08bb laOd le03 |009d: const-string vl3, "P5" II string@031e

7120 1404 dcOO |009f: invoke-static {vl2, vl3},

Lcom/ androidkernel/ flash/ util/LogUtil ;.i:(Lj ava/lang/ String ;Lj ava/lang/ String ；) V // method@0414

2205 9700 |00a2: new-instance v5,

Lcom/androidkernel/flash/http/base/Dl Struct; II type@0097

7010 1603 0500 |00a4: invoke-direct {v5},

Lcom/androidkernel/flash/http/base/DlStruct;.<init>:()V II method@0316 laOc 7200 |00a7: const-string vl2, "AA" II string@0072 7020 f402 ceOO |00a9: invoke-direct {vl4, vl2},

Lcom/ androidkernel/ flash/helper/Tiger; . getUrl： (Lj ava/lang/ String;)Lj ava/lan g/String; II method@02f4

OcOb |00ac: move-result-object vl l 当判定上述操作码和操作数的搭配符合预定义的非法搭配规则， 或 者， 判定上述操作数中包含预定义的非法操作数时， 可按如下方式生成 特征码：

方式一： 0f402ce000c0b

方式二：

1 a$tiger$ la$P5$71 $Lcom/ androidkernel/ flash/ util/LogUtil ;.i:(Lj ava/lan g/String;Ljava/lang/String;)V$22$Lcom/androidkernel/f ash/http/base/DlStru ct;$70$Lcom/androidkernel/flash/http/base/DlStruct; <init>:()V$la$AA$70$ Lcom/ androidkernel/ flash/helper/Tiger; . getUrl： (Lj ava/lang/ String;)Lj ava/lan g/String;$0c$*

方式三：

la0cbb08$la$P5$71201404dc00$22$*$70$Lcom/androidkernel/flash/ht tp/base/DlStruct; <init>:()V$la$AA$70$Lcom/androidkernel/flash/helper/Ti ger;. getUrl： (Lj ava/lang/ String ; )Lj ava/lang/ String; $0 c $ *

3 ) 可执行文件的头部信息。

在具体实现中， 所述可执行文件的头部信息中包括摘要信息

checksum和 /或签名信息 Signature , 在这种情况下， 可以通过判断所述摘 要信息 checksum和 /或签名信息 Signature中是否包含预定义的非法字符 串， 来确定所述头部信息中是否包含病毒信息。

在具体应用中，也可以直接将所述摘要信息 checksum和 /或签名信息 Signature作为病毒特征码。 即在本实施例中， 所述病毒特征码包括头部 信息特征码。

例如， APK中的 classes. dex文件头部信息 header的 checksum为： l lf26cac; Signature为：

2911621AD071F675ADF0F590C3F1AFB5443BEBBE, 在判定其为木马病 毒后， 直接将 l lf26cac和

2911621AD071F675ADF0F590C3F1AFB5443BEBBE提取为病毒特征码， 并将所述病毒特征码保存至数据库中。

作为本申请实施例具体应用的一种示例， 所述将病毒特征码保存至 病毒数据库中的步骤可以包括如下子步骤：

子步骤 S51、 将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存在数据库中 不同的存储区域； 或者，

子步骤 S52、 将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数据库中， 并 分别标记分类标签。

当然， 上述保存病毒特征码的方式仅仅用作示例， 本领域技术人员 根据实际情况釆用任一种保存方式都是可行的， 本申请对此无需加以限 制。

步骤 102、 检测目标 Android安装包 APK中的指定文件中是否包含 所述病毒特征码， 所述指定文件包括可执行文件；

作为本申请实施例具体应用的一种示例， 所述病毒特征码可以包括: 头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征 码序列、 类名函数名特征码； 在这种情况下， 所述步骤 102具体可以包 括如下子步骤：

子步骤 S41、 定位目标 Android安装包 APK中可执行文件的头部信 息， 将所述头部信息与病毒数据库中的头部信息特征码进行匹配， 若匹 配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或，

子步骤 S42、 定位目标 Android安装包 APK中可执行文件常量池中 的常量， 将所述常量与病毒数据库中的常量特征码进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征码；

和 /或，

子步骤 S43、 定位目标 Android安装包 APK中可执行文件操作指令 中的操作数， 将所述操作数与病毒数据库中的操作数特征码进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征 码； 和 /或，

子步骤 S44、 定位目标 Android安装包 APK中可执行文件操作指令 中的操作码， 将所述操作码与病毒数据库中的指令特征码进行匹配， 若 匹配，则判定目标 Android安装包 APK中的指定文件中包含病毒特征码; 和 /或，

子步骤 S45、 定位目标 Android安装包 APK中可执行文件操作指令 中的操作码， 将所述操作码与病毒数据库中的指令特征码序列进行匹配 , 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征 码； 和 /或，

子步骤 S46、 定位目标 Android安装包 APK中可执行文件常量池中 的常量以及操作指令中的操作数所调用的类名和 /或函数名， 将所述类名 和 /或函数名与病毒数据库中的类名函数名特征码进行匹配， 若匹配， 则 判定目标 Android安装包 APK中的指定文件中包含病毒特征码。

在具体实现中， 可以按如下方式进行匹配：

方式一： 直接逐字节按序扫描。

方式二： 病毒特征码序列按序扫描， 只需病毒特征码指令按序出现 即可， 无需连续出现。

方式三： 只需存在所有或部分特征码指令即可。

当然， 上述检测及匹配的方式仅仅用作示例， 本领域技术人员根据 实际情况釆用任一种检测及匹配病毒特征码的方式均是可行的， 本申请 对此无需加以限制。

步骤 103、 若是， 则确定所述目标 Android安装包 APK为病毒 APK。 为使本领域技术人员更好地理解本申请， 以下通过几个具体示例进 行说明。

例一：

1 ) 定位至 APK中的 classes. dex或者 JAR的操作指令 instruction开 始的地方 （以下简称之为代码段） ；

2 )从病毒数据库中的病毒特征码序列中根据分隔符提取第一个 instruction;

3 )从代码段中提取第一个 instruction;

4 ) 两者进行比较， 若相同则从特征码序列中根据分隔符提取下一个 instruction, 若不同则从代码段中提取下一个 instruction;

5 ) 以此类推逐指令进行匹配， 直至抵达代码段的末尾， 若匹配过程 中完全匹配则报告发现病毒。

例二：

1 )从病毒数据库的病毒特征码中提取相应的特征字符串 （可能为一 个或多个） 。

2 ) 查找字符串常量池中是否存在相应的特征字符串；

3 ) 若存在， 则报告发现病毒 APK。

例三：

1 )从病毒特征码中提取相应的特征字符串 （可能为一个或多个） ， 特征函数名 （可能为一个或多个） ； 2 ) 查找字符串常量池以及函数常量池中是否存在相应的特征字符 串、 特征函数名。 其他 string, type , field和 meth pool的组合扫描依此类 推；

3 ) 若存在， 则报告发现病毒 APK。

本领域技术人员易于理解的是， 上述操作指令、 常量池和头部信息 的扫描并无先后顺序的限制， 本领域技术人员根据实际情况任意设定上 述三者的扫描顺序都是可行的， 本申请对此无需加以限制。

本申请实施例还适用于 APK中嵌套 APK的情形， 即当 APK中还包 含其它 APK时， 同样可应用本申请实施例， 对 APK及其嵌套 APK中的 可执行文件、 文本文件等进行解析和病毒提取， 例如， 在某个 1.APK中 嵌入了一个 root.apk用以获取 root权限，应用本申请实施例， 除从 1.APK 提取病毒特征码， 还会从 root.apk中提取病毒特征码。 本领域技术人员易 于想到的是， 对于多重嵌套 APK的情形， 本申请实施例亦同样适用， 本 申请在此不作限制。

参考图 2 , 示出了本申请的一种病毒 APK的识别方法实施例 2的步 骤流程图， 具体可以包括如下步骤：

步骤 201、 预置病毒数据库， 所述病毒数据库中包括病毒特征码； 在本申请的一种优选实施例中， 所述步骤 201可以包括如下子步骤： 子步骤 S51、 扫描源 Android安装包 APK中的指定文件， 所述指定 文件包括可执行文件和 /或文本文件；

子步骤 S52、提取所述可执行文件中的特定数据， 判断所述特定数据 是否包含病毒信息， 其中， 所述特定数据包括可执行文件的头部信息、 可执行文件常量池中的常量， 和 /或， 可执行文件中的操作指令；

子步骤 S53、 若是， 则根据所述特定数据生成病毒特征码；

子步骤 S54、提取所述文本文件中的 linux命令，判断所述 linux命令 是否包含病毒信息；

子步骤 S55、 若是， 则根据所述 linux命令生成病毒特征码。

子步骤 S56、 将所述病毒特征码保存至病毒数据库中。

在具体实现中， 可以通过判断所述 linux命令是否符合预置的恶意 linux命令确定所述 linux命令是否包含病毒信息，还可以将所述包含病毒 信息的 linux命令直接作为病毒特征码。 在本实施例中， 所述病毒特征码 还包括 linux命令特征码。 例如， 从 ΑΡΚ中的文本文件中提取相应的 linux命令如下： cat /system/bin/sh > I data/ data/$ 1 /files/ sh.new

chown 0.0 /data/data/$l/files/sh.new

chmod 4755 / data/ data/$ 1 /files/sh . new

rm -f /data/data/$l /files/sh mount -o remount system /system mkdir /system/xbin/$l

myuid=$2

if [ "$myuid" == "" ]; then

myuid="0"

fi

chown ${myuid} /system/xbin/$l

chmod 700 /system/xbin/$l cat /system/bin/sh > /system/xbin/$l/sh

chown 0.0 /system/xbin/$l/sh

chmod 4755 / system/ xbin/ $ 1 /sh sync

mount -o remount,ro system /system

#/system/bin/stop void

#/system/bin/start void

echo "+++ending+++"

在判定上述 linux命令符合预置的恶意 linux命令时， 将上述命令作 为病毒特征码写入病毒数据库中。

步骤 202、 检测目标 Android安装包 APK中的指定文件中是否包含 所述病毒特征码， 所述指定文件包括可执行文件和文本文件；

在本申请的一种优选实施例中， 所述步骤 202可以包括如下子步骤： 定位目标 Android安装包 APK中的文本文件， 将所述文本文件中的 linux命令与病毒数据库中的 linux命令特征码进行匹配， 若匹配， 则判定 目标 Android安装包 APK中的指定文件中包含病毒特征码。

步骤 203、 若是， 则确定所述目标 Android安装包 APK为病毒 APK。 本申请实施例适用于客户端软件及云查杀的过程中， 即上述病毒

APK识别的过程可以在客户端完成， 也可以在服务器端或云端完成， 本 申请对此不作限制。

以下提供本申请实施例的应用场景：

场景一： 依据用户的病毒扫描启动操作， 首先检查 APK是否变更以 及是否緩存过扫描结果， 若 APK未变更并且緩存过扫描结果则直接输出 扫描结果， 反之则进行黑名单扫描， 若在其中发现 APK存在， 则输出扫 描结果发现病毒 APK并增加至緩存， 若未发现则进行白名单扫描， 若在 其中发现 APK存在， 则输出扫描结果安全并增加至緩存， 若未发现则釆 用病毒数据库进行病毒特征码扫描， 并输出扫描结果以及增加至緩存。

场景二： 用户新装 APK, 杀毒程序收到新装 APK消息， 开始对用户 新装的 APK进行扫描， 首先进行黑名单扫描， 若在其中发现 APK存在， 则输出扫描结果发现病毒并增加至緩存， 若未发现则进行白名单扫描， 若在其中发现 APK存在， 则输出扫描结果安全并增加至緩存， 若未发现 则釆用病毒数据库进行病毒特征码扫描， 并输出扫描结果以及增加至緩 存。

本领域技术人员易于理解的是， 应用本申请实施例， 也可以通过直 接检测文本文件中是否包含病毒特征码来判定当前 APK是否为病毒

APK, 为节约篇幅， 本申请对此方案不作赘述。

本申请通过扫描分析源 APK文件中的指定文件， 如可执行文件、 文 本文件等， 针对包含病毒信息的指令、 常量或头部信息按预置规则生成 相应的病毒特征码，并汇编成病毒数据库；之后病毒 APK识别的过程中 , 检测目标 APK文件中的指定文件， 判断该指定文件中是否包含所述病毒 数据库中的病毒特征码， 从而确定目标 APK是否为病毒 APK。 应用本申 请实施例， 无论病毒制造者如何通过修改混淆方式、 增加资源、 修改代 码 （改变类名、 函数名等） 、 更换签名、 包名等方式来制作病毒变种其 病毒 APK的特征码都不会变， 从而本申请可以快速、 准确、 有效地识别 出病毒 APK及其变种，而且有针对性的更改程序逻辑以及特定字符串（恶 意号码、 恶意网址)来制作病毒变种相对病毒制造者而言是比较麻烦、 耗 时的， 从而这种方式也能有效的提高病毒制作者制作病毒变种的难度， 提高 APK应用的安全性。

需要说明的是， 本申请实施例不仅适用于各种 Android终端， 即使用 Android平台 （操作系统）的终端， 包括计算机、 PC、 笔记本电脑、 手机、 平板电脑等等； 还适用于在其他计算机系统 （例如 Windows, Linux )之 上使用的病毒特征码提取方案。

对于方法实施例， 为了简单描述， 故将其都表述为一系列的动作组 合， 但是本领域技术人员应该知悉， 本申请并不受所描述的动作顺序的 限制， 因为依据本申请， 某些步骤可以釆用其他顺序或者同时进行。 其 次， 本领域技术人员也应该知悉， 说明书中所描述的实施例均属于优选 实施例， 所涉及的动作和模块并不一定是本申请所必须的。

参考图 3 , 其示出了本申请的一种病毒 APK的识别装置实施例的结 构框图， 具体可以包括以下模块：

病毒数据库生成模块 301 , 用于预置病毒数据库， 所述病毒数据库中 包括病毒特征码；

病毒检测模块 302 , 用于检测目标 Android安装包 APK中的指定文 件中是否包含所述病毒特征码；

病毒识别模块 303 , 用于在所述目标 Android安装包 APK中的指定 文件中包含病毒特征码时， 确定所述目标 Android安装包 APK为病毒 APK。

在本申请的一种优选实施例中， 所述指定文件包括可执行文件， 所 述病毒数据库生成模块 301可以包括如下子模块：

源文件扫描子模块，用于扫描源 Android安装包 APK中的指定文件， 所述指定文件包括可执行文件；

特定数据提取子模块， 用于提取所述可执行文件中的特定数据， 判 断所述特定数据是否包含病毒信息， 其中， 所述特定数据包括可执行文 件的头部信息、 可执行文件常量池中的常量， 和 /或， 可执行文件中的操 作指令；

第一特征码生成子模块， 用于在所述特定数据包含病毒信息时， 根 据所述特定数据生成病毒特征码；

特征码保存子模块， 用于将所述病毒特征码保存至病毒数据库中。 作为本申请实施例具体应用的一种示例， 所述特征码保存子模块可 以进一步包括以下单元： 分区保存单元， 用于将所述头部信息特征码、 常量特征码、 操作数 特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存在 数据库中不同的存储区域； 或者，

标签保存单元， 用于将所述头部信息特征码、 常量特征码、 操作数 特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数据 库中， 并分别标记分类标签。

在具体应用中， 所述可执行文件可以包括 Dex文件， 所述 Dex文件 可以包括 classes. dex文件， 扩展名为. jar的文件， 以及， Dex格式的文件。

在本申请的一种优选实施例中， 所述病毒特征码可以包括： 头部信 息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码； 所述可执行文件中的操作指令包括操作码和操作数 两部分；

在这种情况下， 所述病毒检测模块 302可以包括如下子模块： 第一检测子模块， 用于定位目标 Android安装包 APK中可执行文件 的头部信息， 将所述头部信息与病毒数据库中的头部信息特征码进行匹 配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒 特征码； 和 /或，

第二检测子模块， 用于定位目标 Android安装包 APK中可执行文件 常量池中的常量， 将所述常量与病毒数据库中的常量特征码进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征 码； 和 /或，

第三检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作数， 将所述操作数与病毒数据库中的操作数特征码进 行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含 病毒特征码； 和 /或，

第四检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码进行 匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病 毒特征码； 和 /或，

第五检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码序列 进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包 含病毒特征码； 和 /或，

第六检测子模块， 用于定位目标 Android安装包 APK中可执行文件 常量池中的常量以及操作指令中的操作数所调用的类名和 /或函数名， 将 所述类名和 /或函数名与病毒数据库中的类名函数名特征码进行匹配， 若 匹配，则判定目标 Android安装包 APK中的指定文件中包含病毒特征码。

在具体实现中， 所述头部信息特征码、 常量特征码、 操作数特征码、 类名函数名特征码可以根据包含病毒信息的头部信息、 常量、 操作数和 类名函数名直接生成；

所述指令特征码、 指令特征码序列可以根据包含病毒信息的操作指 令直接生成， 或者， 可以根据包含病毒信息的操作码和操作数的字符串 或通配符生成。

在本申请的一种优选实施例中， 所述指定文件还可以包括文本文件， 在这种情况下， 所述病毒数据库生成模块 301还可以包括如下子模块： linux命令提取子模块， 用于提取所述文本文件中的 linux命令， 判断 所述 linux命令是否包含病毒信息；

第二特征码生成子模块， 用于在所述 linux命令包含病毒信息时， 根 据所述 linux命令生成病毒特征码。

相应的， 所述病毒特征码还可以包括 linux命令特征码， 所述病毒检 测模块 302还可以包括如下子模块：

第七检测子模块，用于定位目标 Android安装包 APK中的文本文件， 将所述文本文件中的 linux命令与病毒数据库中的 linux命令特征码进行 匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病 毒特征码。

在具体应用中， 所述可执行文件中常量池中的常量可以包括字符串 strings , 类型 types、 域 fields和方法 methods中的常量； 所述可执行文件 的头部信息中可以包括摘要信息 checksum和 /或签名信息 Signature。

由于所述装置实施例基本相应于前述图 1和图 2所示的方法实施例， 故本实施例的描述中未详尽之处， 可以参见前述实施例中的相关说明， 在此就不赘述了。

本发明的各个部件实施例可以以硬件实现， 或者以在一个或者多个 处理器上运行的软件模块实现， 或者以它们的组合实现。 本领域的技术 人员应当理解， 可以在实践中使用微处理器或者数字信号处理器 （DSP ) 来实现根据本发明实施例的病毒 AP K的识别装置中的一些或者全部部件 的一些或者全部功能。 本发明还可以实现为用于执行这里所描述的方法 的一部分或者全部的设备或者装置程序 （例如， 计算机程序和计算机程 序产品） 。 这样的实现本发明的程序可以存储在计算机可读介质上， 或 者可以具有一个或者多个信号的形式。 这样的信号可以从因特网网站上 下载得到， 或者在载体信号上提供， 或者以任何其他形式提供。

例如， 图 4示出了可以实现根据本发明的病毒 ΑΡΚ的识别方法的服 务器， 例如应用服务器。 该服务器传统上包括处理器 410和以存储器 420 形式的计算机程序产品或者计算机可读介质。 存储器 420 可以是诸如闪 存、 EEPROM (电可擦除可编程只读存储器） 、 EPROM、 硬盘或者 ROM 之类的电子存储器。 存储器 420 具有用于执行上述方法中的任何方法步 骤的程序代码 431的存储空间 430。 例如， 用于程序代码的存储空间 430 可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 431。这 些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一 个或者多个计算机程序产品中。 这些计算机程序产品包括诸如硬盘， 紧 致盘 （CD ) 、 存储卡或者软盘之类的程序代码载体。 这样的计算机程序 产品通常为如参考图 5 所述的便携式或者固定存储单元。 该存储单元可 以具有与图 4的服务器中的存储器 420类似布置的存储段、 存储空间等。 程序代码可以例如以适当形式进行压缩。 通常， 存储单元包括计算机可 读代码 43 Γ , 即可以由例如诸如 410之类的处理器读取的代码， 这些代 码当由服务器运行时， 导致该服务器执行上面所描述的方法中的各个步 骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例" 意味着， 结合实施例描述的特定特征、 结构或者特性包括在本发明的至 少一个实施例中。 此外， 请注意， 这里"在一个实施例中"的词语例子不一 定全指同一个实施例。

在此处所提供的说明书中， 说明了大量具体细节。 然而， 能够理解， 本发明的实施例可以在没有这些具体细节的情况下被实践。 在一些实例 中， 并未详细示出公知的方法、 结构和技术， 以便不模糊对本说明书的 理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限 制， 并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计 出替换实施例。 在权利要求中， 不应将位于括号之间的任何参考符号构 造成对权利要求的限制。单词"包含"不排除存在未列在权利要求中的元件 或步骤。 位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。 本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计 算机来实现。 在列举了若干装置的单元权利要求中， 这些装置中的若干 个可以是通过同一个硬件项来具体体现。 单词第一、 第二、 以及第三等 的使用不表示任何顺序。 可将这些单词解释为名称。

此外， 还应当注意， 本说明书中使用的语言主要是为了可读性和教 导的目的而选择的， 而不是为了解释或者限定本发明的主题而选择的。 因此， 在不偏离所附权利要求书的范围和精神的情况下， 对于本技术领 域的普通技术人员来说许多修改和变更都是显而易见的。 对于本发明的 范围， 对本发明所做的公开是说明性的， 而非限制性的， 本发明的范围 由所附权利要求书限定。

Claims

权 利 要 求

1、 一种病毒 APK的识别方法， 其包括：

预置病毒数据库， 所述病毒数据库中包括病毒特征码；

检测目标 Android安装包 APK中的指定文件中是否包含所述病毒特 征码；

若是， 则确定所述目标 Android安装包 APK为病毒 APK。

2、 如权利要求 1所述的方法， 其中， 所述指定文件包括可执行文件， 所述预置病毒数据库的步骤包括：

扫描源 Android安装包 APK中的可执行文件；

提取所述可执行文件中的特定数据，判断所述特定数据是否包含病毒 信息， 其中， 所述特定数据包括可执行文件的头部信息、 可执行文件常 量池中的常量， 和 /或， 可执行文件中的操作指令；

若是， 则根据所述特定数据生成病毒特征码；

将所述病毒特征码保存至病毒数据库中。

3、 如权利要求 1或 2所述的方法， 其中， 所述可执行文件包括 Dex 文件， 所述 Dex文件包括 classes. dex文件， 扩展名为. jar的文件， 以及， Dex格式的文件。

4、 如权利要求 3所述的方法， 其中， 所述病毒特征码包括： 头部信 息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码； 所述可执行文件中的操作指令包括操作码和操作数 两部分；

所述头部信息特征码、 常量特征码、 操作数特征码、 类名函数名特征 码根据包含病毒信息的头部信息、 常量、 操作数和类名函数名直接生成； 所述指令特征码、指令特征码序列根据包含病毒信息的操作指令直接 生成， 或者， 根据包含病毒信息的操作码和操作数的字符串或通配符生 成；

所述将病毒特征码保存至病毒数据库中的步骤包括：

将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存在数据库中不同的存储区 域； 或者，

将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数据库中， 并分别标记分类 标签。

5、 如权利要求 4所述的方法， 其中， 所述检测目标 Android安装包 APK中的指定文件中是否包含所述病毒特征码的步骤包括：

定位目标 Android安装包 APK中可执行文件的头部信息， 将所述头 部信息与病毒数据库中的头部信息特征码进行匹配， 若匹配， 则判定目 标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或，

定位目标 Android安装包 APK中可执行文件常量池中的常量， 将所 述常量与病毒数据库中的常量特征码进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或，

定位目标 Android安装包 APK中可执行文件操作指令中的操作数， 将所述操作数与病毒数据库中的操作数特征码进行匹配， 若匹配， 则判 定目标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或， 定位目标 Android安装包 APK中可执行文件操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码进行匹配， 若匹配， 则判定 目标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或，

定位目标 Android安装包 APK中可执行文件操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码序列进行匹配， 若匹配， 则 判定目标 Android安装包 APK中的指定文件中包含病毒特征码； 和 /或， 定位目标 Android安装包 APK中可执行文件常量池中的常量以及操 作指令中的操作数所调用的类名和 /或函数名， 将所述类名和 /或函数名与 病毒数据库中的类名函数名特征码进行匹配， 若匹配， 则判定目标

Android安装包 APK中的指定文件中包含病毒特征码。

6、 如权利要求 2或 5所述的方法， 其中， 所述指定文件还包括文本 文件， 所述预置病毒数据库的步骤还包括：

提取所述文本文件中的 linux命令， 判断所述 linux命令是否包含病 毒信息；

若是， 则根据所述 linux命令生成病毒特征码。

7、 如权利要求 6所述的方法， 其中， 所述病毒特征码还包括 linux 命令特征码， 所述检测目标 Android安装包 APK中的指定文件中是否包 含病毒特征码的步骤还包括：

定位目标 Android安装包 APK中的文本文件， 将所述文本文件中的 linux命令与病毒数据库中的 linux命令特征码进行匹配， 若匹配， 则判定 目标 Android安装包 APK中的指定文件中包含病毒特征码。

8、 如权利要求 5所述的方法， 其中， 所述可执行文件中常量池中的 常量包括字符串 strings , 类型 types、 域 fields和方法 methods中的常量； 所述可执行文件的头部信息中包括摘要信息 checksum和 /或签名信息 Signature。

9、 一种病毒 APK的识别装置， 其包括：

病毒数据库生成模块，用于预置病毒数据库， 所述病毒数据库中包括 病毒特征码；

病毒检测模块， 用于检测目标 Android安装包 APK中的指定文件中 是否包含所述病毒特征码；

病毒识别模块， 用于在所述目标 Android安装包 APK中的指定文件 中包含病毒特征码时 , 确定所述目标 Android安装包 APK为病毒 APK。

10、如权利要求 9所述的装置，其中，所述指定文件包括可执行文件， 所述病毒数据库生成模块包括：

源文件扫描子模块， 用于扫描源 Android安装包 APK中的可执行文 件；

特定数据提取子模块，用于提取所述可执行文件中的特定数据，判断 所述特定数据是否包含病毒信息， 其中， 所述特定数据包括可执行文件 的头部信息、 可执行文件常量池中的常量， 和 /或， 可执行文件中的操作 指令；

第一特征码生成子模块，用于在所述特定数据包含病毒信息时，根据 所述特定数据生成病毒特征码；

特征码保存子模块， 用于将所述病毒特征码保存至病毒数据库中。

11、如权利要求 9或 10所述的装置，其中，所述可执行文件包括 Dex 文件， 所述 Dex文件包括 classes. dex文件， 扩展名为. jar的文件， 以及， Dex格式的文件。

12、 如权利要求 11所述的装置， 其中， 所述病毒特征码包括： 头部 信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序 歹^ 类名函数名特征码； 所述可执行文件中的操作指令包括操作码和操 作数两部分；

所述头部信息特征码、 常量特征码、 操作数特征码、 类名函数名特征 码根据包含病毒信息的头部信息、 常量、 操作数和类名函数名直接生成； 所述指令特征码、指令特征码序列根据包含病毒信息的操作指令直接 生成， 或者， 根据包含病毒信息的操作码和操作数的字符串或通配符生 成；

所述特征码保存子模块进一步包括：

分区保存单元， 用于将所述头部信息特征码、 常量特征码、操作数特 征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存在数 据库中不同的存储区域； 或者，

标签保存单元， 用于将所述头部信息特征码、 常量特征码、操作数特 征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数据库 中， 并分别标记分类标签。

13、 如权利要求 12所述的装置， 其中， 所述病毒检测模块包括： 第一检测子模块， 用于定位目标 Android安装包 APK中可执行文件 的头部信息， 将所述头部信息与病毒数据库中的头部信息特征码进行匹 配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒 特征码； 和 /或，

第二检测子模块， 用于定位目标 Android安装包 APK中可执行文件 常量池中的常量， 将所述常量与病毒数据库中的常量特征码进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病毒特征 码； 和 /或，

第三检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作数， 将所述操作数与病毒数据库中的操作数特征码进 行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含 病毒特征码； 和 /或，

第四检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码进行 匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病 毒特征码； 和 /或，

第五检测子模块， 用于定位目标 Android安装包 APK中可执行文件 操作指令中的操作码， 将所述操作码与病毒数据库中的指令特征码序列 进行匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包 含病毒特征码； 和 /或， 第六检测子模块， 用于定位目标 Android安装包 APK中可执行文件 常量池中的常量以及操作指令中的操作数所调用的类名和 /或函数名， 将 所述类名和 /或函数名与病毒数据库中的类名函数名特征码进行匹配， 若 匹配，则判定目标 Android安装包 APK中的指定文件中包含病毒特征码。

14、 如权利要求 10或 13所述的装置， 其中， 所述指定文件还包括文 本文件， 所述病毒数据库生成模块还包括：

linux命令提取子模块， 用于提取所述文本文件中的 linux命令， 判断 所述 linux命令是否包含病毒信息；

第二特征码生成子模块， 用于在所述 linux命令包含病毒信息时， 根 据所述 linux命令生成病毒特征码。

15、 如权利要求 14所述的装置， 其中， 所述病毒特征码还包括 linux 命令特征码， 所述病毒检测模块还包括：

第七检测子模块，用于定位目标 Android安装包 APK中的文本文件， 将所述文本文件中的 linux命令与病毒数据库中的 linux命令特征码进行 匹配， 若匹配， 则判定目标 Android安装包 APK中的指定文件中包含病 毒特征码。

16、 如权利要求 12所述的装置， 其中， 所述可执行文件中常量池中 的常量包括字符串 strings , 类型 types、 域 fields和方法 methods中的常 量；所述可执行文件的头部信息中包括摘要信息 checksum和 /或签名信息 Signature。

17、 一种计算机程序， 包括计算机可读代码， 当所述计算机可读代 码在服务器上运行时，导致所述服务器执行根据权利要求 1-8中的任一个 所述的病毒 APK的识别方法。

18、 一种计算机可读介质， 其中存储了如权利要求 17所述的计算机 程序。