WO2013139216A1 - 一种apk病毒特征码的提取方法及装置 - Google Patents

Abstract

本发明公开了一种APK病毒特征码的提取方法及装置，其中所述方法包括：扫描Android安装包APK中的指定文件；提取所述指定文件中的操作指令，判断所述操作指令是否包含病毒信息；若是，则根据所述操作指令生成病毒特征码。本申请可以准确、有效地提取出病毒APK特征码，以帮助提高病毒APK及其变种识别的效率和准确性，从而提高APK应用的安全性。

Description

一种 APK病毒特征码的提取方法及装置

技术领域

本发明涉及计算机安全的技术领域， 特别是涉及一种 APK病毒特征 码的提取方法， 以及， 一种 APK病毒特征码的提取装置。 背景技术

Android是一种以 Linux为基础的开放源码操作系统， 主要使用于手 机等移动终端， 目前尚未有统一中文名称。 Android平台由操作系统、 中 间件、 用户界面和应用软件组成。

APK是 Android application package file的缩写， 即 Android安装包， 也可以理解为 Android终端上安装的应用软件。 APK是类似 Symbian Sis 或 Sisx的文件格式。通过将 APK文件直接传到 Android模拟器或 Android 终端中执行即可安装。 apk文件和 sis—样， 把 android sdk编译的工程打 包成一个安装程序文件， 格式为 apk。 APK文件其实是 zip格式， 但后缀 名被修改为 apk, 通过 UnZip解压后， 可以看到 Dex文件， Dex是 Dalvik VM executes的全称， 即 Android Dalvik执行程序， 并非标准的 Java字节 码而是 Dalvik字节码。 Android在运行一个程序时首先需要 UnZip , 然后 类似 Symbian那样直接运行， 和 Windows Mobile中的 PE文件有区别。

具体而言， APK文件的结构如下表所示：

在具体应用时， APK可以通过数据线导入移动终端， 或者， 直接通 过 market (工具软件，如安卓市场）、 网页等方式下载安装。 随着 Android 终端的普及和发展， 各种各样的 APK应运而生， 这其中就包括了病毒 APK, 例如， 一些 APK通过诸如短信定制付费服务、 拨打付费电话、 备 份用户手机中的敏感数据至特定服务器等恶意行为来损害用户的权益。

目前， 已经出现了一些专门针对移动终端的安全软件 （如手机杀毒 软件）来对这些病毒 APK进行查杀。 这些现有的安全软件查杀病毒 APK 的方法主要有以下两种：

第一种是通过 APK文件的 HASH、签名、 Package名字来对病毒 APK 进行识别，其原理是通过对 APK使用 HASH算法提取 KEY,之后即可依 据此 KEY去识别病毒 APK, 或者， 通过病毒 APK制作者的 APK数字签 名、 包名等对其进行识别。

然而， 上述现有的基于 APK文件的 HASH进行识别的方式， 很容易 通过重新混淆、 或者， 在 APK文件中添加新的资源文件乃至修改代码等 方式， 使通过 HASH算法提取 KEY发生改变， 进而导致无法识别； 上述 现有的基于签名的识别方式可以通过更换签名的方式绕过； 上述现有的 基于 Package名字来识别的方式也可通过修改包名的方式来绕过。而且更 改混淆方式， 修改 APK文件 （添加删除资源， 代码等） 或者更换签名对 病毒制造者而言都艮容易， 所以病毒制造者^ ^轻易地就可以制造新的病 毒变种从而绕过安全软件的识别。

第二种是通过 APK文件中的 classes. dex中的类名对其进行识别， 其 原理是通过分析 classes . dex中的类然后从中提取出若干个类的名字作为 病毒特征码， 之后即可解析病毒 APK的 classes.dex文件， 看其中是否包 含特定的类名来对其进行识别。

然而， 这种通过扫描类名来进行识别的方式， 一方面因为仅仅检查 类名从而容易误报， 另一方面也很容易被病毒制造者通过混淆或者直接 修改类名而绕过。

因此， 目前需要本领域技术人员解决的一个技术问题就是， 提供一 种病毒 APK特征码的提取机制， 用以准确、 有效地提取出病毒 APK特 征码，以帮助提高病毒 APK及其变种识别的效率和准确性，从而提高 APK 应用的安全性。 发明内容

鉴于上述问题， 提出了本发明以便提供一种克服上述问题或者至少 部分地解决或者减緩上述问题的 APK病毒特征码的提取和相应的装置。

根据本发明的一个方面， 提供了一种 APK病毒特征码的提取方法， 其包括： 扫描 Android安装包 APK中的指定文件； 提取所述指定文件中 的操作指令， 判断所述操作指令是否包含病毒信息； 若是， 则根据所述 操作指令生成病毒特征码。

根据本发明的另一个方面，提供了一种 APK病毒特征码的提取装置， 其包括： 扫描模块， 用于扫描 Android安装包 APK中的指定文件； 指令 提取模块， 用于提取所述指定文件中的操作指令； 指令判断模块， 用于 判断所述操作指令是否包含病毒信息； 第一特征码生成模块， 用于在所 述操作指令包含病毒信息时， 根据所述操作指令生成病毒特征码。

根据本发明的又一个方面， 提供了一种计算机程序， 其包括计算机 可读代码， 当所述计算机可读代码在服务器上运行时， 导致所述服务器 执行根据权利要求 1-11中的任一个所述的 APK病毒特征码的提取方法。

根据本发明的再一个方面， 提供了一种计算机可读介质， 其中存储 了如权利要求 22所述的计算机程序。

本发明的有益效果为：

本申请通过扫描分析 APK文件中的指定文件， 如可执行文件、 文本 文件等， 针对包含病毒信息的指令、 常量或头部信息按预置规则生成相 应的病毒特征码，并汇编成病毒特征码库， 以供后续 APK病毒识别使用。 从而可以准确、 有效地提取出病毒 APK 特征码， 以帮助提高病毒 APK 及其变种识别的效率和准确性， 提高 APK应用的安全性。

上述说明仅是本发明技术方案的概述， 为了能够更清楚了解本发明 的技术手段， 而可依照说明书的内容予以实施， 并且为了让本发明的上 述和其它目的、 特征和优点能够更明显易懂， 以下特举本发明的具体实 施方式。 附图说明

通过阅读下文优选实施方式的详细描述， 各种其他的优点和益处对 于本领域普通技术人员将变得清楚明了。 附图仅用于示出优选实施方式 的目的， 而并不认为是对本发明的限制。 而且在整个附图中， 用相同的 参考符号表示相同的部件。 在附图中：

图 1是本申请的一种 APK病毒特征码的提取方法实施例 1的流程图； 图 2是本申请的一种 APK病毒特征码的提取方法实施例 2的流程图； 图 3是本申请的一种 APK病毒特征码的提取方法实施例 3的流程图； 图 4是本申请的一种 APK病毒特征码的提取方法实施例 4的流程图； 图 5 是本申请的一种 APK 病毒特征码的提取装置实施例的结构框 图；

图 6 示意性地示出了用于执行根据本发明的方法的服务器的框图； 以及

图 7 示意性地示出了用于保持或者携带实现根据本发明的方法的程 序代码的存储单元。 具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

本申请实施例的核心构思之一在于， 通过扫描分析 APK文件中的指 定文件， 如可执行文件、 文本文件等， 针对包含病毒信息的指令、 常量 或头部信息按预置规则生成相应的病毒特征码， 并汇编成病毒特征码库， 以供后续 APK病毒识别使用。 参考图 1 , 示出了本申请的一种 APK病毒特征码的提取方法实施例

1的步骤流程图， 具体可以包括如下步骤：

步骤 101、 扫描 APK中的可执行文件；

在本申请的一种优选实施列中， 所述可执行文件包括 Dex文件， Dex 文件主要是 APK中的 classes. dex文件， 即 Dalvik Executable ( Dalvik虚 拟机可执行文件） 。 公知的是， Dalvik是用于 Android平台的 Java虚拟 机。 Dalvik虚拟机（ Dalvik VM ) 是 Android移动设备平台的核心组成部 分之一。 它可以支持已转换为 .dex (即 Dalvik Executable )格式的 Java 应用程序的运行， .dex格式是专为 Dalvik设计的一种压缩格式， 适合内 存和处理器速度有限的系统。 Dalvik 经过优化， 允许在有限的内存中同 时运行多个虚拟机的实例，并且每一个 Dalvik应用作为一个独立的 Linux 进程执行。 独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。 Android安装包中的 JAR文件其实就是 Dex文件，只不过其扩展名为 .jar, 对于 APK中除 classes. dex之外的其他文件， 只要判定其为 Dex文件即可 决定是否进行扫描。

在实际应用中， 所述 Dex文件还可以包括其它 Dex格式的文件。 步骤 102、 提取所述可执行文件中的操作指令， 判断所述操作指令是 否包含病毒信息；

在具体实现中， 所述操作指令包括操作码（opcode )和操作数， 在这 种情况下， 可以通过如下子步骤判断所述操作指令是否包含病毒信息： 子步骤 Sl l、 判断所述操作数中是否包含预定义的非法操作数； 和 /或，

子步骤 S12、判断所述操作码和操作数的组合是否符合预定义的非法 组合规则。

步骤 103、 若是， 则根据所述操作指令生成病毒特征码。

在本申请的一种优选实施例中， 所述步骤 103可以包括如下子步骤： 子步骤 S21、 将所述操作指令本身作为病毒特征码；

和 /或，

子步骤 S22、 将所述操作指令的操作码， 以及， 操作数的字符串或通 配符作为病毒特征码。

在本实施例中， 所述病毒特征码可以包括操作数特征码、 指令特征 码、 指令特征码序列。

例如， 某个 APK的 classes. dex文件中的 Instructions (操作指令 )如 下所示：

laOc bb08 |009b: const-string vl2, "tiger" II string@08bb laOd le03 |009d: const-string vl3, "P5" II string@031e 7120 1404 dcOO |009f: invoke-static {vl2, vl3},

Lcom/ androidkernel/ flash/ util/LogUtil ;.i:(Lj ava/lang/ String ;Lj ava/lang/ String ；) V // method@0414

2205 9700 |00a2: new-instance v5,

Lcom/androidkernel/flash/http/base/Dl Struct; II type@0097

7010 1603 0500 |00a4: invoke-direct {v5},

Lcom/androidkernel/flash/http/base/DlStruct;.<init>:()V II method@0316 laOc 7200 |00a7: const-string vl2, "AA" II string@0072 - ' 攀 金 ' m^^ ^^^^ 、 ' ^

'^會 ^寻 善 擁 rt^去丄 '丄

'善 ^ spoq ui ^_:S x^ sp j 、S3L¾ ^葉 ^sguuis φ ^r^^ ^ ΥΔ 善 善 ' 善 ？ 擁 ' * ^ ψ ^ * ^ ^-^m^ ^m

- ^ Ψ ¾dV 碎 、 10乙 M -

:¾^丄4孚"^^ 首 Z

¾m ^^^ ^^AW≠ ¾ — '乙

TX/J9d q/qsBij/ uj95[ TOj uB/iuooq$0 $VV$^BI$A():<iraT> ' njJS|a/9SBq/di iq/qsBu/ uj95[ TOj uB/uiooq$0 $*$^^$003Pt70t7l0^ $5d$^I$80qq30^I

： f ('§uuj§ /Sirei/BAB f )： I JQ S · 'j9§T /J9d q/qsB]j/ uj95[ TOJ uB /uioo st $0 $VV$^I$A():<iraT>nonjJs_ia/9SBq/diiq/qsBij/ uj95[ TOj uB/uiooq$0 $-

q( oo( ^owo oi

^丄。 非 ^寻 丁

ψ '^¾¥令^^非^ ^令 令百^ ^ 潴4^ 潴 ?丁 ^ S I Λ 9fqo-j|tis9J-9Aoiu '.

f ('§uuj§ /Sirei/BAB f )： I JQ S · 'j9§T /J9d q/qsB]j/ uj95[ TOJ uB /uioo

i^fxZ\ ΐ^Λ} 9Jip-95[OAm :6BQ0l OO⁹⁰ ZOP} 0Z0L

9lZ6Cl/CT0Z OAV 子步骤 S32、 判断所述类型 types、 域 fields和方法 methods中的常量 是否调用自定义的类名、 自定义的函数名或 Android系统 SDK类名、 Android系统函数名。

步骤 203、 若是， 则根据所述常量生成病毒特征码。

在具体应用中， 可以直接将所述常量中的病毒信息作为病毒特征码。 在本实施例中， 所述病毒特征码还包括常量特征码， 类名函数名特 征码。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下字符串： com.noshufou.android.su

I system/ app/ com. google, update . apk

在判定其为病毒信息后， 可直接将其作为病毒特征码。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 method:

Lcom/ android/ main/ SmsReceiver;

Lcom/android/main/ActionReceiver;

在判定其为病毒信息后， 可直接将其作为病毒特征码。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 type:

Lcom/androidkernel/flash/Main$l；

在判定其为病毒信息后， 可直接将其作为病毒特征码。

例如， 某个 APK的 classes. dex文件中的常量池中包含如下 field: Lcom/androidkernel/flash/b/br$l ;ihis$0:Lcom/androidkernel/flash/b/br; 在判定其为病毒信息后， 可直接将其作为病毒特征码。

步骤 204、 提取所述可执行文件中的操作指令， 判断所述操作指令是 否包含病毒信息；

步骤 205、 若是， 则根据所述操作指令生成病毒特征码。

Dalvik VM是基于寄存器设计的，程序中使用的数据如 strings, types, fields和 methods保存在专门的数据存储区 （常量池） 中， 在程序当中通 过对应的索引来引用， 而字符文字常量则直接保存在 instructions (操作 指令） 中， 其操作码 (opcode)分为两类：

一类将指定的数据放入寄存器， 如参见如下例 1至例 4:

例 1 :

1303 6100 |0000： const/16 v3, #int 97 II #61 将整数 97放入寄存器 v3中。 例 2:

1700 0000 0040 |0049: const-wide/32 νθ, #float 2.000000 II

#40000000

将浮点数 2.000000放入寄存器 νθ中。

例 3 :

laOO 7d00 |000b: const-string νθ, "%.2fMB" II string@007d

将字符串"％.2 8"放入寄存器 νθ中。

例 4:

lc03 6e04 |0015： const-class v3, 将类 com . qihoo360. mobile safe . service .NetTraffic Service放入哥存器 v3中。

另外一类则基于寄存器进行操作， 如参见如下例 5至例 10:

例 5 :

3100 0305 |0042： cmp-long νθ, v3, v5

比较寄存器 v3和 v5中的 long值， 将比较结果存入寄存器 v0。

例 6:

3221 0400 |001a: if-eq vl, v2, OOle // +0004 条件 if, 根据 vl和 v2是否相等来决定执行流程。

例 7 :

3800 1500 |001e: if-eqz νθ, 0033 II +0015 条件 if, 判断 νθ是否等于 0来决定执行流程。

例 8:

6el0 0e29 0500 |0006： invoke-virtual {v5},

Lj ava/ io/File； . length： () J II method@290e

调用 File的 lengthO函数。

例 9:

7010 042a 0800 |01 Id: invoke-direct {v8},

Lj ava/lang/ StringBuilder; . <init>： () V II method@2a04

调用 StringBuilder的 init函数。 b021 |0035: add-int/2addr vl, v2 将 vl+v2的结果保存在 vl中。

APK中的 classes.dex中的用户类名， 函数名， 字符串会受到混淆或 者修改而发生改变， 但 Dalvik VM的指令以及对 Android系统 SDK提供 的类的调用不会受到用户类名， 函数名， 变量名等被混淆或者修改的影 响， 因此可以通过一组有序的特定指令来识别 APK。 因为 Dalvik VM是 基于寄存器的， 因此其指令本身只能操作寄存器， 字符文字常量， 数据 存储区， 而寄存器地址是可变的， 因此识别时要模糊匹配也即通过识别 指令中的固定部分—— opcode及其相关的字符文字常量参数或者数据存 储区中的 strings, types, fields和 methods等， 当然也可以直接使用指令及 其操作数本身作为病毒特征码。

特征码生成方案一：

直接使用 ΑΡΚ中的 classes.dex中的特定指令集本身作为病毒特征 码。

例如， 上述例 1的病毒特征码可以为 1303 6100 , 例 2的病毒特征码 可以为 1700 0000 0040 , 例 3的病毒特征码可以为 la00 7d00 , 例 4的病 毒特征码可以为 1_C03 6e04 , 例 5的病毒特征码可以为 3100 0305 , 例 6 的病毒特征码可以为 3221 0400 , 例 7的病毒特征码可以为 3800 1500 , 例 8的病毒特征码可以为 6el0 0e29 0500 ,例 9的病毒特征码可以为 7010 042a 0800 , 例 10的病毒特征码可以为 b021。

特征码生成方案二：

使用 APK中的 classes.dex中的特定 opcode及其操作数的字符串或通 配符作为病毒特征码。

例如， 上述例 1的病毒特征码可以为 13$* (其中 *代表模糊匹配， 下 同， 需要说明的是， 此处的 "*，，仅用作举例， 实际中可以使用任意字符）， 例 2的病毒特征码可以为 17$* ,例 3的病毒特征码可以为 la$ ,例 4的病 例 5的病毒特征码可以为 31 $* , 例 6的病毒特征码可以为 32$* , 例 7的 病毒特征码可以为 38$ * , 例 8的病毒特征码可以为

6e$Lj ava/io/File； . length： () , 例 9的病毒特征码可以为

70$Ljava/lang/StringBuilder; <init>, 例 10的病毒特征码可以为 b0$*。 特征码选择方案三：

混合使用上述方案一和方案二。 即将上述 APK中的 classes.dex中的 特定指令集本身， 以及， APK中的 classes.dex中的特定 opcode及其操作 数的字符串或通配符全部作为病毒特征码。 为使本领域技术人员更好地理解本申请， 以下通过一个具体示例进 行说明。

针对提取 classes.dex中的常量池（ string、 type , field和 meth ) 当中 的常量提取的病毒特征码如下： 例如， 某病毒在其字符串常量池当中包 括以下特征字符串：

zjphonecall.txt和 zjsms.txt, 在这 2个文件中包括了恶意电话号码以 及特服短信号码则可提取其作为病毒特征码。

针对反汇编 classes.dex提取的病毒特征码如下：

例如， 病毒 X卧底. apk中包含以下指令用以备份用户隐私数据至 http://www.mybackup.me , 按照其出现的先后顺序列举如下：

2200 f600 |0000： new-instance νθ, Ljava/lang/StringBuilder; II type@00f6

提取其病毒特征码为： 2200f600或 22$Ljava/lang/StringBuilder

7010 9804 0000 |0002： invoke-direct {νθ} ,

Ljava/lang/StringBuilder; <init>:()V II method@0498

提取其病毒特征码为： 701098040000或

70$Ljava/lang/StringBuilder;.<init>

laOl 5506 |0005： const-string vl , "http：〃 www.mybackup.me" II string@0655

提取其病毒特征码为： 701098040000 或 l a$http://www.mybackup.me

6e20 9e04 1000 |0007： invoke -virtual {νθ, vl } ,

Lj ava/lang/ StringBuilder;. append： (Lj ava/lang/ String ;)Lj ava/lang/ StringBuild er; II method@049e

提取其病毒特征码为： 6e209e041000或

6e$Ljava/lang/StringBuilder;. append

3902 0900 |0005 : if-nez v2, OOOe II +0009 提取其病毒特征码为： 39020900 或 39$* 0c02 |0003 : move-result-object v2 提取其病毒特征码为： 0c02或 0c$*

最终获得的病毒特征码为：

病毒特征码选择方案一：

2200f6007010980400007010980400006e209e041000390209000c02 病毒特征码选择方案二：

22$Ljava/lang/StringBuilder$70$Ljava/lang/StringBuilder;.<init>$la$ht tp://www.mybackup.me$6e$Ljava/lang/StringBuilder;.append$39$*$0c$* 病毒特征码选择方案三：

22$Ljava/lang/StringBuilder$701098040000$la$http://www.mybackup. me$6e$Ljava/lang/StringBuilder;.append$39$*$0c02 参考图 3 , 示出了本申请的一种 APK病毒特征码的提取方法实施例 3的步骤流程图， 具体可以包括如下步骤：

步骤 301、 扫描 APK中的可执行文件；

步骤 302、 提取所述可执行文件常量池中的常量， 判断所述常量中是 否包含病毒信息；

步骤 303、 若是， 则根据所述常量生成病毒特征码。

步骤 304、 提取所述可执行文件中的操作指令， 判断所述操作指令是 否包含病毒信息；

步骤 305、 若是， 则根据所述操作指令生成病毒特征码；

APK中的 classes. dex文件和 JAR文件中的用户类名， 函数名， 字符 串会受到混淆或者修改而发生改变，但 Dalvik VM的指令以及对 Android 系统 SDK提供的类的调用不会受到用户类名， 函数名， 变量名等被混淆 或者修改的影响， 因此可以通过一组有序的特定指令来识别 APK。 因为 Dalvik VM是基于寄存器的， 因此其指令本身只能操作寄存器， 字符文字 常量， 数据存储区， 而寄存器地址是可变的， 因此识别时要模糊匹配也 即通过识别指令中的固定部分—— opcode及其相关的字符文字常量参数 或者数据存储区中的 strings, types, fields和 methods等， 当然也可以直接 使用指令及其操作数本身作为病毒特征码。

病毒特征码生成方案一：

直接使用 ΑΡΚ中的 classes. dex文件和 JAR文件中的特定指令集本身 作为病毒特征码。

病毒特征码生成方案二：

使用 APK中的 classes. dex文件和 JAR文件中的特定 opcode及其操 作数的字符串或通配符作为病毒特征码。

病毒特征码选择方案三：

混合使用上述方案一和方案二。 即将上述 APK中的 classes.dex文件 和 JAR文件中的特定指令集本身，以及， APK中的 classes.dex文件和 JAR 文件中的特定 opcode及其操作数的字符串或通配符全部作为病毒特征 码。

步骤 306、 提取所述可执行文件的头部信息， 判断所述头部信息中是 否包含病毒信息；

在具体实现中， 所述可执行文件的头部信息中包括摘要信息

checksum和签名信息 Signature, 在这种情况下， 所述步骤 306可以为： 判断所述摘要信息 checksum和签名信息 Signature中是否包含预定义 的非法字符串。

步骤 307、 若是， 则根据所述头部信息生成病毒特征码。

在具体应用中，可以将所述摘要信息 checksum和 /或签名信息 Signature 均可作为病毒特征码。

在本实施例中， 所述病毒特征码包括： 头部信息特征码。

例如， APK中的 classes.dex文件头部信息 header的 checksum为： l lf26cac; Signature为：

2911621AD071F675ADF0F590C3F1AFB5443BEBBE, 在判定其为木马病 毒后， 直接将 l lf26cac和

2911621AD071F675ADF0F590C3F1AFB5443BEBBE提取为病毒特征码。

步骤 308、 将所述病毒特征码保存至数据库中。

在本申请实施例中， 所述病毒特征码可以包括： 头部信息特征码、 常量 特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特 征码； 在这种情况下， 可以将所述头部信息特征码、 常量特征码、 操作 数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存 在数据库中不同的存储区域； 或者， 还可以将所述头部信息特征码、 常 量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名 特征码保存在数据库中， 并分别标记分类标签。 当然， 上述保存病毒特征码的方式仅仅用作示例， 本领域技术人员根据 实际情况釆用任一种保存方式都是可行的， 本申请对此无需加以限制。

本领域技术人员易于理解的是， 上述操作指令、 常量池和头部信息 的扫描并无先后顺序的限制， 本领域技术人员根据实际情况任意设定上 述三者的扫描顺序都是可行的， 本申请对此无需加以限制。

上述申请实施例通过扫描分析 APK文件中的可执行文件， 针对包含病 毒信息的指令、 常量或头部信息按预置规则生成相应的病毒特征码， 并 汇编成病毒特征码库， 以供后续 APK病毒识别使用。 从而可以准确、 有 效地提取出病毒 APK特征码， 以帮助提高病毒 APK及其变种识别的效 率和准确性， 提高 APK应用的安全性。 参考图 4 , 示出了本申请的一种 APK病毒特征码的提取方法实施例 4的步骤流程图， 具体可以包括如下步骤：

步骤 401、 扫描 APK中的文本文件；

步骤 402、提取所述文本文件中的 linux命令， 判断所述 linux命令是 否包含病毒信息；

在具体实现中， 可以通过判断所述 linux命令是否符合预置的恶意 linux命令确定所述 linux命令是否包含病毒信息。

步骤 403、 若是， 则根据所述 linux命令生成病毒特征码。

在具体实现中， 可以将所述包含病毒信息的 linux命令直接作为病毒 特征码。

例如， 从 APK中的文本文件中提取相应的 linux命令如下： cat /system/bin/sh > I data/ data/$ 1 /files/ sh.new

chown 0.0 /data/data/$l/files/sh.new

chmod 4755 / data/ data/$ 1 /files/sh . new

rm -f /data/data/$l /files/sh mount -o remount system /system mkdir /system/xbin/$l

myuid=$2

if [ "$myuid" == "" ]; then myuid="0"

fi

chown ${myuid} /system/xbin/$l

chmod 700 /system/xbin/$l cat /system/bin/sh > /system/xbin/$l/sh

chown 0.0 /system/xbin/$l/sh

chmod 4755 / system/ xbin/ $ 1 /sh sync

mount -o remount,ro system /system

#/system/bin/stop void

#/system/bin/start void

echo "+++ending+++"

在判定上述 linux命令符合预置的恶意 linux命令时， 将上述命令作 为病毒特征码写入病毒特征库中。

上述申请实施例通过扫描分析 APK文件中的文本文件， 针对包含病 毒信息的 linux命令生成相应的病毒特征码， 并汇编成病毒特征码库， 以 供后续 APK病毒识别使用。 从而可以准确、 有效地提取出病毒 APK特 征码， 以帮助提高病毒 APK及其变种识别的效率和准确性， 提高 APK 应用的安全性。

本申请实施例还适用于 APK中嵌套 APK的情形， 即当 APK中还包 含其它 APK时， 同样可应用本申请实施例， 对 APK及其嵌套 APK中的 可执行文件、 文本文件等进行解析和病毒提取， 例如， 在某个 1.APK中 嵌入了一个 root.apk用以获取 root权限，应用本申请实施例， 除从 1.APK 提取病毒特征码， 还会从 root.apk中提取病毒特征码。 本领域技术人员易 于想到的是， 对于多重嵌套 APK的情形， 本申请实施例亦同样适用， 本 申请在此不作限制。

在具体实现中， 本申请实施例可以对文本文件和可执行文件都进行 扫描以及进行提取病毒特征码的处理， 即上述方法实施例 4与方法实施 例 1、 方法实施例 2或方法实施例 3任意组合均是可行的， 本申请实施例 旨在分实施例重点说明不同应用的情形， 对上述方法实施例的组合应用 不作限制。

需要说明的是， 本申请实施例不仅适用于各种 Android终端， 即使用 Android平台 （操作系统）的终端， 包括计算机、 PC、 笔记本电脑、 手机、 平板电脑等等； 还适用于在其他计算机系统 （例如 Windows , Linux )之 上使用的病毒特征码提取方案。

对于方法实施例， 为了简单描述， 故将其都表述为一系列的动作组 合， 但是本领域技术人员应该知悉， 本申请并不受所描述的动作顺序的 限制， 因为依据本申请， 某些步骤可以釆用其他顺序或者同时进行。 其 次， 本领域技术人员也应该知悉， 说明书中所描述的实施例均属于优选 实施例， 所涉及的动作和模块并不一定是本申请所必须的。 参考图 5 , 其示出了本申请的一种 APK病毒特征码的提取装置实施 例的结构框图， 具体可以包括以下模块：

扫描模块 501 , 用于扫描 Android安装包 APK中的指定文件； 指令提取模块 502 , 用于提取所述指定文件中的操作指令；

指令判断模块 503 , 用于判断所述操作指令是否包含病毒信息； 第一特征码生成模块 504 , 用于在所述操作指令包含病毒信息时， 根 据所述操作指令生成病毒特征码。

在具体实现中， 所述可执行文件可以包括 Dex文件， 所述指定文件 包括可执行文件， 所述 Dex文件可以包括 classes. dex文件， 扩展名为. jar 的文件， 以及， 釆用其他扩展名或无扩展名但文件格式为 Dex格式的文 件。

在本申请的一种优选实施例中， 还可以包括如下模块：

常量提取模块 505 , 用于提取所述可执行文件常量池中的常量； 常量判断模块 506 , 用于判断所述常量中是否包含病毒信息； 第二特征码生成模块 507 , 用于在所述常量中包含病毒信息时， 根据 所述常量生成病毒特征码。

在本申请的一种优选实施例中， 还可以包括如下模块：

头部信息提取模块 508 , 用于提取所述可执行文件的头部信息； 头部信息判断模块 509 , 用于判断所述头部信息中是否包含病毒信 息；

第三特征码生成模块 510 , 用于在所述头部信息中包含病毒信息时， 根据所述头部信息生成病毒特征码。

作为本申请实施例具体应用的一种示例， 所述操作指令包括操作码 和操作数两部分， 在这种情况下， 所述指令判断模块 403具体可以包括 如下子模块：

第一判断子模块， 用于判断所述操作数中是否包含预定义的非法操 作数；

和 /或，

第二判断子模块， 用于判断所述操作码和操作数的组合是否符合预 定义的非法组合规则。

在具体实现中， 所述第一特征码生成模块 404可以包括如下子模块： 直接生成子模块， 用于将所述操作指令本身作为病毒特征码； 和 /或，

转换生成子模块， 用于将所述操作指令的操作码， 以及， 操作数的 字符串或通配符作为病毒特征码。

在具体实现中， 所述可执行文件中常量池中的常量包括字符串 strings、 类型 types、 域 fields和方法 methods中的常量， 在这种情况下， 所述常量判断模块 406可以包括如下子模块：

第三判断子模块， 用于判断所述字符串 strings中的常量是否包含预 定义的恶意网址信息、 恶意文件名或恶意号码信息等恶意信息；

和 /或，

第四判断子模块， 用于判断所述类型 types、 域 fields和方法 methods 中的常量是否有调用自定义的类名、自定义的函数名或 Android系统 SDK 类名、 Android系统函数名。

在本申请实施例的具体应用中， 可以将常量中的病毒信息， 以及， 所述摘要信息 checksum和 /或签名信息 Signature中的病毒信息直接提取 为病毒特征码。

在本申请的一种优选实施例中， 所述指定文件还可以包括文本文件， 所 述操作指令可以为 linux命令， 在这种情况下， 所述指令判断模块 403可 以包括如下子模块：

第五判断子模块， 用于判断所述 linux命令是否符合预置的恶意 linux 命令。

为便于后续的 APK病毒识别， 本申请实施例还可以包括如下模块： 存储模块 511 , 用于将所述病毒特征码保存至数据库中。

作为本申请实施例具体应用的一种示例， 所述病毒特征码可以包括： 头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征 码序列、 类名函数名特征码； 在这种情况下， 所述存储模块 511可以包 括如下子模块：

分区存储子模块， 用于将所述头部信息特征码、 常量特征码、 操作 数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存 在数据库中不同的存储区域；

或者，

标签存储子模块， 用于将所述头部信息特征码、 常量特征码、 操作 数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数 据库中， 并分别标记分类标签。

由于所述装置实施例基本相应于前述图 1、图 2和图 3所示的方法实 施例， 故本实施例的描述中未详尽之处， 可以参见前述实施例中的相关 说明， 在此就不赘述了。

本发明的各个部件实施例可以以硬件实现， 或者以在一个或者多个 处理器上运行的软件模块实现， 或者以它们的组合实现。 本领域的技术 人员应当理解， 可以在实践中使用微处理器或者数字信号处理器 （DSP ) 来实现根据本发明实施例的 APK病毒特征码的提取装置中的一些或者全 部部件的一些或者全部功能。 本发明还可以实现为用于执行这里所描述 的方法的一部分或者全部的设备或者装置程序 （例如， 计算机程序和计 算机程序产品） 。 这样的实现本发明的程序可以存储在计算机可读介质 上， 或者可以具有一个或者多个信号的形式。 这样的信号可以从因特网 网站上下载得到， 或者在载体信号上提供， 或者以任何其他形式提供。

例如， 图 6示出了可以实现根据本发明的 APK病毒特征码的提取方 法的服务器， 例如应用服务器。 该服务器传统上包括处理器 610 和以存 储器 620形式的计算机程序产品或者计算机可读介质。 存储器 620 可以 是诸如闪存、 EEPROM (电可擦除可编程只读存储器） 、 EPROM、 硬盘 或者 ROM之类的电子存储器。存储器 620具有用于执行上述方法中的任 何方法步骤的程序代码 631的存储空间 630。 例如， 用于程序代码的存储 空间 630 可以包括分别用于实现上面的方法中的各种步骤的各个程序代 码 631。这些程序代码可以从一个或者多个计算机程序产品中读出或者写 入到这一个或者多个计算机程序产品中。 这些计算机程序产品包括诸如 硬盘， 紧致盘 （CD ) 、 存储卡或者软盘之类的程序代码载体。 这样的计 算机程序产品通常为如参考图 7 所述的便携式或者固定存储单元。 该存 储单元可以具有与图 6的服务器中的存储器 620类似布置的存储段、 存 储空间等。 程序代码可以例如以适当形式进行压缩。 通常， 存储单元包 括计算机可读代码 63 Γ , 即可以由例如诸如 610之类的处理器读取的代 码， 这些代码当由服务器运行时， 导致该服务器执行上面所描述的方法 中的各个步骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例" 意味着， 结合实施例描述的特定特征、 结构或者特性包括在本发明的至 少一个实施例中。 此外， 请注意， 这里"在一个实施例中"的词语例子不一 定全指同一个实施例。

在此处所提供的说明书中， 说明了大量具体细节。 然而， 能够理解， 本发明的实施例可以在没有这些具体细节的情况下被实践。 在一些实例 中， 并未详细示出公知的方法、 结构和技术， 以便不模糊对本说明书的 理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限 制， 并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计 出替换实施例。 在权利要求中， 不应将位于括号之间的任何参考符号构 造成对权利要求的限制。单词"包含"不排除存在未列在权利要求中的元件 或步骤。 位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。 本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计 算机来实现。 在列举了若干装置的单元权利要求中， 这些装置中的若干 个可以是通过同一个硬件项来具体体现。 单词第一、 第二、 以及第三等 的使用不表示任何顺序。 可将这些单词解释为名称。

此外， 还应当注意， 本说明书中使用的语言主要是为了可读性和教 导的目的而选择的， 而不是为了解释或者限定本发明的主题而选择的。 因此， 在不偏离所附权利要求书的范围和精神的情况下， 对于本技术领 域的普通技术人员来说许多修改和变更都是显而易见的。 对于本发明的 范围， 对本发明所做的公开是说明性的， 而非限制性的， 本发明的范围 由所附权利要求书限定。

Claims

权 利 要 求

1、 一种 APK病毒特征码的提取方法， 其包括：

扫描 Android安装包 APK中的指定文件；

提取所述指定文件中的操作指令，判断所述操作指令是否包含病毒信 息；

若是， 则根据所述操作指令生成病毒特征码。

2、 如权利要求 1所述的方法， 其中， 所述指定文件包括可执行文件， 所述可执行文件包括 Dex文件， 所述 Dex文件包括 classes. dex文件， 扩 展名为 .jar的文件， 以及， Dex格式的文件。

3、 如权利要求 2所述的方法， 其中， 还包括：

提取所述可执行文件的常量池中的常量，判断所述常量中是否包含病 毒信息；

若是， 则根据所述常量生成病毒特征码。

4、 如权利要求 3所述的方法， 其中， 还包括：

提取所述可执行文件的头部信息，判断所述头部信息中是否包含病毒 信息；

若是， 则根据所述头部信息生成病毒特征码。

5、 如权利要求 1、 2、 3或 4所述的方法， 其中， 所述操作指令包括 操作码和操作数， 所述判断操作指令是否包含病毒信息的步骤包括： 判断所述操作数中是否包含预定义的非法操作数；

和 /或，

判断所述操作码和操作数的组合是否符合预定义的非法组合规则。

6、 如权利要求 5所述的方法， 其中， 所述根据操作指令生成病毒特 征码的步骤包括：

将所述操作指令本身作为病毒特征码；

和 /或，

将所述操作指令的操作码， 以及，操作数的字符串或通配符作为病毒 特征码。

7、 如权利要求 3所述的方法， 其中， 所述可执行文件的常量池中的 常量包括字符串 strings , 类型 types、 域 fields和方法 methods中的常量， 所述判断常量中是否包含病毒信息的步骤包括： 判断所述字符串 strings中的常量是否包含预定义的恶意网址信息、 恶意文件名或恶意号码信息；

和 /或，

判断所述类型 types、 域 fields和方法 methods中的常量是否有调用 自定义的类名、 自定义的函数名或 Android系统 SDK类名、 Android系统 函数名；

所述根据常量生成病毒特征码的步骤为，将所述常量中的病毒信息作 为病毒特征码。

8、 如权利要求 4所述的方法， 其中， 所述可执行文件的头部信息中 包括摘要信息 checksum和签名信息 Signature, 所述判断头部信息中是否 包含病毒信息的步骤包括：

判断所述摘要信息 checksum和 /或签名信息 Signature中是否包含预 定义的非法字符串；

所述根据头部信息生成病毒特征码的步骤为， 将所述摘要信息 checksum和 /或签名信息 Signature作为病毒特征码。

9、 如权利要求 1所述的方法， 其中， 所述指定文件还包括文本文件， 所述操作指令为 linux命令，

所述判断操作指令是否包含病毒信息的步骤为， 判断所述 linux命令 是否符合预置的恶意 linux命令；

所述根据操作指令生成病毒特征码的步骤为， 将所述 linux命令作为 病毒特征码。

10、 如权利要求 1、 2、 3、 4、 6、 7、 8、 9或 10所述的方法， 其中， 还包括：

将所述病毒特征码保存至数据库中。

11、 如权利要求 10所述的方法， 其中， 所述病毒特征码包括： 头部 信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序 歹^ 类名函数名特征码； 所述将病毒特征码保存至数据库中的步骤包括： 将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存在数据库中不同的存储区 域； 或者，

将所述头部信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数据库中， 并分别标记分类 标签。

12、 一种 APK病毒特征码的提取装置， 其包括：

扫描模块， 用于扫描 Android安装包 APK中的指定文件；

指令提取模块， 用于提取所述指定文件中的操作指令；

指令判断模块， 用于判断所述操作指令是否包含病毒信息；

第一特征码生成模块，用于在所述操作指令包含病毒信息时，根据所 述操作指令生成病毒特征码。

13、 如权利要求 12所述的装置， 其中， 所述指定文件包括可执行文 件， 所述可执行文件包括 Dex文件， 所述 Dex文件包括 classes. dex文件 , 扩展名为. jar的文件， 以及， Dex格式的文件。

14、 如权利要求 13所述的装置， 其中， 还包括：

常量提取模块， 用于提取所述可执行文件常量池中的常量；

常量判断模块， 用于判断所述常量中是否包含病毒信息；

第二特征码生成模块，用于在所述常量中包含病毒信息时，根据所述 常量生成病毒特征码。

15、 如权利要求 14所述的装置， 其中， 还包括：

头部信息提取模块， 用于提取所述可执行文件的头部信息；

头部信息判断模块， 用于判断所述头部信息中是否包含病毒信息； 第三特征码生成模块，用于在所述头部信息中包含病毒信息时，根据 所述头部信息生成病毒特征码。

16、 如权利要求 12、 13、 14或 15所述的装置， 其中， 所述操作指令 包括操作码和操作数两部分， 所述指令判断模块包括：

第一判断子模块，用于判断所述操作数中是否包含预定义的非法操作 数；

和 /或，

第二判断子模块，用于判断所述操作码和操作数的组合是否符合预定 义的非法组合规则。

17、 如权利要求 16所述的装置， 其中， 所述第一特征码生成模块包 括：

直接生成子模块， 用于将所述操作指令本身作为病毒特征码； 和 /或，

转换生成子模块， 用于将所述操作指令的操作码， 以及， 操作数的字 符串或通配符作为病毒特征码。

18、 如权利要求 14所述的装置， 其中， 所述可执行文件中常量池中 的常量包括字符串 strings , 类型 types、 域 fields和方法 methods中的常 量， 所述常量判断模块包括：

第三判断子模块， 用于判断所述字符串 strings中的常量是否包含预 定义的恶意网址信息、 恶意文件名或恶意号码信息；

和 /或，

第四判断子模块， 用于判断所述类型 types、 域 fields和方法 methods 中的常量是否有调用自定义的类名、自定义的函数名或 Android系统 SDK 类名、 Android系统函数名。

19、 如权利要求 12所述的装置， 其中， 所述指定文件还包括文本文 件， 所述操作指令为 linux命令， 所述指令判断模块包括：

第五判断子模块，用于判断所述 linux命令是否符合预置的恶意 linux 命令。

20、 如权利要求 12、 13、 14、 16、 17 、 18或 19所述的装置， 其中， 还包括：

存储模块， 用于将所述病毒特征码保存至数据库中。

21、 如权利要求 20所述的装置， 其中， 所述病毒特征码包括： 头部 信息特征码、 常量特征码、 操作数特征码、 指令特征码、 指令特征码序 歹^ 类名函数名特征码； 所述存储模块包括：

分区存储子模块， 用于将所述头部信息特征码、 常量特征码、 操作 数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码分别保存 在数据库中不同的存储区域；

或者，

标签存储子模块， 用于将所述头部信息特征码、 常量特征码、 操作 数特征码、 指令特征码、 指令特征码序列、 类名函数名特征码保存在数 据库中， 并分别标记分类标签。

22、 一种计算机程序， 包括计算机可读代码， 当所述计算机可读代 码在服务器上运行时， 导致所述服务器执行根据权利要求 1-11 中的任一 个所述的 APK病毒特征码的提取方法。

23、 一种计算机可读介质， 其中存储了如权利要求 22所述的计算机 程序。