WO2015101043A1 - 检测智能终端中恶意代码的方法及装置 - Google Patents
检测智能终端中恶意代码的方法及装置 Download PDFInfo
- Publication number
- WO2015101043A1 WO2015101043A1 PCT/CN2014/083909 CN2014083909W WO2015101043A1 WO 2015101043 A1 WO2015101043 A1 WO 2015101043A1 CN 2014083909 W CN2014083909 W CN 2014083909W WO 2015101043 A1 WO2015101043 A1 WO 2015101043A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- virtual machine
- function
- sequence
- information structure
- malicious code
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000001343 mnemonic effect Effects 0.000 claims abstract description 45
- 238000001514 detection method Methods 0.000 claims abstract description 6
- 238000004590 computer program Methods 0.000 claims description 8
- 238000009434 installation Methods 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims 3
- 238000000605 extraction Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 109
- 238000004422 calculation algorithm Methods 0.000 description 30
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 230000006399 behavior Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种检测智能终端中恶意代码的方法及装置。其中的方法包括:从智能终端操作系统的应用程序层,获取应用程序的虚拟机执行文件;对虚拟机执行文件进行反编译,得到反编译的函数信息结构;解析反编译的函数信息结构,得到具有对应关系的虚拟机指令序列和虚拟机助记符序列;分析确定虚拟机助记符序列的函数功能,根据具有函数功能的虚拟机助记符序列对应的虚拟机指令序列确定目标特征;利用预先设置的恶意代码特征库,对目标特征进行匹配,如果匹配成功,则确定所述应用程序的虚拟机执行文件包含恶意代码。应用本发明方案,可对被篡改的应用程序或者对恶意软件进行查杀,保护智能终端的安全。
Description
检测智能终端中恶意代码的方法及装置 技术领域
本发明涉及智能终端安全技术领域,具体涉及一种检测智能终端中恶意代 码的方法及装置。 支
随着科技发展, 智能终端具有越来越多的功能。 例如, 人们的手机从传统 的 GSM、 TDMA数字手机转向了拥有能够处理多媒体资源、 提供网页浏览、 电话 会议、 电子商务等多种信息服务的智能手机。 然而, 品种日益繁多的手机恶意 代码攻击以及形势日益严峻的个人数据安全问题也随之而来,越来越多的手机 病毒让智能手机用户饱受其苦。 发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地 解决上述问题的检测智能终端中恶意代码的方法及装置。
依据本发明的一个方面,提供一种检测智能终端中恶意代码的方法,包括: 从智能终端操作系统的应用程序层, 获取应用程序的虚拟机执行文件; 对所述 虚拟机执行文件进行反编译,得到反编译的函数信息结构; 解析所述反编译的 函数信息结构,得到具有对应关系的虚拟机指令序列和虚拟机助记符序列; 分 析确定所述虚拟机助记符序列的函数功能,根据具有所述函数功能的所述虚拟 机助记符序列对应的虚拟机指令序列确定目标特征;利用预先设置的恶意代码 特征库, 对所述目标特征进行匹配, 如果匹配成功, 则确定所述应用程序的虚 拟机执行文件包含恶意代码。
依据本发明的另一个方面,提供一种检测智能终端中恶意代码的装置, 包 括: 文件获取单元, 用于从智能终端操作系统的应用程序层, 获取应用程序的 虚拟机执行文件; 反编译单元, 用于对所述虚拟机执行文件进行反编译, 得到 反编译的函数信息结构;解析单元,用于通过解析所述反编译的函数信息结构, 具有对应关系的虚拟机指令序列和虚拟机助记符序列; 目标特征确定单元, 用 于分析确定所述虚拟机助记符序列的函数功能,根据具有所述函数功能的所述 虚拟机助记符序列对应的虚拟机指令序列确定目标特征; 检测单元, 用于利用 预先设置的恶意代码特征库, 对所述目标特征进行匹配, 如果匹配成功, 则确 定所述应用程序的虚拟机执行文件包含恶意代码。
可见, 本发明实施例通过对 dex文件的格式分析和反编译, 可以分析确定 函数的功能, 并且可以确定具有一定功能的函数作为目标特征, 然后与恶意代 码特征库进行匹配, 从而确定 dex文件是否包含恶意代码。
应用本发明方案, 通过应用程序的 dex文件, 可分析确定该应用程序是否 包含恶意代码, 由此可以对被篡改的应用程序或者对恶意软件进行查杀,保护 智能终端的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术 手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、 特征和优点能够更明显易懂, 以下特举本发明的具体实施方式。 附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领 域普通技术人员将变得清楚明了。 附图仅用于示出优选实施方式的目的, 而并 不认为是对本发明的限制。 而且在整个附图中, 用相同的参考符号表示相同的 部件。 在附图中:
图 1示出了根据本发明一个实施例的检测智能终端中恶意代码的方法的流 程图;
图 2示出了根据本发明一个实施例的检测智能终端中恶意代码的装置的结 构示意图; 以及
图 3示出了用于执行根据本发明的方法的智能电子设备的框图; 以及 图 4示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单 元示意图。 具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了 本公开的示例性实施例, 然而应当理解, 可以以各种形式实现本公开而不应被 这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本 公开, 并且能够将本公开的范围完整的传达给本领域的技术人员。
以安卓(Android )操作系统为例, 包括应用程序层( app层)和系统框架 层(framework层) , 至于从功能划分上有可能包括的的其他层本发明则不作 讨论。 其中, 通常 app层可以理解为上层, 负责与用户交互的界面, 例如应用 程序维护、以及点击页面时识别不同种类的点击内容从而显示不同的上下文菜 单等。 通常 f ramework层作为中间层, 这一层的主要职责是, 将 app层获得的用 户请求, 如启动用用程序、 点击链接、 点击保存图片之类, 转发往下层去; 将
下层处理好的内容, 或者通过消息, 或者通过中间代理类, 来分发至上层, 对 用户展现出来。
Dalvik是用于 Android平台的 Java虚拟机。 Dalvik 经过优化,允许在有限 的内存中同时运行多个虚拟机的实例, 并且每一个 Dalvik 应用作为一个独立 的 Linux 进程执行。独立的进程可以防止在虚拟机崩溃的时候所有程序都被关 闭。 Dalvik虚拟机可以支持已转换为 dex ( Dalvik Executable )格式的 Java 应用程序的运行, dex格式是专为 Dalvik设计的一种压缩格式, 适合内存和处 理器速度有限的系统。
可见,在 Android系统中, dex文件是可以直接在 Dalvik虚拟机( Dalvik VM) 中力口载运行的虚拟机执行文件。 通过 ADT (Android Development Tools ) , 经 过复杂的编译, 可以把 j a va源代码转换为 dex文件。 dex文件是针对嵌入式系统 优化的结果, Dalvik虚拟机的指令码并不是标准的 Java虚拟机指令码, 而是使 用了自己独有的一套指令集。 dex文件中共用了很多类名称、 常量字符串, 使 它的体积比较小, 运行效率也比较高。
本发明的发明人在研究过程中发现, 经过对 dex文件的解析, 可以获知 dex 文件中函数的功能, 由此, 可以据此判断 dex文件是否包含恶意代码(包括 dex 文件本身就是恶意软件, 或者 dex文件被篡改等情况) 。
参见图 1, 示出了根据本发明一个实施例的检测智能终端中恶意代码的方 法的流程图。
该检测智能终端中恶意代码的方法包括以下步骤。
S101: 从智能终端操作系统的应用程序层, 获取应用程序的虚拟机执行文 件, 例如获取应用程序的 dex文件;
如前所述, Android操作系统包括应用程序层 ( app层) 和系统框架层 (framework层), 本发明重点在于对 app层的研究和改进。 但是, 本领域技术 人员理解, 当 Android启动时, Dalvik VM监视所有的程序 (APK文件)和框架, 并且为它们创建一个依存关系树。 Da 1 V i k VM通过这个依存关系树来为每个程序 优化代码并存储在 Dalvik緩存(dalvik-cache)中。 这样, 所有程序在运行时 都会使用优化过的代码。 当一个程序 (或者框架库)发生变更, Dalvik VM将 会重新优化代码并且再次将其存在緩存中。 在 cache/dalvik- cache是存放 system上的程序生成的 dex文件,而 data/dalvik-cachej^是存放 data/app生成 的 dex文件。也就是, 本发明重点在于对 data/app生成的 dex文件进行的分析和 处理, 但是应该理解, 对于 system上的程序生成的 dex文件, 本发明的理论和 操作同样适用。
关于获取 dex文件的方式,可以通过解析 APK ( Android Package, Android
安装包)获得。 APK文件其实是 z ip格式的一个压缩包, 但后缀名被修改为 apk, 通过 UnZip解压后, 就可以得到 Dex文件。
S102: 对 dex文件进行反编译, 得到反编译的函数信息结构;
对 dex文件进行反编译(或称为: 反汇编)有多种方式。
第一种方式是, 根据 dex文件格式对 dex文件进行解析, 得到每个类的函 数信息结构体; 根据函数信息结构体中的字段, 确定 dex文件的函数的位置及 大小, 得到反编译的函数信息结构。 其中, 通过解析函数信息结构体, 得到指 示 dex文件的函数位置的字节码数组字段以及指示 dex文件的函数大小的列表 长度字段, 从而确定 dex文件的函数的位置及大小。
例如, 根据 dex文件格式, 解析 dex文件, 查找到每个类得函数信息。 比如 函数信息结构体包含如表 1中的字段。
表 1
regi sters_s ushort
该段代码所用到的寄存器数目
i ze
i ns_s i ze ushort
该段代码中方法的输入参数的字数 (words) outs_s i ze ushort
该段代码调用方法需要为函数的输出函数提供的空间 tr i es_s i ze ushort
该对象的 tryjtem的个数, 如果非 0, 它会作为一个 tr i es数组出现 在本对象 insns的后面 debug— i nfo_ uint
从文件开始到 debug info的偏移量, 如果没有信息该值为 0, 如果非 off
0, 应该代表数据段的一个位置, 数据必须遵循 debug_info_item规 定格式
i nsns_s i ze uint
Instructions 列表的长度, 以两字节为单位 i nsns ushort[in
字节码数组, 字节码数组的格式在文件" Bytecode for the Dalvik VM" sns_s i ze]
中详述, 尽管它被定义为 ushort型的数组, 但是有一些内部结构是 4 字节对齐方式, 如果这个文件恰好是经过字节交换操作的文件, 字节 的交换只在 ushort类型内部进行 padding ushort
用两个填充字节来满足 tries 4个字节的对齐方式, 该元素只有当 (optional
) = 0
tr i es_s i ze非 0并且为奇数时才存在 tr i es try_item[
该数组用来标识代表中哪里可能抛出异常并且如何处理。数组元素必 tries siz
e]
须按照地址的升序排列, 不能有重复地址出现。 这个元素只有在
(optional
)
tr i es_s i ze不为 0时才存在 handlers encoded_c
这些字节代表一系列异常的类型以及他们的处理方法的地址列表, 每 atch_hand
1 er_l i st
个 tryjtem都有一个字节宽度的偏移, 只有当 tr i es_s i ze不为 0时, (optional
该元素才存在。 其中, 每个函数信息结构体中的 insns _ s ize和 insns字段, 分别代表了该 函数大小及位置。 那么, 就可以根据 insns _ s ize和 insns这两个字段, 反编译 出函数的信息结构。 反编译的信息结构是由 Da lvik VM字节码构成的。
第二种方式是, 利用 dex文件反编译工具,将 dex文件反编译为虚拟机字节 码。
如前介绍的, Da 1 V i k虚拟机运行的是 Da 1 v i k字节码,其以一个 dex( Da lvik Executable )可执行文件形式存在, Da lvik虚拟机通过解释 dex文件来执行代 码。 目前有一些工具, 可将 DEX文件反汇编成 Da lvik汇编代码。 这类 dex文件反 编译工具包括: baksma l i、 Dedexer 1. 26、 dexdump, dexinspecto 03-12-12r , IDA Pro、 androguard^ dex2 jar . 010 Edi tor等。
可见, 通过对 dex文件的反编译, 可以得到所有函数的信息结构。 其中, 函数信息结构包含函数执行代码, 本发明实施例中,是由虚拟机指令序列和虚 拟机助记符序列构成的, 如下面的例子, 由 Da 1 V i k VM的指令序列和 Da 1 v i k VM 的助记符序列构成函数信息结构。
S103: 解析反编译的函数信息结构,得到具有对应关系的虚拟机指令序列 和虚拟机助记符序列;
例如, 根据本发明一个实施例对 dex文件进行反编译得到的函数信息结构 ^口下:
可见, dex文件被反编译成 Dalvik VM的指令序列和 Dalvik VM的助记符序 列。
如上例子,在反编译得到的函数信息结构中,机器码字段中的每一行的前 2个数字是指令序列 (上例子左侧被圈部分) , 而指令序列对应的部分为助记 符(上例子右侧, 部分被圈, 未全部选择)。 助记符主要是为了方便用户交流 和代码编写。
如上例子, dex文件经过反编译就可以得到函数的指令序列为: "125438 71 Oc 6e Oc 6e Oa 38 54 54 6e Oc 6e 54 6e Oc 6e Oc 38 72 Oa 39 12 38 54 6e 54 71 Oe 01 28 54 13 6e" 。 助记符序列为: "const/4 iget— object if-eqz invoke—static move—result—object invoke—virtual move—result—object invoke—virtual move—result if-eqz iget-ob ject iget-ob ject invoke—virtual move-re su 1 t-ob ject invoke—virtual iget-ob ject invoke—virtual move-re sul t-ob ject invoke—virtual move-result-object if-eqz invoke-interf ace move-result if-nez const/4 if-eqz iget-ob ject invoke—virtual iget-ob ject invoke—static
return-void move goto iget-ob ject const/16 invoke-virtual "
S104: 分析确定虚拟机助记符序列的函数功能,根据具有函数功能的虚拟 机助记符序列对应的虚拟机指令序列确定目标特征;
其中, 分析确定虚拟机助记符序列的函数功能的实现方式可以为: 从虚拟 机助记符序列中提取得到函数调用序列;通过分析按照顺序执行的多个函数调 用序列的指令, 确定虚拟机助记符序列的函数功能。
仍以上述例子讨论,接下来,从前述步骤获取的助记符序列中可提取得到 函数调用序列。 函数调用序列是指具有语义功能的代码, 例如例如后面描述的 具有字符串解密、 创建实例等功能的代码。
■ move - Ml , ■ vO
- array-Ί ength - νϋ , - ν2
- IT ·νΐ Γ ·νΟΓ -00?4 '〃 ·+∞07
ί nvoke-vi rtual ■ { νϊ ? ■ L jav /1 ang/Str"i ngBuff . t oStr"i ng Ljav Ί ang/St "i ng; //■ method@0056
rnove-resLJ It-object■ vu
ret urn-object - νθ
aget-byte νθ , - v2 ■ l
and-int/1itl6 -v0, 0, -^int - 55■// ff
i nvoke-stati c - {νθ} - Ljava/1 ang/integer . toHexst ng Lja a/1 ang/stri ng; // rnethod&0049 |
■ rnove-res lt -object■ vQ
■ i nvoke-vi rtual ■ { vO] - L jav /1 ang/Stri ng; . Ί ength Γ■ // ' rnethod&004f
■ Vnove-resLJ It■ v4
■const/4■ v5 ϋπτ .2 // ≠2
if-Ίτ -v4 ; vS, -QQ a // -+QQQ9
■ i nvoke-vi rtual ■ Ά, - θ} ■ Ljava/Ί ang/strl ngBuff . append Ljava/1 ang/5tri ngsuff er ; ■ //■ method^0055 ■add-int/ litS-vO, vl -^int i-// ^01
■ move - l ,■ ν
■goto-001c7/--00Ld
■ new-i nstance■ v4 , ■ Ljav /Ί ang/Str"i ngBui Ί der ■ // 'typeiL003L
- const-stri ng - ί, - "Q" -// - strin i QQQc
■ i nvoke-5tati c■ , - Lcon/nizhengD5; . Decrypt r "i ng Ljava/Ί ang/st "i ng; ■ //■ method^OO l
- rnove-result -object - 5
■ i nvoke-dl re t■ { v4 , ■ 5 , ■ Lja a/Ί ang/stri ngBui Ί der . < π τη//■ method@0057
■ i nvokg-vi rtual■ { 4 ■ vQ ■ Lja a/Ί ang/strl ngBu~i Ί dgr . append Ljava Ί ang/stri ngB i Ί dgr ; ■ / ■ fKiethodgQQ^B
■ rnove-res lt -object■ vO
■|i nvoke-vi rtual ■ { v0 , - L java/1 ang/StringBuilder; . toStri ng : Ljava/Ί ng/Stri ng; ■ // ' methodi¾0059 ~ | 上面例子框选的部分即为相关函数调用。
将这些调用抽取出, 按调用顺序排序即可组成函数调用序列, 函数的调 用序列基本描述了本函数的行为。
如上例子:
1: "Lcom/mzhengDS; . DecryptStr ing: Ljava/lang/Str ing"
通过代码分析, 可得知函数解密了一个字符串。
2:
" invoke-static {νθ} , L java/ security/MessageDigest; . get Instance: L ja va/ security/MessageDigest"
通过代码分析, 可得知程序创建了一个消息签名实例, 可以猜测到可能 是准备使用 md5 sha等类似 hash算法给 1过程界面后的字符串加密。
3: "invoke-virtual {v6} , Ljava/lang/Str ing; . getBytes: [B,, 获取字符串的指针, 可以猜测字符串可能是过程 1解密后的字符串, 而获 取指针可能是为了使用过程 2的实例给字符串加密。
4 : " invoke-virtual {νθ, vl} , Ljava/ security/MessageDigest; . update: V" ;
" invoke-virtual {νθ} ,
Ljava/ security/MessageDigest; . digest: [B,,
这 2个函数调用证实了上述判断, 根据函数名可以得知, 这是对数据做了 ha s h力口密。
从上面这个例子可以看出,通过函数的调用序列就可以基本分析确定出这 个函数的功能。
那么,函数调用序列所在的助记符序列对应的指令序列就代表具有一定功 能的函数特征。 例如, 上述指令序列 "12 54 38 71 Oc 6e Oc 6e Oa 38 54 54 6e Oc 6e 54 6e Oc 6e Oc 38 72 Oa 39 12 38 54 6e 54 71 Oe 01 28 54 13 6e" 即代表了一定功能的函数的特征。 在进行恶意代码检测时, 可以据此确定 目标特征进行检测。 比如, 可以将将具有上述函数功能的指令序列作为目标特 征, 或者, 将具有上述函数功能的指令序列的子集(指令序列的一部分)作为 所述目标特征。
S105: 利用预先设置的恶意代码特征库, 对目标特征进行匹配, 如果匹配 成功, 则确定应用程序的 dex文件包含恶意代码。
恶意代码(Malicious Code)是指通过存储介质或网络进行传播, 在未经 授权认证的情况下破坏操作系统完整性、窃取系统中未公开秘密信息的程序或 代码。 以手机为例, 手机恶意代码是指针对手机、 PDA等手持设备的恶意代码。 手机恶意代码可以简单地划分为复制型恶意代码和非复制型恶意代码。其中复 制型恶意代码主要包括病毒(Virus ) 、 蠕虫 (Worm) , 非复制型恶意代码主 要包括特洛伊木马后门程序(Trojan Horse)、 流氓软件 (Rogue Software )、 恶意移动代码 (Malicious Mobile Code ) 以及 Rootki t程序等。
手机恶意代码防护技术针对恶意代码进行防护。手机恶意代码防护方式包 括多种。 例如, 特征值扫描方式, 它需要预先学习建立恶意代码特征库, 恶意
代码特征库中保存的特征值可以是一段连续的固定字符串,也可以是几段中间 征库中的特征值或特征串去检测待测文件或内存,发现匹配项则可确定目标感 染了恶意代码。 再如, 基于虚拟机技术的恶意代码防护。 此类防护方案主要针 对多态和变形病毒。 所谓的虚拟机是指通过软件模拟具有完整硬件系统功能 的、运行在一个完全隔离环境中的完整计算机系统。该方案也称为软件模拟法, 是一种软件分析器, 用软件方法来模拟和分析程序的运行。 它实质是在内存中 模拟出一个小的封闭程序执行环境, 所有待查杀文件都在其中被虚拟执行。釆 用虚拟机技术进行杀毒时, 首先使用的还是特征值扫描技术, 当发现目标具有 加密恶意代码的特征时,才会启动虚拟机模块让加密代码自行解码,解码之后, 就可以釆用传统的特征值扫描方式进行查杀。 再如, 启发式扫描方式。 启发式 扫描方案主要针对恶意代码的不断变种以及为了加强对未知恶意代码的研究。 所谓 "启发式" 源自人工智能, 是指 "自我发现的能力" 或 "运用某种方式或 方法去判定事物的知识和技能"。 恶意代码的启发式扫描是指扫描软件能够利 用从经验中提取的规则,通过分析程序的结构和它的行为来发现病毒。 因为恶 意代码要达到感染和破坏的目的,通常的行为都会有一定的特征, 例如非常规 读写文件、 终结自身、 非常规切入零环等。 因此可以根据扫描特定的行为或多 种行为的组合来判断一个程序是否为恶意代码。 此外,还可以对目标程序进行 相似样本聚类, 例如釆用 K均值聚类算法对分析确定的相似样本进行聚类。
不论哪种防护方式,其核心都包含两部分, 第一是组织合理的恶意代码特 征库, 第二是高效的扫描算法(也称为匹配算法)。 匹配算法一般分为单模式 匹配算法和多模式匹配算法两种。单模式匹配算法包括 BF (Brute-Force)算法、 KMP ( Knuth-Morr i s-Pra t t )算法、 BM ( Boyer-Moore )算法和 QS ( Quick Search ) 算法等。 多模式匹配算法包括经典多模式匹配 DFSA 算法和基于有序二叉树的 多模式匹配算法。 另外, 还可将匹配算法分为模糊匹配算法、 相似匹配算法。 以 BF算法为例, 它是一种简单直观的单模式匹配算法, 属于模糊匹配算法。 其 基本思想为: 首先将主串中的第一个字符 s i与模式 t中的第一个字符 t l进行比 较, 若相等, 则继续逐个比较后继字符; 否则, 就将 s中的第二个字符 s 2与 t l 进行比较,依次类推, 直到 t中每一个字符依次和 s中的一个连续字符序列相等 (匹配成功) , 返回该字符序列中第一个字符在主串中的位置; 或者在 s中找 不到和 t相等的字符序列 (匹配失败) , 返回 0。 再以 KMP算法为例, 它是一种 改进的模式匹配的算法, 它对于 BF算法其最大的改进就是: 利用模式中隐含的 "部分匹配" 的信息, 使的在出现失配情况下, 进行下一次比较时主串中的 i 指针(指向失配字符) 不需要回溯, 而将模式中的 j指针(指向下一次比较的
位置)向后 "滑动" 一个尽可能远的距离继续进行。 此滑动 K由 next函数求的。 KMP算法可描述为: H没以指针 i和 j分别增 1 ; 若 s i不等于 t j, 则 i不变, j退到 next ( j )位置再比较, 如此循环往复, 直至在主串中找到与模式串相等的子 串或者搜索完整个主串后也没发现与模式串相等的字串, 算法结束。
本步骤中, 利用预先设置的恶意代码特征库, 对目标特征进行匹配, 如果 匹配成功, 则确定应用程序的 dex文件包含恶意代码。 具体地, 可以将多个函 数调用序列构成的具有一定功能的函数作为目标特征,利用预先设置的恶意代 码特征库, 对目标特征进行查杀, 例如, 进行函数相似度匹配或进行函数特征 模糊匹配。
需要说明的是,本发明不限定釆用何种恶意代码防护方案对恶意代码进行 检测, 例如, 可以釆用上面介绍的样本特征查杀(特征值扫描)、 基于虚拟机 查杀或者启发式查杀, 另外还可以进行相似样本聚类。 而且, 对于匹配算法也 不作限制, 例如, 可以釆用上面介绍的模糊匹配算法或者相似匹配算法等。
可见, 本发明实施例通过对 dex文件的格式分析和反编译, 可以分析确定 函数的功能, 并且可以确定具有一定功能的函数作为目标特征, 然后与恶意代 码特征库进行匹配, 从而确定 dex文件是否包含恶意代码。
应用本发明方案, 通过应用程序的 dex文件, 可分析确定该应用程序是否 包含恶意代码, 由此可以对被篡改的应用程序或者对恶意软件进行查杀,保护 智能终端的安全。
与上述方法相对应,本发明实施例还提供一种检测智能终端中恶意代码的 装置。 该装置可以通过软件、 硬件或软硬件结合实现。 具体地, 该装置可以是 指一个终端设备, 也可以是指设备内部的功能实体。 例如, 该装置可以是指手 机内部的功能模块。 优选地, 该装置运行在 Android操作系统下。
参见图 2, 该装置包括文件获取单元 201、 反编译单元 202、 解析单元 203、 目标特征确定单元 204以及检测单元 205。
其中:
文件获取单元 201, 用于从智能终端操作系统的应用程序层, 获取应用程 序的虚拟机执行文件, 例如获取 dex文件;
反编译单元 202,用于对 dex文件进行反编译,得到反编译的函数信息结构; 解析单元 203, 用于通过解析反编译的函数信息结构, 具有对应关系的虚 拟机指令序列和虚拟机助记符序列;
目标特征确定单元 204, 用于分析确定虚拟机助记符序列的函数功能, 根 据具有函数功能的虚拟机助记符序列对应的虚拟机指令序列确定目标特征; 检测单元 205, 用于利用预先设置的恶意代码特征库, 对目标特征进行匹
配, 如果匹配成功, 则确定应用程序的 dex文件包含恶意代码。
优选地, 该装置还包括提取单元 206 :
提取单元 206, 用于从虚拟机助记符序列中提取得到函数调用序列; 此情况下, 目标特征确定单元 204, 还用于通过分析按照顺序执行的多个 函数调用序列的指令, 确定虚拟机助记符序列的函数功能。
其中, 目标特征确定单元 204具体用于, 将具有所述函数功能的所述虚拟 机助记符序列对应的虚拟机指令序列作为所述目标特征, 或者,将具有所述函 数功能的所述虚拟机助记符序列对应的虚拟机指令序列的子集作为所述目标 特征。 目标特征确定单元 204确定的多个函数调用序列按照顺序执行的指令包 括: 解密字符串、 创建消息签名实例、 获取字符串子针、 哈希加密。
其中, 检测单元 205具体用于, 利用预先设置的恶意代码特征库, 对目标 特征进行函数相似度匹配, 和 /或, 对目标特征进行函数特征模糊匹配。
而且, 检测单元 205对 dex文件进行样本特征查杀、基于虚拟机查杀、 启发 式查杀, 和 /或, 相似样本聚类。
其中, 反编译单元 202具体用于, 根据 dex文件格式对 dex文件进行解析, 得到每个类的函数信息结构体; 根据函数信息结构体中的字段, 确定 dex文件 的函数的位置及大小, 得到反编译的函数信息结构; 进一步, 反编译单元 202, 解析函数信息结构体, 得到指示 dex文件的函数位置的字节码数组字段以及指 示 dex文件的函数大小的列表长度字段; 根据字节码数组字段以及列表长度字 段, 确定 dex文件的函数的位置及大小;
或者, 反编译单元 202具体用于, 利用虚拟机执行文件反编译工具, 将 dex 文件反编译为虚拟机字节码。
其中, 获取单元 201具体用于, 从智能终端操作系统的应用程序层, 查找 到应用程序的安装包; 解析安装包, 得到应用程序的 dex文件。
关于该装置的具体实现细节可参加方法实施例, 在此不赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有 相关。 各种通用系统也可以与基于在此的示教一起使用。 根据上面的描述, 构 造这类系统所要求的结构是显而易见的。此外, 本发明也不针对任何特定编程 语言。 应当明白, 可以利用各种编程语言实现在此描述的本发明的内容, 并且 上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中, 说明了大量具体细节。 然而, 能够理解, 本发 明的实施例可以在没有这些具体细节的情况下实践。在一些实例中, 并未详细 示出公知的方法、 结构和技术, 以便不模糊对本说明书的理解。
类似地,应当理解, 为了精简本公开并帮助理解各个发明方面中的一个或
多个,在上面对本发明的示例性实施例的描述中, 本发明的各个特征有时被一 起分组到单个实施例、 图、 或者对其的描述中。 然而, 并不应将该公开的方法 解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确 记载的特征更多的特征。 更确切地说, 如下面的权利要求书所反映的那样, 发 明方面在于少于前面公开的单个实施例的所有特征。 因此, 遵循具体实施方式 的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为 本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适 应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实 施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它 们分成多个子模块或子单元或子组件。 除了这样的特征和 /或过程或者单元中 的至少一些是相互排斥之外, 可以釆用任何组合对本说明书(包括伴随的权利 要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所 有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、 摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征 来代替。
此外, 本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它 实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意 味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求 书中, 所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器 上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解, 可以在实践中使用微处理器或者数字信号处理器 (DSP ) 来实现根据本发明实 施例的检测智能终端中恶意代码的装置中的一些或者全部部件的一些或者全 部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的 设备或者装置程序(例如, 计算机程序和计算机程序产品)。 这样的实现本发 明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形 式。 这样的信号可以从因特网网站上下载得到, 或者在载体信号上提供, 或者 以任何其他形式提供。
例如, 图 3示出了可以实现根据本发明的检测智能终端中恶意代码的方 法的智能电子设备。 该智能电子设备传统上包括处理器 310和以存储器 320 形式的计算机程序产品或者计算机可读介质。 存储器 320可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器)、 EPROM、 硬盘或者 ROM之类的 电子存储器。存储器 320具有用于执行上述方法中的任何方法步骤的程序代
码 331的存储空间 330。 例如, 用于程序代码的存储空间 330可以包括分别用 于实现上面的方法中的各种步骤的各个程序代码 331。这些程序代码可以从 一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程 序产品中。 这些计算机程序产品包括诸如硬盘, 紧致盘 (CD ) 、 存储卡或 者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 4所述 的便携式或者固定存储单元。该存储单元可以具有与图 4的智能电子设备中 的存储器 320类似布置的存储段或者存储空间等。程序代码可以例如以适当 序^ 1,Γ即可以由例如诸如 310之类的处理 H读取的代码, 这些代码一当由智 能电子设备运行时, 导致该智能电子设备执行上面所描述的方法中的各个 步骤。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并 且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施 例。在权利要求中, 不应将位于括号之间的任何参考符号构造成对权利要求的 限制。 单词 "包含" 不排除存在未列在权利要求中的元件或步骤。 位于元件之 前的单词 "一" 或 "一个" 不排除存在多个这样的元件。 本发明可以借助于包 括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干 装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体 体现。 单词第一、 第二、 以及第三等的使用不表示任何顺序。 可将这些单词解 释为名称。
Claims
1、 一种检测智能终端中恶意代码的方法, 其特征在于, 包括:
从智能终端操作系统的应用程序层, 获取应用程序的虚拟机执行文件; 对所述虚拟机执行文件进行反编译, 得到反编译的函数信息结构; 解析所述反编译的函数信息结构,得到具有对应关系的虚拟机指令序列和 虚拟机助记符序列;
分析确定所述虚拟机助记符序列的函数功能,根据具有所述函数功能的所 述虚拟机助记符序列对应的虚拟机指令序列确定目标特征;
利用预先设置的恶意代码特征库,对所述目标特征进行匹配,如果匹配成 功, 则确定所述应用程序的虚拟机执行文件包含恶意代码。
2、 如 1所述的方法, 其特征在于, 分析确定所述虚拟机助记符序列的函数 功能包括:
从所述虚拟机助记符序列中提取得到函数调用序列;
通过分析按照顺序执行的多个函数调用序列的指令,确定所述虚拟机助记 符序列的函数功能。
3、 如 2所述的方法, 其特征在于, 所述多个函数调用序列按照顺序执行的 指令包括: 解密字符串、 创建消息签名实例、 获取字符串子针、 哈希加密。
4、 如 1所述的方法, 其特征在于, 所述根据具有所述函数功能的所述虚拟 机助记符序列对应的虚拟机指令序列确定目标特征包括:
将具有所述函数功能的所述虚拟机助记符序列对应的虚拟机指令序列作 为所述目标特征, 或者,
将具有所述函数功能的所述虚拟机助记符序列对应的虚拟机指令序列的 子集作为所述目标特征。
5、 如 1所述的方法, 其特征在于, 所述利用预先设置的恶意代码特征库, 对所述目标特征进行匹配包括:
利用预先设置的恶意代码特征库, 对所述目标特征进行函数相似度匹配, 和 /或, 对所述函数调用序列进行函数特征模糊匹配。
6、 如 1所述的方法, 其特征在于, 对所述虚拟机执行文件进行样本特征查 杀、 基于虚拟机查杀、 启发式查杀, 和 /或, 相似样本聚类。
7、如 1所述的方法,其特征在于,所述对所述虚拟机执行文件进行反编译, 得到反编译的函数信息结构包括:
根据虚拟机执行文件格式对虚拟机执行文件进行解析,得到每个类的函数 信息结构体;
根据所述函数信息结构体中的字段,确定所述虚拟机执行文件的函数的位
置及大小, 得到所述反编译的函数信息结构。
8、 如 7所述的方法, 其特征在于, 所述根据函数信息结构体中的字段, 确 定所述虚拟机执行文件的函数的位置及大小包括:
解析所述函数信息结构体,得到指示虚拟机执行文件的函数位置的字节码 数组字段以及指示虚拟机执行文件的函数大小的列表长度字段;
根据所述字节码数组字段以及所述列表长度字段,确定所述虚拟机执行文 件的函数的位置及大小。
9、如 1所述的方法,其特征在于,所述对所述虚拟机执行文件进行反编译, 得到反编译的函数信息结构包括:
利用虚拟机执行文件反编译工具,将所述虚拟机执行文件反编译为虚拟机 字节码。
10、 如 1所述的方法, 其特征在于, 所述从智能终端操作系统的应用程序 层, 获取应用程序的虚拟机执行文件包括:
从智能终端操作系统的应用程序层, 查找到所述应用程序的安装包; 解析所述安装包, 得到所述应用程序的虚拟机执行文件。
11、如 1-10任一项所述的方法,其特征在于,所述操作系统是指安卓系统。
12、 一种检测智能终端中恶意代码的装置, 其特征在于, 包括:
文件获取单元, 用于从智能终端操作系统的应用程序层,获取应用程序的 虚拟机执行文件;
反编译单元, 用于对所述虚拟机执行文件进行反编译,得到反编译的函数 信息结构;
解析单元,用于通过解析所述反编译的函数信息结构,具有对应关系的虚 拟机指令序列和虚拟机助记符序列;
目标特征确定单元,用于分析确定所述虚拟机助记符序列的函数功能,根 据具有所述函数功能的所述虚拟机助记符序列对应的虚拟机指令序列确定目 标特征;
检测单元,用于利用预先设置的恶意代码特征库,对所述目标特征进行匹 配, 如果匹配成功, 则确定所述应用程序的虚拟机执行文件包含恶意代码。
1 3、 如 12所述的装置, 其特征在于, 还包括:
提取单元, 用于从所述虚拟机助记符序列中提取得到函数调用序列; 所述目标特征确定单元,还用于通过分析按照顺序执行的多个函数调用序 列的指令, 确定所述虚拟机助记符序列的函数功能。
14、 如 1 3所述的装置, 其特征在于, 所述目标特征确定单元确定的多个函 数调用序列按照顺序执行的指令包括: 解密字符串、创建消息签名实例、 获取
字符串子针、 哈希加密。
15、 如 12所述的装置, 其特征在于, 所述目标特征确定单元具体用于, 将 具有所述函数功能的所述虚拟机助记符序列对应的虚拟机指令序列作为所述 目标特征, 或者,将具有所述函数功能的所述虚拟机助记符序列对应的虚拟机 指令序列的子集作为所述目标特征。
16、 如 12所述的装置, 其特征在于, 所述检测单元具体用于, 利用预先设 置的恶意代码特征库, 对所述目标特征进行函数相似度匹配, 和 /或, 对所述 目标特征进行函数特征模糊匹配。
17、 如 12所述的装置, 其特征在于, 所述检测单元对所述虚拟机执行文件 进行样本特征查杀、 基于虚拟机查杀、 启发式查杀, 和 /或, 相似样本聚类。
18、 如 12所述的装置, 其特征在于, 所述反编译单元具体用于, 根据虚拟 机执行文件格式对虚拟机执行文件进行解析, 得到每个类的函数信息结构体; 根据所述函数信息结构体中的字段,确定所述虚拟机执行文件的函数的位置及 大小, 得到所述反编译的函数信息结构。
19、 如 18所述的装置, 其特征在于, 所述反编译单元, 解析所述函数信息 结构体,得到指示虚拟机执行文件的函数位置的字节码数组字段以及指示虚拟 机执行文件的函数大小的列表长度字段;根据所述字节码数组字段以及所述列 表长度字段, 确定所述虚拟机执行文件的函数的位置及大小。
20、 如 12所述的装置, 其特征在于, 所述对反编译单元具体用于, 利用虚 拟机执行文件反编译工具, 将所述虚拟机执行文件反编译为虚拟机字节码。
21、 如 12所述的装置, 其特征在于, 所述获取单元具体用于, 从智能终端 操作系统的应用程序层, 查找到所述应用程序的安装包; 解析所述安装包, 得 到所述应用程序的虚拟机执行文件。
22、 如 12-21任一项所述的装置, 其特征在于, 所述操作系统是指安卓系 统。
23、 一种计算机程序, 包括计算机可读代码, 当智能电子设备运行所述计 算机可读代码运行时,导致权利要求 1-11中的任一项权利要求所述的方法被执 行。
24、 一种计算机可读介质, 其中存储了如权利要求 23所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310746115.0 | 2013-12-30 | ||
| CN201310746115.0A CN103902910B (zh) | 2013-12-30 | 2013-12-30 | 检测智能终端中恶意代码的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2015101043A1 true WO2015101043A1 (zh) | 2015-07-09 |
Family
ID=50994223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2014/083909 WO2015101043A1 (zh) | 2013-12-30 | 2014-08-07 | 检测智能终端中恶意代码的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103902910B (zh) |
| WO (1) | WO2015101043A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103761475B (zh) * | 2013-12-30 | 2017-04-26 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103902910B (zh) * | 2013-12-30 | 2016-07-13 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| US9792433B2 (en) * | 2013-12-30 | 2017-10-17 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
| CN104199774B (zh) * | 2014-09-05 | 2017-02-22 | 北京奇虎科技有限公司 | 程序安全测试方法和装置 |
| CN104504330B (zh) * | 2014-12-12 | 2017-12-08 | 北京奇安信科技有限公司 | 虚拟化安全检测方法与系统 |
| CN104657661B (zh) * | 2015-01-26 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN106909839B (zh) * | 2015-12-22 | 2020-04-17 | 北京奇虎科技有限公司 | 一种提取样本代码特征的方法及装置 |
| CN106909844A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种应用程序样本的分类方法及装置 |
| CN106909841A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种判断病毒代码的方法及装置 |
| US10296745B2 (en) * | 2016-06-23 | 2019-05-21 | International Business Machines Corporation | Detecting vulnerable applications |
| CN108710492B (zh) * | 2018-04-20 | 2021-09-07 | 四川普思科创信息技术有限公司 | 一种识别app程序中第三方库的方法 |
| CN109460386B (zh) * | 2018-10-29 | 2021-01-22 | 杭州安恒信息技术股份有限公司 | 基于多维模糊哈希匹配的恶意文件同源性分析方法及装置 |
| CN109670310B (zh) * | 2019-01-28 | 2023-04-18 | 杭州师范大学 | 一种基于半监督K-Means聚类算法的Android恶意软件检测方法 |
| CN110147672A (zh) * | 2019-03-28 | 2019-08-20 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
| CN110516447B (zh) * | 2019-08-21 | 2022-02-11 | 上海连尚网络科技有限公司 | 一种识别终端模拟器的方法与设备 |
| CN111046385B (zh) * | 2019-11-22 | 2022-04-22 | 北京达佳互联信息技术有限公司 | 软件类型检测方法、装置、电子设备及存储介质 |
| CN112817603B (zh) * | 2021-01-26 | 2023-06-30 | 京东科技控股股份有限公司 | 应用程序处理方法、装置、电子设备、系统和存储介质 |
| CN113360910A (zh) * | 2021-06-30 | 2021-09-07 | 中国农业银行股份有限公司 | 恶意应用的检测方法、装置、服务器和可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130205396A1 (en) * | 2008-01-04 | 2013-08-08 | International Business Machines Corporation | Detecting Malicious Software |
| CN103268445A (zh) * | 2012-12-27 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于OpCode的android恶意代码检测方法及系统 |
| CN103440459A (zh) * | 2013-09-25 | 2013-12-11 | 西安交通大学 | 一种基于函数调用的Android恶意代码检测方法 |
| CN103473509A (zh) * | 2013-09-30 | 2013-12-25 | 清华大学 | Android平台恶意软件自动检测方法 |
| CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
| CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103902910A (zh) * | 2013-12-30 | 2014-07-02 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101359351B (zh) * | 2008-09-25 | 2010-11-10 | 中国人民解放军信息工程大学 | 针对恶意行为的多层语义标注及检测方法 |
| CN102760219B (zh) * | 2011-12-20 | 2015-12-16 | 北京安天电子设备有限公司 | 一种Android平台软件保护系统、方法及设备 |
| CN102799826B (zh) * | 2012-07-19 | 2015-07-29 | 腾讯科技(深圳)有限公司 | 应用程序安装包解压过程的检测方法与装置、客户端设备 |
| CN102789562B (zh) * | 2012-07-19 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 确定病毒文件的方法和装置 |
-
2013
- 2013-12-30 CN CN201310746115.0A patent/CN103902910B/zh active Active
-
2014
- 2014-08-07 WO PCT/CN2014/083909 patent/WO2015101043A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130205396A1 (en) * | 2008-01-04 | 2013-08-08 | International Business Machines Corporation | Detecting Malicious Software |
| CN103268445A (zh) * | 2012-12-27 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于OpCode的android恶意代码检测方法及系统 |
| CN103440459A (zh) * | 2013-09-25 | 2013-12-11 | 西安交通大学 | 一种基于函数调用的Android恶意代码检测方法 |
| CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
| CN103473509A (zh) * | 2013-09-30 | 2013-12-25 | 清华大学 | Android平台恶意软件自动检测方法 |
| CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103902910A (zh) * | 2013-12-30 | 2014-07-02 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103902910B (zh) | 2016-07-13 |
| CN103902910A (zh) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2015101043A1 (zh) | 检测智能终端中恶意代码的方法及装置 | |
| WO2015101042A1 (zh) | 检测智能终端中恶意代码的方法及装置 | |
| US10114946B2 (en) | Method and device for detecting malicious code in an intelligent terminal | |
| Chen et al. | Detecting android malware using clone detection | |
| Cozzi et al. | The tangled genealogy of IoT malware | |
| WO2015101097A1 (zh) | 特征提取的方法及装置 | |
| Christodorescu et al. | Malware normalization | |
| US8443442B2 (en) | Signature-free buffer overflow attack blocker | |
| Faruki et al. | Evaluation of android anti-malware techniques against dalvik bytecode obfuscation | |
| US8352484B1 (en) | Systems and methods for hashing executable files | |
| Zhang et al. | Android application forensics: A survey of obfuscation, obfuscation detection and deobfuscation techniques and their impact on investigations | |
| WO2013139215A1 (zh) | 病毒apk的识别方法及装置 | |
| WO2013139216A1 (zh) | 一种apk病毒特征码的提取方法及装置 | |
| CN102867144B (zh) | 一种用于检测和清除计算机病毒的方法和装置 | |
| Yang et al. | APKLancet: tumor payload diagnosis and purification for android applications | |
| Adkins et al. | Heuristic malware detection via basic block comparison | |
| Hu et al. | A semantics-based hybrid approach on binary code similarity comparison | |
| Oh | Fight against 1-day exploits: Diffing binaries vs anti-diffing binaries | |
| Akram et al. | DroidMD: an efficient and scalable android malware detection approach at source code level | |
| Alam et al. | Droidnative: Semantic-based detection of android native code malware | |
| Franzen et al. | Katana: Robust, automated, binary-only forensic analysis of linux memory snapshots | |
| Wang et al. | NativeSpeaker: Identifying crypto misuses in Android native code libraries | |
| Byrne et al. | Ace: Just-in-time serverless software component discovery through approximate concrete execution | |
| Bellizzi et al. | WeXpose: Towards on-line dynamic analysis of web attack payloads using just-in-time binary modification | |
| Ask | Automatic malware signature generation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14877080 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 14877080 Country of ref document: EP Kind code of ref document: A1 |