[发明专利]检测恶意软件的方法和装置

权利要求书

1.一种检测恶意软件的方法，其特征在于，包括：

对待检测应用软件的压缩包进行解析，提取其中包含的可执行文件，并根据可执行文件的结构格式，从所述可执行文件中获取特征内容，所述特征内容是指完成所述待识别应用软件功能必要的内容；

采用预定算法，计算所述特征内容的唯一标识值；

将计算得到的唯一标识值与已知恶意软件的特征值进行比较，所述特征值是指对已知基于Android平台的恶意软件可执行文件中的特征内容，采用所述预定算法计算后，获得的唯一标识值；

若比较结果一致，则确定所述待检测应用软件为基于Android平台的恶意软件。

2.如权利要求1所述的方法，其特征在于，所述应用软件的压缩包为apk压缩包，所述可执行文件为dex字节码文件。

3.如权利要求2所述的方法，其特征在于，所述特征内容包括方法集合列表的内容、类集合列表的内容、字符串集合列表的内容中的任意一种、或多种的组合。

4.如权利要求2或3所述的方法，其特征在于，所述特征内容为方法集合列表的内容，所述根据可执行文件的结构格式，从所述可执行文件中获取特征内容，包括：

根据dex字节码文件结构格式，从dex字节码文件头中用于描述方法集合列表的地址的字段中读取第一数据，从dex字节码文件头中用于描述方法集合列表中方法数目的字段中读取第二数据；

将所述第二数据与每个方法描述信息的预定长度相乘；

从所述dex字节码文件中，以第一数据指示的数据为起始地址，读取相乘结果所指示长度的数据作为方法集合列表的内容。

5.一种建立恶意软件特征数据库的方法，其特征在于，包括：

接收输入的已知基于Android平台的恶意软件样本；

对所述恶意软件样本进行解析，提取其中包含的可执行文件；

根据可执行文件的结构格式，从所述可执行文件中获取特征内容，所述特征内容是指完成所述恶意软件功能必要的内容；

采用预定算法，计算所述特征内容的唯一标识值，作为所述恶意软件样本的特征值；并存储所述特征值。

6.如权利要求5所述的方法，其特征在于，所述应用软件的压缩包为apk压缩包，所述可执行文件为dex字节码文件。

7.如权利要求6所述的方法，其特征在于，所述特征内容包括方法集合列表的内容、类集合列表的内容、字符串集合列表的内容中的任意一种、或多种的组合。

8.如权利要求6或7所述的方法，其特征在于，所述特征内容为方法集合列表的内容，所述根据可执行文件的结构格式，从所述可执行文件中获取特征内容，包括：

根据dex字节码文件结构格式，从dex字节码文件头中用于描述方法集合列表的地址的字段中读取第一数据，从dex字节码文件头中用于描述方法集合列表中方法数目的字段中读取第二数据；

将所述第二数据与每个方法描述信息的预定长度相乘；

以第一数据指示的数据为起始地址，读取相乘结果指示的长度的数据作为方法集合列表的内容。

9.一种检测恶意软件的装置，其特征在于，包括：

第一解析单元，用于对待检测应用软件的压缩包进行解析，提取其中包含的可执行文件；

第一获取单元，用于根据可执行文件的结构格式，从第一解析单元解析出的所述可执行文件中获取特征内容，所述特征内容是指完成所述待识别应用软件功能必要的内容；

第一运算单元，用于采用预定算法，计算所述特征内容的唯一标识值；

比较单元，用于将第一运算单元得到的唯一标识值与已知恶意软件的特征值进行比较，所述特征值是指对已知基于Android平台的恶意软件可执行文件中的特征内容，采用所述预定算法计算后，获得的唯一标识值；

确定单元，用于若比较单元的比较结果一致，则确定所述待检测应用软件为基于Android平台的恶意软件。

10.如权利要求9所述的装置，其特征在于，所述应用软件的压缩包为apk压缩包，所述可执行文件为dex字节码文件时，第一获取单元具体用于从所述可执行文件中获取方法集合列表的内容、类集合列表的内容、字符串集合列表的内容中的任意一种、或多种的组合。

11.一种建立恶意软件特征数据库的装置，其特征在于，包括：

接收单元，用于接收输入的已知基于Android平台的恶意软件样本；

第二解析单元，用于对所述恶意软件样本进行解析，提取其中包含的可执行文件；

第二获取单元，用于根据可执行文件的结构格式，从第二解析单元得到的所述可执行文件中获取特征内容，所述特征内容是指完成所述恶意软件功能必要的内容；

第二运算单元，用于采用预定算法，计算所述特征内容的唯一标识值，作为所述恶意软件样本的特征值；

存储单元，用于存储第二运算单元得到的特征值。