[发明专利]检测恶意软件的方法和装置

说明书

技术领域

本发明涉及计算机及通信技术领域，尤其涉及一种检测恶意软件的方法、一种建立恶意软件特征数据库的方法、一种检测恶意软件的装置及一种建立恶意软件特征数据库的装置。

背景技术

安卓(Android)是由谷歌(Google)公司发布的一种以Linux系统为核心的、适用于移动终端的操作系统。Android是一种开放式的操作系统，允许除谷歌和移动终端厂商之外的第三方开发者使用多种编程语言来开发基于Android平台的应用软件，这一特性使得其成为目前使用最为广泛的手机操作系统。随着基于Android平台的应用软件数量的急剧增长，基于Android平台的恶意软件也越来越多，这些恶意软件可以导致用户隐私信息被泄露，影响用户使用。

由于目前绝大多数移动终端都具备连接互联网的功能，基于Android平台的恶意软件主要是通过网络传播，用户从互联网下载恶意软件到移动终端并安装恶意软件之后，恶意软件可以将收集到的用户隐私信息，例如电话薄、本地短信邮箱中的短信等，通过短信或邮件发送至预先指定的接收端。针对上述工作原理，现有技术主要通过网站审核、网关阻断和移动终端扫描等技术来防止基于Android平台的恶意软件传播。

现有在网络侧对基于Android平台的恶意软件进行检测的原理是：检测设备首先对待识别的基于Android平台的应用软件(简称：待识别应用软件)的apk压缩包的内容进行哈希(hash)运算，获取运算结果MD5值，所述apk压缩包中包括资源文件、dex字节码文件、配置文件和界面布局文件等等。然后将所述hash运算获得的MD5值，与对已知恶意软件的特征值进行比较，若比较一致，则确定所述待识别应用软件为恶意软件；否则，确定所述待识别应用软件为正常软件。所述已知恶意软件的特征值是指对已知恶意软件apk压缩包的内容进行hash运算获得的MD5值。

发明人在实现本发明过程中发现，现有技术至少存在以下问题：恶意软件的传播者人为修改待识别应用软件apk压缩包的部分字节，导致其内容发生改变，进一步使检测设备对其进行hash运算后的结果发生改变，在进行特征值匹配时与已知恶意软件的特征值不同，从而达到逃避检测的目的。

发明内容

本发明实施例提供一种检测恶意软件的方法，用以解决现有技术对基于Android平台的恶意软件进行检测时，准确性较低问题。

对应地，本发明实施例还提供了一种建立恶意软件特征数据库的方法、一种检测恶意软件的装置和一种建立恶意软件特征数据库的装置。

本发明实施例提供的技术方案如下：

一种检测恶意软件的方法，包括：

对待检测应用软件的压缩包进行解析，提取其中包含的可执行文件，并根据可执行文件的结构格式，从所述可执行文件中获取特征内容，所述特征内容是指完成所述待识别应用软件功能必要的内容；

采用预定算法，计算所述特征内容的唯一标识值；

将计算得到的唯一标识值与已知恶意软件的特征值进行比较，所述特征值是指对已知基于Android平台的恶意软件可执行文件中的特征内容，采用所述预定算法计算后，获得的唯一标识值；

若比较结果一致，则确定所述待检测应用软件为基于Android平台的恶意软件。

一种建立恶意软件特征数据库的方法，包括：

接收输入的已知基于Android平台的恶意软件样本；

对所述恶意软件样本进行解析，提取其中包含的可执行文件；

根据可执行文件的结构格式，从所述可执行文件中获取特征内容，所述特征内容是指完成所述恶意软件功能必要的内容；

采用预定算法，计算所述特征内容的唯一标识值，作为所述恶意软件样本的特征值；并存储所述特征值。

一种检测恶意软件的装置，其特征在于，包括：

第一解析单元，用于对待检测应用软件的压缩包进行解析，提取其中包含的可执行文件；

第一获取单元，用于根据可执行文件的结构格式，从第一解析单元解析出的所述可执行文件中获取特征内容，所述特征内容是指完成所述待识别应用软件功能必要的内容；

第一运算单元，用于采用预定算法，计算所述特征内容的唯一标识值；

比较单元，用于将第一运算单元得到的唯一标识值与已知恶意软件的特征值进行比较，所述特征值是指对已知基于Android平台的恶意软件可执行文件中的特征内容，采用所述预定算法计算后，获得的唯一标识值；