[发明专利]一种基于符号的Android恶意代码检测方法及系统有效
| 申请号: | 201210579541.5 | 申请日: | 2012-12-27 |
| 公开(公告)号: | CN103268443A | 公开(公告)日: | 2013-08-28 |
| 发明(设计)人: | 潘宣辰 | 申请(专利权)人: | 武汉安天信息技术有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430000 湖北省*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 符号 android 恶意代码 检测 方法 系统 | ||
1.一种基于符号的Android恶意代码检测方法,其特征在于,包括:
对待检测程序中的文件进行解析,获取并记录各文件的符号信息,并标记符号类型;所述文件的符号类型至少包括:API、FILENAME和UNKNOWN;
遍历所有文件的符号信息及符号类型,判断符号类型是否为UNKNOWN,若是,则根据关键字特征库的符号内容匹配符号信息,若所述符号信息与关键字特征库中的任一符号内容相同,则关键字特征库中符号内容对应的符号类型为当前符号信息的符号类型,输出当前文件的符号信息及符号类型;若关键字特征库中不包含符号内容,则进行下一文件的判断;否则直接输出文件的符号信息及符号内容;所述关键字特征库为已知文件的符号信息及对应符号类型的集合;
将输出的全部符号信息和符号类型与符号特征库中的符号规则匹配,若与任一符号规则中的符号内容及对应的符号类型匹配成功的数量大于预设值,则输出符号规则对应的病毒名称,否则结束检测;所述的符号特征库中至少包括符号规则及病毒名称,所述符号规则为已知恶意代码的全部符号信息及对应符号类型的集合。
2.如权利要求1所述的方法,其特征在于,所述的待检测程序中的文件至少包括:dex文件、apk文件、资源文件和elf文件。
3.如权利要求2所述的方法,其特征在于,所述的文件的符号信息至少包括:dex文件中的函数类型、apk文件中各文件节点的文件路径、资源文件中的资源符号、elf文件中rodata中的全局静态数据符号、URL或SP号码。
4.如权利要求3所述的方法,其特征在于,所述的dex文件中的函数类型为,按类名和函数名对每个函数的API信息拼接后的函数符号信息组。
5.一种基于符号的Android恶意代码检测系统,其特征在于,包括:
解析模块,用于对待检测程序中的文件进行解析,获取并记录各文件的符号信息,并标记符号类型;所述文件的符号类型至少包括:API、FILENAME和UNKNOWN;
过滤模块,用于遍历所有文件的符号信息及符号类型,判断符号类型是否为UNKNOWN,若是,则根据关键字特征库的符号内容匹配符号信息,若所述符号信息与关键字特征库中的任一符号内容相同,则关键字特征库中符号内容对应的符号类型为当前符号信息的符号类型,输出当前文件的符号信息及符号类型;若关键字特征库中不包含符号内容,则进行下一文件的判断;否则直接输出文件的符号信息及符号内容;所述关键字特征库为已知文件的符号信息及对应符号类型的集合;
匹配模块,用于将输出的全部符号信息和符号类型与符号特征库中的符号规则匹配,若与任一符号规则中的符号内容及对应的符号类型匹配成功的数量大于预设值,则输出符号规则对应的病毒名称,否则结束检测;所述的符号特征库中至少包括符号规则及病毒名称,所述符号规则为已知恶意代码的全部符号信息及对应符号类型的集合。
6.如权利要求5所述的系统,其特征在于,所述的待检测程序中的文件至少包括:dex文件、apk文件、资源文件和elf文件。
7.如权利要求6所述的系统,其特征在于,所述的文件的符号信息至少包括:dex文件中的函数类型、apk文件中各文件节点的文件路径、资源文件中的资源符号、elf文件中rodata中的全局静态数据符号、URL或SP号码。
8.如权利要求7所述的系统,其特征在于,所述的dex文件中的函数类型为,按类名和函数名对每个函数的API信息拼接后的函数符号信息组。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉安天信息技术有限责任公司,未经武汉安天信息技术有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210579541.5/1.html,转载请声明来源钻瓜专利网。
