[发明专利]安卓系统下的恶意代码检测方法、系统及一种移动终端

说明书

本发明提出了安卓系统下的恶意代码检测方法及系统，首先对安卓系统下的可执行文件进行识别和解析，拆分出各可执行文件的机器指令，利用虚拟技术模拟执行机器指令，并模拟指令运行时所需物理环境，并对可能的系统调用以及API调用进行模拟，监测并记录模拟执行以及模拟调用过程中产生的敏感信息，最终将敏感信息与规则库匹配中的特征进行匹配，判断是否存在含有恶意代码的可执行文件。本发明弥补了现有针对安卓系统下恶意代码静态检测技术中存在的不足，实现了对安卓系统下恶意代码的深度检测。本发明还公开了一种移动终端。

相关申请的交叉引用

本申请要求武汉安天信息技术有限责任公司于2015年12月08日提交的、发明名称为“安卓系统下基于虚拟技术的恶意代码检测方法及系统”的、中国专利申请号“201510889821.X”的优先权。

技术领域

本发明涉及恶意代码监测技术领域，尤其涉及一种安卓系统下的恶意代码检测方法及系统。

背景技术

当前安卓系统下的恶意代码呈现出更加复杂的发展趋势，其采用了更加复杂的混淆、加密手段，并且加密算法通常采用自定义算法，给恶意代码的静态检测带来很大挑战，恶意代码将敏感字符串、执行代码、执行模块文件进行加密，使得现有的静态检测方案不能有效的对其进行智能检测。

安卓系统目前支持多种可执行文件格式，例如APK、DEX、ELF等，并且在Android4.4之后添加了一种新的运行时环境ART，该运行时环境下的可执行文件格式为OAT，Android5.0以后，便将原来的Dalvik运行时环境完全替代为ART运行时环境，并且安卓系统在运行的CPU架构上，除了ARM，还增加了对X86、MIPS以及ARM64位的支持，由于安卓系统可执行文件和指令架构的多样化，恶意代码也以多种形态存在，所以安卓系统下对恶意代码的静态检测方案也必须支持多种格式和指令架构。

发明内容

针对现有安卓系统下恶意代码静态检测技术中存在的不足，本发明提出了一种安卓系统下的恶意代码检测方法及系统，首先对安卓系统下的可执行文件进行识别和解析，拆分出各可执行文件的机器指令，利用虚拟技术模拟执行机器指令，并模拟指令运行时所需物理环境，监测并记录敏感执行信息，以及敏感调用信息，最终通过规则库匹配，判断是否存在含有恶意代码的可执行文件。

具体发明内容包括：

安卓系统下的恶意代码检测方法，包括：

对安卓系统下的可执行文件进行格式识别和解析，并确定各可执行文件的代码块在内存中的分布位置，该过程支持多种可执行文件的格式识别和解析，包括APK、DEX、ELF、OAT等格式的可执行文件；

解析代码块中的代码指令，并将解析的代码指令拆分为由操作码、操作数两部分组成的机器指令，该过程支持多种架构下的代码指令的识别和解析，包括Dalvik、ARM、Thumb、ARM64、X86、MIPS等架构下的代码指令，并将解析的各代码指令拆分为相应架构下的机器指令；

解析并模拟执行各可执行文件的机器指令，对在运行架构下的可执行文件的机器指令时的模拟执行行为进行监测，同时记录敏感行为信息，并监测系统下的调用行为，该过程支持对不同架构下的机器指令进行解析和模拟执行；

将监测的模拟执行状态以及调用行为与检测规则库中的特征进行匹配，判断相应的可执行文件中是否包含恶意代码，所述检测规则库中的特征包括：恶意代码字符串、恶意代码序列、恶意代码释放的代码模块名称、恶意API签名、恶意文件路径、恶意API调用序列。

进一步地，所述模拟执行各可执行文件的机器指令，包括模拟实现每条机器指令、模拟不同架构的寄存器、模拟内存分配，所述寄存器包括通用寄存器、状态寄存器。