[发明专利]一种基于Opcode回溯的Android恶意代码检测系统及方法有效
| 申请号: | 201310725629.8 | 申请日: | 2013-12-25 |
| 公开(公告)号: | CN103902909A | 公开(公告)日: | 2014-07-02 |
| 发明(设计)人: | 袁海涛;潘宣辰;肖新光 | 申请(专利权)人: | 武汉安天信息技术有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430000 湖北省*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于Opcode回溯的Android恶意代码检测系统及方法,首先,建立规则库,所述规则库根据欲检测对象自定义检测策略;将初始调用API作为待匹配名称放入队列;从队列中读取待匹配名称,利用dex解析与Opcode反汇编模块获取所有Opcode指令所调用函数名;将所调用函数名与待匹配名称对比,对于匹配成功的Opcode指令所属函数的函数名作为待匹配名称放入队列,重复以上操作直至队列为空,基于建立的规则库,分析并判断所述调用关系树是否符合规则库中定义的检测规则,若是,则为恶意样本,否则安全。本发明可以很好解决现有的恶意代码检测方法的误报和漏报的问题。 | ||
| 搜索关键词: | 一种 基于 opcode 回溯 android 恶意代码 检测 系统 方法 | ||
【主权项】:
一种基于Opcode回溯的Android恶意代码检测系统,其特征在于,包括:规则库,用于根据欲检测对象自定义检测策略,包括:初始调用API、检测规则和病毒名;并将所述初始调用API作为待匹配名称放入队列;dex解析与Opcode反汇编模块,用于解析dex文件,获取函数的Opcode指令,反汇编Opcode指令,如果OP段数据显示为函数调用指令,则通过Index段数据获取所调用函数名;回溯分析模块,用于判断队列是否为空,若是,则获取调用关系树结束,将所述调用关系树发送至检测模块,否则从队列中读取待匹配名称,利用dex解析与Opcode反汇编模块获取所有Opcode指令所调用函数名;将所调用函数名与待匹配名称对比,对于匹配成功的Opcode指令所属函数的函数名作为待匹配名称放入队列,并继续重复上述操作直至队列为空;检测模块,基于建立的规则库,分析并判断从回溯分析模块处获取的调用关系树是否符合规则库中定义的检测规则,若是,则为恶意样本并输出病毒名,否则安全。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉安天信息技术有限责任公司,未经武汉安天信息技术有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310725629.8/,转载请声明来源钻瓜专利网。
- 上一篇:一种自动测量电机反电势的系统
- 下一篇:容置液体用箱体
