[发明专利]一种样本检测方法及装置

说明书

本发明公开了一种样本检测方法及装置，通过获取待检测样本dex文件中预定义特征值是否满足预设规则来判断样本是否为自定义加壳样本或框架自动生成样本，本发明的特征为dex文件中用于描述文件数据结构的参数，此参数仅与文件本身有关，由于特征参数位于文件中的固定位置，可以定点精确取值，因此检测效率高；本发明的预定义规则可以检出所有文件结构一致的样本，优于检测包名等通过具体字符串来聚类的方法，检测启发性高。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种恶意样本检测方法及装置。

背景技术

移动互联网近几年的迅猛发展，带来的是平台安全问题的与日俱增。尤以Android平台最为突出，其生态圈繁荣的表象之下，是潜藏着的以巨额利益为驱动的黑色产业链。目前有两类样本的检测比较困难：

一、加壳样本是当前比较棘手的待分析样本，它可以隐藏恶意应用的程序结构和关键代码，从而给分析人员的静态分析工作造成巨大困扰，同时由于壳本身往往不具备高价值信息，导致无法提取高启发性的规则以供反病毒引擎批量化检出。目前，主要从包名、AndroidManifest文件中的特征字符串以及结合当前应用的四大组件（Activity、BroadcastReceiver、 Service、ContentProvider）的数目等方法来提取加壳样本的检测规则。

比普通加壳样本更严峻是，勒索件、色情件等恶意应用中越来越喜欢使用自定义加壳（包括机器批量随机加壳）的情况，这些应用加壳后的包名、类名、AndroidManifest文件等都是随机字符串，因此采用特定包名、AndroidManifest文件中的特征字符串的检测方法已基本无效，而单独使用四大组件数目的方法，其误报率极高。因此，现有的针对普通加壳样本的检测方法已完全不能适用于自定义加壳的情况。

二、Android应用自动生成框架是一类可以自动化生成Android应用程序结构和相应代码的机制。使用者只需将一些特定参量作为框架的输入，就可以得到由框架自动生成的Android应用程序。同一种框架自动生成的应用可能具有不同的包名、类名以及字符串，但是其结构是一致的。

应予以严重警惕的是，在这些应用程序自动生成框架中，有一类是专门用来生成病毒文件的，尤以后门等间谍类应用最为常见。这些应用有些会直接生成随机的包名、类名或AndroidManifest文件中的字符串，有些会在后期将包名、类名等混淆，导致即使是由同一种框架生成的一批病毒样本，其上述特征量也彼此不同。因此，传统的采用字符串作为规则的检测方法已不再适用于检出这类样本。

发明内容

针对上述问题，实有必要提出一种新的样本检测方法及装置，能适用于自定义加壳样本或框架自动生成样本的检测，具有启发性高且误报率低的特点。

为了实现上述目的，本发明公开了一种样本检测方法，包括以下步骤：

获取待检测样本dex文件中预定义特征值，所述特征为用于描述文件数据结构的参数；

当样本的特征值与第一预设规则进行匹配时，判断样本为自定义加壳样本；当样本的特征值与第二预设规则进行匹配时，判断样本为框架自动生成样本。

进一步的，获取待检测样本dex文件中预定义特征值的方法包括从待检测样本文件的dex文件头中提取预定义特征值。

进一步的，从待检测样本文件的dex文件头中提取预定义特征值的方法包括：以字节流读取dex文件，按照dex文件头的指定格式从文件头字节序列中按指定字节偏移值提取子序列的值。

进一步的，所述预定义特征包括主特征和辅特征，预设第一规则和/或第二规则为当主特征值满足要求时，再判断辅特征值是否满足要求。