(19)中华人民共和国国家知识产权局
(12)发明专利说明书 | ||
(10)申请公布号 CN 103761475 A (43)申请公布日 2014.04.30 | ||
(21)申请号 CN201310746029.X
(22)申请日 2013.12.30
(71)申请人 北京奇虎科技有限公司
地址 100088 北京市西城区新街口外大街28号D座112室(德胜园区)
(72)发明人 杨康 陈卓 唐海
(74)专利代理机构 北京华沛德权律师事务所
代理人 刘杰
(51)Int.CI
G06F21/56
权利要求说明书 说明书 幅图 |
(54)发明名称
检测智能终端中恶意代码的方法及装置 | |
(57)摘要
本发明公开了一种检测智能终端中恶意代码的方法及装置。其中的方法包括:从智能终端操作系统的应用程序层,获取应用程序的虚拟机执行文件;对虚拟机执行文件进行反编译,得到反编译的函数信息结构;解析反编译的函数信息结构,提取出反编译的函数信息结构中的函数调用序列;利用预先设置的恶意代码特征库,对函数调用序列进行匹配,如果匹配成功,则确定应用程序的虚拟机执行文件包含恶意代码。应用本发明方案,通过应用程序的虚拟机执行文件,可分析确定该应用程序是否包含恶意代码,由此可以对被篡改的应用程序或者对恶意软件进行查杀,保护智能终端的安全。 | |
法律状态
法律状态公告日 | 法律状态信息 | 法律状态 |
权 利 要 求 说 明 书
1.一种检测智能终端中恶意代码的方法,其特征在于,包括:
从智能终端操作系统的应用程序层,获取应用程序的虚拟机执行文件;
对所述虚拟机执行文件进行反编译,得到反编译的函数信息结构;
解析所述反编译的函数信息结构,提取出所述反编译的函数信息结构中 的函数调用序列;
利用预先设置的恶意代码特征库,对所述函数调用序列进行匹配,如果匹 配成功,则确定所述应用程序的虚拟机执行文件包含恶意代码。
2.如权利要求1所述的方法,其特征在于,还包括:
通过解析所述反编译的函数信息结构,得到虚拟机助记符序列;
从所述虚拟机助记符序列中提取得到所述函数调用序列。
安卓字符串转数组3.如权利要求1所述的方法,其特征在于,所述函数调用序列为多个; 所述方法还包括:
通过分析按照顺序执行的多个函数调用序列的指令,确定所述函数的功 能。
4.如权利要求3所述的方法,其特征在于,所述多个函数调用序列按照 顺序执行的指令包括:解密字符串、创建消息签名实例、获取字符串子针、 哈希加密。
5.如权利要求1所述的方法,其特征在于,所述利用预先设置的恶意代 码特征库,对所述函数调用序列进行匹配包括:
利用预先设置的恶意代码特征库,对所述函数调用序列进行函数相似度 匹配,和/或,对所述函数调用序列进行函数特征模糊匹配。
6.如权利要求3所述的方法,其特征在于,将所述多个函数调用序列构 成的具有一定功能的函数作为目标特征;
所述利用预先设置的恶意代码特征库,对所述函数调用序列进行匹配包 括:
利用预先设置的恶意代码特征库,对所述目标特征进行函数相似度匹配, 和/或,对所述目标特征进行函数特征模糊匹配。
7.如权利要求1所述的方法,其特征在于,对所述虚拟机执行文件进行 样本特征查杀、基于虚拟机查杀、启发式查杀,和/或,相似样本聚类。
8.如权利要求1所述的方法,其特征在于,所述对所述虚拟机执行文件 进行反编译,得到反编译的函数信息结构包括:
根据虚拟机执行文件格式对虚拟机执行文件进行解析,得到每个类的函 数信息结构体;
根据所述函数信息结构体中的字段,确定所述虚拟机执行文件的函数的 位置及大小,得到所述反编译的函数信息结构。
9.如权利要求8所述的方法,其特征在于,所述根据函数信息结构体中 的字段,确定所述虚拟机执行文件的函数的位置及大小包括:
解析所述函数信息结构体,得到指示虚拟机执行文件的函数位置的字节 码数组字段以及指示虚拟机执行文件的函数大小的列表长度字段;
根据所述字节码数组字段以及所述列表长度字段,确定所述虚拟机执行 文件的函数的位置及大小。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论