The embodiment of the invention discloses a program detection method, including the method is applied to the ARM virtual machine, loading the executable program, and access to the executable program ARM instructions; according to the executable program ARM instructions, access to the ARM virtual machine in the virtual data system. And record the behavior parameters of the virtual data access system; according to the behavior parameters of the access to the virtual data system, determine the executable program is malicious programs. The embodiment of the invention also discloses a program detecting device. With the embodiment of the invention, the ARM program can be executed by different CPU platforms, and the program automatic detection can be realized, and the efficiency of the program detection can be improved.
【技术实现步骤摘要】
一种程序检测方法及装置
本专利技术涉及电子
,尤其涉及一种程序检测方法及装置。
技术介绍
程序检测是指对一个完成全部或部分功能模块的计算机程序在正式使用前的检测,以确保该程序能按预定的方式正确地运行。安全人员一般可以通过程序行为判定一个程序是否为恶意程序,比如网络操作、文件操作,判定的方法包括静态反汇编技术和动态调试(控制程序执行、记录中间过程)等等。随着可执行程序(由操作系统进行加载执行的文件)的保护技术的发展,这种文件保护技术被恶意程序使用,导致安全人员很难通过静态反汇编的方法判定程序是否是恶意程序,只能通过动态调试的手段来对程序进行检测,在动态调试过程中,还原被保护的核心代码,获取程序的行为,进而判定该程序是否为恶意程序。但是,动态调试需要连接手机,部署调试环境,导致调试效率低,分析成本高。
技术实现思路
本专利技术实施例提供一种程序检测方法及装置。可以通过不同的CPU平台执行ARM程序,实现程序自动检测,提高程序检测的效率,减少程序检测的成本。本专利技术第一方面提供了一种程序检测方法,所述方法应用于ARM虚拟机,包括:加载可执行程序,并获取所述可执行程序中的ARM指令;根据所述可执行程序中的ARM指令,访问所述ARM虚拟机中的虚拟数据系统,并记录访问所述虚拟数据系统的行为参数;根据所述访问所述虚拟数据系统的行为参数,确定所述可执行程序的是否为恶意程序。相应地,本专利技术第二方面提供了一种程序检测装置,包括:信息加载模块,用于加载可执行程序,并获取所述可执行程序中的ARM指令;信息记录模块,用于根据所述可执行程序中的ARM指令,访问所述ARM虚拟机 ...
【技术保护点】
一种程序检测方法,其特征在于,所述方法应用于ARM虚拟机,所述方法包括:加载可执行程序,并获取所述可执行程序中的ARM指令;根据所述可执行程序中的ARM指令,访问所述ARM虚拟机中的虚拟数据系统,并记录访问所述虚拟数据系统的行为参数;根据所述访问所述虚拟数据系统的行为参数,确定所述可执行程序的是否为恶意程序。
【技术特征摘要】
1.一种程序检测方法,其特征在于,所述方法应用于ARM虚拟机,所述方法包括:加载可执行程序,并获取所述可执行程序中的ARM指令;根据所述可执行程序中的ARM指令,访问所述ARM虚拟机中的虚拟数据系统,并记录访问所述虚拟数据系统的行为参数;根据所述访问所述虚拟数据系统的行为参数,确定所述可执行程序的是否为恶意程序。2.如权利要求1所述的方法,其特征在于,所述根据所述可执行程序中的ARM指令,访问所述ARM虚拟机中的虚拟数据系统,并记录访问所述虚拟数据系统的行为参数之前,还包括:根据所述可执行程序中的ARM指令,获取执行所述虚拟数据系统所需的访问内存和/或寄存器数据。3.如权利要求1所述的方法,其特征在于,所述根据所述访问所述虚拟数据系统的行为参数,确定所述可执行程序的是否为恶意程序包括:判断所述访问所述虚拟数据系统的行为参数是否存在于预置的恶意行为序列中;若所述访问所述虚拟数据系统的行为参数存在于所述预置的恶意行为序列中,则确定所述可执行程序为恶意程序。4.如权利要求1所述的方法,其特征在于,所述根据所述访问所述虚拟数据系统的行为参数,确定所述可执行程序的是否为恶意程序之前,还包括:获取访问所述ARM虚拟机中的虚拟数据系统的时长;判断访问所述ARM虚拟机中的虚拟数据系统的时长是否小于预设阈值;若访问所述ARM虚拟机中的虚拟数据系统的时长小于预设阈值,则确定所述ARM指令执行成功。5.如权利要求1所述的方法,其特征在于,所述ARM虚拟机包括指令翻译器,所述获取所述可执行程序中的ARM指令包括:读取所述可执行程序中的字符数据,通过所述指令翻译器将所述字符数据翻译成ARM指令。6.如权利要求1-5任意一项所述的方法,其特征在于,所述虚拟数据系统包括虚拟进程、虚拟文件系统以及虚拟设备。7.一种程序检测装置,其特征在于,所述装置包括:信息加载模块,用于加载可执行程序,并获取所述可执行程序中的ARM指令;信息...
【专利技术属性】
技术研发人员:白子潘,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。