本发明专利技术提出了一种移动终端病毒动态检测方法及系统,利用进程注入技术和Hook技术获取Android系统中敏感行为API,通过对应用程序样本调用敏感API行为的监控,生成监控日志,最后通过对监控日志进行解析和检测生成检测报告。本发明专利技术弥补了现有通过静态解析病毒代码进行病毒库匹配的检测技术不能很好的对移动终端的病毒进行检出这一不足,采用全程动态处理和检测的方式,有效的对移动终端中混淆以及加壳的病毒进行检出。
【技术实现步骤摘要】
本专利技术涉及移动终端病毒检测
,尤其涉及一种移动终端病毒动态检测方法及系统。
技术介绍
随着移动终端设备的普及,以及其应用领域越来越广泛,使得移动终端成为了攻击者的一大攻击目标,目前出现在移动终端上的病毒日渐猖獗,并出现了很多混淆以及加壳的病毒,使得原本通过静态解析病毒代码进行病毒库匹配的检测技术面临的挑战越来越大。
技术实现思路
针对现有移动终端检测技术存在的缺陷,本专利技术提出了一种移动终端病毒动态检测方法及系统,利用进程注入技术和Hook技术获取Android系统中敏感行为API,通过对应用程序样本调用敏感API行为的监控,生成监控日志,最后通过对监控日志进行解析和检测生成检测报告。具体
技术实现思路
包括:一种移动终端病毒动态检测方法,包括:启动Android系统模拟器,对进程孵化器zygote与系统服务进程管理器system_server进行进程注入操作,目的是帮助实现Java层API的Hook,以及进程监控;通过敏感API列表匹配,对Native层和Java层的敏感API进行Hook操作;通过调度管理中心将应用程序样本安装到模拟器中,对样本进行模拟触发操作;监控模拟触发操作的过程,当样本调用被Hook的API时,记录关键信息,并写入监控日志;提取监控日志的特征信息,将特征信息与病毒库中的相应病毒特征进行匹配,输出检测报告。进一步地,所述对Native层和Java层的敏感API进行Hook操作,具体为:判断Android系统模拟器的模式,若为Dalvik模式,则进行Dalvik模式下的Java Hook;若为Art模式,则进行Art模式下的Java Hook。进一步地,所述调度管理中心将应用程序样本安装到模拟器中,具体为:调度管理中心一次性将全部应用程序样本放入模拟器中;或调度管理中心分批定时将应用程序样本放入模拟器中;或调度管理中心分批将应用程序样本放入模拟器中,且在首批样本放入后,后续每批样本在接到紧前批样本运行结束报告后进行放入。进一步地,所述模拟触发操作包括:模拟点击、模拟发送短信、模拟发送广播、模拟更改网络状态、模拟打电话、模拟重启。进一步地,所述监控日志包括:API行为信息、Pcap文件信息、流量信息、dump文件信息、敏感行为截图;所述提取监控日志的特征信息,具体为:提取监控日志中的API行为信息、Pcap包信息、流量信息作为特征信息。一种移动终端病毒动态检测系统,包括:进程注入模块,用于启动Android系统模拟器,对进程孵化器zygote与系统服务进程管理器system_server进行进程注入操作;API Hook模块,用于通过敏感API列表匹配,对Native层和Java层的敏感API进行Hook操作;动态调度模块,用于将应用程序样本安装到模拟器中,对样本进行模拟触发操作;动态监控模块,用于监控模拟触发操作的过程,当样本调用被Hook的API时,记录关键信息,并写入监控日志;动态检测模块,用于提取监控日志的特征信息,将特征信息与病毒库中的相应病毒特征进行匹配,输出检测报告。进一步地,所述对Native层和Java层的敏感API进行Hook操作,具体为:判断Android系统模拟器的模式,若为Dalvik模式,则进行Dalvik模式下的Java Hook;若为Art模式,则进行Art模式下的Java Hook。进一步地,所述将应用程序样本安装到模拟器中,具体为:一次性将全部应用程序样本放入模拟器中;或分批定时将应用程序样本放入模拟器中;或分批将应用程序样本放入模拟器中,且在首批样本放入后,后续每批样本在接到紧前批样本运行结束报告后进行放入。进一步地,所述模拟触发操作包括:模拟点击、模拟发送短信、模拟发送广播、模拟更改网络状态、模拟打电话、模拟重启。进一步地,所述监控日志包括:API行为信息、Pcap文件信息、流量信息、dump文件信息、敏感行为截图;所述提取监控日志的特征信息,具体为:提取监控日志中的API行为信息、Pcap包信息、流量信息作为特征信息。本专利技术的有益效果是:针对现有通过静态解析病毒代码进行病毒库匹配的检测技术不能很好的对移动终端的病毒进行检出这一不足,提出了一种移动终端病毒动态检测方法及系统,利用进程注入技术和Hook技术获取Android系统中敏感行为API,通过对应用程序样本调用敏感API行为的监控,生成监控日志,最后通过对监控日志进行解析和检测生成检测报告。利用进程注入技术实现了对样本行为进行监控的同时,辅助实现了对Java层敏感API的Hook;监控样本行为过程中只对调用了敏感API的行为进行监控,而不是监控样本所有行为,确保检测结果准确率的同时提高了检测效率;检测时通过对监控日志的解析,提取行为信息、流量信息、Pcap包信息进行特征匹配,而不同于传统检测过程中直接使用行为特征进行匹配,使得检测结果更加精确,且检测过程大大降低了系统内存,有效提高检测效率;本专利技术提出的检测方法及系统,从敏感API的Hook、样本行为监控,到监控日志的检测,其过程均动态进行,不同于现有技术基于静态特征的检测,能够有效的检出混淆以及加壳的病毒。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种移动终端病毒动态检测的方法流程图。图2为本专利技术一种移动终端病毒动态检测的系统结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术给出了一种移动终端病毒动态检测的方法实施例,如图1所示,包括:S101:启动Android系统模拟器,对进程孵化器zygote与系统服务进程管理器system_server进行进程注入操作,目的是帮助实现Java层API的Hook,以及进程监控;S102:通过敏感API列表匹配,对Native层和Java层的敏感API进行Hook操作;S103:通过调度管理中心将应用程序样本安装到模拟器中,对样本进行模拟触发操作;S104:监控模拟触发操作的过程,当样本调用被Hook的API时,记录关键信息,并写入监控日志;S105:提取监控日志的特征信息,将特征信息与病毒库中的相应病毒特征进行匹配,输出检测报告。优选地,所述对Native层和Java层的敏感API进行Hook操作,具体为:判断Android系统模拟器的模式,若为Dalvik模式,则进行Dalvik模式下的Java Hook;若为Art模式,则进行Art模式下的Java Hook。优选地,所述调度管理中心将应用程序样本安装到模拟器中,具体为:调度管理中心一次性将全部应用程序样本放入模拟器中;或调度管理中心分批定时将应用程序样本放入模拟器中;或调度管理中心分批将应用程序样本放入模拟器中,且在首批样本放入后,后续每批样本在接到紧前批样本运行结束报告后进行放入。优选地,所述模拟触发操作包括:模拟点击、模拟发送短信、模拟发送广播、模拟更改网络状态、模拟打本文档来自技高网...
【技术保护点】
一种移动终端病毒动态检测方法,其特征在于,包括:启动Android系统模拟器,对进程孵化器zygote与系统服务进程管理器system_server进行进程注入操作;通过敏感API列表匹配,对Native层和Java层的敏感API进行Hook操作;通过调度管理中心将应用程序样本安装到模拟器中,对样本进行模拟触发操作;监控模拟触发操作的过程,当样本调用被Hook的API时,记录关键信息,并写入监控日志;提取监控日志的特征信息,将特征信息与病毒库中的相应病毒特征进行匹配,输出检测报告。
【技术特征摘要】
1.一种移动终端病毒动态检测方法,其特征在于,包括:启动Android系统模拟器,对进程孵化器zygote与系统服务进程管理器system_server进行进程注入操作;通过敏感API列表匹配,对Native层和Java层的敏感API进行Hook操作;通过调度管理中心将应用程序样本安装到模拟器中,对样本进行模拟触发操作;监控模拟触发操作的过程,当样本调用被Hook的API时,记录关键信息,并写入监控日志;提取监控日志的特征信息,将特征信息与病毒库中的相应病毒特征进行匹配,输出检测报告。2.如权利要求1所述的方法,其特征在于,所述对Native层和Java层的敏感API进行Hook操作,具体为:判断Android系统模拟器的模式,若为Dalvik模式,则进行Dalvik模式下的Java Hook;若为Art模式,则进行Art模式下的Java Hook。3.如权利要求1所述的方法,其特征在于,所述调度管理中心将应用程序样本安装到模拟器中,具体为:调度管理中心一次性将全部应用程序样本放入模拟器中;或调度管理中心分批定时将应用程序样本放入模拟器中;或调度管理中心分批将应用程序样本放入模拟器中,且在首批样本放入后,后续每批样本在接到紧前批样本运行结束报告后进行放入。4.如权利要求1所述的方法,其特征在于,所述模拟触发操作包括:模拟点击、模拟发送短信、模拟发送广播、模拟更改网络状态、模拟打电话、模拟重启。5.如权利要求1所述的方法,其特征在于,所述监控日志包括:API行为信息、Pcap文件信息、流量信息、dump文件信息、敏感行为截图;所述提取监控日志的特征信息,具体为:提取监控日志中的API行为信息、Pcap包信息、流量信息作为特征信息。6.一种移动终端病...
【专利技术属性】
技术研发人员:冯泽,蒋杰,乔伟,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。