本发明专利技术涉及手机病毒研判分析、查杀技术领域,具体涉及一种用于手机病毒判定与过滤的方法,步骤一:建立软件体系结构;步骤二:软件功能结构分析如下;步骤三:软件引擎技术建立:1)建立技术框架:2)通过引擎技术实现对具有代码特征的手机病毒体判定与过滤的分析,主要由文件解析引擎,反编译引擎,代码行为分析引擎和智能联合分析引擎组成;它采用实时监控和主动防御技术需要软件安装到用户手机,从传播数量巨大的手机软件中自动筛选出危害度高的软件,极大提高病毒分析效率,以及有效提高疑似手机软件的分析效率和分析准确率,可以迅速更新手机病毒库供网络侦查和终端查杀使用,控制病毒的传播。
【技术实现步骤摘要】
本专利技术涉及手机病毒研判分析,查杀
,具体涉及一种用于手机病毒判定与过滤的方法。
技术介绍
移动网络作为一种便捷的通信方式已经渗透到人们工作和生活的各个领域,成为互联网的一项重要的信息传播途径,人们方便的利用移动网络在任意时间和地点下载自己所需的手机软件和应用,但也便利了手机病毒的传播。手机病毒给用户和社会带来了很大的负面影响。手机软件数量巨大,纷繁复杂,如何从数量巨大的未知手机软件中判定手机病毒和初步筛选出危害度高的软件包进行人工分析是一项十分必要的工作。目前对于手机病毒的过滤和判定方式主要有以下两种。1、采用实时监控技术,将手机软件文件安装到用户手机,通过监控该软件的进程,获取其行为动向,如发现该软件有恶意的行为,包括恶意扣费,资费消耗,隐私窃取和系统破坏等,则判断为威胁软件,再进一步人工分析是否为病毒。上述方式存在的问题是:不同的应用程序需要在不同的手机上安装,且需要较长时间监控手机软件的运行,难于监控间歇性发作的病毒,无法应对大量的手机软件扫描过滤要求,也无法迅速诊断出病毒的行为结果。2、用每一种病毒体含有的特定字符串、二进制串或者是代码串,对手机文件进行检测扫描,如果被检测文件匹配成功,就表明该文件代表或包含这类病毒。一般将这种按搜索工作的病毒扫描方法叫做SCANNER,该方法分成两个部分:一部分是病毒库,含有特定的字符串、二进制串或代码串,另一部分是利用该病毒库进行扫描的扫描程序。显然病毒库越多,能发现的病毒越多。
技术实现思路
本专利技术的目的在于针对现有技术的缺陷和不足,提供一种结构简单,设计合理、使用方便的一种用于手机病毒判定与过滤的方法,它采用对手机文件进行反编译解析后,通过对其行为函数分析筛选出疑似手机恶意软件,然后由智能联合分析引擎进行分析,最后获取威胁度较高的手机软件,从传播数量巨大的手机软件中自动筛选出危害度高的软件,极大提高病毒分析效率,以及有效提高疑似手机软件的分析效率和分析准确率,可以迅速更新手机病毒库供网络侦查和终端查杀使用,控制病毒的传播。本专利技术所述的一种用于手机病毒判定与过滤的方法,它采用如下的技术方案:步骤一:建立软件体系结构:1)软件体系由表现层、业务层和后台引擎组成;2)表面层包括可疑扫描阶段、源码查看阶段、运行日志阶段;3)业务层包括手机软件扫描、规则库管理、日志管理和源码数据;4)后台引擎包括文件解析引擎、反编译引擎、代码分析引擎、智能联合分析引擎;5)方便扫描程序开发和维护,实现后台数据处理,以及业务与数据展示的分离;步骤二:软件功能结构分析如下:1)手机软件APP包括文件解析模块、反编译模块、代码行为分板模块;其中:文件解析模块包括apk解析、sis解析以及其他格式解析;反编译模块包括dex反编译、e32反编译、so和dll反编译;代码行为分板模块包括可疑代码定位、可疑代码扫描;2)文件解析模块通过特征扫描、反编译模块通过启发式扫描、代码行为分板模块通过行为扫描,与智能联合分板模块进行数据交换,进行联合分析计算,得到威胁度和结论;步骤三:软件引擎技术建立:1)建立技术框架:a.参照sis安装包和apk安装包格式标准,编写解压算法,进行解压,提取exe,dll和dex文件,根据编译原理和脱壳技术编写反编译解压算法,获得汇编源码与java源码。b.通过对sis包的pkg文件或者apk包的AndroidManifest.xml配置文件进行预处理分析,准确获取exe的启动情况:正常启动,安装后启动,开机启动等;c.扫描程序源代码文件:获取具有破坏性的操作函数,如删除短信,删除文件,删除通信录等操作;静默安装的函数信息和静默卸载的函数信息;删除通讯录的函数信息;删除本机文件的函数信息,分析是否具有界面函数,网址URL,短信发送手机号码,sp号码等信息。d.根据上述分析得到的软件的启动信息,配置信息和源代码文件本身包含的行为信息进行联合分析,对该软件进行危害度标识,输出其中的有用信息,并确定需要人工确认处理的优先级别;2)通过引擎技术实现对具有代码特征的手机病毒体判定与过滤的分析,主要由文件解析引擎,反编译引擎,代码行为分析引擎和智能联合分析引擎组成;a.文件解析引擎:其采用如下步骤:第一步:自动识别手机软件文件格式和平台,编写相应解压算法,获取可执行文件,代码的签名特征,权限特征,和可疑文件;第二步:通过对sis包的pkg文件或者apk包的AndroidManifest.xml配置文件进行预处理分析,准确获取exe的启动情况:正常启动,安装后启动,开机启动等,将结果提交给只能联合分析引擎,同时将可执行文件和可疑文件提交给反编译引擎进一步分析;b.反编译引擎:其采用如下步骤:第一步:对于不同平台和不同格式的手机文件,采用相应的反编译算法,还原程序,获取特定字符串(针对手机软件,偏向于特定的http地址,手机号码,sp号码等)、二进制串或者是代码串,采用SCANNER技术过滤病毒体;第二步:根据第一步将结果提交给联合分析引擎。同时提交反编译出的源码给代码行为分析引擎进一步分析;c.代码行为分析引擎:其采用如下步骤:第一步:对于反编译得到的程序源文件进行扫描分析,获取短信行为,网络行为,删除文件等疑似异常行为的函数,筛选出疑似的手机恶意软件;第二步:特别是恶意吸费和删除10086短信的软件,将结果提交给智能联合分析引擎;d.智能联合分析引擎:其采用如下步骤:第一步:针对手机的八大类恶意行为:恶意扣费,诱骗欺诈,资费消耗,隐私窃取,系统破坏,远程控制,流氓行为,恶意传播;第二步:建立恶意软件异常特征集,同时结合上述几个引擎提供的数据,计算手机软件的威胁程度,给出手机文件扫描的结构描述,分类保存可疑数据;e.规则库管理:其采用如下步骤:第一步:对手机应用包进行扫描分析时,需要提供特定的规则库匹配扫描;比如文件解析引擎可以获取作者的签名证书,但该签名是否合法,除采用常规的证书规范性验证,还需要判断改签名的作者是否来自于合法厂商,有无制造恶意软件记录;第二步:扫描病毒时,需要病毒的特征库进行匹配;行为分析时需要行为规则库等等;f.结果记录:其采用如下步骤:第一步:处理完手机应用软件后会有数据展现和相应的处理结果。即前台展现的数据和后台分类保存的数据;第二步:后台数据包含两部分:文件信息,采用数据库方式保存;手机应用分类,自动将可疑的文件进行分类保存。本专利技术有益效果为:本专利技术所述的一种用于手机病毒判定与过滤的方法,它采用对手机文件进行反编译解析后,通过对其行为函数分析筛选出疑似手机恶意软件,然后由智能联合分析引擎进行分析,最后获取威胁度较高的手机软件,从传播数量巨大的手机软件中自动筛选出危害度高的软件,极大提高病毒分析效率,以及有效提高疑似手机软件的分析效率和分析准确率,可以迅速更新手机病毒库供网络侦查和终端查杀使用,控制病毒的传播。【附图说明】此处所说明的附图是用来提供对本专利技术的进一步理解,构成本申请的一部分,但并不构成对本专利技术的不当限定,在附图中:图1是本专利技术技术框架结构示意图;图2是本专利技术基于代码特征的手机病毒体判定与过滤的技术的系统示意图图3是本专利技术中的文件解析内容展示图;图4是本专利技术中的反编译数据展示图;图5是本专利技术中的行为分析展示图;图6本文档来自技高网...
【技术保护点】
一种用于手机病毒判定与过滤的方法,其特征在于:它采用如下的技术方案:步骤一:建立软件体系结构:1)软件体系由表现层、业务层和后台引擎组成;2)表面层包括可疑扫描阶段、源码查看阶段、运行日志阶段;3)业务层包括手机软件扫描、规则库管理、日志管理和源码数据;4)后台引擎包括文件解析引擎、反编译引擎、代码分析引擎、智能联合分析引擎;5)方便扫描程序开发和维护,实现后台数据处理,以及业务与数据展示的分离;步骤二:软件功能结构分析如下:1)手机软件APP包括文件解析模块、反编译模块、代码行为分板模块;其中:文件解析模块包括apk解析、sis解析以及其他格式解析;反编译模块包括dex反编译、e32反编译、so和dll反编译;代码行为分板模块包括可疑代码定位、可疑代码扫描;2)文件解析模块通过特征扫描、反编译模块通过启发式扫描、代码行为分板模块通过行为扫描,与智能联合分板模块进行数据交换,进行联合分析计算,得到威胁度和结论;步骤三:软件引擎技术建立:1)建立技术框架:a.参照sis安装包和apk安装包格式标准,编写解压算法,进行解压,提取exe,dll和dex文件,根据编译原理和脱壳技术编写反编译解压算法,获得汇编源码与java源码;b.通过对sis包的pkg文件或者apk包的AndroidManifest.xml配置文件进行预处理分析,准确获取exe的启动情况:正常启动,安装后启动,开机启动等;c.扫描程序源代码文件:获取具有破坏性的操作函数,如删除短信,删除文件,删除通信录等操作;静默安装的函数信息和静默卸载的函数信息;删除通讯录的函数信息;删除本机文件的函数信息,分析是否具有界面函数,网址URL,短信发送手机号码,sp号码等信息;d.根据上述分析得到的软件的启动信息,配置信息和源代码文件本身包含的行为信息进行联合分析,对该软件进行危害度标识,输出其中的有用信息,并确定需要人工确认处理的优先级别;2)通过引擎技术实现对具有代码特征的手机病毒体判定与过滤的分析,主要由文件解析引擎,反编译引擎,代码行为分析引擎和智能联合分析引擎组成;a.文件解析引擎:其采用如下步骤:第一步:自动识别手机软件文件格式和平台,编写相应解压算法,获取可执行文件,代码的签名特征,权限特征,和可疑文件;第二步:通过对sis包的pkg文件或者apk包的AndroidManifest.xml配置文件进行预处理分析,准确获取exe的启动情况:正常启动,安装后启动,开机启动等,将结果提交给只能联合分析引擎,同时将可执行文件和可疑文件提交给反编译引擎进一步分析;b.反编译引擎:其采用如下步骤:第一步:对于不同平台和不同格式的手机文件,采用相应的反编译算法,还原程序,获取特定字符串(针对手机软件,偏向于特定的http地址,手机号码,sp号码等)、二进制串或者是代码串,采用SCANNER技术过滤病毒体;第二步:根据第一步将结果提交给联合分析引擎。同时提交反编译出的源码给代码行为分析引擎进一步分析;c.代码行为分析引擎:其采用如下步骤:第一步:对于反编译得到的程序源文件进行扫描分析,获取短信行为,网络行为,删除文件等疑似异常行为的函数,筛选出疑似的手机恶意软件;第二步:特别是恶意吸费和删除10086短信的软件,将结果提交给智能联合分析引擎;d.智能联合分析引擎:其采用如下步骤:第一步:针对手机的八大类恶意行为:恶意扣费,诱骗欺诈,资费消耗,隐私窃取,系统破坏,远程控制,流氓行为,恶意传播;第二步:建立恶意软件异常特征集,同时结合上述几个引擎提供的数据,计算手机软件的威胁程度,给出手机文件扫描的结构描述,分类保存可疑数据;e.规则库管理:其采用如下步骤:第一步:对手机应用包进行扫描分析时,需要提供特定的规则库匹配扫描。比如文件解析引擎可以获取作者的签名证书,但该签名是否合法,除采用常规的证书规范性验证,还需要判断改签名的作者是否来自于合法厂商,有无制造恶意软件记录;第二步:扫描病毒时,需要病毒的特征库进行匹配;行为分析时需要行为规则库等等;f.结果记录:其采用如下步骤:第一步:处理完手机应用软件后会有数据展现和相应的处理结果;即前台展现的数据和后台分类保存的数据;第二步:后台数据包含两部分:文件信息,采用数据库方式保存;手机应用分类,自动将可疑的文件进行分类保存。...
【技术特征摘要】
1.一种用于手机病毒判定与过滤的方法,其特征在于:它采用如下的技术方案:步骤一:建立软件体系结构:1)软件体系由表现层、业务层和后台引擎组成;2)表面层包括可疑扫描阶段、源码查看阶段、运行日志阶段;3)业务层包括手机软件扫描、规则库管理、日志管理和源码数据;4)后台引擎包括文件解析引擎、反编译引擎、代码分析引擎、智能联合分析引擎;5)方便扫描程序开发和维护,实现后台数据处理,以及业务与数据展示的分离;步骤二:软件功能结构分析如下:1)手机软件APP包括文件解析模块、反编译模块、代码行为分板模块;其中:文件解析模块包括apk解析、sis解析以及其他格式解析;反编译模块包括dex反编译、e32反编译、so和dll反编译;代码行为分板模块包括可疑代码定位、可疑代码扫描;2)文件解析模块通过特征扫描、反编译模块通过启发式扫描、代码行为分板模块通过行为扫描,与智能联合分板模块进行数据交换,进行联合分析计算,得到威胁度和结论;步骤三:软件引擎技术建立:1)建立技术框架:a.参照sis安装包和apk安装包格式标准,编写解压算法,进行解压,提取exe,dll和dex文件,根据编译原理和脱壳技术编写反编译解压算法,获得汇编源码与java源码;b.通过对sis包的pkg文件或者apk包的AndroidManifest.xml配置文件进行预处理分析,准确获取exe的启动情况:正常启动,安装后启动,开机启动等;c.扫描程序源代码文件:获取具有破坏性的操作函数,如删除短信,删除文件,删除通信录等操作;静默安装的函数信息和静默卸载的函数信息;删除通讯录的函数信息;删除本机文件的函数信息,分析是否具有界面函数,网址URL,短信发送手机号码,sp号码等信息;d.根据上述分析得到的软件的启动信息,配置信息和源代码文件本身包含的行为信息进行联合分析,对该软件进行危害度标识,输出其中的有用信息,并确定需要人工确认处理的优先级别;2)通过引擎技术实现对具有代码特征的手机病毒体判定与过滤的分析,主要由文件解析引擎,反编译引擎,代码行为分析引擎和智能联合分析引擎组成;a.文件解析引擎:其采用如下步骤:...
【专利技术属性】
技术研发人员:黄宏昌,罗剑华,刘小坤,吴林辉,陈海建,蔡晓光,朱煜家,陈清,董森涛,王汉威,罗俊,
申请(专利权)人:广东华仝九方科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。