【技术实现步骤摘要】
解析恶意应用程序的方法、装置、设备、介质和程序产品
[0001]本公开涉及信息安全领域,具体涉及移动端应用的信息安全领域,更具体地涉及一种恶意应用程序的解析方法、装置、设备、介质和程序产品。
技术介绍
[0002]在对移动端应用程序进行安全分析的过程中,开发人员经常会遇到采用了VMP(Virtual Machine Protect)加固的恶意应用程序。加固后的恶意应用程序的dex文件不可读,因此无法对恶意应用程序的恶意行为进行分析。
技术实现思路
[0003]鉴于上述问题,本公开提供了一种解析恶意应用程序的方法、装置、设备、介质和程序产品。
[0004]根据本公开的第一个方面,提供了一种解析恶意应用程序的方法,包括:获取恶意应用程序的多个未知指令和白样本应用程序的多个已知指令;利用统计,得到所述恶意应用程序在运行过程中所述多个未知指令被调用的第一调用频率和所述白样本应用程序在运行过程中所述多个已知指令被调用的第二调用频率;根据所述第一调用频率和所述第二调用频率,确定所述多个未知指令中与所述多个已知指令...
【技术保护点】
【技术特征摘要】
1.一种解析恶意应用程序的方法,包括:获取恶意应用程序的多个未知指令和白样本应用程序的多个已知指令;利用统计,得到所述恶意应用程序在运行过程中所述多个未知指令被调用的第一调用频率和所述白样本应用程序在运行过程中所述多个已知指令被调用的第二调用频率;根据所述第一调用频率和所述第二调用频率,确定所述多个未知指令中与所述多个已知指令匹配的至少一个目标指令;以及解析所述至少一个目标指令,得到所述恶意应用程序的运行相关数据。2.根据权利要求1所述的方法,其中,所述根据所述第一调用频率和所述第二调用频率,确定所述多个未知指令中与所述多个已知指令匹配的至少一个目标指令,包括:根据所述第一调用频率,确定所述多个未知指令被调用的第一排序,以及根据所述第二调用频率,确定所述多个已知指令被调用的第二排序;以及根据所述第一排序和所述第二排序,确定所述未知指令中与所述多个已知指令匹配的至少一个目标指令;其中,所述白样本应用程序与所述恶意应用程序为相同类型的应用程序。3.根据权利要求1所述的方法,其中,所述利用统计,得到所述恶意应用程序在运行过程中所述多个未知指令被调用的第一调用频率,包括:获取所述多个未知指令各自的指令地址,得到多个指令地址;在所述恶意应用程序中与所述多个指令地址对应的位置处分别设置中断点;通过所述中断点,获得所述多个未知指令的调用数据;以及根据所述调用数据,统计得到所述多个未知指令被调用的第一调用频率。4.根据权利要求3所述的方法,其中,所述获取所述多个未知指令各自的指令地址,得到多个指令地址,包括:获取所述恶意应用程序的解释器;通过所述解释器解析所述恶意应用程序的可执行文件,得到所述可执行文件中所述多个未知指令对应的代码数据;以及分析所述代码数据,得到所述多个指令地...
【专利技术属性】
技术研发人员:钱维正,牟天宇,金驰,叶红,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。