【技术实现步骤摘要】
用于检测应用程序中的潜在恶意更改的系统和方法
[0001]本专利技术涉及信息安全领域,例如,涉及检测应用程序中的潜在恶意更改。
技术介绍
[0002]如今,移动操作系统(尤其是Android)越来越流行。这些移动操作系统使用的软件正在快速发展。软件更新定期发布,制造商在其中纠正错误并发布具有新功能的软件更新版本。软件通常以包含应用程序文件、文件的数字签名、和文件签名证书的存档文件的形式分发。
[0003]为了诱使受害者访问虚假网站,攻击者可以使用大量或单独寻址的电子邮件消息,这些电子邮件消息伪装成由同事、银行员工或政府机构代表发送的消息。但是,这些消息包含恶意链接。消息中包含的文本指示或要求受害者点击链接并立即执行某些动作,以避免威胁或某种严重后果。诈骗者采用的另一种方法是使用文件形式的附件,该附件也包含恶意链接或利用易受攻击的应用程序进一步危害用户的计算机。
[0004]此外,恶意软件(如计算机病毒、特洛伊木马和网络蠕虫)的类型和数量持续增加。恶意软件通常旨在对用户数据造成损坏,并损害受恶意软件感染的电子设...
【技术保护点】
【技术特征摘要】
1.一种用于检测应用程序中的潜在恶意更改的方法,所述方法包括:选择要分析的第一文件和与所述第一文件相似的至少一个第二文件;针对所述至少一个第二文件中的每一个第二文件,计算至少一个特征集合;通过针对所述至少一个第二文件中的每一个第二文件查找所述第一文件的特征集合与所计算的所述第二文件的所述至少一个特征集合之间的差异来识别所述第一文件的区别特征集合;以及检测在所识别的所述第一文件的所述区别特征集合中潜在恶意更改的存在。2.如权利要求1所述的方法,其中,所述至少一个第二文件与所述第一文件的相似性基于以下中的至少一者:所述第一文件和所述至少一个第二文件的名称、以及所述第一文件和所述至少一个第二文件的版本。3.如权利要求1所述的方法,其中,所述至少一个特征集合至少包括dex类的散列。4.如权利要求3所述的方法,其中,所述dex类的散列是根据以下中的至少一者计算的:不考虑类名称的类代码、和不考虑类方法名称的类代码。5.如权利要求1所述的方法,其中,所述至少一个特征集合包括以下中的至少一者:从所述第一文件的清单获得的信息,关于所述第一文件的请求权限的信息,以及关于所述第一文件中加密资源的存在的信息。6.如权利要求1所述的方法,其中,使用基于启发式分析和签名分析中的至少一者的方法来检测所述潜在恶意更改的存在。7.如权利要求1所述的方法,其中,所述潜在恶意更改包括以下中的至少一者:指示存在已知为不可信的应用程序编程接口函数的更改;以及指示存在至少一个代码加载程序的更改。8.如权利要求1所述的方法,其中,所选择的要分析的所述文件包括用于移动设备的应用程序安装文件。9.一种用于检测应用程序中的潜在恶意更改的系统,包括:至少一个处理器,所述至少一个处理器被配置为:选择要分析的第一文件和与所述第一文件相似的至少一个第二文件;针对所述至少一个第二文件中的每一个第二文件,计算至少一个特征集合;通过针对所述至少一个第二文件中的每一个第二文件查找所述第一文件的特征集合与所计算的所述第二文件的所述至少一个特征集合之间的差异来识别所述第一文件的区别特征集合;以及检测在所识别的所述第一文件的所述区别特征集合中潜在恶意更改的存在。10.如权利要求9所述的系统,其中,所述至少一个第二文件与所述第一文件的相似性基于以下中的至少一者:所述第一文件和所述至少一个第二文件的名称、以及所述第一文件和所述至少一个第二文件的版本。11.如权利要求9所述的系统,其中,所述至少一个特征集合至少包括dex类的散列。12.如权利要求11所述的系统,其中,所述dex类的散列是根据以下中的至少一者计算的:不考虑类名称的类代码、和不考虑类方法名称的类...
【专利技术属性】
技术研发人员:安东,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。