一种用于检测手机病毒的方法和装置制造方法及图纸
【技术实现步骤摘要】
一种用于检测手机病毒的方法和装置
本专利技术涉及一种用于检测手机病毒的方法和装置。
技术介绍
随着移动终端的广泛应用,出现了针对移动终端的病毒。通常将这种病毒称作手机病毒。目前,已经出现了许多针对手机病毒的杀毒软件,其通常根据手机病毒的特征码来检测手机病毒,以保护移动终端免受手机病毒侵害。为此,恶意攻击者想出各种方法来改进手机病毒,以避免手机病毒被杀毒软件检测。其中一种方法是对已知手机病毒作轻微修改,改变手机病毒的特征码,从而生成一种新手机病毒。这种新手机病毒被称作已知手机病毒的变形病毒。由于在已知手机病毒的变形病毒被发现之前,杀毒软件不知道已知手机病毒的变形病毒的特征码,因此,目前这些依靠病毒的特征码来杀毒的软件并不能检测出已知手机病毒的变形病毒。
技术实现思路
考虑到现有技术的上述问题,本专利技术的实施例提供一种用于检测手机病毒的方法和装置,其不需要病毒的特征码就可以检测已知手机病毒的变形病毒。按照本专利技术实施例的一种用于检测手机病毒的方法,包括步骤:计算待检测的可执行文件的文件内容与至少一个病毒文件中的每个病毒文件的文件内容的相似程度值,其中,所述至少一个病毒...
【技术保护点】
一种用于检测手机病毒的方法,包括步骤:计算待检测的可执行文件的文件内容与至少一个病毒文件中的每个病毒文件的文件内容的相似程度值,其中,所述至少一个病毒文件各自包含不同的已知手机病毒;当所述可执行文件的文件内容与所述至少一个病毒文件中的选定病毒文件的文件内容的相似程度值大于指定阈值时,检测所述可执行文件在执行时出现的危险行为,其中,所述可执行文件的文件内容与所述选定病毒文件的文件内容的相似程度值最大;以及根据所检测的危险行为和所述选定病毒文件所包含的已知手机病毒的危险行为的相似程度,确定所述可执行文件是否包含已知手机病毒的变形病毒。
【技术特征摘要】
1.一种用于检测手机病毒的方法,包括步骤:计算待检测的可执行文件的文件内容与至少一个病毒文件中的每个病毒文件的文件内容的相似程度值,其中,所述至少一个病毒文件各自包含不同的已知手机病毒;当所述可执行文件的文件内容与所述至少一个病毒文件中的选定病毒文件的文件内容的相似程度值大于指定阈值时,检测所述可执行文件在执行时出现的危险行为,其中,所述可执行文件的文件内容与所述选定病毒文件的文件内容的相似程度值最大;判断所检测的危险行为和所述选定病毒文件所包含的已知手机病毒的危险行为两者的相同行为数与所述选定病毒文件所包含的已知手机病毒的危险行为的总行为数的比值是否大于预定阈值;以及当判断结果为肯定时,确定所述可执行文件包含已知手机病毒的变形病毒。2.如权利要求1所述的方法,其中,所述计算步骤进一步包括:根据所述可执行文件和所述每个病毒文件中的多个指定位置的数据块,来计算所述可执行文件的文件内容与所述每个病毒文件的文件内容的相似程度值。3.如权利要求2所述的方法,其中,所述计算步骤包括:从所述可执行文件中的所述多个指定位置提取多个数据块;获取所述每个病毒文件的数据块集,其中,所述每个病毒文件的数据块集包括从该病毒文件中的所述多个指定位置获取的多个数据块;计算所述可执行文件与所述每个病毒文件的多个相似程度子值,其中,与所述每个病毒文件的多个相似程度子值分别根据所提取的多个数据块中的一个数据块和从该病毒文件中的相同位置获取的一个数据块两者的相同字节数与从该病毒文件中的该相同位置获取的该数据块的总字节数的比值来确定;以及计算所述可执行文件与所述每个病毒文件的多个相似程度子值的加权求和之值,作为所述可执行文件的文件内容与所述每个病毒文件的文件内容的相似程度值。4.如权利要求3所述的方法,其中,所述计算步骤还包括:在计算所述多个相似程度子值之前,去除所提取的多个数据块中的无意义字节。5.如权利要求1、2或3所述的方法,其中,所述可执行文件和所述至少一个病毒文件具有相同的文件类型。6.如权利要求3所述的方法,其中,所述方法还包括步骤:从所提取的多个数据块中获取用于表征所述变形病毒的家族特征的数据块或者用于表征所述变形病毒的家族特征和唯一特征的数据块。7.一种用于检测手机病毒的装置,包括:计算模块,用于计算待检测的可执行文件的文件内容与至少一个病毒文件中的每个病毒文件的文件内容的相似程度值,其中,所述至少一个病毒文件各自包...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。