專利名稱:一種apk病毒特征碼的提取方法及裝置的制作方法
技術(shù)領(lǐng)域:
本申請涉及計算機安全的技術(shù)領(lǐng)域,特別是涉及ー種APK病毒特征碼的提取方法,以及,ー種APK病毒特征碼的提取裝置。
背景技術(shù):
Android是ー種以Linux為基礎(chǔ)的開放源碼操作系統(tǒng),主要使用于手機等移動終端,目前尚未有統(tǒng)一中文名稱。Android平臺由操作系統(tǒng)、中間件、用戶界面和應(yīng)用軟件組成。APK是Android application package file 的縮寫,即 Android安裝包,也可以理解為Android終端上安裝的應(yīng)用軟件。APK是類似Symbian Sis或Sisx的文件格式。通過將APK文件直接傳到Android模擬器或Android終端中執(zhí)行即可安裝。apk文件和sis 一祥,把android sdk編譯的工程打包成一個安裝程序文件,格式為apk。APK文件其實是zip格式,但后綴名被修改為apk,通過UnZip解壓后,可以看到Dex文件,Dex是DalvikVMexecutes的全稱,即Android Dalvik執(zhí)行程序,并非標(biāo)準(zhǔn)的Java字節(jié)碼而是Dalvik字節(jié)碼。Android在運行ー個程序時首先需要UnZip,然后類似Symbian那樣直接運行,和Windows Mobile中的PE文件有區(qū)別。具體而言,APK文件的結(jié)構(gòu)如下表所示
權(quán)利要求
1.ー種APK病毒特征碼的提取方法,其特征在于,包括 掃描Android安裝包APK中的指定文件; 提取所述指定文件中的操作指令,判斷所述操作指令是否包含病毒信息; 若是,則根據(jù)所述操作指令生成病毒特征碼。
2.如權(quán)利要求I所述的方法,其特征在于,所述指定文件包括可執(zhí)行文件,所述可執(zhí)行文件包括Dex文件,所述Dex文件包括classes, dex文件,擴展名為.jar的文件,以及,Dex格式的文件。
3.如權(quán)利要求2所述的方法,其特征在于,還包括 提取所述可執(zhí)行文件的常量池中的常量,判斷所述常量中是否包含病毒信息; 若是,則根據(jù)所述常量生成病毒特征碼。
4.如權(quán)利要求3所述的方法,其特征在于,還包括 提取所述可執(zhí)行文件的頭部信息,判斷所述頭部信息中是否包含病毒信息; 若是,則根據(jù)所述頭部信息生成病毒特征碼。
5.如權(quán)利要求1、2、3或4所述的方法,其特征在于,所述操作指令包括操作碼和操作數(shù),所述判斷操作指令是否包含病毒信息的步驟包括 判斷所述操作數(shù)中是否包含預(yù)定義的非法操作數(shù); 和/或, 判斷所述操作碼和操作數(shù)的組合是否符合預(yù)定義的非法組合規(guī)則。
6.如權(quán)利要求5所述的方法,其特征在干,所述根據(jù)操作指令生成病毒特征碼的步驟包括 將所述操作指令本身作為病毒特征碼; 和/或, 將所述操作指令的操作碼,以及,操作數(shù)的字符串或通配符作為病毒特征碼。
7.如權(quán)利要求3所述的方法,其特征在干,所述可執(zhí)行文件的常量池中的常量包括字符串strings、類型types、域fields和方法methods中的常量,所述判斷常量中是否包含病毒信息的步驟包括 判斷所述字符串strings中的常量是否包含預(yù)定義的惡意網(wǎng)址信息、惡意文件名或惡意號碼信息; 和/或, 判斷所述類型types、域fields和方法methods中的常量是否有調(diào)用自定義的類名、自定義的函數(shù)名或Android系統(tǒng)SDK類名、Android系統(tǒng)函數(shù)名; 所述根據(jù)常量生成病毒特征碼的步驟為,將所述常量中的病毒信息作為病毒特征碼。
8.如權(quán)利要求4所述的方法,其特征在干,所述可執(zhí)行文件的頭部信息中包括摘要信息checksum和簽名信息Signature,所述判斷頭部信息中是否包含病毒信息的步驟包括 判斷所述摘要信息checksum和/或簽名信息Signature中是否包含預(yù)定義的非法字符串; 所述根據(jù)頭部信息生成病毒特征碼的步驟為,將所述摘要信息checksum和/或簽名信息Signature作為病毒特征碼。
9.如權(quán)利要求I所述的方法,其特征在于,所述指定文件還包括文本文件,所述操作指令為Iinux命令, 所述判斷操作指令是否包含病毒信息的步驟為,判斷所述Iinux命令是否符合預(yù)置的惡意Iinux命令; 所述根據(jù)操作指令生成病毒特征碼的步驟為,將所述Iinux命令作為病毒特征碼。
10.如權(quán)利要求1、2、3、4、6、7、8、9或10所述的方法,其特征在于,還包括 將所述病毒特征碼保存至數(shù)據(jù)庫中。
11.如權(quán)利要求10所述的方法,其特征在于,所述病毒特征碼包括頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼;所述將病毒特征碼保存至數(shù)據(jù)庫中的步驟包括 將所述頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼分別保存在數(shù)據(jù)庫中不同的存儲區(qū)域; 或者, 將所述頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼保存在數(shù)據(jù)庫中,井分別標(biāo)記分類標(biāo)簽。
12.—種APK病毒特征碼的提取裝置,其特征在于,包括 掃描模塊,用于掃描Android安裝包APK中的指定文件; 指令提取模塊,用于提取所述指定文件中的操作指令; 指令判斷模塊,用于判斷所述操作指令是否包含病毒信息; 第一特征碼生成模塊,用于在所述操作指令包含病毒信息時,根據(jù)所述操作指令生成病毒特征碼。
13.如權(quán)利要求12所述的裝置,其特征在于,所述指定文件包括可執(zhí)行文件,所述可執(zhí)行文件包括Dex文件,所述Dex文件包括classes, dex文件,擴展名為.jar的文件,以及,Dex格式的文件。
14.如權(quán)利要求13所述的裝置,其特征在于,還包括 常量提取模塊,用于提取所述可執(zhí)行文件常量池中的常量; 常量判斷模塊,用于判斷所述常量中是否包含病毒信息; 第二特征碼生成模塊,用于在所述常量中包含病毒信息時,根據(jù)所述常量生成病毒特征碼。
15.如權(quán)利要求14所述的裝置,其特征在于,還包括 頭部信息提取模塊,用于提取所述可執(zhí)行文件的頭部信息; 頭部信息判斷模塊,用于判斷所述頭部信息中是否包含病毒信息; 第三特征碼生成模塊,用于在所述頭部信息中包含病毒信息時,根據(jù)所述頭部信息生成病毒特征碼。
16.如權(quán)利要求12、13、14或15所述的裝置,其特征在于,所述操作指令包括操作碼和操作數(shù)兩部分,所述指令判斷模塊包括 第一判斷子模塊,用于判斷所述操作數(shù)中是否包含預(yù)定義的非法操作數(shù); 和/或, 第二判斷子模塊,用于判斷所述操作碼和操作數(shù)的組合是否符合預(yù)定義的非法組合規(guī)則。
17.如權(quán)利要求16所述的裝置,其特征在于,所述第一特征碼生成模塊包括 直接生成子模塊,用于將所述操作指令本身作為病毒特征碼; 和/或, 轉(zhuǎn)換生成子模塊,用于將所述操作指令的操作碼,以及,操作數(shù)的字符串或通配符作為病毒特征碼。
18.如權(quán)利要求14所述的裝置,其特征在于,所述可執(zhí)行文件中常量池中的常量包括字符串strings、類型types、域fields和方法methods中的常量,所述常量判斷模塊包括 第三判斷子模塊,用于判斷所述字符串strings中的常量是否包含預(yù)定義的惡意網(wǎng)址信息、惡意文件名或惡意號碼信息; 和/或, 第四判斷子模塊,用于判斷所述類型types、域fields和方法methods中的常量是否有調(diào)用自定義的類名、自定義的函數(shù)名或Android系統(tǒng)SDK類名、Android系統(tǒng)函數(shù)名。
19.如權(quán)利要求12所述的裝置,其特征在于,所述指定文件還包括文本文件,所述操作指令為Iinux命令,所述指令判斷模塊包括 第五判斷子模塊,用于判斷所述Iinux命令是否符合預(yù)置的惡意Iinux命令。
20.如權(quán)利要求12、13、14、16、17、18或19所述的裝置,其特征在于,還包括 存儲模塊,用于將所述病毒特征碼保存至數(shù)據(jù)庫中。
21.如權(quán)利要求20所述的裝置,其特征在于,所述病毒特征碼包括頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼;所述存儲模塊包括 分區(qū)存儲子模塊,用于將所述頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼分別保存在數(shù)據(jù)庫中不同的存儲區(qū)域; 或者, 標(biāo)簽存儲子模塊,用于將所述頭部信息特征碼、常量特征碼、操作數(shù)特征碼、指令特征碼、指令特征碼序列、類名函數(shù)名特征碼保存在數(shù)據(jù)庫中,井分別標(biāo)記分類標(biāo)簽。
全文摘要
本申請?zhí)峁┝艘环NAPK病毒特征碼的提取方法及裝置,其中所述方法包括掃描Android安裝包APK中的指定文件;提取所述指定文件中的操作指令,判斷所述操作指令是否包含病毒信息;若是,則根據(jù)所述操作指令生成病毒特征碼。本申請可以準(zhǔn)確、有效地提取出病毒APK特征碼,以幫助提高病毒APK及其變種識別的效率和準(zhǔn)確性,從而提高APK應(yīng)用的安全性。
文檔編號G06F21/00GK102663285SQ20121007672
公開日2012年9月12日 申請日期2012年3月21日 優(yōu)先權(quán)日2012年3月21日
發(fā)明者張旭, 王栒 申請人:奇智軟件(北京)有限公司