專利名稱:一種病毒apk的識(shí)別方法及裝置的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及網(wǎng)絡(luò)信息安全的技術(shù)領(lǐng)域,特別是涉及ー種病毒APK的識(shí)別方法���,以及��,ー種病毒APK的識(shí)別裝置�。
背景技術(shù):
Android是ー種以Linux為基礎(chǔ)的開放源碼操作系統(tǒng)����,主要使用于手機(jī)等移動(dòng)終端,目前尚未有統(tǒng)一中文名稱��。Android平臺(tái)由操作系統(tǒng)�、中間件���、用戶界面和應(yīng)用軟件組成。APK是Android application package file 的縮寫���,即 Android安裝包��,也可以理解為Android終端上安裝的應(yīng)用軟件��。APK是類似Symbian Sis或Sisx的文件格式��。通過將APK文件直接傳到Android模擬器或Android終端中執(zhí)行即可安裝��。apk文件和sis一祥�,把a(bǔ)ndroid sdk編譯的工程打包成一個(gè)安裝程序文件��,格式為apk����。APK文件其實(shí)是zip格式,但后綴名被修改為apk,通過UnZip解壓后,可以看到Dex文件,Dex是DalvikVMexecutes的全稱���,即Android Dalvik執(zhí)行程序��,并非標(biāo)準(zhǔn)的Java字節(jié)碼而是Dalvik字節(jié)碼���。Android在運(yùn)行ー個(gè)程序時(shí)首先需要UnZip,然后類似Symbian那樣直接運(yùn)行,和Windows Mobile中的PE文件有區(qū)別�。具體而言,APK文件的結(jié)構(gòu)如下表所示
權(quán)利要求
1.一種病毒APK的識(shí)別方法���,其特征在于����,包括 預(yù)置病毒數(shù)據(jù)庫(kù)��,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼及對(duì)應(yīng)的權(quán)重值�; 檢測(cè)目標(biāo)Android安裝包APK的指定文件中是否包含病毒特征碼,若是��,則統(tǒng)計(jì)所述病毒特征碼對(duì)應(yīng)的權(quán)重值之和�����; 若所述權(quán)重值之和大于等于某病毒判定閾值����,則判定所述目標(biāo)Android安裝包APK中存在相應(yīng)類型的病毒。
2.如權(quán)利要求I所述的方法�����,其特征在于,還包括 生成所述目標(biāo)Android安裝包APK中存在該類型病毒的提示信息���。
3.如權(quán)利要求I所述的方法�,其特征在于��,還包括 若所述權(quán)重值之和小于某病毒判定閾值��,則判定所述目標(biāo)Android安裝包APK為病毒APK�。
4.如權(quán)利要求3所述的方法,其特征在于�,還包括 生成所述目標(biāo)Android安裝包APK為病毒APK的提示信息。
5.如權(quán)利要求2或4所述的方法���,其特征在于��,還包括 調(diào)用安全軟件接口����,針對(duì)所述目標(biāo)Android安裝包APK進(jìn)行病毒查殺�����。
6.如權(quán)利要求I所述的方法,其特征在于���,所述指定文件包括可執(zhí)行文件,所述預(yù)置病毒數(shù)據(jù)庫(kù)的步驟包括 掃描源Android安裝包APK中的可執(zhí)行文件����; 提取所述可執(zhí)行文件中的特定數(shù)據(jù),判斷所述特定數(shù)據(jù)是否包含病毒信息�����,其中����,所述特定數(shù)據(jù)包括可執(zhí)行文件的頭部信息、可執(zhí)行文件常量池中的常量����,和/或,可執(zhí)行文件中的操作指令�; 若是,則根據(jù)所述特定數(shù)據(jù)生成病毒特征碼����; 為所述病毒特征碼分配權(quán)重值����; 將所述病毒特征碼及對(duì)應(yīng)的權(quán)重值保存至病毒數(shù)據(jù)庫(kù)中��。
7.如權(quán)利要求6所述的方法�����,其特征在于���,所述可執(zhí)行文件包括Dex文件�,所述Dex文件包括classes, dex文件,擴(kuò)展名為.jar的文件���,以及���,Dex格式的文件。
8.如權(quán)利要求7所述的方法�,其特征在于,所述病毒特征碼包括頭部信息特征碼��、常量特征碼�、操作數(shù)特征碼、指令特征碼、指令特征碼序列�����、類名函數(shù)名特征碼����;所述可執(zhí)行文件中的操作指令包括操作碼和操作數(shù)兩部分�����; 所述頭部信息特征碼�����、常量特征碼��、操作數(shù)特征碼�����、類名函數(shù)名特征碼根據(jù)包含病毒信息的頭部信息�����、常量、操作數(shù)和類名函數(shù)名直接生成����; 所述指令特征碼、指令特征碼序列根據(jù)包含病毒信息的操作指令直接生成�,或者,根據(jù)包含病毒信息的操作碼和操作數(shù)的字符串或通配符生成�����; 所述將病毒特征碼及對(duì)應(yīng)的權(quán)重值保存至病毒數(shù)據(jù)庫(kù)中的步驟包括 將所述頭部信息特征碼����、常量特征碼、操作數(shù)特征碼����、指令特征碼、指令特征碼序列�����、類名函數(shù)名特征碼����,以及,對(duì)應(yīng)的權(quán)重值分別保存在數(shù)據(jù)庫(kù)中不同的存儲(chǔ)區(qū)域; 或者��, 將所述頭部信息特征碼�、常量特征碼、操作數(shù)特征碼����、指令特征碼、指令特征碼序列�����、類名函數(shù)名特征碼�����,以及�����,對(duì)應(yīng)的權(quán)重值保存在數(shù)據(jù)庫(kù)中����,并分別標(biāo)記分類標(biāo)簽�����。
9.如權(quán)利要求8所述的方法,其特征在于����,所述檢測(cè)目標(biāo)Android安裝包APK中的指定文件中是否包含所述病毒特征碼的步驟包括 定位目標(biāo)Android安裝包APK中可執(zhí)行文件的頭部信息,將所述頭部信息與病毒數(shù)據(jù)庫(kù)中的頭部信息特征碼進(jìn)行匹配�,若匹配,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼�����; 和/或���, 定位目標(biāo)Android安裝包APK中可執(zhí)行文件常量池中的常量�,將所述常量與病毒數(shù)據(jù)庫(kù)中的常量特征碼進(jìn)行匹配�,若匹配,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼�����; 和/或����, 定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作數(shù),將所述操作數(shù)與病毒數(shù)據(jù)庫(kù)中的操作數(shù)特征碼進(jìn)行匹配�����,若匹配����,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼���; 和/或�����, 定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作碼���,將所述操作碼與病毒數(shù)據(jù)庫(kù)中的指令特征碼進(jìn)行匹配,若匹配�,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼�; 和/或, 定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作碼�����,將所述操作碼與病毒數(shù)據(jù)庫(kù)中的指令特征碼序列進(jìn)行匹配����,若匹配��,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼���; 和/或, 定位目標(biāo)Android安裝包APK中可執(zhí)行文件常量池中的常量以及操作指令中的操作數(shù)所調(diào)用的類名和/或函數(shù)名����,將所述類名和/或函數(shù)名與病毒數(shù)據(jù)庫(kù)中的類名函數(shù)名特征碼進(jìn)行匹配,若匹配��,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼����。
10.如權(quán)利要求6所述的方法,其特征在于��,所述指定文件還包括文本文件���,所述預(yù)置病毒數(shù)據(jù)庫(kù)的步驟還包括 提取所述文本文件中的Iinux命令����,判斷所述Iinux命令是否包含病毒信息�; 若是�����,則根據(jù)所述Iinux命令生成病毒特征碼�����。
11.如權(quán)利要求10所述的方法����,其特征在于��,所述病毒特征碼還包括Iinux命令特征碼�����,所述檢測(cè)目標(biāo)Android安裝包APK中的指定文件中是否包含病毒特征碼的步驟還包括 定位目標(biāo)Android安裝包APK中的文本文件�,將所述文本文件中的Iinux命令與病毒數(shù)據(jù)庫(kù)中的Iinux命令特征碼進(jìn)行匹配,若匹配����,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼�。
12.如權(quán)利要求9所述的方法,其特征在于����,所述可執(zhí)行文件中常量池中的常量包括字符串strings���、類型types、域fields和方法methods中的常量����;所述可執(zhí)行文件的頭部信息中包括摘要信息checksum和/或簽名信息Signature。
13.一種病毒APK的識(shí)別裝置����,其特征在于,包括病毒數(shù)據(jù)庫(kù)生成模塊��,用于預(yù)置病毒數(shù)據(jù)庫(kù)����,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼及對(duì)應(yīng)的權(quán)重值; 病毒檢測(cè)模塊����,用于檢測(cè)目標(biāo)Android安裝包APK中的指定文件中是否包含所述病毒特征碼;若是����,則調(diào)用病毒權(quán)重值統(tǒng)計(jì)模塊�����; 病毒權(quán)重值統(tǒng)計(jì)模塊���,用于統(tǒng)計(jì)所述病毒特征碼對(duì)應(yīng)的權(quán)重值之和; 閾值判斷模塊�����,用于判斷所述權(quán)重值之和是否大于等于某病毒判定閾值����;若是,則調(diào)用病毒判定模塊����; 病毒判定模塊,用于判定所述目標(biāo)Android安裝包APK中存在相應(yīng)類型的病毒����。
14.如權(quán)利要求13所述的裝置,其特征在于��,還包括 第一提示信息生成模塊,與所述病毒判定模塊連接����,用于生成所述目標(biāo)Android安裝包APK中存在該類型病毒的提示信息�。
15.如權(quán)利要求13所述的裝置,其特征在于��,還包括 病毒識(shí)別模塊��,用于在所述權(quán)重值之和小于某病毒判定閾值時(shí)����,判定所述目標(biāo)Android安裝包APK為病毒APK。
16.如權(quán)利要求15所述的裝置��,其特征在于���,還包括 第二提示信息生成模塊�,與所述病毒識(shí)別模塊連接����,用于生成所述目標(biāo)Android安裝包APK為病毒APK的提示信息。
17.如權(quán)利要求14或16所述的裝置����,其特征在于����,還包括 病毒查殺模塊�����,用于調(diào)用安全軟件接口���,針對(duì)所述目標(biāo)Android安裝包APK進(jìn)行病毒查殺����。
18.如權(quán)利要求17所述的裝置����,其特征在于,所述指定文件包括可執(zhí)行文件���,所述病毒數(shù)據(jù)庫(kù)生成模塊包括 源文件掃描子模塊�����,用于掃描源Android安裝包APK中的可執(zhí)行文件��; 特定數(shù)據(jù)提取子模塊���,用于提取所述可執(zhí)行文件中的特定數(shù)據(jù)��,判斷所述特定數(shù)據(jù)是否包含病毒信息,其中�,所述特定數(shù)據(jù)包括可執(zhí)行文件的頭部信息、可執(zhí)行文件常量池中的常量����,和/或,可執(zhí)行文件中的操作指令���; 第一特征碼生成子模塊���,用于在所述特定數(shù)據(jù)包含病毒信息時(shí),根據(jù)所述特定數(shù)據(jù)生成病毒特征碼�; 權(quán)重值分配模塊,用于為所述病毒特征碼分配權(quán)重值���; 特征碼保存子模塊����,用于將所述病毒特征碼及對(duì)應(yīng)的權(quán)重值保存至病毒數(shù)據(jù)庫(kù)中。
19.如權(quán)利要求18所述的裝置��,其特征在于��,所述可執(zhí)行文件包括Dex文件����,所述Dex文件包括classes, dex文件,擴(kuò)展名為.jar的文件���,以及���,Dex格式的文件。
20.如權(quán)利要求19所述的裝置���,其特征在于�����,所述病毒特征碼包括頭部信息特征碼��、常量特征碼�、操作數(shù)特征碼�����、指令特征碼、指令特征碼序列�、類名函數(shù)名特征碼;所述可執(zhí)行文件中的操作指令包括操作碼和操作數(shù)兩部分����; 所述頭部信息特征碼、常量特征碼�、操作數(shù)特征碼�����、類名函數(shù)名特征碼根據(jù)包含病毒信息的頭部信息����、常量、操作數(shù)和類名函數(shù)名直接生成��; 所述指令特征碼���、指令特征碼序列根據(jù)包含病毒信息的操作指令直接生成�����,或者�,根據(jù)包含病毒信息的操作碼和操作數(shù)的字符串或通配符生成;所述特征碼保存子模塊進(jìn)一步包括 分區(qū)保存單元����,用于將所述頭部信息特征碼、常量特征碼�����、操作數(shù)特征碼����、指令特征碼、指令特征碼序列����、類名函數(shù)名特征碼,以及�����,對(duì)應(yīng)的權(quán)重值分別保存在數(shù)據(jù)庫(kù)中不同的存儲(chǔ)區(qū)域�����; 或者, 標(biāo)簽保存單元����,用于將所述頭部信息特征碼、常量特征碼�、操作數(shù)特征碼、指令特征碼����、指令特征碼序列、類名函數(shù)名特征碼���,以及,對(duì)應(yīng)的權(quán)重值保存在數(shù)據(jù)庫(kù)中���,并分別標(biāo)記分類標(biāo)簽��。
21.如權(quán)利要求20所述的裝置���,其特征在于,所述病毒檢測(cè)模塊包括 第一檢測(cè)子模塊��,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件的頭部信息��,將所述頭部信息與病毒數(shù)據(jù)庫(kù)中的頭部信息特征碼進(jìn)行匹配,若匹配�,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼; 和/或�, 第二檢測(cè)子模塊,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件常量池中的常量�,將所述常量與病毒數(shù)據(jù)庫(kù)中的常量特征碼進(jìn)行匹配,若匹配�,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼; 和/或�, 第三檢測(cè)子模塊,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作數(shù)�����,將所述操作數(shù)與病毒數(shù)據(jù)庫(kù)中的操作數(shù)特征碼進(jìn)行匹配�����,若匹配���,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼��; 和/或���, 第四檢測(cè)子模塊����,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作碼��,將所述操作碼與病毒數(shù)據(jù)庫(kù)中的指令特征碼進(jìn)行匹配�,若匹配,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼����; 和/或, 第五檢測(cè)子模塊��,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件操作指令中的操作碼����,將所述操作碼與病毒數(shù)據(jù)庫(kù)中的指令特征碼序列進(jìn)行匹配,若匹配�����,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼�����; 和/或���, 第六檢測(cè)子模塊�����,用于定位目標(biāo)Android安裝包APK中可執(zhí)行文件常量池中的常量以及操作指令中的操作數(shù)所調(diào)用的類名和/或函數(shù)名�����,將所述類名和/或函數(shù)名與病毒數(shù)據(jù)庫(kù)中的類名函數(shù)名特征碼進(jìn)行匹配����,若匹配��,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼���。
22.如權(quán)利要求17所述的裝置��,其特征在于�,所述指定文件還包括文本文件���,所述病毒數(shù)據(jù)庫(kù)生成模塊還包括 Iinux命令提取子模塊,用于提取所述文本文件中的Iinux命令,判斷所述Iinux命令是否包含病毒信息�; 第二特征碼生成子模塊,用于在所述Iinux命令包含病毒信息時(shí)�����,根據(jù)所述Iinux命令生成病毒特征碼��。
23.如權(quán)利要求22所述的裝置�,其特征在于,所述病毒特征碼還包括Iinux命令特征碼���,所述病毒檢測(cè)模塊還包括 第七檢測(cè)子模塊��,用于定位目標(biāo)Android安裝包APK中的文本文件�����,將所述文本文件中的Iinux命令與病毒數(shù)據(jù)庫(kù)中的Iinux命令特征碼進(jìn)行匹配�����,若匹配���,則判定目標(biāo)Android安裝包APK中的指定文件中包含病毒特征碼���。
全文摘要
本申請(qǐng)?zhí)峁┝艘环N病毒APK的識(shí)別方法和裝置��,其中��,所述方法包括預(yù)置病毒數(shù)據(jù)庫(kù)�,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼及對(duì)應(yīng)的權(quán)重值;檢測(cè)目標(biāo)Android安裝包APK的指定文件中是否包含病毒特征碼����,若是,則統(tǒng)計(jì)所述病毒特征碼對(duì)應(yīng)的權(quán)重值之和�;若所述權(quán)重值之和大于等于某病毒判定閾值,則判定所述目標(biāo)Android安裝包APK中存在相應(yīng)類型的病毒�����。本申請(qǐng)可以快速��、準(zhǔn)確����、有效地識(shí)別出病毒APK及其變種,提高APK應(yīng)用的安全性�。
文檔編號(hào)G06F21/00GK102708320SQ20121013745
公開日2012年10月3日 申請(qǐng)日期2012年5月4日 優(yōu)先權(quán)日2012年5月4日
發(fā)明者張旭, 王栒 申請(qǐng)人:奇智軟件(北京)有限公司