一種病毒apk的識(shí)別方法及裝置的制造方法
【專(zhuān)利說(shuō)明】
[0001] 本發(fā)明專(zhuān)利申請(qǐng)是申請(qǐng)日為2012年3月21日�、申請(qǐng)?zhí)枮?01210076889. 2��、名稱(chēng)為 "一種病毒APK的識(shí)別方法及裝置"的中國(guó)發(fā)明專(zhuān)利申請(qǐng)的分案申請(qǐng)����。
技術(shù)領(lǐng)域
[0002] 本申請(qǐng)涉及網(wǎng)絡(luò)信息安全的技術(shù)領(lǐng)域����,特別是涉及一種病毒APK的識(shí)別方法,以 及�,一種病毒APK的識(shí)別裝置。
【背景技術(shù)】
[0003] Android是一種以L(fǎng)inux為基礎(chǔ)的開(kāi)放源碼操作系統(tǒng)���,主要使用于手機(jī)等移動(dòng)終 端���,目前尚未有統(tǒng)一中文名稱(chēng)。Android平臺(tái)由操作系統(tǒng)�、中間件、用戶(hù)界面和應(yīng)用軟件組 成���。
[0004] APK是 Android application package file 的縮寫(xiě)����,即 Android安裝包,也可以理 解為Android終端上安裝的應(yīng)用軟件�����。APK是類(lèi)似Symbian Sis或Sisx的文件格式���。通 過(guò)將APK文件直接傳到Android模擬器或Android終端中執(zhí)行即可安裝。apk文件和sis 一樣��,把a(bǔ)ndroid sdk編譯的工程打包成一個(gè)安裝程序文件����,格式為apk。APK文件其實(shí)是 zip格式����,但后綴名被修改為apk,通過(guò)UnZip解壓后�����,可以看到Dex文件��,Dex是Dalvik VM executes的全稱(chēng)�����,即Android Dalvik執(zhí)行程序,并非標(biāo)準(zhǔn)的Java字節(jié)碼而是Dalvik 字節(jié)碼��。Android在運(yùn)行一個(gè)程序時(shí)首先需要UnZip����,然后類(lèi)似Symbian那樣直接運(yùn)行,和 Windows Mobile中的PE文件有區(qū)別�。
[0005] 具體而言,APK文件的結(jié)構(gòu)如下表所示:
[0006]
【主權(quán)項(xiàng)】
1. 一種病毒APK的識(shí)別方法���,其特征在于�,包括: 預(yù)置病毒數(shù)據(jù)庫(kù)�,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼; 檢測(cè)目標(biāo)Amlroid安裝包APK中的指定文件中是否包含所述病毒特征碼��; 若是�,則確定所述目標(biāo)An化oid安裝包APK為病毒APK。
2. 如權(quán)利要求1所述的方法���,其特征在于����,所述指定文件包括可執(zhí)行文件,所述預(yù)置病 毒數(shù)據(jù)庫(kù)的步驟包括: 掃描源An化0id安裝包APK中的可執(zhí)行文件����; 提取所述可執(zhí)行文件中的特定數(shù)據(jù),判斷所述特定數(shù)據(jù)是否包含病毒信息�����,其中�����,所述 特定數(shù)據(jù)包括可執(zhí)行文件的頭部信息��、可執(zhí)行文件常量池中的常量����,和/或���,可執(zhí)行文件中 的操作指令��; 若是���,則根據(jù)所述特定數(shù)據(jù)生成病毒特征碼; 將所述病毒特征碼保存至病毒數(shù)據(jù)庫(kù)中。
3. 如權(quán)利要求1或2所述的方法�,其特征在于,所述可執(zhí)行文件包括Dex文件����,所述Dex 文件包括classes,dex文件,擴(kuò)展名為.jar的文件�,W及,Dex格式的文件�����。
4. 如權(quán)利要求3所述的方法��,其特征在于���,所述病毒特征碼包括:頭部信息特征碼��、常 量特征碼�、操作數(shù)特征碼�����、指令特征碼���、指令特征碼序列�����、類(lèi)名函數(shù)名特征碼�����;所述可執(zhí)行文 件中的操作指令包括操作碼和操作數(shù)兩部分. 所述頭部信息特征碼�、常量特征碼���、操作數(shù)特征碼��、類(lèi)名函數(shù)名特征碼根據(jù)包含病毒信 息的頭部信息�����、常量�、操作數(shù)和類(lèi)名函數(shù)名直接生成���; 所述指令特征碼��、指令特征碼序列根據(jù)包含病毒信息的操作指令直接生成�,或者,根據(jù) 包含病毒信息的操作碼和操作數(shù)的字符串或通配符生成�; 所述將病毒特征碼保存至病毒數(shù)據(jù)庫(kù)中的步驟包括: 將所述頭部信息特征碼、常量特征碼�����、操作數(shù)特征碼���、指令特征碼�、指令特征碼序列����、類(lèi) 名函數(shù)名特征碼分別保存在數(shù)據(jù)庫(kù)中不同的存儲(chǔ)區(qū)域; 或者����, 將所述頭部信息特征碼、常量特征碼��、操作數(shù)特征碼����、指令特征碼、指令特征碼序列�����、類(lèi) 名函數(shù)名特征碼保存在數(shù)據(jù)庫(kù)中,并分別標(biāo)記分類(lèi)標(biāo)簽�����。
5. 如權(quán)利要求4所述的方法��,其特征在于��,所述檢測(cè)目標(biāo)An化oid安裝包APK中的指定 文件中是否包含所述病毒特征碼的步驟包括: 定位目標(biāo)Amlroid安裝包APK中可執(zhí)行文件的頭部信息���,將所述頭部信息與病毒數(shù)據(jù) 庫(kù)中的頭部信息特征碼進(jìn)行匹配,若匹配�,則判定目標(biāo)Amlroid安裝包APK中的指定文件中 包含病毒特征碼; 和/或��, 定位目標(biāo)An化oid安裝包APK中可執(zhí)行文件常量池中的常量�,將所述常量與病毒數(shù)據(jù) 庫(kù)中的常量特征碼進(jìn)行匹配,若匹配����,則判定目標(biāo)Amlroid安裝包APK中的指定文件中包含 病毒特征碼; 和/或�����, 定位目標(biāo)Amlroid安裝包APK中可執(zhí)行文件操作指令中的操作數(shù),將所述操作數(shù)與病 毒數(shù)據(jù)庫(kù)中的操作數(shù)特征碼進(jìn)行匹配�,若匹配,則判定目標(biāo)Amlroid安裝包APK中的指定文 件中包含病毒特征碼����; 和/或, 定位目標(biāo)Amlroid安裝包APK中可執(zhí)行文件操作指令中的操作碼����,將所述操作碼與病 毒數(shù)據(jù)庫(kù)中的指令特征碼進(jìn)行匹配,若匹配�,則判定目標(biāo)Amlroid安裝包APK中的指定文件 中包含病毒特征碼; 和/或��, 定位目標(biāo)Amlroid安裝包APK中可執(zhí)行文件操作指令中的操作碼���,將所述操作碼與病 毒數(shù)據(jù)庫(kù)中的指令特征碼序列進(jìn)行匹配�,若匹配��,則判定目標(biāo)Amlroid安裝包APK中的指定 文件中包含病毒特征碼�����; 和/或, 定位目標(biāo)Amlroid安裝包APK中可執(zhí)行文件常量池中的常量W及操作指令中的操作數(shù) 所調(diào)用的類(lèi)名和/或函數(shù)名��,將所述類(lèi)名和/或函數(shù)名與病毒數(shù)據(jù)庫(kù)中的類(lèi)名函數(shù)名特征 碼進(jìn)行匹配���,若匹配����,則判定目標(biāo)Amlroid安裝包APK中的指定文件中包含病毒特征碼����。
6. 如權(quán)利要求2或5所述的方法,其特征在于����,所述指定文件還包括文本文件,所述預(yù) 置病毒數(shù)據(jù)庫(kù)的步驟還包括: 提取所述文本文件中的linux命令���,判斷所述linux命令是否包含病毒信息; 若是���,則根據(jù)所述linux命令生成病毒特征碼�。
7. 如權(quán)利要求6所述的方法����,其特征在于�����,所述病毒特征碼還包括linux命令特征碼�, 所述檢測(cè)目標(biāo)Amlroid安裝包APK中的指定文件中是否包含病毒特征碼的步驟還包括: 定位目標(biāo)Amlroid安裝包APK中的文本文件���,將所述文本文件中的linux命令與病毒 數(shù)據(jù)庫(kù)中的1inux命令特征碼進(jìn)行匹配����,若匹配���,則判定目標(biāo)Amlroid安裝包APK中的指定 文件中包含病毒特征碼��。
8. 如權(quán)利要求5所述的方法��,其特征在于��,所述可執(zhí)行文件中常量池中的常量包括字 符串strings�����、類(lèi)型types�����、域fields和方法methods中的常量�����;所述可執(zhí)行文件的頭部信 息中包括摘要信息checksum和/或簽名信息Si即ature�。
9. 一種病毒APK的識(shí)別裝置,其特征在于�����,包括: 病毒數(shù)據(jù)庫(kù)生成模塊���,用于預(yù)置病毒數(shù)據(jù)庫(kù)�,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼��; 病毒檢測(cè)模塊���,用于檢測(cè)目標(biāo)Amlroid安裝包APK中的指定文件中是否包含所述病毒 特征碼�����; 病毒識(shí)別模塊���,用于在所述目標(biāo)Amlroid安裝包APK中的指定文件中包含病毒特征碼 時(shí),確定所述目標(biāo)An化oid安裝包APK為病毒APK�����。
10. 如權(quán)利要求9所述的裝置��,其特征在于����,所述指定文件包括可執(zhí)行文件,所述病毒 數(shù)據(jù)庫(kù)生成模塊包括: 源文件掃描子模塊��,用于掃描源Amlroid安裝包APK中的可執(zhí)行文件�; 特定數(shù)據(jù)提取子模塊,用于提取所述可執(zhí)行文件中的特定數(shù)據(jù)�,判斷所述特定數(shù)據(jù)是 否包含病毒信息,其中�����,所述特定數(shù)據(jù)包括可執(zhí)行文件的頭部信息�����、可執(zhí)行文件常量池中的 常量,和/或����,可執(zhí)行文件中的操作指令; 第一特征碼生成子模塊���,用于在所述特定數(shù)據(jù)包含病毒信息時(shí)�����,根據(jù)所述特定數(shù)據(jù)生 成病毒特征碼�����; 特征碼保存子模塊���,用于將所述病毒特征碼保存至病毒數(shù)據(jù)庫(kù)中。
【專(zhuān)利摘要】本申請(qǐng)?zhí)峁┝艘环N病毒APK的識(shí)別方法及裝置���,其中�,所述方法包括:預(yù)置病毒數(shù)據(jù)庫(kù)��,所述病毒數(shù)據(jù)庫(kù)中包括病毒特征碼;檢測(cè)目標(biāo)Android安裝包APK中的指定文件中是否包含所述病毒特征碼�����;若是����,則確定所述目標(biāo)Android安裝包APK為病毒APK���。本申請(qǐng)可以快速�、準(zhǔn)確���、有效地識(shí)別出病毒APK及其變種���,提高APK應(yīng)用的安全性。
【IPC分類(lèi)】G06F21-56
【公開(kāi)號(hào)】CN104715199
【申請(qǐng)?zhí)枴緾N201510146262
【發(fā)明人】王栒, 張旭
【申請(qǐng)人】北京奇虎科技有限公司, 奇智軟件(北京)有限公司
【公開(kāi)日】2015年6月17日
【申請(qǐng)日】2012年3月21日