一種移動終端病毒動態(tài)檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出了一種移動終端病毒動態(tài)檢測方法及系統(tǒng)���,利用進程注入技術(shù)和Hook技術(shù)獲取Android系統(tǒng)中敏感行為API���,通過對應(yīng)用程序樣本調(diào)用敏感API行為的監(jiān)控,生成監(jiān)控日志,最后通過對監(jiān)控日志進行解析和檢測生成檢測報告�。本發(fā)明彌補了現(xiàn)有通過靜態(tài)解析病毒代碼進行病毒庫匹配的檢測技術(shù)不能很好的對移動終端的病毒進行檢出這一不足,采用全程動態(tài)處理和檢測的方式�,有效的對移動終端中混淆以及加殼的病毒進行檢出。
【專利說明】
一種移動終端病毒動態(tài)檢測方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及移動終端病毒檢測技術(shù)領(lǐng)域���,尤其涉及一種移動終端病毒動態(tài)檢測方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著移動終端設(shè)備的普及�,以及其應(yīng)用領(lǐng)域越來越廣泛�����,使得移動終端成為了攻擊者的一大攻擊目標����,目前出現(xiàn)在移動終端上的病毒日漸猖獗,并出現(xiàn)了很多混淆以及加殼的病毒�����,使得原本通過靜態(tài)解析病毒代碼進行病毒庫匹配的檢測技術(shù)面臨的挑戰(zhàn)越來越大��。
【發(fā)明內(nèi)容】
[0003]針對現(xiàn)有移動終端檢測技術(shù)存在的缺陷����,本發(fā)明提出了一種移動終端病毒動態(tài)檢測方法及系統(tǒng)�,利用進程注入技術(shù)和Hook技術(shù)獲取Andro i d系統(tǒng)中敏感行為API����,通過對應(yīng)用程序樣本調(diào)用敏感API行為的監(jiān)控,生成監(jiān)控日志�����,最后通過對監(jiān)控日志進行解析和檢測生成檢測報告����。
[0004]具體
【發(fā)明內(nèi)容】
包括:
一種移動終端病毒動態(tài)檢測方法,包括:
啟動Android系統(tǒng)模擬器���,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作���,目的是幫助實現(xiàn)Java層API的Hook�����,以及進程監(jiān)控�;通過敏感API列表匹配���,對Native層和Java層的敏感API進行Hook操作;通過調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中�����,對樣本進行模擬觸發(fā)操作��;監(jiān)控模擬觸發(fā)操作的過程�,當(dāng)樣本調(diào)用被Hook的API時,記錄關(guān)鍵信息����,并寫入監(jiān)控日志;提取監(jiān)控日志的特征信息����,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配,輸出檢測報告����。
[0005]進一步地,所述對Native層和Java層的敏感API進行Hook操作�,具體為:判斷Android系統(tǒng)模擬器的模式,若為Dalvik模式�����,貝Ij進行Dalvik模式下的Java Hook ;若為Art模式,則進行Art模式下的Java Hook��。
[0006]進一步地�,所述調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中,具體為:調(diào)度管理中心一次性將全部應(yīng)用程序樣本放入模擬器中�����;或調(diào)度管理中心分批定時將應(yīng)用程序樣本放入模擬器中�;或調(diào)度管理中心分批將應(yīng)用程序樣本放入模擬器中,且在首批樣本放入后��,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入����。
[0007]進一步地,所述模擬觸發(fā)操作包括:模擬點擊���、模擬發(fā)送短信�、模擬發(fā)送廣播�����、模擬更改網(wǎng)絡(luò)狀態(tài)����、模擬打電話、模擬重啟�����。
[0008]進一步地��,所述監(jiān)控日志包括:API行為信息����、Pcap文件信息、流量信息��、dump文件信息�、敏感行為截圖;所述提取監(jiān)控日志的特征信息����,具體為:提取監(jiān)控日志中的API行為信息、Pcap包信息�����、流量信息作為特征信息。
[0009]—種移動終端病毒動態(tài)檢測系統(tǒng)�,包括: 進程注入模塊,用于啟動Android系統(tǒng)模擬器���,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作����;API Hook模塊���,用于通過敏感API列表匹配�����,對Native層和Java層的敏感API進行Hook操作���;動態(tài)調(diào)度模塊,用于將應(yīng)用程序樣本安裝到模擬器中�����,對樣本進行模擬觸發(fā)操作�;動態(tài)監(jiān)控模塊,用于監(jiān)控模擬觸發(fā)操作的過程,當(dāng)樣本調(diào)用被Hook的API時���,記錄關(guān)鍵信息,并寫入監(jiān)控日志���;動態(tài)檢測模塊�����,用于提取監(jiān)控日志的特征信息���,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配,輸出檢測報告���。
[0010]進一步地��,所述對Native層和Java層的敏感API進行Hook操作�����,具體為:判斷Android系統(tǒng)模擬器的模式����,若為Dalvik模式,貝Ij進行Dalvik模式下的Java Hook ;若為Art模式��,則進行Art模式下的Java Hook��。
[0011]進一步地����,所述將應(yīng)用程序樣本安裝到模擬器中,具體為:一次性將全部應(yīng)用程序樣本放入模擬器中���;或分批定時將應(yīng)用程序樣本放入模擬器中���;或分批將應(yīng)用程序樣本放入模擬器中,且在首批樣本放入后�����,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入����。
[0012]進一步地,所述模擬觸發(fā)操作包括:模擬點擊�、模擬發(fā)送短信、模擬發(fā)送廣播���、模擬更改網(wǎng)絡(luò)狀態(tài)����、模擬打電話、模擬重啟��。
[0013]進一步地����,所述監(jiān)控日志包括:API行為信息���、Pcap文件信息����、流量信息���、dump文件信息����、敏感行為截圖�;所述提取監(jiān)控日志的特征信息,具體為:提取監(jiān)控日志中的API行為信息��、Pcap包信息、流量信息作為特征信息�����。
[0014]本發(fā)明的有益效果是:
針對現(xiàn)有通過靜態(tài)解析病毒代碼進行病毒庫匹配的檢測技術(shù)不能很好的對移動終端的病毒進行檢出這一不足���,提出了一種移動終端病毒動態(tài)檢測方法及系統(tǒng)�,利用進程注入技術(shù)和Hook技術(shù)獲取Android系統(tǒng)中敏感行為API��,通過對應(yīng)用程序樣本調(diào)用敏感API行為的監(jiān)控�����,生成監(jiān)控日志���,最后通過對監(jiān)控日志進行解析和檢測生成檢測報告���。利用進程注入技術(shù)實現(xiàn)了對樣本行為進行監(jiān)控的同時,輔助實現(xiàn)了對Java層敏感API的Hook ;監(jiān)控樣本行為過程中只對調(diào)用了敏感API的行為進行監(jiān)控���,而不是監(jiān)控樣本所有行為�,確保檢測結(jié)果準確率的同時提高了檢測效率�����;檢測時通過對監(jiān)控日志的解析,提取行為信息�����、流量信息�����、Pcap包信息進行特征匹配����,而不同于傳統(tǒng)檢測過程中直接使用行為特征進行匹配���,使得檢測結(jié)果更加精確��,且檢測過程大大降低了系統(tǒng)內(nèi)存���,有效提高檢測效率;本發(fā)明提出的檢測方法及系統(tǒng)��,從敏感API的Hook���、樣本行為監(jiān)控��,到監(jiān)控日志的檢測�����,其過程均動態(tài)進行���,不同于現(xiàn)有技術(shù)基于靜態(tài)特征的檢測�����,能夠有效的檢出混淆以及加殼的病毒��。
【附圖說明】
[0015]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
[0016]圖1為本發(fā)明一種移動終端病毒動態(tài)檢測的方法流程圖。
[0017]圖2為本發(fā)明一種移動終端病毒動態(tài)檢測的系統(tǒng)結(jié)構(gòu)圖���。
【具體實施方式】
[0018]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案����,并使本發(fā)明的上述目的�、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明�����。
[0019]本發(fā)明給出了一種移動終端病毒動態(tài)檢測的方法實施例���,如圖1所示,包括:
5101:啟動Android系統(tǒng)模擬器�����,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作,目的是幫助實現(xiàn)Java層API的Hook��,以及進程監(jiān)控��;
5102:通過敏感API列表匹配�,對Native層和Java層的敏感API進行Hook操作;
5103:通過調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中�,對樣本進行模擬觸發(fā)操作;
5104:監(jiān)控模擬觸發(fā)操作的過程���,當(dāng)樣本調(diào)用被Hook的API時�����,記錄關(guān)鍵信息��,并寫入監(jiān)控日志�;
5105:提取監(jiān)控日志的特征信息�,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配,輸出檢測報告��。
[0020]優(yōu)選地�,所述對Native層和Java層的敏感API進行Hook操作,具體為:判斷Android系統(tǒng)模擬器的模式����,若為Dalvik模式���,貝Ij進行Dalvik模式下的Java Hook ;若為Art模式,則進行Art模式下的Java Hook�。
[0021]優(yōu)選地,所述調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中�,具體為:調(diào)度管理中心一次性將全部應(yīng)用程序樣本放入模擬器中;或調(diào)度管理中心分批定時將應(yīng)用程序樣本放入模擬器中�;或調(diào)度管理中心分批將應(yīng)用程序樣本放入模擬器中,且在首批樣本放入后��,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入���。
[0022]優(yōu)選地���,所述模擬觸發(fā)操作包括:模擬點擊、模擬發(fā)送短信�、模擬發(fā)送廣播����、模擬更改網(wǎng)絡(luò)狀態(tài)、模擬打電話����、模擬重啟���。
[0023]優(yōu)選地,所述監(jiān)控日志包括:API行為信息���、Pcap文件信息�、流量信息�����、dump文件信息��、敏感行為截圖��;所述提取監(jiān)控日志的特征信息����,具體為:提取監(jiān)控日志中的API行為信息、Pcap包信息�、流量信息作為特征信息。
[0024]本發(fā)明還給出了一種移動終端病毒動態(tài)檢測的系統(tǒng)實施例���,如圖2所示�,包括: 進程注入模塊201,用于啟動Android系統(tǒng)模擬器����,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作;
API Hook模塊202�����,用于通過敏感API列表匹配��,對Native層和Java層的敏感API進行Hook操作�;
動態(tài)調(diào)度模塊203,用于將應(yīng)用程序樣本安裝到模擬器中���,對樣本進行模擬觸發(fā)操作�;動態(tài)監(jiān)控模塊204����,用于監(jiān)控模擬觸發(fā)操作的過程,當(dāng)樣本調(diào)用被Hook的API時����,記錄關(guān)鍵信息,并寫入監(jiān)控日志����;
動態(tài)檢測模塊205,用于提取監(jiān)控日志的特征信息��,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配���,輸出檢測報告����。
[0025]優(yōu)選地����,所述對Native層和Java層的敏感API進行Hook操作,具體為:判斷Android系統(tǒng)模擬器的模式�,若為Dalvik模式,貝Ij進行Dalvik模式下的Java Hook ;若為Art模式���,則進行Art模式下的Java Hook����。
[0026]優(yōu)選地����,所述將應(yīng)用程序樣本安裝到模擬器中�,具體為:一次性將全部應(yīng)用程序樣本放入模擬器中�;或分批定時將應(yīng)用程序樣本放入模擬器中;或分批將應(yīng)用程序樣本放入模擬器中�����,且在首批樣本放入后��,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入�。
[0027]優(yōu)選地,所述模擬觸發(fā)操作包括:模擬點擊�、模擬發(fā)送短信、模擬發(fā)送廣播���、模擬更改網(wǎng)絡(luò)狀態(tài)����、模擬打電話��、模擬重啟����。
[0028]優(yōu)選地���,所述監(jiān)控日志包括:API行為信息、Pcap文件信息����、流量信息���、dump文件信息���、敏感行為截圖;所述提取監(jiān)控日志的特征信息�����,具體為:提取監(jiān)控日志中的API行為信息���、Pcap包信息���、流量信息作為特征信息。
[0029]本說明書中方法的實施例采用遞進的方式描述����,對于系統(tǒng)的實施例而言����,由于其基本相似于方法實施例��,所以描述的比較簡單����,相關(guān)之處參見方法實施例的部分說明即可。針對現(xiàn)有通過靜態(tài)解析病毒代碼進行病毒庫匹配的檢測技術(shù)不能很好的對移動終端的病毒進行檢出這一不足����,提出了一種移動終端病毒動態(tài)檢測方法及系統(tǒng),利用進程注入技術(shù)和Hook技術(shù)獲取Android系統(tǒng)中敏感行為API�����,通過對應(yīng)用程序樣本調(diào)用敏感API行為的監(jiān)控����,生成監(jiān)控日志,最后通過對監(jiān)控日志進行解析和檢測生成檢測報告����。利用進程注入技術(shù)實現(xiàn)了對樣本行為進行監(jiān)控的同時,輔助實現(xiàn)了對Java層敏感API的Hook ;監(jiān)控樣本行為過程中只對調(diào)用了敏感API的行為進行監(jiān)控�����,而不是監(jiān)控樣本所有行為,確保檢測結(jié)果準確率的同時提高了檢測效率����;檢測時通過對監(jiān)控日志的解析,提取行為信息�、流量信息��、Pcap包信息進行特征匹配�����,而不同于傳統(tǒng)檢測過程中直接使用行為特征進行匹配���,使得檢測結(jié)果更加精確���,且檢測過程大大降低了系統(tǒng)內(nèi)存,有效提高檢測效率���;本發(fā)明提出的檢測方法及系統(tǒng)���,從敏感API的Hook�����、樣本行為監(jiān)控���,到監(jiān)控日志的檢測,其過程均動態(tài)進行���,不同于現(xiàn)有技術(shù)基于靜態(tài)特征的檢測���,能夠有效的檢出混淆以及加殼的病毒。
[0030]雖然通過實施例描繪了本發(fā)明���,本領(lǐng)域普通技術(shù)人員知道��,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神�����,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�����。
【主權(quán)項】
1.一種移動終端病毒動態(tài)檢測方法���,其特征在于��,包括: 啟動Android系統(tǒng)模擬器����,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作����; 通過敏感API列表匹配,對Native層和Java層的敏感API進行Hook操作�����; 通過調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中�����,對樣本進行模擬觸發(fā)操作�;監(jiān)控模擬觸發(fā)操作的過程�����,當(dāng)樣本調(diào)用被Hook的API時�,記錄關(guān)鍵信息���,并寫入監(jiān)控日志; 提取監(jiān)控日志的特征信息����,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配,輸出檢測報告�����。2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述對Native層和Java層的敏感API進行Hook操作���,具體為:判斷Android系統(tǒng)模擬器的模式�,若為Dalvik模式��,則進行Dalvik模式下的Java Hook ;若為Art模式,則進行Art模式下的Java Hook��。3.如權(quán)利要求1所述的方法�,其特征在于,所述調(diào)度管理中心將應(yīng)用程序樣本安裝到模擬器中�����,具體為:調(diào)度管理中心一次性將全部應(yīng)用程序樣本放入模擬器中����;或調(diào)度管理中心分批定時將應(yīng)用程序樣本放入模擬器中;或調(diào)度管理中心分批將應(yīng)用程序樣本放入模擬器中����,且在首批樣本放入后,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入����。4.如權(quán)利要求1所述的方法��,其特征在于�����,所述模擬觸發(fā)操作包括:模擬點擊、模擬發(fā)送短信��、模擬發(fā)送廣播���、模擬更改網(wǎng)絡(luò)狀態(tài)�����、模擬打電話��、模擬重啟����。5.如權(quán)利要求1所述的方法��,其特征在于�����,所述監(jiān)控日志包括:API行為信息���、Pcap文件信息�����、流量信息�����、dump文件信息����、敏感行為截圖;所述提取監(jiān)控日志的特征信息�����,具體為:提取監(jiān)控日志中的API行為信息��、Pcap包信息��、流量信息作為特征信息����。6.一種移動終端病毒動態(tài)檢測系統(tǒng),其特征在于���,包括: 進程注入模塊,用于啟動Android系統(tǒng)模擬器�����,對進程孵化器zygote與系統(tǒng)服務(wù)進程管理器system_server進行進程注入操作; API Hook模塊�����,用于通過敏感API列表匹配���,對Native層和Java層的敏感API進行Hook操作�; 動態(tài)調(diào)度模塊�����,用于將應(yīng)用程序樣本安裝到模擬器中�����,對樣本進行模擬觸發(fā)操作�; 動態(tài)監(jiān)控模塊,用于監(jiān)控模擬觸發(fā)操作的過程���,當(dāng)樣本調(diào)用被Hook的API時����,記錄關(guān)鍵信息,并寫入監(jiān)控日志�; 動態(tài)檢測模塊,用于提取監(jiān)控日志的特征信息�����,將特征信息與病毒庫中的相應(yīng)病毒特征進行匹配��,輸出檢測報告。7.如權(quán)利要求6所述的系統(tǒng),其特征在于����,所述對Native層和Java層的敏感API進行Hook操作��,具體為:判斷Android系統(tǒng)模擬器的模式���,若為Dalvik模式,則進行Dalvik模式下的Java Hook ;若為Art模式��,則進行Art模式下的Java Hook����。8.如權(quán)利要求6所述的系統(tǒng),其特征在于��,所述將應(yīng)用程序樣本安裝到模擬器中���,具體為:一次性將全部應(yīng)用程序樣本放入模擬器中��;或分批定時將應(yīng)用程序樣本放入模擬器中�;或分批將應(yīng)用程序樣本放入模擬器中���,且在首批樣本放入后���,后續(xù)每批樣本在接到緊前批樣本運行結(jié)束報告后進行放入。9.如權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述模擬觸發(fā)操作包括:模擬點擊����、模擬發(fā)送短信、模擬發(fā)送廣播��、模擬更改網(wǎng)絡(luò)狀態(tài)��、模擬打電話��、模擬重啟���。10.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于�,所述監(jiān)控日志包括:API行為信息、Pcap文件信息���、流量信息���、dump文件信息、敏感行為截圖����;所述提取監(jiān)控日志的特征信息,具體為:提取監(jiān)控日志中的API行為信息����、Pcap包信息、流量信息作為特征信息��。
【文檔編號】G06F21/56GK105975856SQ201510619285
【公開日】2016年9月28日
【申請日】2015年9月25日
【發(fā)明人】馮澤, 蔣杰, 喬偉
【申請人】武漢安天信息技術(shù)有限責(zé)任公司