发明名称 |
一种Android恶意软件的自动化检测方法 |
摘要 |
本发明公开了一种Android恶意软件的自动化检测方法,属于系统安全技术领域。本方法为:1)将若干API函数设为敏感API,将待检测软件反汇编并解析出反汇编代码中的所有敏感API和函数调用路径;2)判断每一敏感API的触发方式,若为用户触发方式,则解析出触发该敏感API的控件信息,并将其输入到动态检测沙箱中,执行该控件自动触发恶意行为;若为系统消息触发方式,则向动态检测沙箱中发送系统消息触发恶意行为;3)动态检测沙箱监测并记录该软件调用敏感API的情况及操作的数据,如果确实有敏感API的调用及该调用所操作的数据,则将该软件判定为恶意软件。本发明无需人工参与,为大规模恶意软件检测提供了有力支持。 |
申请公布号 |
CN103186740A |
申请公布日期 |
2013.07.03 |
申请号 |
CN201110445091.6 |
申请日期 |
2011.12.27 |
申请人 |
北京大学 |
发明人 |
韩心慧;郑聪;龚晓锐;朱诗雄 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
余长江 |
主权项 |
一种Android恶意软件的自动化检测方法,其步骤为:1)将若干API函数设为敏感API,将待检测Android软件反汇编并解析出反汇编代码中的所有敏感API和敏感API的函数调用路径;2)根据API的函数调用路径判断每一敏感API的触发方式,若为用户触发方式,则解析出触发该敏感API的用户事件函数名称和控件信息,并将其输入到动态检测沙箱中,执行该控件的相应用户事件函数,自动触发恶意行为;若为系统消息触发方式,则向动态检测沙箱中发送系统消息触发恶意行为;所述控件信息包括:控件的类型及名称;3)动态检测沙箱监测并记录该软件调用敏感API的情况及操作的数据,如果确实有敏感API的调用及该调用所操作的数据,则将该软件判定为恶意软件。 |
地址 |
100871 北京市海淀区颐和园路5号 |