本發(fā)明公開了一種針對加固APK樣本惡意性的檢測方法：提取并解析待測APK樣本的文件列表、AndroidManifest.xml文件；當(dāng)檢測到文件列表里包含預(yù)定義特征文件且AndroidManifest.xml文件里存在滿足預(yù)定義規(guī)則的權(quán)限信息時，判斷該加固APK樣本具有惡意性。本發(fā)明還公開了一種針對加固APK樣本惡意性的檢測裝置，包括文件處理模塊、第一檢測模塊、第二檢測模塊、結(jié)果輸出模塊。本發(fā)明僅通過特征文件和相應(yīng)權(quán)限兩個維度就能準(zhǔn)確判斷加固APK是否具有惡意性，實現(xiàn)了在前端以一種較小的開銷對加固樣本進(jìn)行大概率準(zhǔn)確的定性，具有檢測快速、準(zhǔn)確率高的特點。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種針對加固APK樣本的檢測方法及系統(tǒng)。

背景技術(shù)

隨著Android系統(tǒng)越來越普及，對其的研究也漸漸深入，不少開發(fā)者為了保護(hù)自己開發(fā)的APP軟件不被逆向工程或者惡意軟件開發(fā)者為了防止自己開發(fā)的惡意軟件不被查殺，涌現(xiàn)了不少所謂的加固方案，即將APK安裝包中的必須文件做一些混淆或者加密，達(dá)到無法靜態(tài)分析的目的。各式各樣的加固方案給目前的常規(guī)分析方法帶來了很大的困難，由于加固方式多種多樣，不存在固定的還原模式，即目前常規(guī)方式對加固樣本檢測困難。

由于加固方案各異，前端設(shè)備上的殺毒軟件很難對樣本進(jìn)行深入分析，往往使用了Hash標(biāo)記法，通常是利用后臺集群對樣本進(jìn)行還原，再進(jìn)行檢測，并在前端對樣本做出一對一的標(biāo)記。該方案限制于后臺的樣本覆蓋率，若覆蓋率不夠，則明顯無法檢測對應(yīng)的樣本。同時檢測結(jié)果也不是同步的結(jié)果，可能需要等待一段時間才能對樣本進(jìn)行定性。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種針對加固APK樣本的檢測方法及系統(tǒng)，能夠在前端以一種較小的開銷對加固樣本進(jìn)行大概率準(zhǔn)確的定性，具有檢測快速、準(zhǔn)確率高的特點。

本發(fā)明公開了一種針對加固APK樣本惡意性的檢測方法，包括以下步驟：

提取并解析待測APK樣本的文件列表、AndroidManifest.xml文件；

當(dāng)檢測到文件列表里包含預(yù)定義特征文件且AndroidManifest.xml文件里存在滿足預(yù)定義規(guī)則的權(quán)限信息時，判斷該加固APK樣本具有惡意性。

進(jìn)一步的，提取并解析待測APK樣本的文件列表、classes.dex文件、AndroidManifest.xml文件；

當(dāng)檢測到文件列表或classes.dex文件里包含預(yù)定義特征文件且AndroidManifest.xml文件里存在滿足預(yù)定義規(guī)則的權(quán)限信息時，判斷該加固APK樣本具有惡意性。

本發(fā)明還公開了一種針對加固APK樣本惡意性的檢測裝置，包括文件處理模塊、第一檢測模塊、第二檢測模塊、結(jié)果輸出模塊：

所述文件處理模塊，用于提取并解析待測APK樣本的文件列表、AndroidManifest.xml文件；

所述第一檢測模塊，用于檢測文件列表里是否包含預(yù)定義特征文件；

所述二檢測模塊，用于檢測AndroidManifest.xml文件里是否存在滿足預(yù)定義規(guī)則的權(quán)限信息；

結(jié)果輸出模塊，用于當(dāng)檢測到文件列表里包含預(yù)定義特征文件且AndroidManifest.xml文件里存在滿足預(yù)定義規(guī)則的權(quán)限信息時，判斷該加固APK樣本具有惡意性。

進(jìn)一步的，所述文件處理模塊，還用于提取并解析待測APK樣本的classes.dex文件；所述第一檢測模塊，還用于檢測classes.dex文件里是否包含預(yù)定義特征文件；所述結(jié)果輸出模塊，還用于當(dāng)檢測到classes.dex文件里包含預(yù)定義特征文件且AndroidManifest.xml文件里存在滿足預(yù)定義規(guī)則的權(quán)限信息時，判斷該加固APK樣本具有惡意性。