本發(fā)明涉及惡意軟件檢測技術(shù)。本發(fā)明解決了目前受電池、帶寬、CPU及內(nèi)存資源限制，傳統(tǒng)適用于PC的惡意軟件分析檢測手段不能直接運用在移動智能終端上的問題，提出了一種基于沙盒的Android惡意軟件檢測方法，其技術(shù)方案要點為：移動終端首先對目標(biāo)軟件的目標(biāo)代碼進行靜態(tài)檢測，若靜態(tài)檢測出該目標(biāo)代碼為惡意代碼，則提示用戶該目標(biāo)軟件存在潛在威脅，否則云端重新編譯框架和/或虛擬機，并通過重新編譯的框架和/或虛擬機動態(tài)執(zhí)行該目標(biāo)代碼來判斷該代碼是否為惡意代碼，若是則反饋給移動終端該目標(biāo)軟件存在潛在威脅。本發(fā)明的有益效果是，在移動終端上面只做靜態(tài)檢測，在云端上做動態(tài)檢測，有效的提高了惡意代碼的檢出率及減少對終端資源的消耗。

技術(shù)領(lǐng)域

本發(fā)明涉及沙盒技術(shù)，特別涉及基于沙盒的Android惡意軟件檢測的技術(shù)。

背景技術(shù)

現(xiàn)有的Android惡意軟件反逆向、抗檢測技術(shù)不斷發(fā)展成熟，惡意軟件變種迅速，家族種類繁多，已經(jīng)形成了以吸費扣費、惡意推廣、隱私販賣為目的的灰色利益產(chǎn)業(yè)鏈。安全公司每天面臨大量待測可疑樣本，分析檢測工作量巨大，特征提取效率低下，導(dǎo)致了機遇靜態(tài)掃描引擎的安全軟件檢出率不高。應(yīng)用市場間競爭激烈，同質(zhì)話嚴(yán)重，基本處于無序發(fā)展?fàn)顟B(tài)。受電池、帶寬、CPU、內(nèi)存資源限制，傳統(tǒng)適用于PC的惡意軟件分析檢測手段不能直接運用在移動智能終端上。如何針對Android移動平臺惡意軟件進行快速有效的分析檢測成為當(dāng)務(wù)之急。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于沙盒的Android惡意軟件檢測方法，解決目前受電池、帶寬、CPU及內(nèi)存資源限制，傳統(tǒng)適用于PC的惡意軟件分析檢測手段不能直接運用在移動智能終端上的問題。

本發(fā)明解決其技術(shù)問題，采用的技術(shù)方案是：基于沙盒的Android惡意軟件檢測方法，其特征在于，包括以下步驟：

移動終端首先對目標(biāo)軟件的目標(biāo)代碼進行靜態(tài)檢測，若靜態(tài)檢測出該目標(biāo)代碼為惡意代碼，則提示用戶該目標(biāo)軟件存在潛在威脅，否則由云端重新編譯框架和/或虛擬機，并通過重新編譯的框架和/或虛擬機動態(tài)執(zhí)行該目標(biāo)代碼來判斷該代碼是否為惡意代碼，若是則反饋給移動終端該目標(biāo)軟件存在潛在威脅。

具體地，所述移動終端對目標(biāo)軟件的目標(biāo)代碼進行的靜態(tài)檢測具體包括：移動終端的相應(yīng)軟件對目標(biāo)軟件的APK解壓，先進行啟發(fā)式掃描，然后檢查Manifest.xml文件，最后分析DEX文件中的全部敏感屬性，若以上三種結(jié)果均正常，或者三項中的結(jié)果只有一項為可疑結(jié)果，就上傳APK至云端。

進一步地，所述云端接收到上傳的APK后，反匯編APK并對比APK源碼結(jié)構(gòu)，建立并管理簽名數(shù)據(jù)庫和惡意代碼庫，在云端結(jié)合惡意代碼庫，進行比對分析，所述比對分析對象包括XML分析、DEX分析及相似性分析，若比對分析后仍然沒有結(jié)果，但目標(biāo)代碼的確存在可疑之處，則借助重新編譯后的重新編譯框架和/或虛擬機動態(tài)執(zhí)行目標(biāo)代碼，從執(zhí)行過程調(diào)用的系統(tǒng)框架層函數(shù)中，捕獲所需參數(shù)信息，以及目標(biāo)代碼是否加載某些系統(tǒng)模塊進行檢測。

具體地，所述云端運行在Linux操作系統(tǒng)上。

本發(fā)明的有益效果是，通過上述基于沙盒的Android惡意軟件檢測方法，在移動終端上面只做靜態(tài)檢測，在云端上做動態(tài)檢測，有效的提高了惡意代碼的檢出率及減少對終端資源的消耗。

具體實施方式

下面結(jié)合實施例，詳細(xì)描述本發(fā)明的技術(shù)方案。

本發(fā)明所述基于沙盒的Android惡意軟件檢測方法，由以下步驟組成：

移動終端首先對目標(biāo)軟件的目標(biāo)代碼進行靜態(tài)檢測，若靜態(tài)檢測出該目標(biāo)代碼為惡意代碼，則提示用戶該目標(biāo)軟件存在潛在威脅，否則由云端重新編譯框架和/或虛擬機，并通過重新編譯的框架和/或虛擬機動態(tài)執(zhí)行該目標(biāo)代碼來判斷該代碼是否為惡意代碼，若是則反饋給移動終端該目標(biāo)軟件存在潛在威脅。

實施例