admin管理员组

文章数量:1532657

2024年4月30日发(作者:)

(19)中华人民共和国国家知识产权局

(12)发明专利说明书

(21)申请号 CN2.9

(22)申请日 2012.12.27

(71)申请人 武汉安天信息技术有限责任公司

地址 430000 湖北省武汉市东湖开发区光谷创业街6栋2楼

(72)发明人 潘宣辰

(74)专利代理机构

代理人

(51)

G06F21/56

权利要求说明书 说明书 幅图

(10)申请公布号 CN 103294953 A

(43)申请公布日 2013.09.11

(54)发明名称

一种手机恶意代码检测方法及系统

(57)摘要

本发明公开了一种手机恶意代码检

测方法及系统,首先,对于待检测安装包

内的文件进行格式解析,提取所述文件的

解压缩数据;对所述文件的解压缩数据中

指定长度的头部数据进行解压缩,获取所

述文件的格式信息;将所述文件的格式信

息与恶意代码程序格式特征库进行匹配,

如果匹配成功,则对所述文件的解压缩数

据进行全部解压缩,并按策略进行检测,

如果匹配失败,则对所述文件的解压缩数

据放弃解压缩,不进行检测。从而,避免

了解压缩安装包内的所有文件,减轻了系

统压力,提高了检测速度,并且能够对伪

装格式的未知手机恶意代码程序及时发现

并检测。

法律状态

法律状态公告日

法律状态信息

法律状态

权 利 要 求 说 明 书

1.一种手机恶意代码检测方法,其特征在于,包括:

对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;

对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文

将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成

2.如权利要求1所述的方法,其特征在于,所述指定长度的头部数据为所

3.一种手机恶意代码检测系统,其特征在于,包括:

数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件

解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,

获取所述文件的格式信息;

的解压缩数据;

述文件的解压缩数据中的前128个字节。

功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果

配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。

件的格式信息;

匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,

如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行

测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,

不进行检测。

4.如权利要求3所述的系统,其特征在于,所述指定长度的头部数据为所述文

件的解压缩数据中的前128个字节。

说 明 书

技术领域

本发明涉及移动终端安全技术领域,尤其涉及一种手机恶意代码检测方法

背景技术

随着移动互联网的快速发展,恶意代码的种类增多、传播速度增快和影响

范围逐渐增大。恶意代码已经成为威胁智能手机信息安全和手机系统安全的

要因素,因此研制更加高效的恶意代码检测程序是所有手机安全策略

环节。但是,目前很多手机恶意代码深度检测的方法中,大部

应用程序安装包进行解压缩处理,而手机应用程序安装

代码文件,例如APK中的dex,IPA中的mach-

大量的资源数据文件,例如图片、声音和

文件名、文件类型后缀等方法是无

情况下,目前采用的方法是

测,这样就导致恶意

及系统。

中的重要

分都是要对手机

包中,不仅仅包含程序

o,sisx中的epoc,同时还包括

视频等资源数据。而如果简单的通过

法准确判断文件的真实格式信息的,在这种

对于安装包中所有的文件都进行解压缩,并一一检

代码的检测速度慢,浪费系统资源。

发明内容

针对上述技术问题,本发明提供了一种手机恶意代码检测方法及系统,该

本发明采用如下方法来实现:一种手机恶意代码检测方法,包括:

方法通过部分解压缩文件判断文件格式,对于有威胁格式的文件进行全部解

缩,从而节省系统资源,提高检测效率。

对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;

对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文

将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成

方法中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个

方法中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程

一种手机恶意代码检测系统,包括:

数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件

解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,

匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,

如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行

测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行

获取所述文件的格式信息;

的解压缩数据;

序格式的特征值。

字节。

功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果

配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。

件的格式信息;

检测。

系统中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个

系统中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程

综上所述,本发明提供了一种手机恶意代码检测方法及系统,通过对安装

包中的文件的解压缩数据进行部分解压缩,获取所述文件的格式信息,然后

恶意代码程序格式特征库进行匹配,对于匹配成功的文件进行全部解

检测。从而避免了过多的占用系统资源,提高检测效率,对于

代码程序文件可以及时发现并检测。

序格式的特征值。

字节。

压缩之后

伪装格式的恶意

附图说明

为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附

图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一

实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提

以根据这些附图获得其他的附图。 下,还可

图1为本发明提供的一种手机恶意代码检测方法流程图;

图2为本发明提供的一种手机恶意代码检测系统结构图。

具体实施方式

本发明给出了一种手机恶意代码检测方法及系统,为了使本技术领域的人

员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和

点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详

细的说明:

本发明首先提供了一种手机恶意代码检测方法,如图1所示,包括:

S101对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数

S102对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所

S103将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹

优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个

优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式

字节。

述文件的格式信息;

据;

配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,

果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。

的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式

别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征

或者格式的类型。 内容长度

本发明还提供了一种手机恶意代码检测系统,如图2所示,包括:

数据提取模块201,对于待检测安装包内的文件进行格式解析,提取所述文

解压缩模块202,对所述文件的解压缩数据中指定长度的头部数据进行解压

件的解压缩数据;

缩,获取所述文件的格式信息;

匹配模块203,将所述文件的格式信息与恶意代码程序格式特征库进行匹

配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略

行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不

进行检测。

优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个

优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式

的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式

别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征

或者格式的类型。

字节。

内容长度

如上所述,本发明给出了一种手机恶意代码检测方法及系统,其与传统方

法的区别在于,并不是将安装包中的所有文件全部解压缩,而是解压缩安装

内的文件的头部数据,基于头部数据获取文件的格式信息,对于有威

信息对应的文件全部解压缩。此时,不仅节省了检测时间,而

源,并且可以及时的作出响应。

胁的格式

且节省了系统资

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的

任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

本文标签: 文件检测进行格式数据

版权声明:本文标题:一种手机恶意代码检测方法及系统 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1714460697a405888.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。