admin管理员组文章数量:1532657
2024年4月30日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.9
(22)申请日 2012.12.27
(71)申请人 武汉安天信息技术有限责任公司
地址 430000 湖北省武汉市东湖开发区光谷创业街6栋2楼
(72)发明人 潘宣辰
(74)专利代理机构
代理人
(51)
G06F21/56
权利要求说明书 说明书 幅图
(10)申请公布号 CN 103294953 A
(43)申请公布日 2013.09.11
(54)发明名称
一种手机恶意代码检测方法及系统
(57)摘要
本发明公开了一种手机恶意代码检
测方法及系统,首先,对于待检测安装包
内的文件进行格式解析,提取所述文件的
解压缩数据;对所述文件的解压缩数据中
指定长度的头部数据进行解压缩,获取所
述文件的格式信息;将所述文件的格式信
息与恶意代码程序格式特征库进行匹配,
如果匹配成功,则对所述文件的解压缩数
据进行全部解压缩,并按策略进行检测,
如果匹配失败,则对所述文件的解压缩数
据放弃解压缩,不进行检测。从而,避免
了解压缩安装包内的所有文件,减轻了系
统压力,提高了检测速度,并且能够对伪
装格式的未知手机恶意代码程序及时发现
并检测。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种手机恶意代码检测方法,其特征在于,包括:
对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文
将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成
匹
2.如权利要求1所述的方法,其特征在于,所述指定长度的头部数据为所
3.一种手机恶意代码检测系统,其特征在于,包括:
数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件
解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,
获取所述文件的格式信息;
的解压缩数据;
述文件的解压缩数据中的前128个字节。
功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果
配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
件的格式信息;
匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,
检
如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行
测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,
不进行检测。
4.如权利要求3所述的系统,其特征在于,所述指定长度的头部数据为所述文
件的解压缩数据中的前128个字节。
说 明 书
技术领域
本发明涉及移动终端安全技术领域,尤其涉及一种手机恶意代码检测方法
背景技术
随着移动互联网的快速发展,恶意代码的种类增多、传播速度增快和影响
重
范围逐渐增大。恶意代码已经成为威胁智能手机信息安全和手机系统安全的
要因素,因此研制更加高效的恶意代码检测程序是所有手机安全策略
环节。但是,目前很多手机恶意代码深度检测的方法中,大部
应用程序安装包进行解压缩处理,而手机应用程序安装
代码文件,例如APK中的dex,IPA中的mach-
大量的资源数据文件,例如图片、声音和
文件名、文件类型后缀等方法是无
情况下,目前采用的方法是
测,这样就导致恶意
及系统。
中的重要
分都是要对手机
包中,不仅仅包含程序
o,sisx中的epoc,同时还包括
视频等资源数据。而如果简单的通过
法准确判断文件的真实格式信息的,在这种
对于安装包中所有的文件都进行解压缩,并一一检
代码的检测速度慢,浪费系统资源。
发明内容
针对上述技术问题,本发明提供了一种手机恶意代码检测方法及系统,该
压
本发明采用如下方法来实现:一种手机恶意代码检测方法,包括:
方法通过部分解压缩文件判断文件格式,对于有威胁格式的文件进行全部解
缩,从而节省系统资源,提高检测效率。
对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数据;
对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所述文
将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹配成
匹
方法中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个
方法中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程
一种手机恶意代码检测系统,包括:
数据提取模块,对于待检测安装包内的文件进行格式解析,提取所述文件
解压缩模块,对所述文件的解压缩数据中指定长度的头部数据进行解压缩,
匹配模块,将所述文件的格式信息与恶意代码程序格式特征库进行匹配,
检
如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行
测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行
获取所述文件的格式信息;
的解压缩数据;
序格式的特征值。
字节。
功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,如果
配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
件的格式信息;
检测。
系统中,所述指定长度的头部数据为所述文件的解压缩数据中的前128个
系统中,所述恶意代码程序格式特征库中记录了所有用于识别恶意代码程
综上所述,本发明提供了一种手机恶意代码检测方法及系统,通过对安装
与
包中的文件的解压缩数据进行部分解压缩,获取所述文件的格式信息,然后
恶意代码程序格式特征库进行匹配,对于匹配成功的文件进行全部解
检测。从而避免了过多的占用系统资源,提高检测效率,对于
代码程序文件可以及时发现并检测。
序格式的特征值。
字节。
压缩之后
伪装格式的恶意
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附
些
图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一
实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提
以根据这些附图获得其他的附图。 下,还可
图1为本发明提供的一种手机恶意代码检测方法流程图;
图2为本发明提供的一种手机恶意代码检测系统结构图。
具体实施方式
本发明给出了一种手机恶意代码检测方法及系统,为了使本技术领域的人
优
员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和
点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详
细的说明:
本发明首先提供了一种手机恶意代码检测方法,如图1所示,包括:
S101对于待检测安装包内的文件进行格式解析,提取所述文件的解压缩数
S102对所述文件的解压缩数据中指定长度的头部数据进行解压缩,获取所
S103将所述文件的格式信息与恶意代码程序格式特征库进行匹配,如果匹
如
优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个
优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式
识
字节。
述文件的格式信息;
据;
配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略进行检测,
果匹配失败,则对所述文件的解压缩数据放弃解压缩,不进行检测。
的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式
别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征
或者格式的类型。 内容长度
本发明还提供了一种手机恶意代码检测系统,如图2所示,包括:
数据提取模块201,对于待检测安装包内的文件进行格式解析,提取所述文
解压缩模块202,对所述文件的解压缩数据中指定长度的头部数据进行解压
件的解压缩数据;
缩,获取所述文件的格式信息;
匹配模块203,将所述文件的格式信息与恶意代码程序格式特征库进行匹
进
配,如果匹配成功,则对所述文件的解压缩数据进行全部解压缩,并按策略
行检测,如果匹配失败,则对所述文件的解压缩数据放弃解压缩,不
进行检测。
优选地,所述指定长度的头部数据为所述文件的解压缩数据中的前128个
优选地,恶意代码程序格式特征库记录了所有用于识别恶意代码程序格式
识
的特征值,该特征可以采用文件头部偏移和一段二进制数据来进行文件格式
别,每条记录可以包括:文件头部偏移位置,二进制特征内容,特征
或者格式的类型。
字节。
内容长度
如上所述,本发明给出了一种手机恶意代码检测方法及系统,其与传统方
包
法的区别在于,并不是将安装包中的所有文件全部解压缩,而是解压缩安装
内的文件的头部数据,基于头部数据获取文件的格式信息,对于有威
信息对应的文件全部解压缩。此时,不仅节省了检测时间,而
源,并且可以及时的作出响应。
胁的格式
且节省了系统资
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的
任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
版权声明:本文标题:一种手机恶意代码检测方法及系统 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1714460697a405888.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论