CN105205398B - 一种基于apk加壳软件动态行为的查壳方法 - Google Patents
一种基于apk加壳软件动态行为的查壳方法 Download PDFInfo
- Publication number
- CN105205398B CN105205398B CN201510740551.6A CN201510740551A CN105205398B CN 105205398 B CN105205398 B CN 105205398B CN 201510740551 A CN201510740551 A CN 201510740551A CN 105205398 B CN105205398 B CN 105205398B
- Authority
- CN
- China
- Prior art keywords
- shell
- function
- shell adding
- feature
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公布了一种基于APK加壳软件动态行为的查壳方法,通过安卓***的Hook函数,针对壳程序对***函数和特征函数的调用进行动态行为监控,当被监控的函数被调用,则跳转到Hook函数进行记录,再通过特征比对得到相应的壳程序的类型;其中,通过Hook函数分别检测APK加壳软件对通用***函数和特征函数的调用行为,构造得到加壳调用通用***函数特征和加壳调用特征函数特征;再建立相应的特征库。查壳时,启动某一加壳的程序;通过Hook函数对加壳程序的函数调用进行动态行为监控,记录函数调用特征与特征库进行匹配,得出查壳结果。本发明可有效地对主流APK壳的类型进行检测,提高分析加壳恶意代码的准确性和效率。
Description
技术领域
本发明属于移动客户端App安全技术,涉及安卓应用程序安装包(APK,AndroidPackage)的加壳,尤其涉及一种基于APK加壳软件动态行为的查壳方法。
背景技术
随着移动端技术应用的日益普及,移动软件产业得以飞速发展,与此同时,针对移动端的木马、病毒恶意代码软件也越来越多。猎豹移动安全数据显示,2014年全球感染病毒的安卓手机达2.8亿部,平均每天80万部安卓手机中毒,中国以近1.2亿部手机中毒高居榜首。据360互联网安全中心的报告显示,2014全年仅360互联网安全中心累计截获Android平台新增恶意程序样本326万个,为2013年的近4倍。
安卓手机的应用采用java开发,恶意代码也不例外。由于java解释语言的特性,在应用程序不加壳的情况下,通过静态分析技术可以较为容易的逆向得出木马和病毒的源码,然后通过分析检测断定是否存在木马病毒的特征,从而对木马病毒进行查杀。壳程序是一种可以对第三方软件进行加密或是变换结构而不影响其运行功能以达到躲避被恶意逆向分析的软件程序。加壳操作基于被保护程序的二进制代码,与被保护程序的逻辑相分离,因而稳定性高,适用度广。壳程序除了可以用于保护软件,在恶意代码反检测领域中也有广泛的应用。在恶意代码反检测领域,为了对加壳的恶意代码进行逆向分析,就必须先进行脱壳,针对不同的壳程序必须使用对应的脱壳程序进行脱壳,所以脱壳的第一步就是对壳进行检测,即查壳。
现有查壳方法大多基于静态文件特征进行查壳,如查壳工具PEID,是针对壳程序的二进制代码的特征码来进行查壳。这种基于静态文件特征进行查壳的方法存在较大的局限性,其存在的问题是可通过修改二进制文件抹去特征码或修改特征码来混淆查壳的结果,使得查壳结果的准确性低,查壳效率低。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于APK加壳软件动态行为的查壳方法,通过安卓***的Hook函数针对壳程序对***函数和特征函数的调用进行监控,使加壳的程序运行在部署了监控程序的环境中,一旦被监控的函数被调用,则跳转到Hook函数中进行记录,从而获得加壳软件对***函数和特征函数的调用特征,作为检测特征;再通过特征比对,得到加壳的程序相应的壳程序的类型;本发明可有效地对主流APK壳的类型进行检测,提高分析加壳恶意代码的准确性和效率。
本发明提供的技术方案是:
一种基于APK加壳软件动态行为的查壳方法,所述查壳方法通过安卓***的Hook函数,针对壳程序对***函数和特征函数的调用进行动态行为监控,一旦被监控的函数被调用,则跳转到Hook函数中进行记录,再通过特征比对,得到加壳的程序相应的壳程序的类型;具体包括如下步骤:
1)通过Hook函数对加壳软件的函数调用进行动态行为监控,分别检测APK加壳软件对通用***函数和特征函数的调用行为,构造得到所述APK加壳软件的加壳函数调用特征,包括加壳调用通用***函数特征和加壳调用特征函数特征;
2)启动某一加壳的程序;
3)针对步骤2)所述加壳的程序,通过Hook函数对加壳程序的函数调用进行动态行为监控,判断加壳程序调用的函数是否是特征函数;
4)如果加壳程序调用的函数是特征函数,则将所述特征函数的名称与特征函数特征库中的加壳调用特征函数特征进行匹配,若找到特征匹配项,则输出相应的壳类型,结束操作;若未找到特征匹配项,则返回步骤3),通过Hook函数继续监控被调用的函数;
5)如果加壳程序调用的函数不是特征函数,记录所述被调用函数的函数调用序列和函数调用参数;返回步骤3),通过Hook函数继续监控被调用的函数;
6)所述APK加壳的程序(原程序)成功启动后,将步骤5)记录的函数调用序列和函数调用参数与步骤1)中的通用***函数特征库中的加壳调用通用***函数特征进行匹配,匹配成功则得出加壳软件的类型;匹配不成功则输出未知壳。
针对上述基于APK加壳软件动态行为的查壳方法,进一步地,步骤1)所述检测APK加壳软件对通用***函数的调用行为,构造通用***函数特征库包括如下步骤:
1A)壳程序一启动即进入Hook函数,记录即将加载壳程序的动态链接库a.so;
1B)加载壳程序的动态链接库a.so;
1C)进入Hook函数,记录即将加载壳程序的动态链接库b.so;
1D)加载壳程序的动态链接库b.so;
1E)原程序正常启动;
1F)得到函数调用序列,作为加壳调用通用***函数特征;
1G)将1F)所述函数调用序列加入到通用***函数特征库。
步骤1)所述检测加壳软件对特征函数的调用行为,具体为:使用IDA逆向工具对加壳软件的主程序或动态链接程序进行逆向,通过人工分析汇编代码逻辑,定位涉及核心算法的函数,得到加壳软件在解密原程序前调用的特征函数,将所述特征函数的名称作为加壳调用特征函数特征。
步骤1)所述检测APK加壳软件具体为通过分别检测多种类型的加壳软件,得到所述多种类型加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征,建立多种类型加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征数据库。
与现有技术相比,本发明的有益效果是:
现有查壳方法大多基于静态文件特征进行查壳,基于静态文件特征进行查壳的方法存在较大的局限性,可通过修改二进制文件抹去特征码或修改特征码来混淆查壳的结果,使得查壳结果的准确性低,查壳效率低。本发明提供一种基于APK加壳软件动态行为的查壳方法,使加壳的程序运行在部署了监控程序的环境中,通过安卓***的Hook函数针对壳程序对***函数和特征函数调用的动态行为进行监控,一旦被监控的函数被调用,则跳转到Hook函数中进行记录,从而获得加壳软件对***函数和特征函数的调用特征,作为检测特征;再通过特征比对,得到加壳的程序相应的壳程序的类型。利用本发明提供的技术方案,可提高混淆壳类型的难度,由于为了绕过本发明的查壳方法,需要在获得壳程序源码的基础对原有壳程序的调用流程进行修改,因此,本发明可以有效地对主流APK壳的类型进行检测,提高分析加壳恶意代码的准确性和效率。
附图说明
图1是加壳的程序正常启动的流程框图。
图2是本发明实施例使用通用***函数特征库和特征函数特征库进行查壳的流程框图。
图3是本发明实施例构造通用***函数特征库的流程框图。
图4是本发明实施例构造特征函数特征库的流程框图。
图5是使用本发明提供的查壳方法部署查壳环境后,加壳的程序启动的流程框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于APK加壳软件动态行为的查壳方法,主要针对市场主流加固软件如梆梆加固、爱加密加固、娜迦加固、通付盾、腾讯加固、360加固等,通过安卓***的Hook函数针对壳程序对***函数和特征函数的调用进行监控,使加壳的程序运行在部署了监控程序的环境中,一旦被监控的函数被调用,则跳转到Hook函数中进行记录,从而获得加壳软件对***函数和特征函数的调用特征,作为检测特征;再通过特征比对,得到加壳的程序相应的壳程序的类型;本发明可有效地对主流APK壳的类型进行检测,提高分析加壳恶意代码的准确性和效率。
图1是加壳的程序正常启动的流程框图。一般地,加壳程序的正常启动流程包括步骤11)和12):
11)运行壳程序(代码),包括:
加载壳程序的动态链接库a.so,运行a.so中的代码对加密后的原程序源码进行解密;
加载壳程序的动态链接库b.so,运行b.so中的代码对解密后的原程序源码进行内存布局;
加载壳程序的动态链接库c.so,运行c.so中的代码对布局好的源程序源码进行重定向,并跳转到原程序的启动代码处;
12)原程序正常启动。
在安卓***中,Hook函数即钩子函数,是一个处理消息的程序段,通过***调用,把它挂入***。每当特定的消息发出,在没有到达目的窗口前,钩子函数(程序)就先捕获该消息,亦即钩子函数先得到控制权,这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。本发明提供的查壳方法通过使用Hook函数针对壳程序对***函数和特征函数的调用进行监控,让加壳的程序运行在部署了监控程序的环境中,一旦被监控的函数被调用,则跳转到hook函数中进行记录,从而获得加壳软件对***函数和特征函数的调用特征,作为检测特征;再通过特征比对,得到加壳的程序相应的壳程序的类型。
图2是本实施例基于APK加壳软件动态行为使用通用***函数特征库和特征函数特征库进行查壳的流程框图。本发明提供的基于APK加壳软件动态行为的查壳方法包括如下步骤:
1)分别检测APK加壳软件对通用***函数和特征函数的调用行为,构造得到所述APK加壳软件的加壳函数调用特征,包括加壳调用通用***函数特征和加壳调用特征函数特征;
步骤1)所述检测APK加壳软件具体为通过分别检测多种类型的加壳软件,得到所述多种类型APK加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征,建立多种类型加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征数据库。
图3是本发明实施例构造通用***函数特征库的流程框图;步骤1)所述检测APK加壳软件对通用***函数的调用行为,具体为:Hook函数加载动态链接库函数,通过Hook函数按顺序输出所加载的动态链接库序列,该序列的库名、顺序和数量即加壳调用通用***函数特征。本实施例中,具体地,检测APK加壳软件对通用***函数的调用行为,构造通用***函数特征库包括如下步骤:
1A)壳程序一启动即进入Hook函数,记录即将加载壳程序的动态链接库a.so;
1B)加载壳程序的动态链接库a.so;
1C)进入Hook函数,记录即将加载壳程序的动态链接库b.so;
1D)加载壳程序的动态链接库b.so;
1E)原程序正常启动;
1F)得到函数调用序列,作为加壳调用通用***函数特征;
1G)将上述函数调用序列加入到通用***函数特征库。
图4是本发明实施例构造特征函数特征库的流程框图;步骤1)所述检测加壳软件对特征函数的调用行为,具体为:使用IDA逆向工具对加壳软件的主程序(原程序)或动态链接程序进行逆向,通过人工分析汇编代码逻辑,定位涉及核心算法的函数(例如定位对加密的原程序源码进行解密的算法时,需要定位核心算法的一个“关键词”,可以采取如下操作:查找常用加解密动态链接库的导出函数,找到该函数在原程序中的调用位置即可确定解密算法的位置),得到加壳软件在解密原程序前调用的特征函数,将所述特征函数的名称作为加壳调用特征函数特征;进一步构造获得特征函数特征库;
2)启动某一加壳的程序;
所述APK加壳的程序开始启动时首先启动加壳软件;
3)针对步骤2)所述加壳的程序,采用动态行为监控方法,具体通过Hook函数对加壳程序的函数调用进行监控,判断加壳程序调用的函数是否是特征函数;
4)如果加壳程序调用的函数是特征函数,则将所述特征函数的名称与特征函数特征库中的加壳调用特征函数特征进行匹配,若找到特征匹配项,则输出相应的壳类型,结束操作;若未找到特征匹配项,则返回步骤3),Hook函数继续监控被调用的函数;
5)如果加壳程序调用的函数不是特征函数,则Hook函数继续监控被调用的函数,记录所述被调用函数的函数调用序列和函数调用参数;再返回步骤3),通过Hook函数继续监控被调用的函数;
本实施例中,上述使用hook技术对***函数和特征函数的调用进行监控,然后让加壳的程序运行在部署了监控程序的环境中,一旦被监控的函数被调用,则跳转到hook函数中去对该函数调用的参数进行记录。
6)所述APK加壳的程序(原程序)成功启动后,将步骤5)记录的函数调用序列和函数调用参数与步骤1)中的通用***函数特征库中的加壳调用通用***函数特征进行匹配,匹配成功则得出加壳软件的类型;匹配不成功则输出未知壳。
上述基于APK加壳软件动态行为的查壳方法中,所述动态行为监控方法具体是修改正常函数的起始地址为Hook函数的起始地址,这样调用正常函数的时候就会跳转到Hook函数去执行,Hook函数执行完后跳转到正常函数的起始地址恢复正常执行流程,当加壳的程序启动后,一旦被监控的函数被程序调用,则跳转到Hook函数中对所述函数的调用参数进行记录。
本实施例中,步骤1)的具体实施方式如下,包括A和B:
A.针对加壳软件通用***函数调用流程制定检测特征,主要执行以下操作:
A1.行为检测:大部分加壳软件为了安全性都将解密源程序的代码写入动态链接库里,在程序执行前动态加载,由于不同加壳软件加载的动态链接库的文件名、加载的顺序都不一样,这就可以作为鉴定的依据,依靠hook技术,可以获取加壳软件在执行过程中加载动态链接库的文件名及其加载顺序,针对不同加壳程序对这部分信息进行统计;
A2.特征构造:根据行为检测中收集的统计信息,针对某一加壳软件的唯一函数调用序列构建检测特征。
B.针对加壳软件特征函数调用制定检测特征,主要执行以下操作:
B1.行为检测:使用IDA等逆向工具对加壳软件的主程序或动态链接程序进行静态分析,通过人工分析找到涉及核心算法的函数;
B2.特征构造:根据人工分析找到的函数,作为某一加壳软件的特征函数,即若在解密源程序过程中调用了该函数,则可以断定很可能就是这种壳程序。
上述步骤3)中,程序正常启动后,说明壳程序已运行完毕,将动态监控过程中记录的函数调用序列和参数与检测特征进行匹配,若找到匹配项,则展示对应的壳类型,若未找到匹配项,则显示为未知壳。
图5是使用本发明提供的查壳方法部署查壳环境后,加壳的程序启动的流程框图。在部署了本发明的查壳环境后,查壳时,启动某一加壳的程序的流程如下:
101)运行壳程序,准备加载壳程序的动态链接库a.so,由于加载动态链接库的函数已被hook,所以会先运行设置的hook函数,进入hook函数,通过加载动态链接库的函数的参数获知即将加载的动态链接库文件名为a.so,记录加载a.so,hook函数执行完毕,进入正常的函数流程即加载a.so,运行a.so中的代码对加密后的原程序源码进行解密;
102)准备加载动态链接库b.so,进入hook函数,通过加载动态链接库的函数的参数获知即将加载的动态链接库文件名为b.so,记录加载b.so,hook函数执行完毕,进入正常的函数流程即加载b.so,运行b.so中的代码对解密后的原程序源码进行内存布局;
103)加载动态链接库c.so,进入hook函数,通过加载动态链接库的函数的参数获知即将加载的动态链接库文件名为c.so,记录加载c.so,hook函数执行完毕,进入正常的函数流程即加载c.so,运行c.so中的代码对布局好的源程序源码进行重定向,并跳转到原程序的启动代码处;
104)原程序正常启动;
105)查壳程序将获取的动态链接库加载序列a.so、b.so、c.so与特征库中的序列进行匹配,若找到匹配项,则输出对应的壳类型,若未找到,输出未知壳。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (4)
1.一种基于APK加壳软件动态行为的查壳方法,所述查壳方法通过安卓***的Hook函数,针对壳程序对***函数和特征函数的调用进行动态行为监控,一旦被监控的函数被调用,则跳转到Hook函数中进行记录,再通过特征比对,得到加壳的程序相应的壳程序的类型;具体包括如下步骤:
1)通过Hook函数对加壳软件的函数调用进行动态行为监控,分别检测APK加壳软件对通用***函数和特征函数的调用行为,构造得到所述APK加壳软件的加壳函数调用特征,包括加壳调用通用***函数特征和加壳调用特征函数特征;
2)启动某一加壳的程序;
3)针对步骤2)所述加壳的程序,通过Hook函数对加壳程序的函数调用进行动态行为监控,判断加壳程序调用的函数是否是特征函数;
4)如果加壳程序调用的函数是特征函数,则将所述特征函数的名称与特征函数特征库中的加壳调用特征函数特征进行匹配,若找到特征匹配项,则输出相应的壳类型,结束操作;若未找到特征匹配项,则返回步骤3),通过Hook函数继续监控被调用的函数;
5)如果加壳程序调用的函数不是特征函数,记录所述被调用函数的函数调用序列和函数调用参数;返回步骤3),通过Hook函数继续监控被调用的函数;
6)所述加壳的程序成功启动后,将步骤5)记录的函数调用序列和函数调用参数与步骤1)中的通用***函数特征库中的加壳调用通用***函数特征进行匹配,匹配成功则得出加壳软件的类型;匹配不成功则输出未知壳。
2.如权利要求1所述基于APK加壳软件动态行为的查壳方法,其特征是,步骤1)所述检测APK加壳软件对通用***函数的调用行为,构造通用***函数特征库包括如下步骤:
1A)壳程序一启动即进入Hook函数,记录即将加载壳程序的动态链接库a.so;
1B)加载壳程序的动态链接库a.so;
1C)进入Hook函数,记录即将加载壳程序的动态链接库b.so;
1D)加载壳程序的动态链接库b.so;
1E)原程序正常启动;
1F)得到函数调用序列,作为加壳调用通用***函数特征;
1G)将1F)所述函数调用序列加入到通用***函数特征库。
3.如权利要求1所述基于APK加壳软件动态行为的查壳方法,其特征是,步骤1)所述检测加壳软件对特征函数的调用行为,具体为:使用IDA逆向工具对加壳软件的主程序或动态链接程序进行逆向,通过人工分析汇编代码逻辑,定位涉及核心算法的函数,得到加壳软件在解密原程序前调用的特征函数,将所述特征函数的名称作为加壳调用特征函数特征。
4.如权利要求1所述基于APK加壳软件动态行为的查壳方法,其特征是,步骤1)所述检测APK加壳软件具体为通过分别检测多种类型的加壳软件,得到所述多种类型加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征,建立多种类型加壳软件的加壳调用通用***函数特征和加壳调用特征函数特征数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510740551.6A CN105205398B (zh) | 2015-11-04 | 2015-11-04 | 一种基于apk加壳软件动态行为的查壳方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510740551.6A CN105205398B (zh) | 2015-11-04 | 2015-11-04 | 一种基于apk加壳软件动态行为的查壳方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105205398A CN105205398A (zh) | 2015-12-30 |
CN105205398B true CN105205398B (zh) | 2018-03-09 |
Family
ID=54953072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510740551.6A Expired - Fee Related CN105205398B (zh) | 2015-11-04 | 2015-11-04 | 一种基于apk加壳软件动态行为的查壳方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105205398B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196907B (zh) * | 2017-03-31 | 2018-08-03 | 武汉斗鱼网络科技有限公司 | 一种安卓so文件的保护方法及装置 |
CN108090353B (zh) * | 2017-11-03 | 2021-09-03 | 安天科技集团股份有限公司 | 一种基于知识驱动的加壳代码回归检测方法及*** |
CN108345526B (zh) * | 2017-12-20 | 2021-06-11 | 北京金山安全管理***技术有限公司 | 钩子处理方法及装置 |
CN113836528B (zh) * | 2020-06-08 | 2023-10-13 | 中国电信股份有限公司 | 安卓应用查壳方法和装置 |
CN112527672B (zh) * | 2020-12-21 | 2021-10-22 | 北京深思数盾科技股份有限公司 | 一种针对加壳工具的检测方法及设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103530535A (zh) * | 2013-10-25 | 2014-01-22 | 苏州通付盾信息技术有限公司 | 一种Android平台应用程序保护的加脱壳方法 |
-
2015
- 2015-11-04 CN CN201510740551.6A patent/CN105205398B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103530535A (zh) * | 2013-10-25 | 2014-01-22 | 苏州通付盾信息技术有限公司 | 一种Android平台应用程序保护的加脱壳方法 |
Non-Patent Citations (2)
Title |
---|
恶意代码加壳脱壳技术;滕萍;《辽宁警专学报》;20140930(第5期);第52-58页 * |
恶意代码自动脱壳技术研究;彭小详;《技术研究》;20140531(第5期);第41-45页 * |
Also Published As
Publication number | Publication date |
---|---|
CN105205398A (zh) | 2015-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测*** | |
CN105205398B (zh) | 一种基于apk加壳软件动态行为的查壳方法 | |
CN105989283B (zh) | 一种识别病毒变种的方法及装置 | |
US9792433B2 (en) | Method and device for detecting malicious code in an intelligent terminal | |
KR101246623B1 (ko) | 악성 애플리케이션 진단 장치 및 방법 | |
Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
CN103839005B (zh) | 移动操作***的恶意软件检测方法和恶意软件检测*** | |
WO2015101097A1 (zh) | 特征提取的方法及装置 | |
CN107688743B (zh) | 一种恶意程序的检测分析方法及*** | |
CN103368957B (zh) | 对网页访问行为进行处理的方法及***、客户端、服务器 | |
Hu et al. | Migdroid: Detecting app-repackaging android malware via method invocation graph | |
CN102254111A (zh) | 恶意网站检测方法及装置 | |
CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
CN107239702A (zh) | 一种安全漏洞检测的方法以及装置 | |
Tang et al. | A large-scale empirical study on industrial fake apps | |
CN107346284B (zh) | 一种应用程序的检测方法及检测装置 | |
KR101582601B1 (ko) | 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법 | |
WO2015101043A1 (zh) | 检测智能终端中恶意代码的方法及装置 | |
KR20170068814A (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
CN105205356B (zh) | 一种app应用重打包检测方法 | |
CN105653949B (zh) | 一种恶意程序检测方法及装置 | |
CN108694320A (zh) | 一种多安全环境下敏感应用动态度量的方法及*** | |
KR20190031030A (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
CN104866764B (zh) | 一种基于对象引用图的Android手机恶意软件检测方法 | |
CN114386032A (zh) | 电力物联网设备的固件检测***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180309 Termination date: 20191104 |
|
CF01 | Termination of patent right due to non-payment of annual fee |