CN108256324A - 一种针对加固apk样本的检测方法及*** - Google Patents
一种针对加固apk样本的检测方法及*** Download PDFInfo
- Publication number
- CN108256324A CN108256324A CN201611247131.5A CN201611247131A CN108256324A CN 108256324 A CN108256324 A CN 108256324A CN 201611247131 A CN201611247131 A CN 201611247131A CN 108256324 A CN108256324 A CN 108256324A
- Authority
- CN
- China
- Prior art keywords
- files
- androidmanifest
- malicious
- module
- apk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明公开了一种针对加固APK样本恶意性的检测方法:提取并解析待测APK样本的文件列表、AndroidManifest.xml文件;当检测到文件列表里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。本发明还公开了一种针对加固APK样本恶意性的检测装置,包括文件处理模块、第一检测模块、第二检测模块、结果输出模块。本发明仅通过特征文件和相应权限两个维度就能准确判断加固APK是否具有恶意性,实现了在前端以一种较小的开销对加固样本进行大概率准确的定性,具有检测快速、准确率高的特点。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种针对加固APK样本的检测方法及***。
背景技术
随着Android***越来越普及,对其的研究也渐渐深入,不少开发者为了保护自己开发的APP软件不被逆向工程或者恶意软件开发者为了防止自己开发的恶意软件不被查杀,涌现了不少所谓的加固方案,即将APK安装包中的必须文件做一些混淆或者加密,达到无法静态分析的目的。各式各样的加固方案给目前的常规分析方法带来了很大的困难,由于加固方式多种多样,不存在固定的还原模式,即目前常规方式对加固样本检测困难。
由于加固方案各异,前端设备上的杀毒软件很难对样本进行深入分析,往往使用了Hash标记法,通常是利用后台集群对样本进行还原,再进行检测,并在前端对样本做出一对一的标记。该方案限制于后台的样本覆盖率,若覆盖率不够,则明显无法检测对应的样本。同时检测结果也不是同步的结果,可能需要等待一段时间才能对样本进行定性。
发明内容
本发明的目的在于提供一种针对加固APK样本的检测方法及***,能够在前端以一种较小的开销对加固样本进行大概率准确的定性,具有检测快速、准确率高的特点。
本发明公开了一种针对加固APK样本恶意性的检测方法,包括以下步骤:
提取并解析待测APK样本的文件列表、AndroidManifest.xml文件;
当检测到文件列表里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
进一步的,提取并解析待测APK样本的文件列表、classes.dex文件、AndroidManifest.xml文件;
当检测到文件列表或classes.dex文件里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
本发明还公开了一种针对加固APK样本恶意性的检测装置,包括文件处理模块、第一检测模块、第二检测模块、结果输出模块:
所述文件处理模块,用于提取并解析待测APK样本的文件列表、AndroidManifest.xml文件;
所述第一检测模块,用于检测文件列表里是否包含预定义特征文件;
所述二检测模块,用于检测AndroidManifest.xml文件里是否存在满足预定义规则的权限信息;
结果输出模块,用于当检测到文件列表里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
进一步的,所述文件处理模块,还用于提取并解析待测APK样本的classes.dex文件;所述第一检测模块,还用于检测classes.dex文件里是否包含预定义特征文件;所述结果输出模块,还用于当检测到classes.dex文件里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
进一步的,所述检测装置还设有预定义模块,所述预定义模块用于保存病毒名、与病毒名对应的特征文件、及与病毒名对应的权限信息。
本发明与现有技术相比的有益效果是:本发明在对大量加固恶意APK样本的统计基础上,仅通过特征文件和相应权限两个维度就能准确判断加固APK是否具有恶意性,实现了在前端以一种较小的开销对加固样本进行大概率准确的定性,具有检测快速、准确率高的特点。
附图说明
图1为本发明一种针对加固APK样本的检测方法的流程图。
图2为本发明一种针对加固APK样本的检测装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
通过对大量加固恶意APK样本的统计数据,发现病毒的APK文件内一般都有某些特定的特征文件,并且AndroidManifest.xml文件内还包含有特定的一些权限,因此本发明从这两个维度检测加固APK的恶意性。
下面给出几种加固恶意APK样本的情况介绍,其中表1为病毒与特征文件的对应关系,表2为病毒与权限的对应关系,表3为权限的对应行为,本实施例中的预定义规则即为形如表1-表3所描述的规则。
表1
表2
表3
如图1所示,在一些实施例中,一种针对加固APK样本的检测方法包括:
S01,提取并解析待测APK样本的文件列表、classes.dex文件、AndroidManifest.xml文件。
通过对现有大量加固恶意APK样本的统计发现,特征文件一般存在于文件列表中,当然,偶尔classes.dex文件中也存在特征文件,因此为了提高检测的准确性,优选同时提取文件列表和classes.dex文件。
S02,检测文件列表或classes.dex文件是否包含预定义特征文件,如果是则进入S03,否则判断该加固APK具有非恶意性。
预定义特征文件形如表1,比如若发现lib/armeabi/libexecmain.so文件,则认为该加固APK可能为目前市面上非常流行的“爱加密”加固方案(病毒名为:Pack/Android.Secapk.a[pack,gen]),此时需要再结合S03的权限进行判断。
S03,判断AndroidManifest.xml文件里是否存在满足预定义规则的权限信息,若满足则判断该加固APK具有恶意性,否则判断该加固APK具有非恶意性。
如表2所示,若AndroidManifest.xml文件里包含android.permission.BIND_DEVICE_ADMIN或android.permission.READ_CONTACTS权限;或者同时包含android.permission.SEND_SMS和 android.permission.RECEIVE_SMS权限,则可判定该加固APK具有恶意性。
本发明在对大量加固恶意APK样本的统计基础上,仅通过特征文件和相应权限两个维度就能准确判断加固APK是否具有恶意性,实现了在前端以一种较小的开销对加固样本进行大概率准确的定性,具有检测快速、准确率高的特点。
本发明还公开了一种针对加固APK样本恶意性的检测装置,如图2所示,包括文件处理模块10、第一检测模块20、第二检测模块30、结果输出模块40、预定义模块50:
预定义模块50,用于保存病毒名、与病毒名对应的特征文件、及与病毒名对应的权限信息。
文件处理模块10,用于提取并解析待测APK样本的文件列表、classes.dex文件、AndroidManifest.xml文件。
为了提高检测的准确性,在本实施例中,同时提取文件列表和classes.dex文件。
所述第一检测模块20,用于检测文件列表或classes.dex文件里是否包含预定义特征文件;
所述第二检测模块30,用于检测AndroidManifest.xml文件里是否存在满足预定义规则的权限信息;
结果输出模块40,用于当检测到文件列表或classes.dex文件里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性;否则,判断该加固APK样本不具有恶意性。
本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。
上述说明示出并描述了本发明的若干实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (5)
1.一种针对加固APK样本恶意性的检测方法,其特征在于,包括以下步骤:
提取并解析待测APK样本的文件列表、AndroidManifest.xml文件;
当检测到文件列表里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
2.一种针对加固APK样本恶意性的检测方法,其特征在于,包括以下步骤:
提取并解析待测APK样本的文件列表、classes.dex文件、AndroidManifest.xml文件;
当检测到文件列表或classes.dex文件里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
3.一种针对加固APK样本恶意性的检测装置,其特征在于,包括文件处理模块、第一检测模块、第二检测模块、结果输出模块:
所述文件处理模块,用于提取并解析待测APK样本的文件列表、AndroidManifest.xml文件;
所述第一检测模块,用于检测文件列表里是否包含预定义特征文件;
所述第二检测模块,用于检测AndroidManifest.xml文件里是否存在满足预定义规则的权限信息;
结果输出模块,用于当检测到文件列表里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
4.一种针对加固APK样本恶意性的检测装置,其特征在于,包括文件处理模块、第一检测模块、第二检测模块、结果输出模块:
所述文件处理模块,用于提取并解析待测APK样本的文件列表、classes.dex文件、AndroidManifest.xml文件;
所述第一检测模块,用于检测文件列表或classes.dex文件里是否包含预定义特征文件;
所述第二检测模块,用于检测AndroidManifest.xml文件里是否存在满足预定义规则的权限信息;
结果输出模块,用于当检测到文件列表里或classes.dex文件里包含预定义特征文件且AndroidManifest.xml文件里存在满足预定义规则的权限信息时,判断该加固APK样本具有恶意性。
5.如权利要求3或4所述的检测装置,其特征在于,所述检测装置还设有预定义模块,所述预定义模块用于保存病毒名、与病毒名对应的特征文件、及与病毒名对应的权限信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611247131.5A CN108256324A (zh) | 2016-12-29 | 2016-12-29 | 一种针对加固apk样本的检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611247131.5A CN108256324A (zh) | 2016-12-29 | 2016-12-29 | 一种针对加固apk样本的检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108256324A true CN108256324A (zh) | 2018-07-06 |
Family
ID=62720122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611247131.5A Pending CN108256324A (zh) | 2016-12-29 | 2016-12-29 | 一种针对加固apk样本的检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108256324A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| JP5441043B2 (ja) * | 2012-04-19 | 2014-03-12 | 株式会社Ffri | プログラム、情報処理装置、及び情報処理方法 |
| CN103902908A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种对Android加固应用的恶意代码检测方法及*** |
| CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证***及其方法 |
| CN105068932A (zh) * | 2015-08-25 | 2015-11-18 | 北京安普诺信息技术有限公司 | 一种Android应用程序加壳的检测方法 |
| CN106162648A (zh) * | 2015-04-17 | 2016-11-23 | 上海墨贝网络科技有限公司 | 一种应用安装包的行为检测方法、服务器及*** |
-
2016
- 2016-12-29 CN CN201611247131.5A patent/CN108256324A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| JP5441043B2 (ja) * | 2012-04-19 | 2014-03-12 | 株式会社Ffri | プログラム、情報処理装置、及び情報処理方法 |
| CN103902908A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种对Android加固应用的恶意代码检测方法及*** |
| CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证***及其方法 |
| CN106162648A (zh) * | 2015-04-17 | 2016-11-23 | 上海墨贝网络科技有限公司 | 一种应用安装包的行为检测方法、服务器及*** |
| CN105068932A (zh) * | 2015-08-25 | 2015-11-18 | 北京安普诺信息技术有限公司 | 一种Android应用程序加壳的检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101402057B1 (ko) | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 | |
| US10152594B2 (en) | Method and device for identifying virus APK | |
| Carlin et al. | Detecting cryptomining using dynamic analysis | |
| Baskaran et al. | A study of android malware detection techniques and machine learning | |
| Bläsing et al. | An android application sandbox system for suspicious software detection | |
| Schmitt et al. | PDF Scrutinizer: Detecting JavaScript-based attacks in PDF documents | |
| Wang et al. | Virus detection using data mining techinques | |
| Lu et al. | De-obfuscation and detection of malicious PDF files with high accuracy | |
| US10986103B2 (en) | Signal tokens indicative of malware | |
| US20090133126A1 (en) | Apparatus and method for detecting dll inserted by malicious code | |
| CN106096405A (zh) | 一种基于Dalvik指令抽象的Android恶意代码检测方法 | |
| Kakavand et al. | Application of machine learning algorithms for android malware detection | |
| CN110866258B (zh) | 快速定位漏洞方法、电子装置及存储介质 | |
| WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
| Hamed et al. | Mobile malware detection: A survey | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| US11790085B2 (en) | Apparatus for detecting unknown malware using variable opcode sequence and method using the same | |
| Nguyen et al. | Detecting repackaged android applications using perceptual hashing | |
| Polakis et al. | Powerslave: Analyzing the energy consumption of mobile antivirus software | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| Yang et al. | Android malware detection using hybrid analysis and machine learning technique | |
| El-Rewini et al. | Dissecting residual APIs in custom android ROMs | |
| CN107800673A (zh) | 一种白名单的维护方法及装置 | |
| Huang et al. | A large-scale study of android malware development phenomenon on public malware submission and scanning platform | |
| Albalawi et al. | Protecting Shared Virtualized Environments against Cache Side-channel Attacks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180706 |