基于动态插桩的恶意代码检测系统及方法
【技术领域】
[0001]本发明涉及移动终端应用安全领域,具体涉及一种基于动态插粧检测移动终端应用程序恶意行为的检测系统及方法。
【背景技术】
[0002]随着移动互联网的发展,智能手机的安全问题成为移动互联网行业以及移动互联网用户重点关注的领域,有关移动智能终端恶意代码的相关变形技术的研宄有重打包技术、反汇编技术、花指令技术、字节码被加密技术以及数据被加密技术等,根据恶意代码的危险程度,把其划分为三个等级:严重、中等、和低级。主要研宄方法有三,第一、根据已经有的安卓系统的漏洞特征检测存在恶意操作的应用;第二、分析代码,检查代码中是否存在扣费,上传文件或者向不明服务器发送私密数据的恶意代码片段;第三、同样是利用静态代码分析方法,首先去分析被加密代码调用的特征是否存在于Native层,随后再对程序的执行路径以及恶意的危险的Dalvik代码进行检测和分析,去判断其是否为恶意应用。
[0003]以上三种方发是现行移动终端中常用的检测方法,现有安全应用软件以APK的形式被用户下载安装在Android手机上,从而启动病毒检测和安全防护等作用,其在检测病毒时是以嫌疑软件在用户手机系统后台运行时,检测嫌疑软件是否调用系统重要组件及功能,或者检测其嫌疑软件特征码并与服务器端进行特征库比照,从而查验嫌疑软件的安全性。
[0004]然而,对于没有在特征库中的病毒程序,安全应用软件只能提供一个人工标注的接口,当用户在受到未检测出的病毒应用伤害后,用户可以利用这个接口给安全应用软件进行病毒上报,从而安全应用软件在其服务器端进行特征库更新。这种上报在软件使用过程中遭遇的病毒的方法,以实际使用中遭受安全伤害为前提,对用户造成不便,并且用户在误操作的可能下会对移动设备安全留下潜在的威胁。
【发明内容】
[0005]本发明的目的在于针对上述现有技术中存在的问题,提出一种基于动态插粧的恶意代码检测系统及方法,在应用程序安装之前,对应用程序frameworks框架进行重定制以检测应用程序的恶意代码,在程序运行之前解决移动终端隐私泄露以及应用程序恶意行为操作等的安全问题。
[0006]为达到上述发明的目的,本发明通过以下技术方案实现:
[0007]一种基于动态插粧的恶意代码检测系统,包括有服务器、移动终端及其上运行待检测软件的系统模拟器,服务器包括如下:
[0008]插粧管理器,用于将系统模拟器中待测软件的framework框架重定制,其包括有插粧策略文件和至少一个探针函数,插粧策略文件用于植入系统模拟器中,探针函数根据插粧策略文件对framework框架的API函数进行监控;
[0009]监听器,用于移动终端和服务器的通信连接,以及接收探针函数获取的待检测软件对API函数的操作行为和内容;
[0010]行为分析器,将监听器返回的包含操作行为和内容的探测结果与和恶意API序列特征库做比对,存在在恶意API序列特征库中,则标记软件存在恶意行为操作,不存在在恶意API序列特征库中,则标记软件为安全,从而确定待检测软件的安全性。
[0011 ] 所述插粧管理器对待测软件的framework框架重订制是对framework, jar和core, jar文件的定制,在原来的framework, jar基础上向敏感的、需要监控的API函数中置入探针函数,core, jar文件的定制与framework, jar相同。
[0012]所述探针函数包括有管理插粧策略文件的ConfigManager类和对探针在framework框架的API函数中监听到的内容进行处理操作的Controller类。
[0013]所述插粧策略文件用于指引监听器负责监听位于framework框架中的探针函数,并可以选择性地对指定API函数的探针函数进行实时监管。插粧策略文件包括有不止一类行为检测或监控的选项,所述选项包括有SQL执行检测、手机号码读取操作检测和命令执行行为检测,探针函数针对所述选项进行实时监管。
[0014]一种基于动态插粧的恶意代码检测方法,包括:
[0015]在移动终端的系统模块器上加载待检测软件;
[0016]在服务器上由插粧管理器将系统模拟器中待测软件的framework框架重订制,将插粧策略文件植入系统模拟器中,至少一个探针函数根据插粧策略文件对framework框架的API函数进行监控;
[0017]服务器上的监听器与移动终端通信并接收探针函数获取的待检测软件对API函数的操作行为和内容;
[0018]将包含操作行为和内容的探测结果与恶意API序列特征库做比对,存在在恶意API序列特征库中,则标记软件存在恶意行为操作,不存在在恶意API序列特征库中,则标记软件为安全,从而确定待检测软件的安全性。
[0019]所述对待测软件的framework框架重订制是对framework, jar和core, jar文件的定制,在原来的framework, jar基础上向敏感的、需要监控的API函数中置入探针函数,core, jar文件的定制与framework, jar相同。
[0020]所述探针函数包括有管理插粧策略文件的ConfigManager类和对探针在framework框架的API函数中监听到的内容进行处理操作的Controller类。
[0021]所述至少一个探针函数根据插粧策略文件对framework框架的API函数进行监控,是由插粧策略文件指引监听器负责监听位于framework框架中的探针函数,并选择性地对指定API函数的探针函数进行实时监管。
[0022]所述插粧策略文件包括有不止一类行为检测或监控的选项,所述选项包括有SQL执行检测、手机号码读取操作检测和命令执行行为检测,探针函数针对所述选项进行实时监管
ΓΤΠ.曰 O
[0023]所述探针函数对指定API函数进行实时监管,是以如下三种操作模式进行:
[0024]发送模式,把探针函数监听到的内容发给行为分析器;
[0025]代理模式,让测试员控制探针函数监听到的内容;
[0026]修改模式,将探针函数监听到的内容替换为预设的指定内容。
[0027]以上三种模式可以让测试人员实时地监控到App应用的动态行为,发送模式和代理模式可以实现App动态行为分析和监控,代理模式和修改模式可以实现实时修改App应用行为。
[0028]本发明通过插粧技术向位于Android系统底层框架中的API函数植入探针函数,对样本进行实时检测和监控。探针捕获恶意代码运行过程中对系统资源的访问情况,并将捕获到的内容转发给服务端的监听器,行为分析器会将探针函数所探到的API函数序列同恶意API序列特征库进行特征匹配,最终实现行为检测和判断。
【附图说明】
[0029]图1为本发明的基于动态插粧的恶意代码检测系统的结构图。
[0030]图2为本发明的基于动态插粧的恶意代码检测方法的流程步骤图。
【具体实施方式】
[0031]下面结合附图和实施例对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。
[0032]请参阅图1,图1是本发明实施例的基于动态插粧的恶意代码检测系统的结构图。
[0033]一种基于动态插粧的恶意代码检测系统,包括有服务器、移动终端及其上运行待检测软件的系统模拟器,服务器包括如下:
[0034]插粧管理器103,用于将系统模拟器101中待测软件的framework框架重定制,其包括有插粧策略文件和至少一个探针函数,插粧策略文件用于植入系统模拟器101中,探针函数根据插粧策略文件对framework框架的API函数进行监控;
[0035]监听器102,用于移动终端和服务器的通信连接,以及接收探针函数获取的待检测软件对API函数的操作行为和内容;
[0036]行为分析器104,将监听器102返回的将包含操作行为和内容的探测结果与恶意API序列特征库做比对,存在在恶意API序列特征库中,则标记软件存在恶意行为操作,不存在在恶意API序列特征库中,则标记软件为安全,从而确定待检测软件的安全性。
[0037]所述插粧管理器103中还包括有配置文件,配置文件可对插粧策略文件的保存以及加载进行操作,不仅可以在本地服务器系统中加载配置文件和保存插粧策略文件,还可以从系统模拟器中加载加载配置文件和保存插粧策略文件。
[0038]所述插粧管理器103对待测软件的framework框架重订制是对framework, jar和core, jar文件的定制,在原来的framework, jar基础上向敏感的、需要监控的API函数中置入探针函数,core, jar文件的定制与framework, jar相同。
[0039]所述探针函数包括有管理插粧策略文件的ConfigManager类和对探针在framework框架的API函数中监听到的内容进行处理操作的Controller类。
[0040]所述插粧策略文件用于指引监听器102负责监听位于framework框架中的探针函数,并可以选择性地对指定API函数的探针函数进行实时监管。
[0041]所述插粧策略文件包括有不止一类行为检测或监控的选项,所述选项包括有SQL执行检测、手机号码读取操作检测和命令执行行为检测,探针函数针对所述选项进行实时监管
ΓΤΠ.曰 O
[0042]所述插粧策略文件还包括有XML配置文件,所述XML配置文件具有的config标签中生成有general Item标签和item标签,general Item标签包含监听器IP地址和监听端口号的配置信息标签包含探针函数配置信息如下:检测名称-name、是否开探针检测-enabled、检测的App名称-affectedApp、被监听的framework框架的API名称-caller、探针行为模式-mode和探针行为匹配条件-condit1n。
[0043]请参阅图2,图2是本发明实施例的基于动态插粧的恶意代码检测方法的流程步骤图。
[0044]一种基于动态插粧的恶意代码检测方法,包括:
[0045]步骤S100,在移动终端的系