智能手机应用程序的静态分析方法及系统的制作方法
【技术领域】
[0001] 本发明涉及智能手机安全领域,具体而言,本发明提供一种智能手机应用程序的 静态分析方法及相关系统。
【背景技术】
[0002] 随着现代通信手段的进步,我国智能手机的用户越来越多,而随着手机终端的不 断普及、网民规模高速增长以及移动互联快发展,各类手机应用如雨后春笋般出现,包括电 子商务、手机支付、LBS、联系人云备份、手机预订票和酒店等在内的商务应用也不断成熟, 极大地满足了用户的多方需求。
[0003] 但随着智能手机市场的进一步扩展,水货、山寨手机及其应用的泛滥使得手机的 安全风险日益扩大,感染手机病毒的用户量急剧增长。包括病毒、恶意扣费、骚扰电话、手机 系统垃圾、私自联网消耗流量、手机支付安全隐患、隐私泄露在内的各类问题困扰着用户。 与此同时,病毒投放渠道、攻击技术利益联盟等黑色产业链也逐步完善,更多的手机用户因 此开始受到病毒的大规模侵袭。
[0004] 目前越来越多的案件和电子数据勘查取证涉及到手机程序功能的分析,分析的难 度和工作量也越来越大,包括对各类恶意扣费软件、窃取用户个人隐私信息等手机程序的 取证分析和检验鉴定。因此,对主流的智能手机的应用程序的功能分析和取证必须有相应 的技术、工具和系统予以支撑,以解决上述问题。
[0005] 目前对智能手机应用程序的静态分析过程复杂,消耗很大的人力和时间成本,通 常对程序采用人工反编译,肉眼查看的方式进行静态分析,效率很低。
【发明内容】
[0006] 本发明的目的旨在解决上述至少一个问题,提供一种智能手机应用程序的静态分 析方法,包括以下步骤:
[0007] 接收上传的应用程序样本;
[0008] 扫描应用程序样本安装包,并提取指定的特征信息;
[0009] 将所述指定特征信息与云端服务器的特征码数据库进行匹配;
[0010] 若匹配成功,则判定应用程序的安全等级;
[0011] 若匹配不成功,则扫描应用程序的API,判定应用程序的安全等级。
[0012] 优选的,所述应用程序安装包指定特征信息包括以下一种或多种的组合:
[0013] 软件名称、包名、版本编号、版本号、签名证书名称、签名证书MD5、签名证书有效 期、应用程序安装包MD5、应用程序安装包SHA1。
[0014] 优选的,所述特征码数据库记录特征码信息与该特征码信息所对应的安全等级之 间的映射关系。
[0015] 优选的,所述特征码数据库中的特征码信息记录具体指单个特征信息或多个特征 信息的组合。
[0016] 具体的,所述特征码数据库具体包括Android系统的特征码数据库和IOS系统的 特征码数据库。
[0017] -种智能手机应用程序的静态分析系统,包括:
[0018] 接收模块:用于接收上传的应用程序样本;
[0019] 特征提取模块:用于扫描应用程序样本安装包,并提取指定的特征信息;
[0020] 特征匹配模块:用于将所述指定特征信息与云端服务器的特征码数据库进行匹 配;
[0021] 判定模块:用于判定应用程序的安全等级;
[0022] API扫描模块:用于扫描应用程序的API,并判定应用程序的安全等级。
[0023] 优选的,所述应用程序安装包指定特征信息包括以下一种或多种的组合:
[0024]软件名称、包名、版本编号、版本号、签名证书名称、签名证书MD5、签名证书有效 期、应用程序安装包MD5、应用程序安装包SHA1。
[0025] 优选的,所述特征码数据库记录特征码信息与该特征码信息所对应的安全等级之 间的映射关系。
[0026] 优选的,所述特征码数据库中的特征码信息记录具体指单个特征信息或多个特征 信息的组合。
[0027] 具体的,所述特征码数据库具体包括Android系统的特征码数据库和I0S系统的 特征码数据库。
[0028] 相比现有技术,本发明的方案具有以下优点:
[0029] 1、本发明通过提取应用程序安装包中的指定特征信息作为匹配特征,与服务器中 的已知特征码进行匹配,以确定该应用程序的安全等级,且扫描速度快、检测准确率较高。
[0030] 2、本发明对应用程序调用的特定的系统API进行扫描,确定与用户相关的恶意行 为,防止恶意程序获取用户信息,提高静态分析的检测率。
[0031] 3、本发明接收上传的应用程序样本,自动针对应用程序进行扫描检测,确定其安 全等级,解决了现有技术通过人工阅读反编译文件带来的巨大工作量,提高了检测恶意程 序的效率。
[0032] 4、本发明提供的智能手机应用程序的静态分析方法即可以检测Android系统的 恶意程序,也可以检测I0S系统的恶意程序,实现同时对现今流行的两大操作系统的智能 手机的应用程序进行安全等级确定。
[0033] 本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0034] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中:
[0035] 图1为智能手机应用程序的静态分析方法示意框图;
[0036] 图2为智能手机应用程序的静态分析系统原理框图
【具体实施方式】
[0037] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0038] 本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式"一"、"一 个"、"所述"和"该"也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措 辞"包括"是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加 一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元 件被"连接"或"耦接"到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在 中间元件。此外,这里使用的"连接"或"耦接"可以包括无线连接或无线耦接。这里使用 的措辞"和/或"包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0039] 本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术 术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应 该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中 的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含 义来解释。
[0040