一种移动终端恶意代码分析设备及分析方法
【技术领域】
[0001]本发明涉及终端病毒防控领域,尤指一种移动终端恶意代码分析设备及分析方法。
【背景技术】
[0002]随着移动互联网的发展,移动安全问题日益突出,针对移动终端的病毒、恶意行为越来越多,且呈现增长趋势。
[0003]目前,移动应用程序呈现爆发的趋势,但相应的移动终端系统的安全防护技术却没有相应的跟上,造成大量的手机病毒爆发。
[0004]现在的移动终端对恶意行为的防护大部门是通过静态分析或动态分析技术来实现,他们不可避免的会对一些应用程序的恶意行为遗漏。
[0005]为了对遗漏的应用程序的恶意行为进行检测,需要一种在应用程序运行后对异常行为进行逆向分析的技术,用于检测应用程序是否含有恶意代码,以此来加强移动终端系统的安全性,保持用户的隐私。
【发明内容】
[0006]本发明为了解决上述技术容易遗漏移动终端上某些应用程序的恶意行为的问题,提供一种移动终端恶意代码分析设备及分析方法,在应用程序运行后,自动监控应用程序的各项行为,对恶意行为进行预先判断和云端逆向分析,以在确定为恶意行为后停止相关应用程序的进程,保护移动终端数据安全。
[0007]为了实现上述目的,本发明提供了一种移动终端恶意代码分析设备,所述分析设备包括:
[0008]Linux内核监视器,用于监视应用程序的行为,并在应用程序的行为与异常行为检测模块预存异常行为匹配时,自动暂停应用程序的行为,将暂停的应用程序的行为发送到逆向分析模块;
[0009]异常行为检测模块,用于预存各种异常行为;
[0010]逆向分析模块,用于逆向分析引起暂停的应用程序的行为的进程、应用程序和系统代码,支持云端自动分析;
[0011]处理模块,用于在逆向分析模块确定暂停的应用程序的行为是恶意代码时,自动中止引起暂停的应用程序的行为的进程的运行,并提示用户进行相关操作,在逆向分析模块确定引起暂停的应用程序的行为不是恶意代码时,继续引起暂停的应用程序的行为的进程的运行。
[0012]可选地,所述分析设备中=Linux内核监视器自动暂停应用程序的行为包括,将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收,使引起暂停的应用程序的行为的进程进入阻塞状态,等待处理模块的后续动作。
[0013]可选地,所述分析设备中=Linux内核监视器对进程的操作是由其进程控制块进行。
[0014]可选地,所述分析设备中:异常行为检测模块所预存的各种异常行为包括修改系统代码、对敏感信息读写、可疑的网络行为和流量、获取位置信息。
[0015]可选地,所述分析设备中:逆向分析模块对引起暂停的应用程序的行为的进程的逆向分析包括对进程的数据流的分析;逆向分析模块对引起暂停的应用程序的行为的应用程序的逆向分析包括:将应用程序上传到云端,由云端依次进行应用程序解码、反汇编和功能分析,根据功能分析结果确定引起暂停的应用程序的行为是否为恶意代码;逆向分析模块对引起暂停的应用程序的行为的系统代码的逆向分析包括对系统代码的关键模块HASH值的分析。
[0016]本发明还提供了一种移动终端恶意代码分析方法,所述分析方法包括:
[0017]步骤1:监视应用程序的行为,并在应用程序的行为与预存异常行为匹配时,自动暂停应用程序的行为;
[0018]步骤2:逆向分析引起暂停的应用程序的行为的进程、应用程序和系统代码,其中使用云端自动分析;
[0019]步骤3:在确定暂停的应用程序的行为是恶意代码时,自动中止引起暂停的应用程序的行为的进程的运行,并提示用户进行相关操作,在确定引起暂停的应用程序的行为不是恶意代码时,继续引起暂停的应用程序的行为的进程的运行。
[0020]可选地,所述分析方法中:步骤I中,自动暂停应用程序的行为包括,将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收,使引起暂停的应用程序的行为的进程进入阻塞状态,等待后续动作。
[0021]可选地,所述分析方法中:将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收中,对进程的操作是由进程控制块进行。
[0022]可选地,所述分析方法中:预存异常行为包括修改系统代码、对敏感信息读写、可疑的网络行为和流量、获取位置信息。
[0023]可选地,所述分析方法中:对引起暂停的应用程序的行为的进程的逆向分析包括对进程的数据流的分析;对引起暂停的应用程序的行为的应用程序的逆向分析包括:将应用程序上传到云端,由云端依次进行应用程序解码、反汇编和功能分析,根据功能分析结果确定引起暂停的应用程序的行为是否为恶意代码;对引起暂停的应用程序的行为的系统代码的逆向分析包括对系统代码的关键模块HASH值的分析。
[0024]本发明由于采用了上述技术方案,从而具有以下优点:
[0025]I)本发明能够加强系统的安全性,保持用户的隐私,避免应用程序的恶意行为被遗漏分析;
[0026]2)本发明由于采用了远程云端分析技术,能够提高恶意行为分析的速度,从而为用户提供更多的辅助参考数据。
【附图说明】
[0027]下面结合附图和【具体实施方式】对本发明作进一步详细说明:
[0028]图1为本发明的移动终端恶意代码分析设备的第一实施例示意图;
[0029]图2为本发明的移动终端恶意代码分析设备的第二实施例示意图;
[0030]图3为本发明的移动终端恶意代码分析方法的第一实施例流程示意图。
【具体实施方式】
[0031]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,以下说明和附图对于本发明是示例性的,并且不应被理解为限制本发明。以下说明描述了众多具体细节以方便对本发明理解。然而,在某些实例中,熟知的或常规的细节并未说明,以满足说明书简洁的要求。
[0032]现有技术中,也存在一些针对移动终端病毒的处理方案,但移动终端对恶意行为的防护大部门是通过静态分析或动态分析技术来实现,他们不可避免的会对一些应用程序的恶意行为遗漏。
[0033]为了解决上述问题,本发明提供了一种移动终端恶意代码分析设备和分析方法,能够对遗漏的应用程序的恶意行为进行检测,对应用程序的异常行为进行逆向分析,用于确定应用程序是否含有恶意代码,以此来提高移动终端的防病毒能力。
[0034]首先,请参考图1,图1为本发明的移动终端恶意代码分析设备的第一实施例示意图,所述分析设备包括:
[0035]Linux内核监视器,用于监视应用程序的行为,并在应用程序的行为与异常行为检测模块预存异常行为匹配时,自动暂停应用程序的行为,将暂停的应用程序的行为发送到逆向分析模块;
[0036]异常行为检测模块,用于预存各种异常行为;
[0037]逆向分析模块,用于逆向分析引起暂停的应用程序的行为的进程、应用程序和系统代码,支持云端自动分析;
[0038]处理模块,用于在逆向分析模块确定暂停的应用程序的行为是恶意代码时,自动中止引起暂停的应用程序的行为的进程的运行,并提示用户进行相关操作,在逆向分析模块确定引起暂停的应用程序的行为不是恶意代码时,继续引起暂停的应用程序的行为的进程的运行。
[0039]其中,所述分析设备中=Linux内核监视器自动暂停应用程序的行为包括,将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收,使引起暂停的应用程序的行为的进程进入阻塞状态,等待处理模块的后续动作;Linux内核监视器对进程的操作是由其进程控制块进行;异常行为检测模块所预存的各种异常行为包括修改系统代码、对敏感信息读写、可疑的网络行为和流量、获取位置信息;敏感信息包括短信、彩信、通话日志、联系人语言信箱、日程、记事本、多媒体、财务应用、个人邮件、浏览搜索记录和数字证书等;逆向分析模块对引起暂停的应用程序的行为的进程的逆向分析包括对进程的数据流的分析;逆向分析模块对引起暂停的应用程序的行为的应用程序的逆向分析包括:将应用程序上传到云端,由云端依次进行应用程序解