技术领域:
本发明涉及计算机技术领域,具体为终端恶意程序研判平台。
背景技术:
:
计算机软件是指计算机系统中的程序及其文档,程序是计算任务的处理对象和处理规则的描述;文档是为了便于了解程序所需的阐明性资料。程序必须装入机器内部才能工作,文档一般是给人看的,不一定装入机器。软件是用户与硬件之间的接口界面。用户主要是通过软件与计算机进行交流。软件是计算机系统设计的重要依据。为了方便用户,为了使计算机系统具有较高的总体效用,在设计计算机系统时,必须通盘考虑软件与硬件的结合,以及用户的要求和软件的要求。
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。也可以将这些软件威胁分成不进行复制工作和进行复制工作的。简单说,前者是一些当宿主程序调用时被激活起来完成一个特定功能的程序片段;后者或者由程序片段(病毒)或者由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其它系统中产生自身的一个或多个以后被激活的副本。
恶意程序的危害可以归纳为:影响智能终端的操作体验、消耗流量和窃取用户隐私。以恶意广告程序为例,对于移动终端来讲,通知栏广告是一种新的广告方式,其通过系统等开放式操作系统公开的通知栏消息接口,向智能终端发送通知栏消息。由于智能终端的设计缺陷,如果发送通知栏消息的软件不主动向用户提示发送者的身份,那么终端使用者是不知道哪款软件发送的通知栏广告,因此很多恶意的软件就频繁的发送这些消息,骚扰用户,强制用户查看广告,诱导用户下载广告推送的程序,甚至在后台窃取用户隐私信息。
目前,对恶意程序的主要识别方法检查软件的明文代码,然后对代码特征进行判断,以此来判断是否具有恶意程序行为,然而恶意程序厂商往往通过代码混淆的方式以此进行隐蔽,从而造成恶意程序不容易被发现,从而降低了传统检测识别方式不再能够有效识别出恶意程序,为此,提出终端恶意程序研判平台。
技术实现要素:
:
本发明的目的在于提供终端恶意程序研判平台,以解决上述背景技术中提出的问题。
本发明由如下技术方案实施:终端恶意程序研判平台,包括:输入单元、处理器、储存器、输出模块、音频电路、摄像头和显示单元,所述输入单元的电性输出端与处理器的电性输入端电性连接,所述处理器的电性输入端与储存器的电性输出端双向电性连接,所述处理器的电性输出端与输出模块的电性输入端电性连接,所述音频电路的电性输入端与输出模块的电性输出端电性连接,所述摄像头的电性输入端与输出模块的电性输出端电性连接,所述显示单元的电性输入端与输出模块的电性输出端电性连接。
作为本技术方案的进一步优选的:所述输入单元包括触控面板和其它输入设备。
作为本技术方案的进一步优选的:所述显示单元包括显示面板。
作为本技术方案的进一步优选的:所述处理器的电性输入端电性连接有电源。
作为本技术方案的进一步优选的:所述电源为市电供电电源和电池供电电源中的其中一种或两者共存。
本发明还提供了一种终端恶意程序研判方法,其步骤如下所示:
s1:对程序进行反编译:利用反编译系统对程序进行反编译,得到反编译文件;
s2:对反编译后的程序代码进行扫描:利用检测程序对反编译文件进行扫描,提取待检测程序反编译文件中的恶意特征代码;
s3:对反编译后的程序代码进行判断:将s2中从反编译文件中提取的恶意特征代码与预设恶意代码库进行匹配,判断是否为恶意程序;
s4:对该程序进行标记:对该程序标记为恶意程序或安全程序;
s5:处理该程序:对于安全程序不进行处理,对于恶意程序进行隔离处理;
s6:对用户进行提示:通过音频电路和显示面板对s4步骤获得的标记信息进行提示。
作为本技术方案的进一步优选的:所述s2步骤包括:
s201:在待检测程序反编译文件中提取该程序调用的字符串长度序列;
s202:在待检测程序反编译文件中提取该程序调用的系统函数的第一特征顺序序列代码;
s203:在待检测程序反编译文件中提取该程序调用的自定义函数的第二特征顺序序列代码;
s204:在待检测程序反编译文件中提取该程序调用的自定义函数的参数信息和返回值信息。
作为本技术方案的进一步优选的:所述s3步骤包括:
s301:将步骤s201中的提取的字符串长度序列与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征;
s302:将步骤s202中的提取的第一特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征;
s303:将步骤s203中的提取的第二特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征;
s304:将步骤s204中的提取的参数信息和返回值信息与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征。
本发明的优点:本发明能够对待检测软件进行反编译,然后对反编译文件中的字符串长度序列、第一特征顺序序列代码、第二特征顺序序列代码和参数信息和返回值信息与恶意特征库进行匹配,忽略了恶意程序的代码含义,能够根据程序的行为进行判断,进而精确的检测出进行过代码隐蔽的程序,同时普通用户能够在使用程序的同时无风险检测出该程序的安全性同时,能够有效检测出未知恶意程序。
附图说明:
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的研判平台装置框图;
图2为本发明的研判方法框图。
具体实施方式:
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
请参阅图1-2,本发明提供一种技术方案:终端恶意程序研判平台,包括:终端恶意程序研判平台,包括:输入单元、处理器、储存器、输出模块、音频电路、摄像头和显示单元,所述输入单元的电性输出端与处理器的电性输入端电性连接,所述处理器的电性输入端与储存器的电性输出端双向电性连接,所述处理器的电性输出端与输出模块的电性输入端电性连接,所述音频电路的电性输入端与输出模块的电性输出端电性连接,所述摄像头的电性输入端与输出模块的电性输出端电性连接,所述显示单元的电性输入端与输出模块的电性输出端电性连接。
本实施例中,具体的:所述输入单元包括触控面板和其它输入设备,通过以上设置,可以有效的对该平台进行控制,控制方便简单。
本实施例中,具体的:所述显示单元包括显示面板,通过以上设置,可以直观的显示对恶意程序的处理结果,对使用者起到提示作用。
本实施例中,具体的:所述处理器的电性输入端电性连接有电源,通过以上设置,可以为该平台进行供电,保证该平台的运行。
本实施例中,具体的:所述电源为市电供电电源和电池供电电源两者共存,通过以上设置,市电供电电源能够长期稳定为该平台供电,电池供电电,能够使该平台进行移动作业,保证了该平台的使用时的便利性。
本实施例中,具体的:通过处理器的设置,可以对程序进行反编译,并提取反编译文件中的数据。
本实施例中,具体的:通过储存器的设置,可以储存反编译文件,并对恶意特征库的数据进行储存。
本发明还提供了一种终端恶意程序研判方法,其步骤如下所示:
s1:对程序进行反编译:利用反编译系统对程序进行反编译,得到反编译文件;
s2:对反编译后的程序代码进行扫描:利用检测程序对反编译文件进行扫描,提取待检测程序反编译文件中的恶意特征代码:
s201:在待检测程序反编译文件中提取该程序调用的字符串长度序列;
s202:在待检测程序反编译文件中提取该程序调用的系统函数的第一特征顺序序列代码;
s203:在待检测程序反编译文件中提取该程序调用的自定义函数的第二特征顺序序列代码;
s204:在待检测程序反编译文件中提取该程序调用的自定义函数的参数信息和返回值信息;
s3:对反编译后的程序代码进行判断:将s2中从反编译文件中提取的恶意特征代码与预设恶意代码库进行匹配,判断是否为恶意程序:
s301:将步骤s201中的提取的字符串长度序列与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,执行下一步命令;
s302:将步骤s202中的提取的第一特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,执行下一步命令;
s303:将步骤s203中的提取的第二特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为是,判断结束,将结果传输至下一步骤;
s4:对该程序进行标记:对该程序标记为恶意程序;
s5:处理该程序:对于恶意程序进行隔离处理;
s6:对用户进行提示:通过音频电路和显示面板对s4步骤获得的标记信息进行提示,音频电路进行报警鸣示,显示面板弹出警告对话框。
实施例二:本实施例与实施例一的区别在于:
请参阅图1-2,本发明提供一种技术方案:终端恶意程序研判平台,包括:终端恶意程序研判平台,包括:输入单元、处理器、储存器、输出模块、音频电路、摄像头和显示单元,所述输入单元的电性输出端与处理器的电性输入端电性连接,所述处理器的电性输入端与储存器的电性输出端双向电性连接,所述处理器的电性输出端与输出模块的电性输入端电性连接,所述音频电路的电性输入端与输出模块的电性输出端电性连接,所述摄像头的电性输入端与输出模块的电性输出端电性连接,所述显示单元的电性输入端与输出模块的电性输出端电性连接。
本实施例中,具体的:所述输入单元包括触控面板和其它输入设备,通过以上设置,可以有效的对该平台进行控制,控制方便简单。
本实施例中,具体的:所述显示单元包括显示面板,通过以上设置,可以直观的显示对恶意程序的处理结果,对使用者起到提示作用。
本实施例中,具体的:所述处理器的电性输入端电性连接有电源,通过以上设置,可以为该平台进行供电,保证该平台的运行。
本实施例中,具体的:所述电源为电池供电电源,通过以上设置,电池供电电源能够使该平台进行移动作业,保证了该平台的使用时的便利性。
本实施例中,具体的:通过处理器的设置,可以对程序进行反编译,并提取反编译文件中的数据。
本实施例中,具体的:通过储存器的设置,可以储存反编译文件,并对恶意特征库的数据进行储存。
一种终端恶意程序研判方法,其步骤如下所示:
s1:对程序进行反编译:利用反编译系统对程序进行反编译,得到反编译文件;
s2:对反编译后的程序代码进行扫描:利用检测程序对反编译文件进行扫描,提取待检测程序反编译文件中的恶意特征代码:
s201:在待检测程序反编译文件中提取该程序调用的字符串长度序列;
s202:在待检测程序反编译文件中提取该程序调用的系统函数的第一特征顺序序列代码;
s203:在待检测程序反编译文件中提取该程序调用的自定义函数的第二特征顺序序列代码;
s204:在待检测程序反编译文件中提取该程序调用的自定义函数的参数信息和返回值信息;
s3:对反编译后的程序代码进行判断:将s2中从反编译文件中提取的恶意特征代码与预设恶意代码库进行匹配,判断是否为恶意程序:
s301:将步骤s201中的提取的字符串长度序列与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,执行下一步命令;
s302:将步骤s202中的提取的第一特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,执行下一步命令;
s303:将步骤s203中的提取的第二特征顺序序列代码与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,执行下一步命令;
s304:将步骤s204中的提取的参数信息和返回值信息与预设的恶意特征代码库中的预设恶意代码进行匹配,从而判断是否匹配到相同的恶意特征,判断结果为否,判断结束,将结果传输至下一步骤;
s4:对该程序进行标记:对该程序标记为安全程序;
s5:处理该程序:对于安全程序不进行处理;
s6:对用户进行提示:通过显示面板对s4步骤获得的标记信息进行提示,显示面板弹出安全使用对话框。
工作原理:本发明对待检测软件进行反编译,然后对反编译文件中的字符串长度序列、第一特征顺序序列代码、第二特征顺序序列代码和参数信息和返回值信息与恶意特征库进行匹配,忽略了恶意程序的代码含义,能够根据程序的行为进行判断,进而精确的检测出进行过代码隐蔽的程序,同时普通用户能够在使用程序的同时无风险检测出该程序的安全性同时,能够有效检测出未知恶意程序.
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。