专利名称:移动终端恶意软件的分析方法和装置的制作方法
技术领域:
本申请涉及移动终端恶意软件的分析方法和装置。
背景技术:
随着移动终端互联网的迅速发展,智能移动终端的增多,移动终端上相应的恶意代码威胁也逐渐增多。移动终端的恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题,给客户利益带来极大危害,也给通信运营商带来不利影响。在目前主流的移动终端恶意软件中,很多的恶意软件都存在主动的网络连接行为。通过网络连接,恶意软件可与远程控制服务器进行连接,下载和传播新的恶意代码,也可以接受远程服务器的指令进而触发相应的恶意行为。另外,频繁的网络连接也造成了大量的无意义的网络流量,对网关设备造成了冲击。针对移动终端的恶意软件,可对采集的疑似样本进行恶意行为分析,提取特征码更新特征库。目前针对手机恶意软件的分析,主要可采用的手段有:对恶意软件进行静态分析,即,通过解析具体的逻辑,特殊字符串,导入导出函数表,签名证书等信息来进行分析;在PC机上对恶意软件进行养殖,通过进行网络抓包,分析其恶意行为。由于静态分析通常采用反汇编或反编译进行,因此计算量较大。而对于在PC机上养殖恶意软件的动态分析,由于PC机与例如手机等的移动终端的通信方式存在区别,导致通过传统的网络抓包进行分析也存在困难。因此,上述分析方法的效率和准确率较低。
发明内容
为了解决现有移动终端恶意软件的分析效率和准确率较低的问题,本申请提出了一种移动终端恶意软件的分析方法和装置。根据本申请的一个方面,提出了一种移动终端恶意软件的分析方法,可包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的另一个方面,提出了一种移动终端恶意软件的分析方法,可包括:在移动终端中运行疑似软件样本,记录所述疑似软件样本执行的可疑行为;若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。根据本申请的又一个方面,提出了一种移动终端恶意软件的分析装置,可包括:解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;触发模块,在移动终端运行所述疑似软件样本期间,根据解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为;以及判断模块,根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
根据本申请的再一个方面,提出了一种移动终端恶意软件的分析装置,可包括:记录模块,在移动终端运行疑似软件样本期间,记录所述疑似软件样本执行的可疑行为;加密处理模块,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则所述加密处理模块记录待发送数据的明文信息;以及判断模块,根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。
图1是根据本申请一个实施方案的移动终端恶意软件的分析方法的流程图;图2是根据本申请另一实施方案的移动终端恶意软件的分析方法的流程图;图3是根据本申请一个实施方案的移动终端恶意软件的分析装置的框图;图4是根据本申请另一个实施方案的移动终端恶意软件的分析装置的框图;图5是根据本申请又一实施方案的移动终端恶意软件的分析装置的框图;以及图6是根据本申请再一实施方案的移动终端恶意软件的分析装置的框图。
具体实施例方式下面参照附图,对本申请的实施方案进行详细说明。在本申请中,移动终端可以是使用移动通信网络的手机终端、pad终端等。如图1所示,在根据本申请一个实施方案的移动终端恶意软件的分析方法中,可首先对疑似软件样本进行解析,以获取该疑似软件样本执行可疑行为的触发条件(步骤S1002)。可以理解,可通过反编译或反汇编的方式解析疑似软件样本,但是,该解析步骤并不是对疑似软件样本进行完全的逆向分析,而仅采用自动化分析,获取触发条件。在本申请的实施方案中,疑似软件样本执行可疑行为的触发条件指的是疑似软件样本在满足某些触发条件时(如连接到网络、位置变更、信号变化、接收到短信、开机启动等)便能够执行可能具有恶意目的的可疑行为(例如网络访问、位置信息获取、短信发送、短信拦截、进程终止、通讯录访问等)。可以理解,该解析步骤所针对的触发条件可预先设定,并可根据技术发展进行增加或修改。为了对疑似软件样本进行分析,可在移动终端中运行该疑似软件样本,换言之,将移动终端作为疑似软件样本养殖环境。在疑似软件样本运行期间,根据步骤S1002中获取的触发条件,触发疑似软件样本执行可疑行为(步骤S1004)。之后,根据所述疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。根据本申请的一个实施方案,步骤S1002中获取的触发条件可包括,运行疑似软件样本的移动终端的信号变化(例如,网络信号的增强或减弱等)、网络连接变化、接收短信和/或接收彩信。例如,可在移动终端的连接网络或断开网络、或者接收到特定内容短信时触发疑似软件样本执行某些可疑行为。根据一个具体实施例,在步骤S1002中,可通过解析疑似软件样本的配置文件,获取触发条件。由于获取了触发条件,因此在步骤S1004中,可根据所获取的触发条件,有针对性地满足触发条件,以触发疑似软件样本执行可疑行为。例如,可通过控制移动终端的信号变化、控制移动终端网络连接或断开,向移动终端发送短信或彩信等,来触发疑似软件样本执行对应的可疑行为。这样,可提高获取疑似软件样本执行可疑行为的效率,从而提高分析效率。在步骤S1006中,可根据疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。在一个实施例中,可设定步骤S1004执行的时间周期,例如,24-48小时,也有可能I周等,步骤S1006根据步骤S1004执行预定时间周期所获取的可疑行为进行是否为恶意软件的判断。根据一个实施例,可预设可疑行为的数据库,在步骤S1006中,将获取的可疑行为与该数据库的内容进行比对,从而判断执行这些可疑行为的疑似软件样本是否为恶意软件。根据本申请的实施方案,在如图1所示的步骤S1004触发疑似软件样本执行可疑行为之后,还可进一步判断可疑行为是否是采用加密通信协议的通信行为,或是否是发送加密数据的通信行为。若是,则在执行该可疑行为之前,记录待发送数据的明文信息。可以理解,若疑似软件样本执行的可疑行为是采用加密通信协议(如https等)的通信行为,或是发送加密数据的通信行为,例如,对敏感数据信息加密后发送,则会增加分析可疑行为的难度,导致准确率下降。根据本申请的该实施方案,可在执行上述加密通信行为之前,记录待发送的数据的明文信息,例如,可插入相关监测代码模块。这样,可结合所记录的待发送数据的明文信息,进行可疑行为的分析,从而可提高分析的准确率。图2示出了根据本申请另一实施方案的移动终端恶意软件的分析方法。如图2所示,首先在步骤S2002中,在移动终端中运行疑似软件样本,并疑似软件样本执行的可疑行为。然后,在步骤S2004中,判断可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则在执行该通信行为之前,记录待发送数据的明文信息。之后在步骤S2006中,根据步骤S2002中记录的可疑行为和步骤S2004中记录的明文信息,判断该疑似软件样本是否为恶意软件。如上所述,若疑似软件样本执行的可疑行为是采用加密通信协议或发送加密数据的通信行为,则会降低分析的准确率。而根据本申请的实施方案,可结合明文信息和可疑行为,分析疑似软件样本是否是恶意软件,因此可提高分析的准确率。为了进一步提高疑似软件样本的分析效率,可在图2所示方法的基础上增加根据触发条件触发疑似软件样本执行可疑行为。具体而言,可在图2所示的步骤S2002之前,对疑似软件样本进行解析,以获取该疑似软件样本执行可疑行为的触发条件。这样,在步骤S2002中,可根据所获取的触发条件,通过满足触发条件的方式,有针对性地触发疑似软件样本执行可疑行为。类似地,获取的触发条件可包括,运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。下面参照图3至图6,描述根据本申请的移动终端恶意软件的分析装置。如图3所示,根据一个实施方案的移动终端恶意软件的分析装置30可包括解析模块302、触发模块304以及判断模块306。解析模块302可解析疑似软件样本,获取该疑似软件样本执行可疑行为的触发条件。触发模块304可在移动终端作为养殖环境运行疑似软件样本期间,根据解析模块302所获取的触发条件,触发疑似软件样本执行可疑行为。判断模块306则可根据疑似软件样本执行的可疑行为,判断该疑似软件样本是否为恶意软件。由于可根据解析模块302获取的触发条件来触发疑似软件样本执行可疑行为,因此提高分析疑似软件样本的分析效率。根据一个实施例,解析模块302所获取的触发条件可包括:运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。图4示出了根据另一个实施方案的移动终端恶意软件的分析装置40。该移动终端恶意软件的分析装置40可包括解析模块402、触发模块404、判断模块406以及加密处理模块408,其中,解析模块402和触发模块404与参照图3所示的装置30中的解析模块302和触发模块304类似,此处不再赘述。在图4中,加密处理模块408可在触发模块402触发疑似软件样本执行可疑行为之后,判断某可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则所述加密处理模块记录待发送数据的明文信息。这时,判断模块408则可根据疑似软件样本执行的可疑行为和加密处理模块408所记录的明文信息,判断疑似软件样本是否为恶意软件。根据图4所示的移动终端恶意软件的分析装置,可进一步提高分析的准确率。图5示出了根据本申请实施方案的移动终端恶意软件的分析装置50。该分析装置50可包括记录模块502、加密处理模块504和判断模块506。记录模块502可在移动终端运行疑似软件样本期间,记录疑似软件样本执行的可疑行为。加密处理模块504可在所述可疑行为是采用加密通信协议或发送加密数据的通信行为时,记录待发送数据的明文信息。判断模块506则可根据记录模块502记录的可疑行为和加密处理模块504记录的明文信息,判断疑似软件样本是否为恶意软件。通过图5所示的移动终端恶意软件的分析装置50,可提高对移动终端恶意软件进行分析的准确率。图6示出了根据本申请实施方案的移动终端恶意软件的分析装置60。该分析装置60可包括记录模块602、加密处理模块604、判断模块606、解析模块608和触发模块610。解析模块608可解析疑似软件样本,获取该疑似软件样本执行可疑行为的触发条件,而触发模块610可在移动终端运行所述疑似软件样本期间,根据解析模块608获取的触发条件,触发疑似软件样本执行可疑行为。可以理解,在本实施方案中,记录模块602记录的可疑行为是经触发模块610触发后疑似软件样本所执行的可疑行为,加密处理模块604仍判断可疑行为是否是采用加密通信协议或发送加密数据的通信行为,若是,则记录待发送数据的明文信息。判断模块606与图5所示的判断模块506类似,可根据记录模块602记录的可疑行为和加密处理模块604记录的明文信息,判断疑似软件样本是否为恶意软件。根据一个实施例,解析模块608所获取的触发条件可包括:运行疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信等。由于可根据解析模块608获取的触发条件来触发疑似软件样本执行可疑行为,因此提高了分析疑似软件样本的分析效率。以上参照附图对本申请的示例性的实施方案进行了描述。本领域技术人员应该理解,上述实施方案仅仅是为了说明的目的而所举的示例,而不是用来进行限制。凡在本申请的教导和权利要求保护范围下所作的任何修改、等同替换等,均应包含在本申请要求保护的范围内。
权利要求
1.动终端恶意软件的分析方法,包括: 解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件; 在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及 根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
2.按权利要求1所述的方法,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
3.按权利要求1所述的方法,其中,在触发所述疑似软件样本执行可疑行为之后,所述方法进一步包括:若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息。
4.动终端恶意软件的分析方法,包括: 在移动终端中运行疑似软件样本,记录所述疑似软件样本执行的可疑行为; 若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则在执行所述可疑行为之前,记录待发送数据的明文信息;以及 根据所记录的可疑行为和明文信息,判断所述疑似软件样本是否为恶意软件。
5.按权利要求4所述的方法,进一步包括:解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件, 其中,在移动终端运行所述疑似软件样本期间,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为。
6.按权利要求5所述的方法,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
7.动终端恶意软件的分析装置,包括: 解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件; 触发模块,在移动终端运行所述疑似软件样本期间,根据解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为;以及 判断模块,根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。
8.按权利要求7所述的装置,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
9.按权利要求7所述的装置,进一步包括:加密处理模块,在触发模块触发所述疑似软件样本执行可疑行为之后,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,所述加密处理模块记录待发送数据的明文信息, 其中,所述判断模块根据所述疑似软件样本执行的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。
10.动终端恶意软件的分析装置,包括: 记录模块,在移动终端运行疑 似软件样本期间,记录所述疑似软件样本执行的可疑行为; 加密处理模块,若所述可疑行为是采用加密通信协议或发送加密数据的通信行为,则所述加密处理模块记录待发送数据的明文信息;以及判断模块,根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息,判断所述疑似软件样本是否为恶意软件。
11.按权利要求10所述的装置,进一步包括: 解析模块,解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;以及触发模块,在移动终端运行所述疑似软件样本期间,根据所述解析模块获取的触发条件,触发所述疑似软件样本执行可疑行为。
12.按权利要求11 所述的装置,所述触发条件包括:运行所述疑似软件样本的移动终端的信号变化、网络连接变化、接收短信和/或接收彩信。
全文摘要
本申请公开了移动终端恶意软件的分析方法和装置。根据本申请的实施方案,移动终端恶意软件的分析方法可包括解析疑似软件样本,获取所述疑似软件样本执行可疑行为的触发条件;在移动终端中运行所述疑似软件样本,根据所获取的触发条件,触发所述疑似软件样本执行可疑行为;以及根据所述疑似软件样本执行的可疑行为,判断所述疑似软件样本是否为恶意软件。根据本申请的移动终端恶意软件的分析方法和装置,能够提高对移动终端恶意软件分析的速度和准确性。
文档编号H04W12/12GK103096320SQ201110339489
公开日2013年5月8日 申请日期2011年11月1日 优先权日2011年11月1日
发明者彭华熹 申请人:中国移动通信集团公司