1.一种恶意应用识别方法,其特征在于,包括:
获取待检测的应用程序文件,在模拟器中运行所述应用程序文件;
获取所述应用程序文件运行时的内存映像;
对获取的内存映像进行动态内存审查,根据动态内存审查结果确定是否是恶意应用程序。
2.如权利要求1所述的方法,其特征在于,获取所述应用程序文件运行时的内存映像,具体包括:
按照指定的时间序列导出dump选定时间段内的全部内存映像;
根据内存映射存储地址,从选定时间段内的全部内存映像中获取所述应用程序的内存映像。
3.如权利要求1所述的方法,其特征在于,所述对获取的内存映像进行动态内存审查,根据动态内存审查结果确定是否是恶意应用程序,具体包括:
根据获取的所述应用程序文件的内存映像中包含的由内存处理的动态信息,审查所述应用程序的行为足迹是否有非法行为足迹,和/或审查所述应用程序传输的数据中是否包含敏感信息;
当行为足迹中有非法行为足迹或传输的数据中包含敏感信息时,认为是恶意应用程序。
4.如权利要求3所述的方法,其特征在于,审查所述应用程序的行为足迹是否有非法行为足迹,具体包括下列操作中的至少一种:
审查应用程序的网络传输操作,是否有非用户启动的或应用程序自启的网络传输操作;
审查应用程序的启动时间是否早于用户启动该应用程序的时间;
审查网络连接状态,是否有用户未启用的网络连接被启用。
5.如权利要求3所述的方法,其特征在于,所述审查所述应用程序传输的数据中是否包含敏感信息,具体包括:
从所述应用程序文件的内存映像中包含的由内存处理的动态信息中获取出应用程序所传输的数据;
判断所传输的数据中是否包含有与预设的敏感信息相匹配的信息。
6.一种恶意应用识别装置,其特征在于,包括:
文件获取模块,用于获取待检测的应用程序文件;
加载运行模块,用于在模拟器中运行所述应用程序文件;
映像获取模块,用于获取所述应用程序文件运行时的内存映像;
内存审查模块,用于对获取的内存映像进行动态内存审查;
结果生成模块,用于根据动态内存审查结果确定是否是恶意应用程序。
7.如权利要求6所述的装置,其特征在于,所述映像获取模块,具体用于:
按照指定的时间序列导出dump选定时间段内的全部内存映像;
根据内存映射存储地址,从选定时间段内的全部内存映像中获取所述应用程序的内存映像。
8.如权利要求6所述的装置,其特征在于,所述内存审查模块,具体用于:
根据获取的所述应用程序文件的内存映像中包含的由内存处理的动态信息,审查所述应用程序的行为足迹是否有非法行为足迹,和/或审查所述应用程序传输的数据中是否包含敏感信息;
结果生产模块,具体用于当行为足迹中有非法行为足迹或传输的数据中包含敏感信息时,认为是恶意应用程序。
9.如权利要求8所述的装置,其特征在于,所述内存审查模块,具体用于执行下列行为足迹审查操作中的至少一种:
审查应用程序的网络传输操作,是否有非用户启动的或应用程序自启的网络传输操作;
审查应用程序的启动时间是否早于用户启动该应用程序的时间;
审查网络连接状态,是否有用户未启用的网络连接被启用。
10.如权利要求8所述的装置,其特征在于,所述内存审查模块,具体用于:
从所述应用程序文件的内存映像中包含的由内存处理的动态信息中获取出应用程序所传输的数据;
判断所传输的数据中是否包含有与预设的敏感信息相匹配的信息。