檢測智能終端中惡意代碼的方法及裝置制造方法【專利摘要】本發(fā)明公開了一種檢測智能終端中惡意代碼的方法及裝置。其中的方法包括:從智能終端操作系統(tǒng)的應(yīng)用程序?qū)樱@取應(yīng)用程序的虛擬機(jī)執(zhí)行文件;對虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);解析反編譯的函數(shù)信息結(jié)構(gòu),提取出反編譯的函數(shù)信息結(jié)構(gòu)中的函數(shù)調(diào)用序列;利用預(yù)先設(shè)置的惡意代碼特征庫,對函數(shù)調(diào)用序列進(jìn)行匹配,如果匹配成功,則確定應(yīng)用程序的虛擬機(jī)執(zhí)行文件包含惡意代碼。應(yīng)用本發(fā)明方案,通過應(yīng)用程序的虛擬機(jī)執(zhí)行文件,可分析確定該應(yīng)用程序是否包含惡意代碼,由此可以對被篡改的應(yīng)用程序或者對惡意軟件進(jìn)行查殺,保護(hù)智能終端的安全。【專利說明】檢測智能終端中惡意代碼的方法及裝置【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及智能終端安全【
技術(shù)領(lǐng)域:
】,具體涉及一種檢測智能終端中惡意代碼的方法及裝置?!?br>背景技術(shù):
】[0002]隨著科技發(fā)展,智能終端具有越來越多的功能。例如,人們的手機(jī)從傳統(tǒng)的GSM、TDMA數(shù)字手機(jī)轉(zhuǎn)向了擁有能夠處理多媒體資源、提供網(wǎng)頁瀏覽、電話會(huì)議、電子商務(wù)等多種信息服務(wù)的智能手機(jī)。然而,品種日益繁多的手機(jī)惡意代碼攻擊以及形勢日益嚴(yán)峻的個(gè)人數(shù)據(jù)安全問題也隨之而來,越來越多的手機(jī)病毒讓智能手機(jī)用戶飽受其苦。【
發(fā)明內(nèi)容】[0003]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的檢測智能終端中惡意代碼的方法及裝置。[0004]依據(jù)本發(fā)明的一個(gè)方面,提供一種檢測智能終端中惡意代碼的方法,包括:從智能終端操作系統(tǒng)的應(yīng)用程序?qū)?,獲取應(yīng)用程序的虛擬機(jī)執(zhí)行文件;對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);解析所述反編譯的函數(shù)信息結(jié)構(gòu),提取出所述反編譯的函數(shù)信息結(jié)構(gòu)中的函數(shù)調(diào)用序列;利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配,如果匹配成功,則確定所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件包含惡意代碼。[0005]優(yōu)選地,還包括:通過解析所述反編譯的函數(shù)信息結(jié)構(gòu),得到虛擬機(jī)助記符序列;從所述虛擬機(jī)助記符序列中提取得到所述函數(shù)調(diào)用序列。[0006]優(yōu)選地,所述函數(shù)調(diào)用序列為多個(gè);所述方法還包括:通過分析按照順序執(zhí)行的多個(gè)函數(shù)調(diào)用序列的指令,確定所述函數(shù)的功能。[0007]優(yōu)選地,所述多個(gè)函數(shù)調(diào)用序列按照順序執(zhí)行的指令包括:解密字符串、創(chuàng)建消息簽名實(shí)例、獲取字符串子針、哈希加密。[0008]優(yōu)選地,所述利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配包括:利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)相似度匹配,和/或,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)特征模糊匹配。[0009]優(yōu)選地,將所述多個(gè)函數(shù)調(diào)用序列構(gòu)成的具有一定功能的函數(shù)作為目標(biāo)特征;所述利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配包括:利用預(yù)先設(shè)置的惡意代碼特征庫,對所述目標(biāo)特征進(jìn)行函數(shù)相似度匹配,和/或,對所述目標(biāo)特征進(jìn)行函數(shù)特征模糊匹配。[0010]優(yōu)選地,對所述虛擬機(jī)執(zhí)行文件進(jìn)行樣本特征查殺、基于虛擬機(jī)查殺、啟發(fā)式查殺,和/或,相似樣本聚類。[0011]優(yōu)選地,所述對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu)包括:根據(jù)虛擬機(jī)執(zhí)行文件格式對虛擬機(jī)執(zhí)行文件進(jìn)行解析,得到每個(gè)類的函數(shù)信息結(jié)構(gòu)體;根據(jù)所述函數(shù)信息結(jié)構(gòu)體中的字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小,得到所述反編譯的函數(shù)信息結(jié)構(gòu)。[0012]優(yōu)選地,所述根據(jù)函數(shù)信息結(jié)構(gòu)體中的字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小包括:解析所述函數(shù)信息結(jié)構(gòu)體,得到指示虛擬機(jī)執(zhí)行文件的函數(shù)位置的字節(jié)碼數(shù)組字段以及指示虛擬機(jī)執(zhí)行文件的函數(shù)大小的列表長度字段;根據(jù)所述字節(jié)碼數(shù)組字段以及所述列表長度字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小。[0013]優(yōu)選地,所述對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu)包括:利用虛擬機(jī)執(zhí)行文件反編譯工具,將所述虛擬機(jī)執(zhí)行文件反編譯為虛擬機(jī)字節(jié)碼。[0014]優(yōu)選地,所述從智能終端操作系統(tǒng)的應(yīng)用程序?qū)?,獲取應(yīng)用程序的虛擬機(jī)執(zhí)行文件包括:從智能終端操作系統(tǒng)的應(yīng)用程序?qū)樱檎业剿鰬?yīng)用程序的安裝包;解析所述安裝包,得到所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件。[0015]優(yōu)選地,所述操作系統(tǒng)是指安卓系統(tǒng)。[0016]依據(jù)本發(fā)明的另一個(gè)方面,提供一種檢測智能終端中惡意代碼的裝置,包括:文件獲取單元,用于從智能終端操作系統(tǒng)的應(yīng)用程序?qū)?,獲取應(yīng)用程序的虛擬機(jī)執(zhí)行文件;反編譯單元,用于對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);提取單元,用于解析所述反編譯的函數(shù)信息結(jié)構(gòu),提取出所述反編譯的函數(shù)信息結(jié)構(gòu)中的函數(shù)調(diào)用序列;檢測單元,用于利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配,如果匹配成功,則確定所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件包含惡意代碼。[0017]優(yōu)選地,還包括:解析單元,用于通過解析所述反編譯的函數(shù)信息結(jié)構(gòu),得到虛擬機(jī)助記符序列;所述提取單元是從所述虛擬機(jī)助記符序列中提取得到所述函數(shù)調(diào)用序列的。[0018]優(yōu)選地,所述函數(shù)調(diào)用序列為多個(gè);所述裝置還包括:函數(shù)功能確定單元,用于通過分析按照順序執(zhí)行的多個(gè)函數(shù)調(diào)用序列的指令,確定所述函數(shù)的功能。[0019]優(yōu)選地,所述函數(shù)功能確定單元確定的多個(gè)函數(shù)調(diào)用序列按照順序執(zhí)行的指令包括:解密字符串、創(chuàng)建消息簽名實(shí)例、獲取字符串子針、哈希加密。[0020]優(yōu)選地,所述檢測單元具體用于,利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)相似度匹配,和/或,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)特征模糊匹配。[0021]優(yōu)選地,所述檢測單元具體用于,利用預(yù)先設(shè)置的惡意代碼特征庫,對目標(biāo)特征進(jìn)行函數(shù)相似度匹配,和/或,對所述目標(biāo)特征進(jìn)行函數(shù)特征模糊匹配,其中,所述目標(biāo)特征是指所述多個(gè)函數(shù)調(diào)用序列構(gòu)成的具有一定功能的函數(shù)。[0022]優(yōu)選地,所述檢測單元對所述虛擬機(jī)執(zhí)行文件進(jìn)行樣本特征查殺、基于虛擬機(jī)查殺、啟發(fā)式查殺,和/或,相似樣本聚類。[0023]優(yōu)選地,所述反編譯單元具體用于,根據(jù)虛擬機(jī)執(zhí)行文件格式對虛擬機(jī)執(zhí)行文件進(jìn)行解析,得到每個(gè)類的函數(shù)信息結(jié)構(gòu)體;根據(jù)所述函數(shù)信息結(jié)構(gòu)體中的字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小,得到所述反編譯的函數(shù)信息結(jié)構(gòu)。[0024]優(yōu)選地,所述反編譯單元,解析所述函數(shù)信息結(jié)構(gòu)體,得到指示虛擬機(jī)執(zhí)行文件的函數(shù)位置的字節(jié)碼數(shù)組字段以及指示虛擬機(jī)執(zhí)行文件的函數(shù)大小的列表長度字段;根據(jù)所述字節(jié)碼數(shù)組字段以及所述列表長度字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小。[0025]優(yōu)選地,所述對反編譯單元具體用于,利用虛擬機(jī)執(zhí)行文件反編譯工具,將所述虛擬機(jī)執(zhí)行文件反編譯為虛擬機(jī)字節(jié)碼。[0026]優(yōu)選地,所述獲取單元具體用于,從智能終端操作系統(tǒng)的應(yīng)用程序?qū)樱檎业剿鰬?yīng)用程序的安裝包;解析所述安裝包,得到所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件。[0027]優(yōu)選地,所述操作系統(tǒng)是指安卓系統(tǒng)。[0028]可見,本發(fā)明實(shí)施例通過對dex文件的格式分析和反編譯,得到函數(shù)調(diào)用序列,通過將函數(shù)調(diào)用序列作為基礎(chǔ)特征,進(jìn)行與惡意代碼特征庫進(jìn)行匹配,從而確定dex文件是否包含惡意代碼。此外,通過函數(shù)調(diào)用序列,可以分析確定函數(shù)的功能,因此,可以將一系列函數(shù)調(diào)用序列的代碼作為一個(gè)目標(biāo)特征,進(jìn)行與惡意代碼特征庫進(jìn)行匹配,從而確定dex文件是否包含惡意代碼。[0029]應(yīng)用本發(fā)明方案,通過應(yīng)用程序的dex文件,可分析確定該應(yīng)用程序是否包含惡意代碼,由此可以對被篡改的應(yīng)用程序或者對惡意軟件進(jìn)行查殺,保護(hù)智能終端的安全。[0030]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】?!緦@綀D】【附圖說明】[0031]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號表示相同的部件。在附圖中:[0032]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測智能終端中惡意代碼的方法的流程圖;以及[0033]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測智能終端中惡意代碼的裝置的結(jié)構(gòu)示意圖。【具體實(shí)施方式】[0034]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。[0035]以安卓(Android)操作系統(tǒng)為例,包括應(yīng)用程序?qū)?app層)和系統(tǒng)框架層(framework層),至于從功能劃分上有可能包括的的其他層本發(fā)明則不作討論。其中,通常app層可以理解為上層,負(fù)責(zé)與用戶交互的界面,例如應(yīng)用程序維護(hù)、以及點(diǎn)擊頁面時(shí)識別不同種類的點(diǎn)擊內(nèi)容從而顯示不同的上下文菜單等。通常framework層作為中間層,這一層的主要職責(zé)是,將app層獲得的用戶請求,如啟動(dòng)用用程序、點(diǎn)擊鏈接、點(diǎn)擊保存圖片之類,轉(zhuǎn)發(fā)往下層去;將下層處理好的內(nèi)容,或者通過消息,或者通過中間代理類,來分發(fā)至上層,對用戶展現(xiàn)出來。[0036]Dalvik是用于Android平臺(tái)的Java虛擬機(jī)。Dalvik經(jīng)過優(yōu)化,允許在有限的內(nèi)存中同時(shí)運(yùn)行多個(gè)虛擬機(jī)的實(shí)例,并且每一個(gè)Dalvik應(yīng)用作為一個(gè)獨(dú)立的Linux進(jìn)程執(zhí)行。獨(dú)立的進(jìn)程可以防止在虛擬機(jī)崩潰的時(shí)候所有程序都被關(guān)閉。Dalvik虛擬機(jī)可以支持已轉(zhuǎn)換為dex(DalvikExecutable)格式的Java應(yīng)用程序的運(yùn)行,dex格式是專為Dalvik設(shè)計(jì)的一種壓縮格式,適合內(nèi)存和處理器速度有限的系統(tǒng)。[0037]可見,在Android系統(tǒng)中,dex文件是可以直接在Dalvik虛擬機(jī)(DalvikVM)中加載運(yùn)行的虛擬機(jī)執(zhí)行文件。通過ADT(AndroidDevelopmentTools),經(jīng)過復(fù)雜的編譯,可以把java源代碼轉(zhuǎn)換為dex文件。dex文件是針對嵌入式系統(tǒng)優(yōu)化的結(jié)果,Dalvik虛擬機(jī)的指令碼并不是標(biāo)準(zhǔn)的Java虛擬機(jī)指令碼,而是使用了自己獨(dú)有的一套指令集。dex文件中共用了很多類名稱、常量字符串,使它的體積比較小,運(yùn)行效率也比較高。[0038]本發(fā)明的發(fā)明人在研究過程中發(fā)現(xiàn),經(jīng)過對dex文件的解析,可以獲知dex文件中函數(shù)的功能,由此,可以據(jù)此判斷dex文件是否包含惡意代碼(包括dex文件本身就是惡意軟件,或者dex文件被篡改等情況)。[0039]參見圖1,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測智能終端中惡意代碼的方法的流程圖。[0040]該檢測智能終端中惡意代碼的方法包括以下步驟。[0041]SlOl:從智能終端操作系統(tǒng)的應(yīng)用程序?qū)樱@取應(yīng)用程序的虛擬機(jī)執(zhí)行文件,例如獲取應(yīng)用程序的dex文件;[0042]如前所述,Android操作系統(tǒng)包括應(yīng)用程序?qū)?app層)和系統(tǒng)框架層(framework層),本發(fā)明重點(diǎn)在于對app層的研究和改進(jìn)。但是,本領(lǐng)域技術(shù)人員理解,當(dāng)Android啟動(dòng)時(shí),DalvikVM監(jiān)視所有的程序(APK文件)和框架,并且為它們創(chuàng)建一個(gè)依存關(guān)系樹。DalvikVM通過這個(gè)依存關(guān)系樹來為每個(gè)程序優(yōu)化代碼并存儲(chǔ)在Dalvik緩存(dalvik-cache)中。這樣,所有程序在運(yùn)行時(shí)都會(huì)使用優(yōu)化過的代碼。當(dāng)一個(gè)程序(或者框架庫)發(fā)生變更,DalvikVM將會(huì)重新優(yōu)化代碼并且再次將其存在緩存中。在cache/dalvik-cache是存放system上的程序生成的dex文件,而data/dalvik-cache則是存放data/app生成的dex文件。也就是,本發(fā)明重點(diǎn)在于對data/app生成的dex文件進(jìn)行的分析和處理,但是應(yīng)該理解,對于system上的程序生成的dex文件,本發(fā)明的理論和操作同樣適用。[0043]關(guān)于獲取dex文件的方式,可以通過解析APK(AndroidPackage,Android安裝包)獲得。APK文件其實(shí)是zip格式的一個(gè)壓縮包,但后綴名被修改為apk,通過UnZip解壓后,就可以得到Dex文件。[0044]S102:對dex文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);[0045]對dex文件進(jìn)行反編譯(或稱為:反匯編)有多種方式。[0046]第一種方式是,根據(jù)dex文件格式對dex文件進(jìn)行解析,得到每個(gè)類的函數(shù)信息結(jié)構(gòu)體;根據(jù)函數(shù)信息結(jié)構(gòu)體中的字段,確定dex文件的函數(shù)的位置及大小,得到反編譯的函數(shù)信息結(jié)構(gòu)。其中,通過解析函數(shù)信息結(jié)構(gòu)體,得到指示dex文件的函數(shù)位置的字節(jié)碼數(shù)組字段以及指示dex文件的函數(shù)大小的列表長度字段,從而確定dex文件的函數(shù)的位置及大小。[0047]例如,根據(jù)dex文件格式,解析dex文件,查找到每個(gè)類得函數(shù)信息體。比如函數(shù)信息結(jié)構(gòu)體包含如表I中的字段。[0048]表I【權(quán)利要求】1.一種檢測智能終端中惡意代碼的方法,其特征在于,包括:從智能終端操作系統(tǒng)的應(yīng)用程序?qū)?,獲取應(yīng)用程序的虛擬機(jī)執(zhí)行文件;對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);解析所述反編譯的函數(shù)信息結(jié)構(gòu),提取出所述反編譯的函數(shù)信息結(jié)構(gòu)中的函數(shù)調(diào)用序列;利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配,如果匹配成功,則確定所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件包含惡意代碼。2.如權(quán)利要求1所述的方法,其特征在于,還包括:通過解析所述反編譯的函數(shù)信息結(jié)構(gòu),得到虛擬機(jī)助記符序列;從所述虛擬機(jī)助記符序列中提取得到所述函數(shù)調(diào)用序列。3.如權(quán)利要求1所述的方法,其特征在于,所述函數(shù)調(diào)用序列為多個(gè);所述方法還包括:通過分析按照順序執(zhí)行的多個(gè)函數(shù)調(diào)用序列的指令,確定所述函數(shù)的功能。4.如權(quán)利要求3所述的方法,其特征在于,所述多個(gè)函數(shù)調(diào)用序列按照順序執(zhí)行的指令包括:解密字符串、創(chuàng)建消息簽名實(shí)例、獲取字符串子針、哈希加密。5.如權(quán)利要求1所述的方法,其特征在于,所述利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配包括:利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)相似度匹配,和/或,對所述函數(shù)調(diào)用序列進(jìn)行函數(shù)特征模糊匹配。6.如權(quán)利要求3所述的方法,其特征在于,將所述多個(gè)函數(shù)調(diào)用序列構(gòu)成的具有一定功能的函數(shù)作為目標(biāo)特征;所述利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配包括:利用預(yù)先設(shè)置的惡意代碼特征庫,對所述目標(biāo)特征進(jìn)行函數(shù)相似度匹配,和/或,對所述目標(biāo)特征進(jìn)行函數(shù)特征模糊匹配。7.如權(quán)利要求1所述的方法,其特征在于,對所述虛擬機(jī)執(zhí)行文件進(jìn)行樣本特征查殺、基于虛擬機(jī)查殺、啟發(fā)式查殺,和/或,相似樣本聚類。8.如權(quán)利要求1所述的方法,其特征在于,所述對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu)包括:根據(jù)虛擬機(jī)執(zhí)行文件格式對虛擬機(jī)執(zhí)行文件進(jìn)行解析,得到每個(gè)類的函數(shù)信息結(jié)構(gòu)體;根據(jù)所述函數(shù)信息結(jié)構(gòu)體中的字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小,得到所述反編譯的函數(shù)信息結(jié)構(gòu)。9.如權(quán)利要求8所述的方法,其特征在于,所述根據(jù)函數(shù)信息結(jié)構(gòu)體中的字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小包括:解析所述函數(shù)信息結(jié)構(gòu)體,得到指示虛擬機(jī)執(zhí)行文件的函數(shù)位置的字節(jié)碼數(shù)組字段以及指示虛擬機(jī)執(zhí)行文件的函數(shù)大小的列表長度字段;根據(jù)所述字節(jié)碼數(shù)組字段以及所述列表長度字段,確定所述虛擬機(jī)執(zhí)行文件的函數(shù)的位置及大小。10.一種檢測智能終端中惡意代碼的裝置,其特征在于,包括:文件獲取單元,用于從智能終端操作系統(tǒng)的應(yīng)用程序?qū)?,獲取應(yīng)用程序的虛擬機(jī)執(zhí)行文件;反編譯單元,用于對所述虛擬機(jī)執(zhí)行文件進(jìn)行反編譯,得到反編譯的函數(shù)信息結(jié)構(gòu);提取單元,用于解析所述反編譯的函數(shù)信息結(jié)構(gòu),提取出所述反編譯的函數(shù)信息結(jié)構(gòu)中的函數(shù)調(diào)用序列;檢測單元,用于利用預(yù)先設(shè)置的惡意代碼特征庫,對所述函數(shù)調(diào)用序列進(jìn)行匹配,如果匹配成功,則確定所述應(yīng)用程序的虛擬機(jī)執(zhí)行文件包含惡意代碼?!疚臋n編號】G06F21/56GK103761475SQ201310746029【公開日】2014年4月30日申請日期:2013年12月30日優(yōu)先權(quán)日:2013年12月30日【發(fā)明者】楊康,陳卓,唐海申請人:北京奇虎科技有限公司