一種移動終端惡意代碼分析設(shè)備及分析方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端病毒防控領(lǐng)域,尤指一種移動終端惡意代碼分析設(shè)備及分析方法。
【背景技術(shù)】
[0002]隨著移動互聯(lián)網(wǎng)的發(fā)展,移動安全問題日益突出,針對移動終端的病毒、惡意行為越來越多,且呈現(xiàn)增長趨勢。
[0003]目前,移動應(yīng)用程序呈現(xiàn)爆發(fā)的趨勢,但相應(yīng)的移動終端系統(tǒng)的安全防護技術(shù)卻沒有相應(yīng)的跟上,造成大量的手機病毒爆發(fā)。
[0004]現(xiàn)在的移動終端對惡意行為的防護大部門是通過靜態(tài)分析或動態(tài)分析技術(shù)來實現(xiàn),他們不可避免的會對一些應(yīng)用程序的惡意行為遺漏。
[0005]為了對遺漏的應(yīng)用程序的惡意行為進行檢測,需要一種在應(yīng)用程序運行后對異常行為進行逆向分析的技術(shù),用于檢測應(yīng)用程序是否含有惡意代碼,以此來加強移動終端系統(tǒng)的安全性,保持用戶的隱私。
【發(fā)明內(nèi)容】
[0006]本發(fā)明為了解決上述技術(shù)容易遺漏移動終端上某些應(yīng)用程序的惡意行為的問題,提供一種移動終端惡意代碼分析設(shè)備及分析方法,在應(yīng)用程序運行后,自動監(jiān)控應(yīng)用程序的各項行為,對惡意行為進行預(yù)先判斷和云端逆向分析,以在確定為惡意行為后停止相關(guān)應(yīng)用程序的進程,保護移動終端數(shù)據(jù)安全。
[0007]為了實現(xiàn)上述目的,本發(fā)明提供了一種移動終端惡意代碼分析設(shè)備,所述分析設(shè)備包括:
[0008]Linux內(nèi)核監(jiān)視器,用于監(jiān)視應(yīng)用程序的行為,并在應(yīng)用程序的行為與異常行為檢測模塊預(yù)存異常行為匹配時,自動暫停應(yīng)用程序的行為,將暫停的應(yīng)用程序的行為發(fā)送到逆向分析模塊;
[0009]異常行為檢測模塊,用于預(yù)存各種異常行為;
[0010]逆向分析模塊,用于逆向分析引起暫停的應(yīng)用程序的行為的進程、應(yīng)用程序和系統(tǒng)代碼,支持云端自動分析;
[0011]處理模塊,用于在逆向分析模塊確定暫停的應(yīng)用程序的行為是惡意代碼時,自動中止引起暫停的應(yīng)用程序的行為的進程的運行,并提示用戶進行相關(guān)操作,在逆向分析模塊確定引起暫停的應(yīng)用程序的行為不是惡意代碼時,繼續(xù)引起暫停的應(yīng)用程序的行為的進程的運行。
[0012]可選地,所述分析設(shè)備中=Linux內(nèi)核監(jiān)視器自動暫停應(yīng)用程序的行為包括,將引起暫停的應(yīng)用程序的行為的進程所占用的CPU資源強制回收,使引起暫停的應(yīng)用程序的行為的進程進入阻塞狀態(tài),等待處理模塊的后續(xù)動作。
[0013]可選地,所述分析設(shè)備中=Linux內(nèi)核監(jiān)視器對進程的操作是由其進程控制塊進行。
[0014]可選地,所述分析設(shè)備中:異常行為檢測模塊所預(yù)存的各種異常行為包括修改系統(tǒng)代碼、對敏感信息讀寫、可疑的網(wǎng)絡(luò)行為和流量、獲取位置信息。
[0015]可選地,所述分析設(shè)備中:逆向分析模塊對引起暫停的應(yīng)用程序的行為的進程的逆向分析包括對進程的數(shù)據(jù)流的分析;逆向分析模塊對引起暫停的應(yīng)用程序的行為的應(yīng)用程序的逆向分析包括:將應(yīng)用程序上傳到云端,由云端依次進行應(yīng)用程序解碼、反匯編和功能分析,根據(jù)功能分析結(jié)果確定引起暫停的應(yīng)用程序的行為是否為惡意代碼;逆向分析模塊對引起暫停的應(yīng)用程序的行為的系統(tǒng)代碼的逆向分析包括對系統(tǒng)代碼的關(guān)鍵模塊HASH值的分析。
[0016]本發(fā)明還提供了一種移動終端惡意代碼分析方法,所述分析方法包括:
[0017]步驟1:監(jiān)視應(yīng)用程序的行為,并在應(yīng)用程序的行為與預(yù)存異常行為匹配時,自動暫停應(yīng)用程序的行為;
[0018]步驟2:逆向分析引起暫停的應(yīng)用程序的行為的進程、應(yīng)用程序和系統(tǒng)代碼,其中使用云端自動分析;
[0019]步驟3:在確定暫停的應(yīng)用程序的行為是惡意代碼時,自動中止引起暫停的應(yīng)用程序的行為的進程的運行,并提示用戶進行相關(guān)操作,在確定引起暫停的應(yīng)用程序的行為不是惡意代碼時,繼續(xù)引起暫停的應(yīng)用程序的行為的進程的運行。
[0020]可選地,所述分析方法中:步驟I中,自動暫停應(yīng)用程序的行為包括,將引起暫停的應(yīng)用程序的行為的進程所占用的CPU資源強制回收,使引起暫停的應(yīng)用程序的行為的進程進入阻塞狀態(tài),等待后續(xù)動作。
[0021]可選地,所述分析方法中:將引起暫停的應(yīng)用程序的行為的進程所占用的CPU資源強制回收中,對進程的操作是由進程控制塊進行。
[0022]可選地,所述分析方法中:預(yù)存異常行為包括修改系統(tǒng)代碼、對敏感信息讀寫、可疑的網(wǎng)絡(luò)行為和流量、獲取位置信息。
[0023]可選地,所述分析方法中:對引起暫停的應(yīng)用程序的行為的進程的逆向分析包括對進程的數(shù)據(jù)流的分析;對引起暫停的應(yīng)用程序的行為的應(yīng)用程序的逆向分析包括:將應(yīng)用程序上傳到云端,由云端依次進行應(yīng)用程序解碼、反匯編和功能分析,根據(jù)功能分析結(jié)果確定引起暫停的應(yīng)用程序的行為是否為惡意代碼;對引起暫停的應(yīng)用程序的行為的系統(tǒng)代碼的逆向分析包括對系統(tǒng)代碼的關(guān)鍵模塊HASH值的分析。
[0024]本發(fā)明由于采用了上述技術(shù)方案,從而具有以下優(yōu)點:
[0025]I)本發(fā)明能夠加強系統(tǒng)的安全性,保持用戶的隱私,避免應(yīng)用程序的惡意行為被遺漏分析;
[0026]2)本發(fā)明由于采用了遠程云端分析技術(shù),能夠提高惡意行為分析的速度,從而為用戶提供更多的輔助參考數(shù)據(jù)。
【附圖說明】
[0027]下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細說明:
[0028]圖1為本發(fā)明的移動終端惡意代碼分析設(shè)備的第一實施例示意圖;
[0029]圖2為本發(fā)明的移動終端惡意代碼分析設(shè)備的第二實施例示意圖;
[0030]圖3為本發(fā)明的移動終端惡意代碼分析方法的第一實施例流程示意圖。
【具體實施方式】
[0031]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,以下說明和附圖對于本發(fā)明是示例性的,并且不應(yīng)被理解為限制本發(fā)明。以下說明描述了眾多具體細節(jié)以方便對本發(fā)明理解。然而,在某些實例中,熟知的或常規(guī)的細節(jié)并未說明,以滿足說明書簡潔的要求。
[0032]現(xiàn)有技術(shù)中,也存在一些針對移動終端病毒的處理方案,但移動終端對惡意行為的防護大部門是通過靜態(tài)分析或動態(tài)分析技術(shù)來實現(xiàn),他們不可避免的會對一些應(yīng)用程序的惡意行為遺漏。
[0033]為了解決上述問題,本發(fā)明提供了一種移動終端惡意代碼分析設(shè)備和分析方法,能夠?qū)z漏的應(yīng)用程序的惡意行為進行檢測,對應(yīng)用程序的異常行為進行逆向分析,用于確定應(yīng)用程序是否含有惡意代碼,以此來提高移動終端的防病毒能力。
[0034]首先,請參考圖1,圖1為本發(fā)明的移動終端惡意代碼分析設(shè)備的第一實施例示意圖,所述分析設(shè)備包括:
[0035]Linux內(nèi)核監(jiān)視器,用于監(jiān)視應(yīng)用程序的行為,并在應(yīng)用程序的行為與異常行為檢測模塊預(yù)存異常行為匹配時,自動暫停應(yīng)用程序的行為,將暫停的應(yīng)用程序的行為發(fā)送到逆向分析模塊;
[0036]異常行為檢測模塊,用于預(yù)存各種異常行為;
[0037]逆向分析模塊,用于逆向分析引起暫停的應(yīng)用程序的行為的進程、應(yīng)用程序和系統(tǒng)代碼,支持云端自動分析;
[0038]處理模塊,用于在逆向分析模塊確定暫停的應(yīng)用程序的行為是惡意代碼時,自動中止引起暫停的應(yīng)用程序的行為的進程的運行,并提示用戶進行相關(guān)操作,在逆向分析模塊確定引起暫停的應(yīng)用程序的行為不是惡意代碼時,繼續(xù)引起暫停的應(yīng)用程序的行為的進程的運行。
[0039]其中,所述分析設(shè)備中=Linux內(nèi)核監(jiān)視器自動暫停應(yīng)用程序的行為包括,將引起暫停的應(yīng)用程序的行為的進程所占用的CPU資源強制回收,使引起暫停的應(yīng)用程序的行為的進程進入阻塞狀態(tài),等待處理模塊的后續(xù)動作;Linux內(nèi)核監(jiān)視器對進程的操作是由其進程控制塊進行;異常行為檢測模塊所預(yù)存的各種異常行為包括修改系統(tǒng)代碼、對敏感信息讀寫、可疑的網(wǎng)絡(luò)行為和流量、獲取位置信息;敏感信息包括短信、彩信、通話日志、聯(lián)系人語言信箱、日程、記事本、多媒體、財務(wù)應(yīng)用、個人郵件、瀏覽搜索記錄和數(shù)字證書等;逆向分析模塊對引起暫停的應(yīng)用程序的行為的進程的逆向分析包括對進程的數(shù)據(jù)流的分析;逆向分析模塊對引起暫停的應(yīng)用程序的行為的應(yīng)用程序的逆向分析包括:將應(yīng)用程序上傳到云端,由云端依次進行應(yīng)用程序解