[发明专利]移动终端恶意软件的分析方法和装置

说明书

技术领域

本申请涉及移动终端恶意软件的分析方法和装置。

背景技术

随着移动终端互联网的迅速发展，智能移动终端的增多，移动终端上相应的恶意代码威胁也逐渐增多。移动终端的恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题，给客户利益带来极大危害，也给通信运营商带来不利影响。

在目前主流的移动终端恶意软件中，很多的恶意软件都存在主动的网络连接行为。通过网络连接，恶意软件可与远程控制服务器进行连接，下载和传播新的恶意代码，也可以接受远程服务器的指令进而触发相应的恶意行为。另外，频繁的网络连接也造成了大量的无意义的网络流量，对网关设备造成了冲击。

针对移动终端的恶意软件，可对采集的疑似样本进行恶意行为分析，提取特征码更新特征库。目前针对手机恶意软件的分析，主要可采用的手段有：对恶意软件进行静态分析，即，通过解析具体的逻辑，特殊字符串，导入导出函数表，签名证书等信息来进行分析；在PC机上对恶意软件进行养殖，通过进行网络抓包，分析其恶意行为。

由于静态分析通常采用反汇编或反编译进行，因此计算量较大。而对于在PC机上养殖恶意软件的动态分析，由于PC机与例如手机等的移动终端的通信方式存在区别，导致通过传统的网络抓包进行分析也存在困难。因此，上述分析方法的效率和准确率较低。

发明内容

为了解决现有移动终端恶意软件的分析效率和准确率较低的问题，本申请提出了一种移动终端恶意软件的分析方法和装置。

根据本申请的一个方面，提出了一种移动终端恶意软件的分析方法，可包括：解析疑似软件样本，获取所述疑似软件样本执行可疑行为的触发条件；在移动终端中运行所述疑似软件样本，根据所获取的触发条件，触发所述疑似软件样本执行可疑行为；以及根据所述疑似软件样本执行的可疑行为，判断所述疑似软件样本是否为恶意软件。

根据本申请的另一个方面，提出了一种移动终端恶意软件的分析方法，可包括：在移动终端中运行疑似软件样本，记录所述疑似软件样本执行的可疑行为；若所述可疑行为是采用加密通信协议或发送加密数据的通信行为，则在执行所述可疑行为之前，记录待发送数据的明文信息；以及根据所记录的可疑行为和明文信息，判断所述疑似软件样本是否为恶意软件。

根据本申请的又一个方面，提出了一种移动终端恶意软件的分析装置，可包括：解析模块，解析疑似软件样本，获取所述疑似软件样本执行可疑行为的触发条件；触发模块，在移动终端运行所述疑似软件样本期间，根据解析模块获取的触发条件，触发所述疑似软件样本执行可疑行为；以及判断模块，根据所述疑似软件样本执行的可疑行为，判断所述疑似软件样本是否为恶意软件。

根据本申请的再一个方面，提出了一种移动终端恶意软件的分析装置，可包括：记录模块，在移动终端运行疑似软件样本期间，记录所述疑似软件样本执行的可疑行为；加密处理模块，若所述可疑行为是采用加密通信协议或发送加密数据的通信行为，则所述加密处理模块记录待发送数据的明文信息；以及判断模块，根据所述记录模块记录的可疑行为和所述加密处理模块记录的明文信息，判断所述疑似软件样本是否为恶意软件。

根据本申请的移动终端恶意软件的分析方法和装置，能够提高对移动终端恶意软件分析的速度和准确性。

附图说明

图1是根据本申请一个实施方案的移动终端恶意软件的分析方法的流程图；

图2是根据本申请另一实施方案的移动终端恶意软件的分析方法的流程图；

图3是根据本申请一个实施方案的移动终端恶意软件的分析装置的框图；

图4是根据本申请另一个实施方案的移动终端恶意软件的分析装置的框图；

图5是根据本申请又一实施方案的移动终端恶意软件的分析装置的框图；以及

图6是根据本申请再一实施方案的移动终端恶意软件的分析装置的框图。

具体实施方式

下面参照附图，对本申请的实施方案进行详细说明。

在本申请中，移动终端可以是使用移动通信网络的手机终端、pad终端等。