[发明专利]一种恶意软件检测方法及系统

说明书

本发明公开了一种恶意软件检测方法及系统，该方法包括：基于待测软件的安装包确定待测软件申请的权限对应功能；基于所述待测软件的安装包在测试环境中安装并运行所述待测软件，实时监测所述待测软件在运行过程中实现的动作及具有的特征；如果监测到所述待测软件实现对应功能时获取了预设隐私信息、且具有可达到始终运行目的和/或被迫终止后自动恢复运行目的的非功能特征，则初步确定所述待测软件为恶意软件。由此，在判断待测软件是否获取预设隐私信息的同时，还监测待测软件是否具有可达到始终运行目的和/或被迫终止后自动恢复运行目的的非功能特征，从而通过上述两项判断，大大增加了恶意软件检测的准确性。

技术领域

本发明涉及恶意软件检测技术领域，更具体地说，涉及一种恶意软件检测方法及系统。

背景技术

Android系统是一款基于Linux内核的开源操作系统，因为其有着良好的开放特性，所以受到各大厂商和用户的青睐，目前Android系统已经成为用户量最大的操作系统。但Android系统的开放性使它成为恶意软件最大的发展平台，随着Android恶意软件的发展规模逐年扩大，如何将其快速高效地分析并检测出来已经成为目前的研究热点。

目前对恶意软件的检测中，检测的目标通常都是软件本身具有的特征，但是这种方式并不能够有效准确的判断出恶意软件；因此，如何提供一种能够有效准确的实现恶意软件检测的技术方案，是目前本领域技术人员亟待解决的问题。

发明内容

本发明的目的是提供一种恶意软件检测方法及系统，能够有效准确的实现恶意软件的检测。

为了实现上述目的，本发明提供如下技术方案：

一种恶意软件检测方法，包括：

基于待测软件的安装包确定待测软件申请的权限对应功能；

基于所述待测软件的安装包在测试环境中安装并运行所述待测软件，实时监测所述待测软件在运行过程中实现的动作及具有的特征；

如果监测到所述待测软件实现对应功能时获取了预设隐私信息、且具有可达到始终运行目的和/或被迫终止后自动恢复运行目的的非功能特征，则初步确定所述待测软件为恶意软件。

优选的，初步确定所述待测软件为恶意软件之后，还包括：

监测所述待测软件是否将获取到的预设隐私信息上传至网络，如果是，则最终确定所述待测软件为恶意软件。

优选的，确定所述待测软件申请的权限对应功能，包括：

对所述待测软件的安装包进行反编译，得到对应反编译文件，由该反编译文件中获取所述待测软件的权限列表，并确定与该权限列表中各项权限对应的功能。

优选的，在测试环境中安装并运行所述待测软件，包括：

在真机具有的测试环境中安装并运行所述待测软件。

优选的，监测所述待测软件在运行过程中实现的动作之前，还包括：

确定所述待测软件对应的能够获取所述预设隐私信息的功能为目标功能，使用所述真机装有的Xposed框架的HOOK技术将实现所述目标功能时需调用的函数做标记，以基于该标记监测所述待测软件是否调用对应函数实现了预设隐私信息的获取。

优选的，监测所述待测软件在运行过程中实现的动作之前，还包括：

散发预设隐私广播，以触发所述待测软件在监听到所述预设隐私广播后实现对应预设隐私信息的获取。

一种恶意软件检测系统，包括：

主控制端，用于：提供待测软件的安装包；

静态检测模块，用于：基于待测软件的安装包确定待测软件申请的权限对应功能；