[发明专利]一种Android恶意软件静态检测方法

权利要求书

1.一种Android恶意软件静态检测方法，其特征在于：该方法包括以下步骤：

S1：对数据集检测样本进行统计、分类，

S2：对待测软件进行下载，在安装的过程对待测软件进行检测，

S3：对待测软件进行预处理，

S4：判断待测软件签名是否一致，如一致的话，则判断待测软件是否包含恶意代码，如不一致，则判断待测软件是否有权限特征码，

S5：如判断待测软件签名不一致，则判断软件为恶意软件，取消安装并提示软件有问题，

S6：如判断待测软件包含恶意代码，则判断软件为恶意软件，取消安装并提示软件有问题，

S7：如待测软件有权限特征码，则判断软件为恶意软件，取消安装并提示软件有问题，

S8：如待测软件签名一致，没有包含恶意代码，且没有包含权限特征码，则为良性软件，对待测软件进行安装。

2.根据权利要求1所述的一种Android恶意软件静态检测方法，其特征在于：在所述S2步骤中，分析良性软件样本调用的API和权限和恶意软件样本所调用的权限，并对这些软件进行统计。

3.根据权利要求1所述的一种Android恶意软件静态检测方法，其特征在于：在所述S3步骤中，使用apktool对待测样本进行反编译预处理，获取应用程序的AndroidManifest.xml、smail、代码等文件信息，将预处理的结果整理出待测样本的包名、权限列表、签名信息。

4.根据权利要求1所述的一种Android恶意软件静态检测方法，其特征在于：在所述S5步骤中，根据Android的签名机制检测APK的签名文件，检查APK的签名是否一致。

5.根据权利要求4所述的一种Android恶意软件静态检测方法，其特征在于：在APK的签名验证中，首先检测APK是否具有签名方案v3，如果具有则直接进行验证，如果不具有则检测APK是否具有签名方案v2，如果具有则直接进行签名验证，如果不具有则直接验证APK是否具有签名方案v1，如果软件安装包不具有签名方案或者签名不一致则拒绝安装。

6.根据权利要求1所述的一种Android恶意软件静态检测方法，其特征在于：在所述S6步骤中，根据数据集内具有恶意行为的恶意代码，检测待测样本的代码是否存在和恶意代码相似的代码。

7.根据权利要求6所述的一种Android恶意软件静态检测方法，其特征在于：需要检测恶意行为代码和被检测代码之间的相似性，当相似性程度超过阈值就判定为恶意软件。

8.根据权利要求1所述的一种Android恶意软件静态检测方法，其特征在于：在所述S7步骤中，手机权限分为正常权限和危险权限。