[发明专利]一种对Android ART运行时代码进行恶意代码检测的方法及系统

说明书

技术领域

本发明涉及移动终端恶意代码检测技术领域，尤其涉及一种对Android ART运行时代码进行恶意代码检测的方法及系统。

背景技术

随着移动互联网的快速发展，智能移动终端操作系统平台也在快速的发展和不断的优化，目前Android系统已经从早期的1.6版本，逐步发展到目前最新的4.4的公开版本。

在Android 4.4的公开版本中，其引入了最新设计的运行时环境ART，并引入了一种新的程序代码执行格式和形态，被命名为oat文件。其为基于ELF文件格式的自定义文件格式。ART的出现，形成了一种全新的Android系统上的运行机制和代码数据存储机制，也同时形成了一种全新的恶意代码数据形态。

目前常见的Android恶意代码检测方法，主要是针对Android上的Apk文件，dex文件，odex文件，常见的普通ELF文件进行检测来实现恶意代码检测。而随着Android ART的逐步推广，可能出现oat文件形态的恶意代码，目前的检测方法均无法进行有效的检测。同时若采用文件片段hash或是文件完整的hash的方法来对oat进行检测，则很难实现高效的启发式的检出能力，无法有效的控制规则的集合和质量。

发明内容

针对上述技术问题，本发明提供了一种对Android ART运行时代码进行恶意代码检测的方法及系统，该发明通过对oat文件进行格式解析，提取所需的数据段内容，利用恶意代码检测方法对其进行检测，并输出检测结果，该发明解决了目前的恶意代码检测方法对于oat无法检测的问题。

本发明采用如下方法来实现：一种对Android ART运行时代码进行恶意代码检测的方法，包括：

对oat文件进行格式解析，提取oat header，并获取oat文件的数据结构信息；

针对所述oat文件，提取出oatdata数据段和oatexec数据段；

基于所述oat header和所述数据结构信息，从oatdata数据段中提取dex代码数据段，从oatexec数据段中提取thumb2指令代码数据段；

对所述dex代码数据段和所述thumb2指令代码数据段分别进行恶意代码检测，并输出检测结果。

进一步地，所述针对所述oat文件，提取出oatdata数据段和oatexec数据段为：针对所述oat文件，提取出oatdata数据段、oatexec数据段和oatlastword数据段。

进一步地，所述对所述dex代码数据段和所述thumb2指令代码数据段分别进行恶意代码检测为：对所述dex代码数据段、所述thumb2指令代码数据段和oatlastword数据段分别进行恶意代码检测。

进一步地，对所述dex代码数据段和所述thumb2指令代码数据段分别进行恶意代码检测，输出检测结果包括：当其中之一检出恶意代码，则认为所述oat文件存在恶意代码；或者当两者都检出恶意代码，则认为所述oat文件存在恶意代码；或者当两者的检测结果满足设定条件时，则认为所述oat文件存在恶意代码。

其中，所述thumb2指令代码并不绝对，可以随着指令格式的变化，而获取其他指令格式的代码。

本发明采用如下系统来实现：一种对Android ART运行时代码进行恶意代码检测的系统，包括：

格式解析模块，用于对oat文件进行格式解析，提取oat header，并获取oat文件的数据结构信息；

第一数据提取模块，用于针对所述oat文件，提取出oatdata数据段和oatexec数据段；

第二数据提取模块，用于基于所述oat header和所述数据结构信息，从oatdata数据段中提取dex代码数据段，从oatexec数据段中提取thumb2指令代码数据段；

检测模块，对所述dex代码数据段和所述thumb2指令代码数据段进行恶意代码检测，并输出检测结果。

其中，使用的恶意代码检测方法可以是现有的任何适用的检测方法。

进一步地，所述第一数据提取模块，用于针对所述oat文件，提取出oatdata数据段和oatexec数据段之外，还包括：提取出oatlastword数据段。 

进一步地，所述检测模块，对所述dex代码数据段和所述thumb2指令代码数据段进行恶意代码检测，并输出检测结果，还包括：对所述oatlastword数据段进行恶意代码检测。