[发明专利]恶意程序的扫描方法和装置

说明书

技术领域

本发明涉及互联网技术领域，特别是涉及一种恶意程序的扫描方法和装置。

背景技术

ARM(Acorn RISC Machine，精简计算机指令集机器)处理器是Acorn计算机有限公司面向低预算市场设计的微处理器。由于其的体积较小，适用于JAVA编程技术，在移动终端中的应用非常出色，因此，目前的移动终端，如手机、平板电脑等几乎都是基于ARM芯片的。

在普通计算机中，例如Windows系统中，病毒泛滥已经使得用户造成了巨大的困扰，但是在普通计算机中的杀毒技术也非常先进。而对于基于ARM的移动终端，近年来恶意程序也呈增长的趋势，但是由于移动终端的特殊性，因此并没有有效的恶意程序的扫描方法。

例如，在移动终端中会存在吸费电话、发送扣费短信、恶意消耗流量等行为，这些恶意行为在普通电脑上不存在，但是却给用户造成的损失往往更大的损失。

为了避免用户的正常使用，在移动终端执行恶意行为之前，往往扫描程序是不能判断一个行为是否为恶意行为的，因此，目前没有有效的对基于ARM平台的移动终端上的恶意程序进行扫描的方法，用户面临着被恶意程序损害的威胁。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的适于恶意程序的扫描方法和相应地装置。

依据本发明的一个方面，提供一种恶意程序的扫描方法，包括：

在ARM平台的操作系统中创建用于查毒的虚拟操作系统环境；

将待扫描的程序模块导入虚拟操作系统环境中，并运行待扫描的程序模块；

监测并获取待扫描的程序模块在虚拟操作系统环境中所发生的行为；

根据发生的行为确定程序模块是否为恶意程序。

可选地，在ARM平台的操作系统中创建用于查毒的虚拟操作系统环境，包括：

在ARM平台的操作系统中建立虚拟机；

在虚拟机中创建与ARM平台的文件系统相同类型的文件系统；

创建用于支持待扫描的程序模块运行的进程、环境变量以及网络接口；

创建用于待扫描的程序模块在虚拟操作系统环境使用的SHELL命令接口。

可选地，支持待扫描的程序模块运行的进程包括以下进程中的至少一种：

servicemanager、sh、sdcard、netd、mediaserver；

支持待扫描的程序模块运行的环境变量包括以下变量中的至少一种：

PATH、HOME、LANG、SHELL、HOSTNAME、USER；

支持待扫描的程序模块运行的网络接口包括以下接口中的至少一种：

建立TCP、UDP连接，读写、获取网络信息，断开、设置网络信息。

可选地，将待扫描的程序模块导入虚拟操作系统环境中，并运行待扫描的程序模块，包括：

根据待扫描的程序模块的文件格式对待扫描的程序模块进行解析，得到待扫描的程序模块的导出表；

根据导出表将待扫描的程序模块加载到内存中；

在内存中对待扫描的程序模块按字节分析得到多个指令，并运行多个指令。

可选地，待扫描的程序模块为共享库SO文件，SO文件的文件格式为可执行链接ELF格式。

可选地，监测并获取待扫描的程序模块在虚拟操作系统环境中所发生的行为，包括：

对虚拟操作系统环境中的指定函数进行监测；

当指定函数被调用时，记录指定函数返回的参数和值；

根据指定函数返回的参数和值确定待扫描的程序模块在虚拟操作系统环境中所发生的行为。

可选地，指定函数包括以下中的任意一种：

文件系统函数：fopen fread fwrite fclose stat；

文件权限控制函数：chmod；

进程操作函数exec*系列：system、fork、exit；

线程控制函数：pthread_create；

内存控制函数：mmap munmap。

可选地，根据发生的行为确定程序模块是否为恶意程序，包括：

筛选发生的行为中的指定行为；

根据指定行为确定程序模块是否为恶意程序。

可选地，指定行为包括如下任意一种：

弹窗行为、获取root权限的行为、文件操作行为、进程操作行为、短信发送行为、通话行为、通讯录操作行为、网络通信行为。

可选地，根据指定行为确定程序模块是否为恶意程序，包括：