[发明专利]加壳应用的恶意行为检测方法和系统

权利要求书

1.一种加壳应用的恶意行为检测方法，其特征在于，包括：

通过恶意行为检测插件获取待测加壳应用的基本参数；

根据所述待测加壳应用的基本参数，利用应用程序编程接口API检测插件动态检测所述待测加壳应用的API是否被恶意调用；

若所述待测加壳应用的API被恶意调用，则调用应用插件支撑系统获取恶意行为的参数及调用信息；

将所述恶意行为的参数及调用信息发送至应用检测平台，以便所述应用检测平台输出检测报告。

2.根据权利要求1所述的方法，其特征在于，将所述恶意行为的参数及调用信息发送至应用检测平台，以便所述应用检测平台输出检测报告包括：

所述应用检测平台根据所述调用信息调用恶意行为仓库，基于所述恶意行为的参数通过所述恶意行为仓库对所述恶意行为进行序列识别和匹配，根据识别和匹配结果输出检测报告。

3.根据权利要求1所述的方法，其特征在于，还包括：

若所述待测加壳应用的API未被恶意调用，所述API检测插件则向所述应检测平台发送无恶意行为触发消息，以便所述应用检测平台输出正常通过指令。

4.根据权利要求1-3任一所述的方法，其特征在于，还包括：

通过插桩模块设定所述应用插件支撑系统的基本参数和加壳应用的基本参数，实现所述加壳应用的注册。

5.根据权利要求4所述的方法，其特征在于，还包括：

通过靶向应用仓库获取待测安装包APK文件；

所述恶意行为检测插件基于所述加壳应用的注册信息对所述APK文件进行动态修改和配置。

6.一种加壳应用的恶意行为检测系统，其特征在于，包括：

恶意行为检测插件，用于获取待测加壳应用的基本参数；

API检测插件，用于根据所述待测加壳应用的基本参数，动态检测所述待测加壳应用的API是否被恶意调用；

应用插件支撑系统，用于若所述待测加壳应用的API被恶意调用，则获取恶意行为的参数及调用信息，并将所述恶意行为的参数及调用信息发送至应用检测平台；

应用检测平台，用于接收所述应用插件支撑系统发送的所述恶意行为的参数及调用信息，并输出检测报告。

7.根据权利要求6所述的系统，其特征在于，还包括恶意行为仓库；

所述恶意行为仓库用于存储加壳应用的恶意行为序列；

所述应用检测平台用于根据所述调用信息调用恶意行为仓库，基于所述恶意行为的参数通过所述恶意行为仓库对所述恶意行为进行序列识别和匹配，根据识别和匹配结果输出检测报告。

8.根据权利要求6所述的系统，其特征在于，所述API检测插件用于若所述待测加壳应用的API未被恶意调用，则向所述应用检测平台发送无恶意行为触发消息，以便所述应用检测平台输出正常通过指令。

9.根据权利要求6-8任一所述的系统，其特征在于，还包括插桩模块；

所述插桩模块用于设定所述应用插件支撑系统的基本参数和加壳应用的基本参数，实现所述加壳应用的注册。

10.根据权利要求9所述的系统，其特征在于，还包括靶向应用仓库；

所述靶向应用仓库用于获取待测安装包APK文件；

所述恶意行为检测插件用于基于所述加壳应用的注册信息对所述APK文件进行动态修改和配置。