[发明专利]对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法

摘要

一种对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法，通过对已知恶意程序的恶意入口点类建立由模糊哈希值构成的特征库，用于与反汇编后的待检测程序的入口点类进行匹配；然后依次切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件，最后找出重打包过程中对原程序实施修改的代码片段，恢复其原有功能。本发明针对当前Android平台日益严重的恶意程序使用的重打包植入恶意代码这一最主要传播特征，检测和切除那些正常程序中植入的恶意代码部分。

主权项

一种对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法，其特征在于，通过对已知恶意程序的恶意入口点类建立由模糊哈希值构成的特征库，用于与反汇编后的待检测程序的入口点类进行匹配；然后依次切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件，最后找出重打包过程中对原程序实施修改的代码片段，恢复其原有功能；所述的入口点类是指：Android应用程序的数据类型的入口点，包括：Activity、Receiver、Service、Provider以及Application；继承自这五种类型的对象即为入口点类；所述的切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件是指：1)将匹配后的恶意入口点类列入恶意代码类集合，通过迭代方法检测该恶意代码类调用的其他类实现的方法并进一步归为恶意代码类，直至恶意代码类集合不再扩大完成迭代；删除程序中出现在该恶意代码类的集合中的类；2)搜索对资源文件在代码中的引用，当对该资源文件的引用仅出现在被删除的类中时，将该资源文件判定属于被重打包注入的恶意代码整体并删除，否则保留该资源文件；所述的恢复是指：1)当删除的类中有主入口点类，则通过搜索该被删除的主入口点类，将程序主入口点修改为该类调用的第一个非恶意类中的入口点实现主入口点类恢复；2)当被删除的恶意类是现有剩余类的父类，则从该剩余类开始沿继承关系向上搜索父类，将第一个非恶意类恢复成该类的父类； 3)当删除恶意类后剩余的类中搜索到对被删除类的方法调用或成员引用，则从搜索到的指令开始向下寻找与该指令涉及的数据有依赖关系的指令并删除，否则视为恶意代码并未修改原程序无需切除；所述的模糊哈希是指：根据程序的控制流图，对控制流图中每个程序基本块的指令操作码部分而非整条指令做哈希，所以一个入口点类的每个基本块都对应于一个模糊哈希值；所述的匹配是指：根据模糊哈希的方法，对入口点类的每个程序块做操作码哈希，当该入口点类与特征库中的某个恶意入口点类相等的操作码哈希比例超过预设阈值，则认为两者匹配成功，该入口点类认为是恶意入口点类。