病毒监测方法及装置制造方法及图纸

本发明专利技术公开了一种病毒监测方法及装置，属于病毒监测领域。所述方法包括：运行安装在模拟器上需要进行病毒监测的应用样本，模拟应用样本运行时需要的操作；在模拟应用样本运行时需要的操作的过程中，在模拟器上监控预置的关键系统函数，输出动态日志，关键系统函数是预先配置的与行为相关的系统函数；利用预定脚本对动态日志进行判定，输出判定结果。本发明专利技术解决了相关技术中因在每次增加需要监测的病毒时都需要修改模拟器源码，导致迭代速度无法跟上病毒变化的速度的问题，达到了即使增加新病毒的情况下，仍旧可以对其进行监测，较大程度上适应病毒变化的速度的效果。

Virus monitoring method and device

The invention discloses a virus monitoring method and a device, belonging to the field of virus monitoring. The method comprises the following steps: run the installation application sample in the simulator to virus monitoring, simulation and application sample run time operation; process requires the simulation application sample run time of operation, the key system monitoring function preset in the simulator, the output dynamic log, key system function is the system function and the related behavior pre configured to log to determine the dynamic; using a predetermined script, output results. The invention solves the technical needs of monitoring due to the increase of the virus in each time you need to modify the simulator source, resulting in iteration speed can not keep up with the pace of change of the virus, even if the increase reached new virus situation, still can be used to monitor the large extent to change the effect of the speed of the virus.

【技术实现步骤摘要】
病毒监测方法及装置
本专利技术涉及病毒监测领域，特别涉及一种病毒监测方法及装置。
技术介绍
病毒监测是预防病毒的一种常用方式，由于病毒通常是针对系统的特征来进行攻击或者截获私密信息的，因此针对不同的系统，病毒监测的方式也可能不同。针对安卓(英文：Android)系统的病毒监测，常采用一种动态特征监测平台，在该监测平台上设置一Android模拟器，以用来模拟Android系统的环境。当需要监测某种新增加类型的病毒时，则需要在该监测平台上修改Android模拟器源码，来实现该病毒的监测。上述方式在每次增加需要监测的病毒时都需要修改模拟器源码，重新编译后才能对病毒进行监测，因此迭代速度无法跟上病毒变化的速度。
技术实现思路
为了解决相关技术中因在每次增加需要监测的病毒时都需要修改模拟器源码，导致迭代速度无法跟上病毒变化的速度的问题，本专利技术实施例提供了一种病毒监测方法及装置。所述技术方案如下：第一方面，提供了一种病毒监测方法，所述方法包括：运行安装在模拟器上需要进行病毒监测的应用样本，模拟所述应用样本运行时需要的操作；在模拟所述应用样本运行时需要的操作的过程中，在所述模拟器上监控预置的关键系统函数，输出动态日志，所述关键系统函数是预先配置的与行为相关的系统函数；利用预定脚本对所述动态日志进行判定，输出判定结果，所述判定结果用于指示所述应用样本是否具备病毒，或者用于指示所述应用样本所具备病毒的行为信息。第二方面，提供了一种病毒监测装置，所述装置包括：运行模块，用于运行安装在模拟器上需要进行病毒监测的应用样本；第一模拟模块，用于模拟所述运行模块运行的所述应用样本运行时需要的操作；监控模块，用于在所述模拟模块模拟所述应用样本运行时需要的操作的过程中，在所述模拟器上监控预置的关键系统函数，输出动态日志，所述关键系统函数是预先配置的与行为相关的系统函数；输出模块，用于利用预定脚本对所述监控模块得到的所述动态日志进行判定，输出判定结果，所述判定结果用于指示所述应用样本是否具备病毒，或者用于指示所述应用样本所具备病毒的行为信息。本专利技术实施例提供的技术方案带来的有益效果是：通过在模拟器上预先配置与应用程序运行时产生的行为相关的关键系统函数，在对任一应用样本进行监控时，模拟应用样本运行时需要的操作，监控这些关键系统函数，输出动态日志，根据动态日志确定与病毒判定相关的判定结果；由于关键系统函数可以预先全部导入，在利用模拟器模拟应用样本的操作行为时，直接监控这些关键系统函数即可，即使病毒类型不同或增加新的病毒类型，也同样可以通过对这些关键系统函数的监控确定被监控应用样本的行为，因此解决了相关技术中因在每次增加需要监测的病毒时都需要修改模拟器源码，导致迭代速度无法跟上病毒变化的速度的问题，达到了即使增加新病毒的情况下，仍旧可以对其进行监测，较大程度上适应病毒变化的速度的效果。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术一个实施例中提供的病毒监测平台的结构示意图；图2是本专利技术一个实施例中提供的病毒监测方法的方法流程图；图3A是本专利技术另一个实施例中提供的病毒监测方法的方法流程图；图3B是本专利技术一个实施例中提供的模拟用户的界面交互操作时的流程图；图4是本专利技术一个实施例中提供的病毒监测方法执行时的流程示意图；图5是本专利技术一个实施例中提供的病毒监测装置的框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。为了实现对应用程序中病毒的监控，本申请提供一种病毒监测平台，该病毒监测平台提供一种模拟器，该模拟器可以模拟智能系统，比如模拟Android系统的模拟器，将需要进行病毒监测的应用样本安装在该模拟器上，对该应用样本进行监测，这里的模拟器可以被称为模拟智能系统的监测设备。以下结合图1对病毒监测平台的结构进行说明。图1是本专利技术一个实施例中提供的病毒监测平台的结构示意图。该病毒监测平台100为实现病毒监测方法的网络侧设备。病毒监测平台100包括中央处理单元(英文：centralprocessingunit，CPU)101、包括随机存取存储器(英文：random-accessmemory，RAM)102和只读存储器(英文：read-onlymemory，ROM)103的系统存储器104，以及连接系统存储器104和中央处理单元101的系统总线105。病毒监测平台100还包括帮助计算机内的各个器件之间传输信息的基本输入/输出(英文：input/output，I/O)系统106，和用于存储操作系统113、应用程序114和其他程序模块115的大容量存储设备107。基本输入/输出系统106包括有用于显示信息的显示器108和用于用户输入信息的诸如鼠标、键盘之类的输入设备109。其中显示器108和输入设备109都通过连接到系统总线105的输入/输出控制器110连接到中央处理单元101。基本输入/输出系统106还可以包括输入/输出控制器110以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入/输出控制器110还提供输出到显示屏、打印机或其他类型的输出设备。大容量存储设备107通过连接到系统总线105的大容量存储控制器(未示出)连接到中央处理单元101。大容量存储设备107及其相关联的计算机可读介质为病毒监测平台100提供非易失性存储。也就是说，大容量存储设备107可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。不失一般性，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括静态随机存取存储器(英文：staticrandomaccessmemory，SRAM)，电可擦除可编程只读存储器(英文：electricallyerasableprogrammableread-onlymemory，EEPROM)，可擦除可编程只读存储器(英文：erasableprogrammablereadonlymemory，EPROM)，可编程只读存储器(英文：programmablereadonlymemory，PROM)、RAM、ROM、闪存或其他固态存储其技术，CD-ROM、数字通用光盘(英文：digitalversatiledisc，DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器104和大容量存储设备107可以统称为存储器。根据本专利技术的各种实施例，病毒监测平台100还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即病毒监测平台100可以通过连接在系统总线105上的网络接口单元111连接到网络112，或者说，也可以使用网络接口单元111来连接到其他类型的网络或远程计算机系统(未示出)。上述系统存储器104还包括一个本文档来自技高网...

【技术保护点】
一种病毒监测方法，其特征在于，所述方法包括：运行安装在模拟器上需要进行病毒监测的应用样本，模拟所述应用样本运行时需要的操作；在模拟所述应用样本运行时需要的操作的过程中，在所述模拟器上监控预置的关键系统函数，输出动态日志，所述关键系统函数是预先配置的与应用程序运行时产生的行为相关的系统函数；利用预定脚本对所述动态日志进行判定，输出判定结果，所述判定结果用于指示所述应用样本是否具备病毒，或者用于指示所述应用样本所具备病毒的行为信息。

【技术特征摘要】
1.一种病毒监测方法，其特征在于，所述方法包括：运行安装在模拟器上需要进行病毒监测的应用样本，模拟所述应用样本运行时需要的操作；在模拟所述应用样本运行时需要的操作的过程中，在所述模拟器上监控预置的关键系统函数，输出动态日志，所述关键系统函数是预先配置的与应用程序运行时产生的行为相关的系统函数；利用预定脚本对所述动态日志进行判定，输出判定结果，所述判定结果用于指示所述应用样本是否具备病毒，或者用于指示所述应用样本所具备病毒的行为信息。2.根据权利要求1所述的方法，其特征在于，所述模拟所述应用样本运行时需要的操作，包括：根据所述应用样本的配置文件模拟所述应用样本需要调用的系统消息，广播模拟的系统消息。3.根据权利要求1所述的方法，其特征在于，所述模拟所述应用样本运行时需要的操作，包括：在运行的所述应用样本上模拟用户的界面交互操作，所述界面交互操作包括点击操作和/或输入操作。4.根据权利要求3所述的方法，其特征在于，所述在运行的所述应用样本上模拟用户的界面交互操作，包括：镜像出所述应用样本的窗口信息；分析所述窗口信息，获取所述窗口信息所涉及的可输入控件和按钮；根据所述可输入控件模拟输入相应内容，根据各个按钮的预定优先级，模拟用户点击所述按钮。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在运行所述应用样本的过程中，在所述模拟器上模拟电话呼入操作，广播模拟的电话呼入操作所涉及的消息。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：检测所述应用样本是否在进行防监测测试；在所述应用样本在进行防监测测试时，执行反对抗操作，所述反对抗操作用于对防监测测试需要的信息进行隐藏或模拟，以阻止所述应用样本测试出被监测。7.根据权利要求6所述的方法，其特征在于，所述执行反对抗操作，包括：在所述应用样本需要获取系统的特征文件时，隐藏所述模拟器的特征文件，或将模拟的特征文件发送至所述应用样本；在所述应用样本需要获取系统的网络状态时，在所述模拟器上模拟网络状态，将模拟后的网络状态发送给所述应用样本；在所述应用样本需要获取系统的设备特征信息时，在所述模拟器上模拟设备特征信息，将模拟后的设备特征信息发送给所述应用样本。8.根据权利要求1至7中任一所述的方法，其特征在于，所述方法还包括：在运行所述应用样本的过程中，对所述应用样本进行脱壳处理，对脱壳处理得到的保护代码进行静态分析。9.一种病毒监测装置，其特征在于，所述装置包括：运行模块，用于运行安装在模拟器上需要进行病毒监测的应用样本；第一模拟模块，用于模拟所述运行模块运行的所述应用样本运行时需要的操...

【专利技术属性】
技术研发人员：王晨，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44