基于分层API调用的Android恶意代码静态描述方法

针对Android APK的静态描述,目前主要是采用权限、数据以及API调用序列的方法,而忽视了代码本身的层级结构,因此无法有效地通过这些静态特征来揭示应用程序的可能行为和恶意属性.设计并实现了一种基于代码层次结构的系统API调用描述方法,其主要是提取APK文件中API调用在应用包、对象类、类函数层面的信息,并将这些信息以树形结构表示,通过将不同应用程序的描述树进行逐层对比来计算相似度,揭示恶意应用程序由于在类型和族群上的差异所带来的API调用特征上的区别,从而为Android应用程序的特征描述和恶意检测提供新的视角.实验采用真实多样的已知Android恶意程序来验证描述方法的正确性和系统实现的效果,分析了不同层次和检测情况下该方法的利弊以及可能的改进之处.     

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。     

基于栈的恶意程序隐式系统调用的检测方法

提出了一种检测恶意程序中隐式系统调用的方法.该方法使用地址栈和地址栈图来检测恶意程序中隐式的系统调用信息,其中,地址栈将每个栈的元素和栈操作的指令相结合,而地址栈图抽象地表示可执行体并且检测恶意的系统调用.通过实验表明,这是一种有效的方法.     

基于3SAT的API调用迷惑方法

现有的API调用迷惑技术通用性不强,且容易被静态分析方法识破。为此,提出一种二进制代码迷惑方法,利用3SAT非透明常量,将API调用的目标地址变换为间接地址,使分析API地址成为NP完全问题,从而无法通过静态分析获取API地址。实验结果表明,该方法增加了代码分析的难度,可使基于API调用的静态分析检测方法失效。     

用Ada异常设施实现隐式调用的体系结构

基于事件的隐式调用体系结构,因其具有系统部件的松散偶合和反作用集成的特性,正受到普遍重视。基于软件体系结构原理,本文分析了面向对象的交互方式,并提出了一套用Ａｄａ异常设施实现基于事件的隐式调用的研究方法,它表明将传统程序设计语言改造成某种特定的ＡＤＬ是可能的。     

DLL API在PowerBuilder中的调用

在PowerBuilder中可以通过外部引用函数的形式来调用动态链接库中的函数。本文介绍了在PowerBuilder如中调用DLL API的方法,并给出实例。     

基于抽象API调用序列的Android恶意软件检测方法

随着Android版本的不断更替,以及恶意软件的代码混淆技术的发展,主流的静态检测方法开始面临检测效率逐年下降的问题。针对上述问题,提出一种基于抽象API调用序列的Android恶意软件检测方法。该方法采用API包名、混淆名和自定义名来抽象API调用序列,使得抽象出来的序列不依赖API版本,同时又包含混淆代码特征,具有更好的容错性。在此基础上,计算抽象API调用序列之间的转移概率矩阵作为分类特征,采用RandomForest分类算法进行恶意软件检测。实验结果表明,该方法对API版本依赖性小,且判别准确率高于一般使用API调用序列作为特征的判别方法,从而能更有效地检测未知应用软件的恶意性。     

在VB中调用Windows API函数

本文首先说明了在VB中调用Windows API函数的必要性和可能性,然后给出了在VB中调用Windows API函数的方法和三个实例。     

安卓恶意软件的静态检测方法

近几年,Android平台的恶意软件数量几乎以几何式的速度增长,故提出一种恶意软件检测方法是必要的.本文利用现如今疯涨的Android恶意样本量和机器学习算法建立分类预测模型实现对恶意软件的静态检测.首先,通过反编译APK文件获取AndroidManifest.xml文件中权限特征,baksmali工具反编译class.dex成smali文件得到危险API特征.然后运用机器学习中多种分类和预处理算法比较每一特征和联合特征检测的准确率.实验结果表明,联合特征检测准确率高于单独特征,准确率达到97.5%.     

一种Android应用程序恶意行为的静态检测方法

目前Android应用程序的安全问题得到越来越多的关注. 提出一种检测Android应用程序中恶意行为的静态分析方法, 该方法采用静态数据流分析技术, 并实现了常量分析算法, 通过跟踪应用程序对常量值的使用来检测恶意订购、资费消耗等多种类型的恶意行为. 实验结果表明, 该方法可以有效检测出Android应用程序的恶意行为, 具有较高的实用性.     

基于反编译的Android 平台恶意代码静态分析

Android平台占有很大的市场份额,但由于Android系统的开放性,使得针对Android平台的恶意代码呈现出爆炸式的增长．因此对这些恶意代码的分析和检测显得十分必要．在传统计算机恶意代码的检测方法中,反编译和静态分析技术占有十分重要的地位,因此根据Android平台和智能手机的特点,重点研究基于反编译的Android平台恶意代码静态分析方法,并进行相关实验获取了初步的检测结果．     

提升多维特征检测迷惑恶意代码

针对迷惑恶意代码识别率较低的问题,提出一种基于提升多维特征的迷惑恶意代码检测算法.该算法在对迷惑恶意代码反汇编后进行静态分析,从Opcode分布序列,调用流图特征、系统调用序列图这3个特征维度对恶意代码家族特征进行归纳和分析,结合统计和语义结构特征表现恶意代码"行为"特性,从而对分类结果加权投票后给出迷惑恶意代码家族判...     

Android平台恶意应用程序静态检测方法

本文构建的静态检测系统主要用于检测Android平台未知恶意应用程序.首先,对待检测应用程序进行预处理,从Android Manifest.xml文件中提取权限申请信息作为一类特征属性;如待检测应用程序存在动态共享库,则提取从第三方调用的函数名作为另一类特征属性.对选取的两类特征属性分别选择最优分类算法,最后根据上述的两个最优分类算法对待检测应用程序的分类结果判定待检测应用程序是否为恶意应用程序.实验结果表明:该静态检测系统能够有效地检测出Android未知恶意应用程序,准确率达到95.4%,具有良好的应用前景.     

基于语义的恶意软件判定器框架

目前代码迷惑技术已经成为构造恶意软件变体的主要方式,大量出现的病毒变体使得传统基于程序文本特征的病毒排查工具的防护作用大大降低.本文提出一种新的基于语义的恶意软件变体判定框架,为了确定一个程序是否是某种恶意软件的变体:首先基于符号执行收集程序语义状态,然后通过证明语义之间是否满足变体关系来确定该程序是否是恶意软件的变体.本框架能够识别经代码迷惑变换后得到的程序是属于变换前程序的变体,从而可以减少对病毒数据库的更新.最后,通过一个实现了该框架的原型系统来说明基于语义的恶意软件判定器框架的可行性.     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

用于RTL设计验证的静态错误检测方法

为快速有效地对集成电路设计中潜在的常见错误进行检测,提出一种基于静态分析的错误检测方法。该方法可以自动地提取待测寄存器传输级(RTL)设计的行为信息,检测出设计中常见的错误,如状态机死锁、管脚配置错误。实验结果表明,静态检测相对于其他验证方法自动化程度高、检测速度快、检测准确度高、检测代码可重用,可以在模拟之前发现设计中的错误。     

一种混合的Android恶意应用检测方法

针对静态检测和动态检测方式存在的问题,提出了一种基于混合方式的恶意移动应用检测方法。该方法采用静态分析和动态分析相结合的方式,通过静态分析获取权限特征和函数调用特征,通过动态分析在沙盒环境下借助于事件仿真获取系统调用序列并提取函数调用依赖关系特征;在此基础上,提出了一种基于集成学习的分类器构造方法,区分恶意应用和正常应用。在来自于第三方应用市场中的3000个样本集上进行了实验验证,结果表明基于混合方式的恶意应用检测效果要优于基于静态分析的方式和基于动态分析的方式;考虑多种类型特征的样本上的检测精度要高于采用单一特征刻画的样本上的值;采用集成分类器具有较好的检测精度。