一種移動終端惡意代碼的捕獲方法和裝置的制作方法

專利名稱：一種移動終端惡意代碼的捕獲方法和裝置的制作方法
技術領域：
本發明涉及網絡安全技術領域，特別涉及一種移動終端惡意代碼的捕獲方法和裝置。
背景技術：
惡意代碼是指有惡意企圖的程序，它可能會損害執行的機器或者它傳播的網絡。 惡意代碼造成的損害近幾年來急劇增加。因此，惡意代碼檢測是軟件安全的一個重要方面。隨著通信技術的發展，手機已成為不可缺少的工作和生活必需品，手機娛樂、商務 功能的擴展需要，手機功能日趨復雜化、智能化、手機的處理器性能、存儲能力等等都在向 著PC機靠攏，同時手機操作系統也出現由多家各自閉門造車倒向幾大嵌入式操作系統統 一合流的趨勢。隨著手機功能的擴展性、兼容性增強，手機的開放性、暴露性也增加了，導致 惡意代碼的大量傳播。移動終端惡意代碼攻擊方式主要有以下幾種一是短信攻擊主要是以“病毒短信”的方式發起攻擊；二是直接攻擊手機直接攻擊相鄰手機，比說說Cabir病毒；三是攻擊網關控制WAP或短信平臺，并通過網關向手機發送垃圾短信，干擾手機 用戶，甚至導致網絡運行癱瘓；四是攻擊漏洞攻擊字符格式漏洞，攻擊智能手機操作系統，攻擊應用程序運行環 境漏洞，攻擊應用程序漏洞；五是木馬型惡意代碼利用用戶的疏忽，以合法身份侵入移動終端，并伺機竊取資 料的病毒。例如，Skulls病毒式典型木馬病毒。由于移動終端惡意代碼傳播途徑的多樣化以及傳統計算機惡意代碼捕獲方法無 法適用的現狀，使得移動終端惡意代碼的捕獲更加困難。

發明內容
針對以上問題，考慮到移動終端特有的傳播途徑以及傳統計算機惡意代碼捕獲方 法無法適用的現狀，本發明所要解決的技術問題是設計針對移動終端惡意代碼傳播的捕獲 系統和設備，解決移動終端惡意代碼難以捕獲的現狀。本發明提供了一種移動終端惡意代碼的捕獲方法，包括a.針對手機數據業務偽終端惡意代碼進行捕獲進一步的，步驟a中，包括短信自動分析和掃描；通過對終端上接收到的短信進行自動分析和識別，完成樣本定性，并進行二次資 源獲取，提取可疑內容，例如可疑收費號碼等。進一步的，步驟a中，還包括彩信自動格式解析和分析；通過對終端上接收到的彩信進行自動格式解析，根據彩信元數據中提取出的附帶 數據進行自動分析和識別，完成樣本定性，并進行二次資源獲取，根據獲取到的可疑內容進行訪問或者回復響應等處理。進一步的，步驟a中，還包括手機網絡資源主動獲取和檢測；通過對提供手機軟件下載服務的站點進行主動資源獲取，對獲取到的資源進行自 動化分析和掃描，從而進行樣本檢測和捕獲。b.針對手機藍牙惡意代碼進行捕獲進一步，步驟b中，通過在人流量較大的區域和地點進行設備部署，并對區域中的 藍牙設備進行自動掃描和識別，構建偽終端環境，模擬各種系統平臺的手機，對收到的藍牙 連接請求和文件請求進行全程的跟蹤和檢測，對接收到的文件進行自動分析和識別，從而 進行樣本定性。c.采用PUSH技術進行終端病毒庫進行升級通過利用PUSH技術，采用彩信未載體，用來解決部署在各地域和不同地方的移動 終端惡意代碼捕獲設備中自有檢測系統的升級問題，同時保證部署在不同區域的捕獲設備 能獲得最新的樣本庫數據并進行共享。本發明也提供一種移動終端惡意代碼的捕獲裝置，所屬裝置包括移動終端模擬 設備和惡意代碼分析設備。所述移動終端模擬設備用于模擬和實踐移動終端的各種行為，如接收短信、彩信、 接收藍牙連接等；所述惡意代碼分析設備通過與移動終端模擬設備互連來進行數據獲取、移動終端 惡意代碼的分析和對移動終端模擬設備的行為管理。本發明所設計的方法和裝置，可以用于解決移動終端惡意代碼捕獲的難題。通過 對移動終端設備的行為進行模擬，對其所有可能的惡意代碼傳播方式進行構陷式的模擬， 來達到捕獲惡意代碼的目的。解決移動終端設備惡意代碼的及時捕獲問題將有效的彌補當 前移動終端惡意代碼捕獲和響應不及時的問題，為更好的解決移動終端惡意代碼傳播事件 提供有力的支撐。


圖1是本發明的“針對手機數據業務偽終端惡意代碼捕獲”的具體實施流程圖；圖2是本發明的“針對手機藍牙惡意代碼捕獲”的具體實施流程圖；圖3是本發明的“采用PUSH技術的終端病毒庫升級”的具體實施流程圖；圖4是本發明所設計的移動終端惡意代碼捕獲設備的結構圖。
具體實施例方式下面將結合附圖對本發明中的各方法及裝置進行更詳細的說明。本發明提供的移動終端惡意代碼的捕獲方法，包括針對手機數據業務偽終端惡 意代碼進行捕獲；針對手機藍牙惡意代碼進行捕獲；采用PUSH技術的終端病毒庫進行升 級。如圖1所示，本發明中“針對手機數據業務偽終端惡意代碼進行捕獲”的具體步驟 如下SlOl 模擬正常手機行為響應短信、彩信以及其他類型的數據業務，但是不對這些數據進行打開查看行為；S102:將接收的相關數據以及獲得業務數據的元數據共同發送給分析設備，其中 的數據應該包括業務類型、業務發送方號碼、業務到達時間和業務元數據；S103 分析設備會對元數據按照格式進行拆解和檢測分析，形成檢測反饋命令；S104 在接受到分析設備的反饋后，判斷反饋中是否含有二次操作的命令；若是， 則進入步驟S105，否則，進入步驟SlOl ；S105 根據反饋中的操作命令執行響應的操作和行為。檢測反饋中的操作指令可能指示移動終端模擬設備進行短信查看和彩信查看操 作，也可能是根據指定的二次操作命令中指定的行為對發送短信、彩信回復、遠程鏈接訪問 等或者其它相應的行為。如圖2所示，本發明中“針對手機藍牙惡意代碼捕獲”的具體步驟如下S201 移動終端模擬設備主動掃描有效范圍內已激活的藍牙設備，并嘗試主動建 立連接以及接收連接；S202 如果有設備響應請求，并要求建立連接，則轉步驟S204，否則轉步驟S203 ；S203 根據系統配置，等待一定時長的時間后，開始進行新一輪的掃描和檢測；S204:同遠程設備建立有效連接，并將此次連接的相關數據發送至惡意代碼分析 設備。發送的數據信息包括連接的啟動時間、遠程設備的設備名、設備的藍牙MAC地址和 設備的距離；S205 對成功建立的連接進行請求響應，該請求可能為數據傳輸，可能為其它請 求；將響應的數據信息發送至惡意代碼分析設備，該數據包括成功接收的構陷條件、接收 到的元數據、接收數據耗時和接收成功標志；S206 根據分析設備的反饋執行相應的操作，該操作包括打開接收到的數據、刪 除接收到的數據、向遠程連接設備發送指定的數據內容等。在本發明所設計的設備中，可以同時支持24路的藍牙并發連接和掃描，同時會根 據以往的分析進行不同的惡意代碼傳播條件的構陷和模擬。通過移動設備模擬平臺模擬不 同操作系統版本、平臺類型和設備型號的移動終端設備，對遠程設備實行欺騙，在獲取到相 應數據后，不執行各種訪問和操作，將完整的接收元數據和相關信息共同返回至惡意代碼 分析設備，根據其反饋再進行下一步操作。如果本次連接沒有成功，也會將當前已接收的部 分數據返回至惡意代碼分析設備。如圖3所示，本發明中“采用PUSH技術的終端病毒庫進行升級”的具體步驟如下S301 系統檢測當前時刻是否到達系統設置中指定的更新時刻或滿足相應的觸發 機制，如果是則轉步驟S303，否則轉步驟S302 ；S302 當前情況不滿足更新觸發條件，繼續陷入等待條件；S303:當前情況滿足更新觸發條件，根據系統中指定的遠程服務器向服務器發起 連接，按照指定的交互協議封裝通信指令，請求進行數據更新；S304:在接受到遠程服務器的響應反饋后，對響應的數據內容進行數據拆解，驗證 該數據的完整性和可靠性；如果確定為正確的更新反饋數據包，則進入步驟S305 ；S305:對更新反饋數據包中的數據進行完整性校驗，通過校驗后，按照指定的安裝 方法進行安裝和更新；
S306 更新完成后，發送通知消息給系統，通知系統當前更新已經完成，指示系統 可以進入重啟流程，進行系統數據更新。采用PUSH技術的終端病毒庫升級所提及的遠程服務器為部署在網絡中的可訪問 的WAP服務器，該服務器會對遠程訪問終端采取相應的驗證機制。在通過驗證機制后，將通 過WAP數據包或者彩信數據包的形式向遠端設備發送相應的更新包，從而輔助遠端設備完 成數據更新。本發明提供了一種移動終端惡意代碼的捕獲裝置，如圖4所示，包括移動終端模 擬設備、惡意代碼分析設備和設備通信模塊。所述終端模擬設備和惡意代碼分析設備之間采用USB數據線進行連接；惡意代碼 分析設備和設備通信模塊通過PCI總線連接。所述移動終端模擬設備用于對各種系統平臺、型號的移動終端行為進行模擬；所述惡意代碼分析設備則用于對移動終端模擬設備發生的行為和產生的相關數 據進行分析和采集；所述設備通信模塊用于對移動終端模擬設備所發生的各種外部通信行為進行支持。以上所述，僅為本發明的具體實施方式
，但本發明的保護范圍并不局限于此，任何 熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到變化或替換，都應涵 蓋在本發明的保護范圍之內。因此，本發明的保護范圍應以權力要求的保護范圍為準。
權利要求
一種移動終端惡意代碼的捕獲方法，其特征在于，包括a.針對手機數據業務偽終端惡意代碼進行捕獲；b.針對手機藍牙惡意代碼進行捕獲；c.采用PUSH技術的終端病毒庫進行升級。
2.如權利要求1所述的移動終端惡意代碼的捕獲方法，其特征在于步驟a中，包括短信自動分析和掃描；通過對終端上接收到的短信進行自動分析和識別，完成樣本定性，并進行二次資源獲 取，提取可疑內容。進一步的，步驟a中，還包括彩信自動格式解析和分析；通過對終端上接收到的彩信進行自動格式解析，根據彩信原數據中提取出的附帶數據 進行自動分析和識別，完成樣本定性，并進行二次資源獲取，根據獲取到的可疑內容進行訪 問或者回復響應等處理。進一步的，步驟a中，還包括手機網絡資源主動獲取和檢測；通過對提供手機軟件下載服務的站點進行主動資源獲取，對獲取到的資源進行自動化 分析和掃描，從而進行樣本檢測和捕獲。
3.如權利要求1所述的移動終端惡意代碼的捕獲方法，其特征在于步驟b中，通過在人流量較大的區域和地點進行設備部署，并對區域中的藍牙設備進 行自動掃描和識別，構建偽終端環境，模擬各種系統平臺的手機，對收到的藍牙連接請求和 文件請求進行全程的跟蹤和檢測，對接收到的文件進行自動分析和識別，從而進行樣本定 性。
4.如權利要求1中所述的移動終端惡意代碼的捕獲方法，其特征在于步驟c中，通過利用PUSH技術，采用彩信未載體，用來解決部署在各地域和不同地方的 移動終端惡意代碼捕獲設備中自有檢測系統的升級問題，同時保證部署在不同區域的捕獲 設備能獲得最新的樣本庫數據并進行共享。
5.一種移動終端惡意代碼的捕獲裝置，其特征在于，包括移動終端模擬設備和惡意 代碼分析設備。所述移動終端模擬設備，用來模擬和實踐移動終端的各種行為；所述惡意代碼分析設備通過與移動終端模擬設備互連來進行數據獲取、移動終端惡意 代碼的分析和對移動終端模擬設備的行為管理。
全文摘要
本發明公開了一種移動終端惡意代碼的捕獲方法和裝置；方法包括針對手機數據業務偽終端惡意代碼進行捕獲；針對手機藍牙的惡意代碼進行捕獲；采用PUSH技術的終端病毒庫進行升級。裝置包括移動終端模擬設備；惡意代碼分析設備。解決移動終端設備惡意代碼的及時捕獲問題將有效的彌補當前移動終端惡意代碼捕獲和響應不及時的問題，為更好的解決移動終端惡意代碼傳播事件提供有力的支撐。
文檔編號G06F21/00GK101930514SQ20101025110
公開日2010年12月29日 申請日期2010年8月12日 優先權日2010年8月12日
發明者潘宣辰, 肖新光 申請人:北京安天電子設備有限公司