YD_T 2848.2-2015移动互联网恶意程序检测方法 第2部分：终端侧.pdf

ICS 33.060M 16YO中华人民共和国通信行业标准YD/T2848.2-2015移动互联网恶意程序检测方法第2部分：终端侧Malware detection method ofthe mobile internetPart2:terminal side2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T 2848.22015数字签名是指附加在程序数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或密码变换允许数据单元的接收者用以确认数据单元的来源、数据单元的完整性并保护数据，防止被人伪造。本方法主要通过对数字签名进行比对来实施检测。5.5.2Android系统数字签名检测方法Android系统数字签名机制是APK文件完整性和发布机构唯一性的一种校验机制，通过比较被非法修改的APK的证书签名与程序原有的签名的差异，来检测移动互联网悉意程序的方法。使用工具（如MiniC）提取APK程序的证书，并将证书的串号存入数据库中，当分析时将待检测样本的签名串号提取出来与库里的串号做对比，达到检测的目的。5.5.3Symbian系统数字签名检测方法Symbian系统数字签名的检测方法是用sisontents工具将sis或sisx文件签名信息，与已有的移动互联网恶意程序特征库中的恶意行为进行比来检测移动互联网恶意程序的方法。5.6高权限获取检测方法本方法通过高权限获取技术获取移动终端的最高root权限，截获系统的大部分函数调用，适用于智能机操作平台（如Android、iOS、Symbian等），是在终端侧实现主动式防御的检测方法。以Android平台为例，高权限获取检测方法通过将inject和hook注入到关键进程的方式实现对移动互联网恶意程序行为的检测和拦截， YD/T2848.2-2015中华人民共和国通信行业标准移动互联网恶意程序检测方法第2部分：终端侧YD/T 2848.22015*人民部电出版社出版发行北京市丰台区成寿路11号郸电出版大厦邮政编码：100164北京康利胶印厂印屏版权所有不得翻印*开本：880 ×12301/162015年9月第1版印张; 120154年9月北京第1次印别字数：20千字15115 730定价：15元本书如有印装质量问题，请与本社联系电话：(010 YD/T 2848.22015目次范围·规范性引用文件术语、定义和缩略语·3.1术语和定义3.2缩略语概述·5.1 静态特征检测方法动态特征检测方法5.3动态拨测检测方法5.4动态数据抓包检测方法5.5数字签名检测方法5.6高权限获取检测方法 YD/T 2848.22015前言《移动互联网恶意程序检测方法》分为两个部分：第1部分：网络侧一第2部分：终端侧本部分为第2部分。本标准按照GB/T1.1-2009给出的规则起草，请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、恒安嘉新（北京》科技有限公司。本标准主要起草人：李海灵、舒敏、邹满湘、阿曼太、高胜、何能强、苗向阳、闫攀、姚力、王维晟、朱芸茜。II YD/T2848.2-2015移动互联网恶意程序检测方法第2部分：终端侧1范围本部分规定了移动互联网终端侧对恶意程序的检测方法和要求。本部分适用于第三方检测机构及个人对移动互联网终端侧恶意程序的检测。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。YD/T2439-2012移动互联网恶意程序描述格式3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3.1.1移动互联网恶意程序Mobile Internet Malware在用户不知情或未投权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。3.1.2疑似移动互联网恶意程序Suspected Mobile Internet Malware非已确认的移动互联网恶意程序，但是程序行为或代码可能具备移动互联网恶意程序特征，需要通过研判分析从而确认是否为移动互联网恶意程序的移动互联网程序。3.1.3移动互联网恶意程序检测MobileInternetMalwaredetection对于确定的检测环境，能够准确的报出移动互联网恶意程序名称，该环境包括：内存、存储卡、文件、彩信服务，邮件及WAP等。3.1.4移动互联网恶意程序特征MobileIntemetMalwareSignature从移动互联网恶意程序中提取的用于扫描匹