1.一种移动终端恶意代码分析设备,其特征在于,所述分析设备包括:Linux内核监视器,用于监视应用程序的行为,并在应用程序的行为与异常行为检测模块预存异常行为匹配时,自动暂停应用程序的行为,将暂停的应用程序的行为发送到逆向分析模块;
异常行为检测模块,用于预存各种异常行为;
逆向分析模块,用于逆向分析引起暂停的应用程序的行为的进程、应用程序和系统代码,支持云端自动分析;
处理模块,用于在逆向分析模块确定暂停的应用程序的行为是恶意代码引起的时,自动中止引起暂停的应用程序的行为的进程的运行,并提示用户进行相关操作,在逆向分析模块确定引起暂停的应用程序的行为不是恶意代码引起的时,继续引起暂停的应用程序的行为的进程的运行;
Linux内核监视器自动暂停应用程序的行为包括,将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收,使引起暂停的应用程序的行为的进程进入阻塞状态,等待处理模块的后续动作。
2.根据权利要求1所述的移动终端恶意代码分析设备,其特征在于:Linux内核监视器对进程的操作是由其进程控制块进行。
3.根据权利要求1所述的移动终端恶意代码分析设备,其特征在于:异常行为检测模块所预存的各种异常行为包括修改系统代码、对敏感信息读写、可疑的网络行为和流量、获取位置信息。
4.根据权利要求1所述的移动终端恶意代码分析设备,其特征在于:逆向分析模块对引起暂停的应用程序的行为的进程的逆向分析包括对进程的数据流的分析;
逆向分析模块对引起暂停的应用程序的行为的应用程序的逆向分析包括:将应用程序上传到云端,由云端依次进行应用程序解码、反汇编和功能分析,根据功能分析结果确定引起暂停的应用程序的行为是否为恶意代码引起的;
逆向分析模块对引起暂停的应用程序的行为的系统代码的逆向分析包括对系统代码的关键模块HASH值的分析。
5.一种移动终端恶意代码分析方法,其特征在于,所述分析方法包括:步骤1:监视应用程序的行为,并在应用程序的行为与预存异常行为匹配时,自动暂停应用程序的行为;
步骤2:逆向分析引起暂停的应用程序的行为的进程、应用程序和系统代码,其中使用云端自动分析;
步骤3:在确定暂停的应用程序的行为是恶意代码引起的时,自动中止引起暂停的应用程序的行为的进程的运行,并提示用户进行相关操作,在确定引起暂停的应用程序的行为不是恶意代码引起的时,继续引起暂停的应用程序的行为的进程的运行;
步骤1中,自动暂停应用程序的行为包括,将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收,使引起暂停的应用程序的行为的进程进入阻塞状态,等待后续动作。
6.根据权利要求5所述的移动终端恶意代码分析方法,其特征在于:将引起暂停的应用程序的行为的进程所占用的CPU资源强制回收中,对进程的操作是由进程控制块进行。
7.根据权利要求5所述的移动终端恶意代码分析方法,其特征在于:预存异常行为包括修改系统代码、对敏感信息读写、可疑的网络行为和流量、获取位置信息。
8.根据权利要求5所述的移动终端恶意代码分析方法,其特征在于:对引起暂停的应用程序的行为的进程的逆向分析包括对进程的数据流的分析;
对引起暂停的应用程序的行为的应用程序的逆向分析包括:将应用程序上传到云端,由云端依次进行应用程序解码、反汇编和功能分析,根据功能分析结果确定引起暂停的应用程序的行为是否为恶意代码引起的;
对引起暂停的应用程序的行为的系统代码的逆向分析包括对系统代码的关键模块HASH值的分析。