CN103268444B - 一种基于插件加载的android恶意代码检测***及方法 - Google Patents
一种基于插件加载的android恶意代码检测***及方法 Download PDFInfo
- Publication number
- CN103268444B CN103268444B CN201210579543.4A CN201210579543A CN103268444B CN 103268444 B CN103268444 B CN 103268444B CN 201210579543 A CN201210579543 A CN 201210579543A CN 103268444 B CN103268444 B CN 103268444B
- Authority
- CN
- China
- Prior art keywords
- plug
- unit
- malicious code
- update
- bag
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Stored Programmes (AREA)
- Telephone Function (AREA)
Abstract
本发明提供了一种基于插件加载的android恶意代码检测***及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及***,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
Description
技术领域
本发明涉及移动终端恶意代码检测领域,特别涉及一种基于插件加载的android恶意代码检测***及方法。
背景技术
现有Android手机上的反病毒软件,通常都采用升级病毒库的方式来进行恶意代码检测和识别能力的提升,并提供对新出现的恶意代码进行检测和处理的能力。
从现有的Android手机上的反病毒软件本身在进行升级时和扩展恶意代码检测功能时,有如下的几种方法:一、通过更新病毒库来达到相应的效果;二、通过重新更新和安装apk来实现反病毒模块的更新和达到相应的效果。上述的两种升级方法,方法一无法对恶意代码检测模块和程序本身进行有效的更新和扩展,而方法二则需要消耗极高的代价,需要对整个安全应用程序进行更新和再次安装来达到更新的效果。
发明内容
本发明提供了一种基于插件加载的android恶意代码检测***及方法,通过调用插件,来进行恶意代码的检测,能够及时对恶意代码检测能力进行扩展,解决了现有需要更新整个应用程序才能够扩展检测能力的问题。
一种基于插件加载的android恶意代码检测***,包括:插件升级服务器和移动终端恶意代码检测模块;
所述插件升级服务器包括:
存储模块,用于存储恶意代码检测插件库;
通信模块,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,生成插件更新包;
移动终端恶意代码检测模块包括:
更新模块,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,否则直接执行检测模块;
检测模块,用于遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
所述的***中,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
一种基于插件加载的android恶意代码检测方法,适用于上述***,包括:
插件升级服务器存储恶意代码检测插件库,并获取更新请求,判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则生成插件更新包,并返回插件更新包获取的URL;
移动终端恶意代码检测模块向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
所述的方法中,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
一种基于插件加载的android恶意代码检测方法,适用于上述***中的移动终端恶意代码检测模块,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
本发明的方法利用了android平台上的dexclassloader的功能,可以实现对dex文件进行加载,并导出其中定义的类和函数来达到调用非APK中的第三方dex函数的功能,因此本发明的***及方法,通过dex插件调用,实现了在恶意代码检测过程中,对恶意代码检测能力的扩展和更新。不仅实现了灵活和低成本的反病毒检测能力的扩展,还可以通过检测插件,实现细粒度的病毒检测和专杀功能。
本发明提供了一种基于插件加载的android恶意代码检测***及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及***,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于插件加载的android恶意代码检测***结构示意图;
图2为本发明一种基于插件加载的android恶意代码检测方法中插件服务器流程图;
图3为本发明一种基于插件加载的android恶意代码检测方法中移动终端恶意代码检测模块流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于插件加载的android恶意代码检测***及方法,通过调用插件,来进行恶意代码的检测,能够及时对恶意代码检测能力进行扩展,解决了现有需要更新整个应用程序才能够扩展检测能力的问题。
一种基于插件加载的android恶意代码检测***,如图1所示,包括:插件升级服务器101和移动终端恶意代码检测模块102;
所述插件升级服务器101包括:
存储模块101-1,用于存储恶意代码检测插件库;
通信模块101-2,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块101-3,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,生成插件更新包;
移动终端恶意代码检测模块102包括:
更新模块102-1,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,否则直接执行检测模块;
检测模块102-2,用于遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
所述的***中,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述***,包括:
插件升级服务器流程图如图2所示:
S201:插件升级服务器存储恶意代码检测插件库,并获取更新请求;
S202:判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则执行S203;
S203:生成插件更新包,并返回插件更新包获取的URL。
移动终端恶意代码检测模块流程图如图3所示:
S301:移动终端恶意代码检测模块向插件升级服务器发送更新请求;
S302:判断是否收到插件更新包获取的URL,如果是,则执行S303,否则执行S304;
S303:获取插件更新包;
S304:遍历本地插件缓存文件夹获取所有插件;
S305:根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的方法中,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
对恶意代码检测插件库可定义为:
struct
{
char*plugversion;
char*plugname;
char*plugfilepath;
intplugtype;
}MalDetectPlug;
struct
{
MalDetectPlug*iPlugArray;
intiPlugArrayLen;
char*iLatestPlugversion;
}MalDetectPlugDatabase;
其中MalDetectPlugDatabase为恶意代码检测插件库,MalDetectPlug为每个插件的信息,plugversion为当前插件版本号,plugname为当前插件名称,plugfilepath为当前插件文件的存储地址,plugtype为插件类型,所述插件类型至少包括
所述的方法中,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载。
所述的方法中,所述的插件类型至少包括检测型和专杀处置型。
检测型插件用于进行恶意代码检测,专杀处置型用于实现对特定恶意代码的清除和处置。通过Android官方提供的开发环境来进行编译和生成。对于检测型的插件需要调用onScanFile的接口,并反馈检出结果信息,对专杀处置型的插件,需要调用onKillFile接口,并反馈处置结果状态。
一种基于插件加载的android恶意代码检测方法,适用于上述***中的移动终端恶意代码检测模块,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
本发明的方法利用了android平台上的dexclassloader的功能,可以实现对dex文件进行加载,并导出其中定义的类和函数来达到调用非APK中的第三方dex函数的功能,因此本发明的***及方法,通过dex插件调用,实现了在恶意代码检测过程中,对恶意代码检测能力的扩展和更新。不仅实现了灵活和低成本的反病毒检测能力的扩展,还可以通过检测插件,实现细粒度的病毒检测和专杀功能。
本发明提供了一种基于插件加载的android恶意代码检测***及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及***,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (5)
1.一种基于插件加载的android恶意代码检测***,其特征在于,包括:插件升级服务器和移动终端恶意代码检测模块;
所述插件升级服务器包括:
存储模块,用于存储恶意代码检测插件库;
通信模块,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,将需要更新的插件生成插件更新包;
移动终端恶意代码检测模块包括:
更新模块,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,则获取插件更新包,否则直接执行检测模块;
检测模块,用于遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
2.如权利要求1所述的***,其特征在于,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
3.一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述***,其特征在于,包括:
插件升级服务器存储恶意代码检测插件库,并获取更新请求,判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则生成插件更新包,并返回插件更新包获取的URL;
移动终端恶意代码检测模块向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
4.如权利要求3所述的方法,其特征在于,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
5.一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述***中的移动终端恶意代码检测模块,其特征在于,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件,所述的插件为dex格式文件,通过android平台上的dexclassloader功能实现对dex文件的加载;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测,所述的插件类型至少包括检测型和专杀处置型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579543.4A CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579543.4A CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103268444A CN103268444A (zh) | 2013-08-28 |
| CN103268444B true CN103268444B (zh) | 2016-06-01 |
Family
ID=49012072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210579543.4A Active CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103268444B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731622B (zh) * | 2015-03-27 | 2016-10-05 | 北京奇虎科技有限公司 | 一种应用程序的加载方法、装置和移动终端 |
| CN105389510A (zh) * | 2015-12-14 | 2016-03-09 | 江山市同舟数码科技有限公司 | 一种安卓移动设备恶意软件检测方法和*** |
| CN106325957A (zh) * | 2016-08-31 | 2017-01-11 | 广州品唯软件有限公司 | 一种插件加载方法及设备 |
| CN107563198B (zh) * | 2017-08-31 | 2020-06-02 | 广东电网有限责任公司电力科学研究院 | 一种工业控制***的主机病毒防治***及方法 |
| CN108008985A (zh) * | 2017-11-20 | 2018-05-08 | 北京奇虎科技有限公司 | 应用程序加载方法及装置 |
| CN109150904A (zh) * | 2018-09-25 | 2019-01-04 | 深圳市佰仟金融服务有限公司 | 接口服务调用方法及终端设备 |
| CN109977670B (zh) * | 2019-03-12 | 2021-06-29 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020042882A1 (en) * | 2000-10-10 | 2002-04-11 | Dervan R. Donald | Computer security system |
| US8327446B2 (en) * | 2002-05-06 | 2012-12-04 | Trend Micro Inc. | Antivirus stand-alone network or internet appliance and methods therefor |
| CN101009005B (zh) * | 2006-01-24 | 2013-03-20 | 中国电信股份有限公司 | 保障基于互联网的支付安全的方法、***和平台 |
| CN102663286B (zh) * | 2012-03-21 | 2015-05-06 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
| CN102799445A (zh) * | 2012-05-03 | 2012-11-28 | 陈昊 | 一种基于Android平台的应用升级方法及*** |
| CN102789389B (zh) * | 2012-08-01 | 2015-10-14 | 深圳市茁壮网络股份有限公司 | 一种插件版本检测及升级的方法、插件检测器 |
-
2012
- 2012-12-28 CN CN201210579543.4A patent/CN103268444B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN103268444A (zh) | 2013-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103268444B (zh) | 一种基于插件加载的android恶意代码检测***及方法 | |
| CN105138382B (zh) | 一种Android***升级的方法及终端 | |
| CN107769949B (zh) | 一种应用组件部署方法及部署节点 | |
| CN102915247B (zh) | Apk插件化管理方法 | |
| CN104834555A (zh) | 调用功能模块的方法、相关装置及装置修复方法 | |
| CN105389222A (zh) | 一种动态调用原生接口的方法、装置和*** | |
| CN106502703B (zh) | 一种函数调用方法和装置 | |
| CN103634311B (zh) | 安全防护方法及装置、终端 | |
| CN106095458A (zh) | 一种应用程序中插件的管理方法和装置 | |
| CN102360324B (zh) | 故障恢复方法和用于故障恢复的设备 | |
| US20170316209A1 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| CN105740017B (zh) | 云电视***的升级方法及装置 | |
| CN106066686A (zh) | 一种信息处理方法及终端设备 | |
| CN104021336A (zh) | 一种信息处理方法和装置 | |
| CN102137390A (zh) | 手机软件下载方法、设备和*** | |
| WO2014161353A1 (en) | Method for starting process of application and computer system | |
| CN104598286A (zh) | 移动终端的软件更新方法及装置 | |
| CN104572054A (zh) | 一种能力调用方法和设备 | |
| CN104361285A (zh) | 移动设备应用程序的安全检测方法及装置 | |
| CN108089873A (zh) | 一种应用组件即时更新的方法及终端 | |
| CN111090495A (zh) | 节点管理方法、装置、设备、存储介质和*** | |
| CN108540509A (zh) | 一种终端浏览器的处理方法、装置及服务器、智能终端 | |
| WO2023274388A1 (zh) | 一种应用程序功能模块的动态插拔方法及*** | |
| CN102750168A (zh) | 应用图标更新方法及装置 | |
| EP3129883B1 (en) | Method and apparatus for repairing dynamic link library file |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430000, Hubei, Wuhan province East Lake Wuhan New Technology Development Zone Software Park Road 1, software industry phase 4-1, B4, building 12, room 01 Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |