CN106971106A - 一种识别非法应用程序的方法、移动终端及服务器 - Google Patents
一种识别非法应用程序的方法、移动终端及服务器 Download PDFInfo
- Publication number
- CN106971106A CN106971106A CN201710202052.0A CN201710202052A CN106971106A CN 106971106 A CN106971106 A CN 106971106A CN 201710202052 A CN201710202052 A CN 201710202052A CN 106971106 A CN106971106 A CN 106971106A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- signing messages
- name information
- destination application
- bag name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种识别非法应用程序的方法、移动终端及服务器,移动终端可以将目标应用与特征数据库中信息进行比对,来说识别是都是非法软件,同时服务器端可以通过移动终端的数据收集来丰富特征数据库,并将特征数据库下发至关联的移动终端中,移动终端借由服务器下发的特征数据库中的信息比对来识别非法应用程序,以此来防止非法应用程序被第三方恶意软件ROOT,导致移动终端受到***破坏或者用户数据被窃取的问题。
Description
技术领域
本发明涉及通信领域,尤其涉及一种识别非法应用程序的方法、移动终端及服务器。
背景技术
随着科技的发展进步,通信技术得到了飞速发展和长足的进步,而随着通信技术的提高,智能电子产品的普及提高到了一个前所未有的高度,越来越多的智能终端或移动终端成为人们生活中不可或缺的一部分,如智能手机、智能电视和电脑等。
在移动终端普及的同时,伴随而来的移动终端的安全问题也随之而来。为了移动终端的安全考虑,一般移动终端厂商都不会开放移动终端的最高权限,即移动终端的ROOT权限,但是无论是出于少部分特殊用户的意愿还是一些恶意的第三方应用程序,为了获取移动终端定制***或者窃取用户数据等非法活动,都会在移动终端面世后不久对移动终端进行破解,来获取移动终端的ROOT权限,而现有的移动终端厂商一般是在ROOT工具在市面上大面积流通后才会发现,然后进行应对,导致移动终端受到***破坏或者用户数据被窃取。
发明内容
本发明实施例提供一种识别非法应用程序的方法、移动终端及服务器,以解决现有的移动终端容易被第三方恶意软件ROOT,导致移动终端受到***破坏或者用户数据被窃取的问题。
一方面,本发明实施例提供了一种识别非法应用程序的方法,应用于移动终端,所述方法包括:
将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;
若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
另一方面,本发明实施例还提供一种识别非法应用程序的方法,应用于服务器,所述方法包括:
接收第一移动终端上传的非法应用程序的包名信息和签名信息;
将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;
将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。
再一方面,本发明实施例还提供一种移动终端,所述移动终端包括:
匹配模块,用于将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;
识别模块,用于若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
又一方面,本发明实施例还提供一种服务器,所述服务器包括:
接收模块,用于接收第一移动终端上传的非法应用程序的包名信息和签名信息;
添加模块,用于将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;
下发模块,用于将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端中。
本发明实施例提供的识别非法应用程序的方法、移动终端及服务器,移动终端可以将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。同时服务端可以接收第一移动终端上传的非法应用程序的包名信息和签名信息;将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。这样,移动终端可以将目标应用与特征数据库中信息进行比对,来说识别是都是非法软件,同时服务器端可以通过移动终端的数据收集来丰富特征数据库,并将特征数据库下发至关联的移动终端中,移动终端借由服务器下发的特征数据库中的信息比对来识别非法应用程序,以此来防止非法应用程序被第三方恶意软件ROOT,导致移动终端受到***破坏或者用户数据被窃取的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一较佳实施例提供的识别非法应用程序的方法的流程图;
图2是本发明另一实施例提供的识别非法应用程序的方法的流程图;
图3是本发明再一实施例提供的识别非法应用程序的方法的流程;
图4是本发明又一实施例提供的识别非法应用程序的方法的流程;
图5a是本发明一较佳实施例提供的移动终端的结构图之一;
图5b是本发明一较佳实施例提供的移动终端的结构图之二;
图6是图5a中所示的监测模块的结构图;
图7a是本发明一较佳实施例提供的服务器的结构图之一;
图7b是本发明一较佳实施例提供的服务器的结构图之二;
图8是图7b中所示的添加模块的结构图;
图9是本发明另一实施例提供的移动终端的结构图;
图10是本发明又一实施例提供的移动终端的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一实施例
参见图1,图1是本发明一较佳实施例提供的识别非法应用程序的方法的流程图。所述方法应用于移动终端,如图1所示,所述法包括以下步骤:
步骤101、将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配。
随着移动终端的功能性的逐渐完善,移动终端在人们的生活中所占的比重越来越大,用户的移动终端中一般都存储有用户的各种数据信息。而对于一些非法应用软件和恶意第三方应用软件等,在窃取用户数据信息的时候,都需要对移动终端进行破解,也就是说俗称的ROOT,而对于不同型号和品牌的移动中端,各类ROOT应用层出不穷。
因此,为了降低移动终端被破解带来的危害,该步骤中,当所述移动终端即将要启动某个目标应用的时候,在启动所述目标应用程序之前,所述移动终端可以从服务器下发的特征数据库中提取已经收集的非法应用的特征信息,然后将所述目标应用程序的包名信息和签名信息与已经收集的非法应用程序的特征信息进行匹配,来看所述目标应用程序是不是属于已经收集的ROOT应用的中的一种。
其中,服务器下发的特征数据库,可以是将各种非法应用程序的特征数据汇总一起而成的特征数据库,并存储于云端的服务器中,其中,服务器可以是一个单独的服务器,只是用来存储相关非法应用程序相关特征信息的大数据集合体,服务器也可以是某个与应用程序相关的服务器,如用于下载应用程序的应用商店服务器。而特征数据库中已收集的ROOT应用,可以是在先的移动终端在被ROOT时,收集的能将移动终端破解的非法应用程序。
步骤102、若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
该步骤中,当所述移动终端将待启动的目标应用程序的包名信息和签名信息与服务器下发的特征数据库的特征信息进行匹配之后,如果发现所述目标应用程序的特征信息,与所述特征数据库中的特征信息想匹配,也就是说二者相同,那么所述移动终端可以将所述目标应用程序识别为非法应用程序。
移动终端还可以在将所述目标应用程序识别为非法应用程序后,禁止所述目标应用程序的启动,以免受到被ROOT的危险。
本发明实施例中,上述移动终端可以任何例如:手机、平板电脑(Tablet PersonalComputer)、膝上型电脑(Laptop Computer)、个人数字助理(personal digitalassistant,简称PDA)、移动上网装置(Mobile Internet Device,MID)或可穿戴式设备(Wearable Device)等智能移动终端。
本发明实施例提供的识别非法应用程序的方法,将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。这样,移动终端可以通过在目标应用程序启动前与现有的非法应用程序进行比对,来识别目标应用程序是不是非法应用程序,识别方法简单实用,避免移动终端误启动非法应用程序带来的危害。
参见图2,图2是本发明另一实施例提供的识别非法应用程序的方法的流程图。所述方法应用于移动终端,如图2所示,本实施例与本发明图1所示实施例的主要区别主要是步骤202和步骤203,所述方法包括以下步骤:
步骤201、将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配。
随着移动终端的功能性的逐渐完善,移动终端在人们的生活中所占的比重越来越大,用户的移动终端中一般都存储有用户的各种数据信息。而对于一些非法应用软件和恶意第三方应用软件等,在窃取用户数据信息的时候,都需要对移动终端进行破解,也就是说俗称的ROOT,而对于不同型号和品牌的移动中端,各类ROOT应用层出不穷。
因此,为了降低移动终端被破解带来的危害,该步骤中,当所述移动终端即将要启动某个目标应用的时候,在启动所述目标应用程序之前,所述移动终端可以从服务器下发的特征数据库中提取已经收集的非法应用的特征信息,然后将所述目标应用程序与已经收集的非法应用程序的特征信息进行匹配,来看所述目标应用程序是不是属于已经收集的ROOT应用的中的一种。
其中,服务器下发的特征数据库,可以是将各种非法应用程序的特征数据汇总一起而成的特征数据库,并存储于云端的服务器中,其中,服务器可以是一个单独的服务器,只是用来存储相关非法应用程序相关特征信息的大数据集合体,服务器也可以是某个与应用程序相关的服务器,如用于下载应用程序的应用商店服务器。而特征数据库中已收集的ROOT应用,可以是在先的移动终端在被ROOT时,收集的能将移动终端破解的非法应用程序。
这样,在启动一个目标应用程序之前,就将目标应用程序与特征数据库中已收集的ROOT应用的特征信息来进行匹配,可以直接检验所述目标应用程序是不是已经存在的ROOT应用,从而可以决定后续是否启动所述目标应用程序,可以为移动终端提供一个初步的保护,以免启动具有恶意ROOT的应用程序,对移动终端造成破坏。
步骤202、若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为。
一般来讲,在移动终端出厂时,只有厂家预先设置的应用程序能够具有移动终端的ROOT权限,而其他应用程序以及后续用户自己安装的应用程序,是不具备ROOT权限的。
因此,该步骤中,当所述移动终端将待启动的目标应用程序的包名信息和签名信息与特征数据库中已收集的ROOT应用程序的特征信息进行比对,并得到所述目标应用程序的包名信息和签名信息与已收集的ROOT应用程序的特征信息不匹配,也就是说,所述目标应用程序不属于已知的各种ROOT应用程序中一种,那么就可以初步认为所述目标应用程序时安全的应用程序,可以正常启动,并且在启动所述目标应用程序之后,所述移动终端可以对所述目标应用程序进行实时监测,监测所述目标应用程序在启动后是否存在异常行为。
其中,所述异常行为可以是指所述目标应用程序为了获取所述移动终端的ROOT权限而出现的一些非正常的指令请求,如针对所述移动终端的***数据的改写请求等非正常的指令请求。
步骤203、若所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
该步骤中,所述目标应用程序启动后,在所述目标应用程序运行的过程中,如果所述移动终端通过监测发现所述目标应用程序存在异常行为之后,所述移动终端可以认为所述目标应用程序为了获取所述移动终端的ROOT权限在进行对所述移动终端的破坏,所述移动终端可以停止所述目标应用程序的运行。
这样,所述移动终端可以在所述目标应用程序运行的过程中进行防护,如果所述目标应用程序出现异常,所述移动终端可以即刻停止所述目标应用程序,以避免所述目标应用程序对所述移动终端造成的损害。
在停止运行所述目标应用程序之后,可以将所述目标应用程序识别为非法应用程序,进而可以执行将所述目标应用程序识别为非法应用程序之后的步骤。
步骤204、若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
该步骤中,当所述移动终端将待启动的目标应用程序的包名信息和签名信息与服务器下发的特征数据库的特征信息进行匹配之后,如果发现所述目标应用程序的特征信息,与所述特征数据库中的特征信息想匹配,也就是说二者相同,那么所述移动终端可以将所述目标应用程序识别为非法应用程序。
移动终端还可以在将所述目标应用程序识别为非法应用程序后,禁止所述目标应用程序的启动,以免受到被ROOT的危险。
可选的,步骤202包括:
若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为。
一般来讲,一个应用程序想要获取移动终端中的各项数据,除了移动终端赋予相应的获取权限之外,就需要应用程序获取到移动终端的最高权限,也就是移动终端的ROOT权限。
所以,在该步骤中,如果所述移动终端将所述目标应用程序的包名信息和签名信息与特征数据库中已收集的ROOT应用程序的特征数据进行匹配,得出所述目标应用程序不属于现有的ROOT应用程序的一种,所述移动终端可以进一步判断所述目标应用程序是否与具有***管理员ROOT权限的预设应用程序相匹配,如果所述目标应用程序与具有***管理员ROOT权限的预设应用程序不匹配,也就是说所述目标应用程序不是预设的具有***管理员ROOT权限的预设应用程序的话,所述移动终端可以在所述目标应用程序启动后,对所述目标应用程序进行实时监测,来监测所述移动终端是否有接收到所述目标应用程序发送的,用于获取所述移动终端的***管理员ROOT权限的请求,如果所述移动终端接收到了所述目标应用程序发送的用于获取所述移动终端的ROOT权限的请求,所述移动终端可以认为所述目标应用程序具有获取***管理员ROOT权限的行为,从而确定所述目标应用程序存在异常行为。
这样,所述移动终端在所述目标应用程序运行的过程中,可以实时监测所述目标应用程序是不是存在要获取ROOT权限的请求行为,并且进一步将所述目标应用程序与具有ROOT权限的预设应用对比,双重检测,以免出现误判断的情况,可以准确判断出所述目标应用程序是不是非法应用程序。
或者,可选的,步骤202包括:
若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
一般来讲,一个应用程序对移动终端的***的信息只能进行读取,而不具有对移动终端的***进行改写的权限,而如果想要对移动终端的***具有写入的权限,就需要获取到移动终端的最高权限,也就是移动终端的***管理员ROOT权限。
所以,在该步骤中,如果所述移动终端将所述目标应用程序的包名信息和签名信息与特征数据库中已收集的ROOT应用程序的特征数据进行匹配,得出所述目标应用程序不属于现有的ROOT应用程序的一种,所述移动终端可以进一步判断所述目标应用程序是否与具有***管理员ROOT权限的预设应用程序相匹配,如果所述目标应用程序与具有***管理员ROOT权限的预设应用程序不匹配,也就是说所述目标应用程序不是预设的具有***管理员ROOT权限的预设应用程序的话,所述移动终端可以在所述目标应用程序启动后,对所述目标应用程序进行实时监测,来监测所述移动终端是否有接收到所述目标应用程序发送的,用于对***分区改写的请求,如果所述移动终端接收到了所述目标应用程序发送的用于对***分区改写的请求,所述移动终端可以认为所述目标应用程序具有对***分区执行写操作的行为,从而确定所述目标应用程序存在异常行为。
这样,所述移动终端在所述目标应用程序运行的过程中,可以实时监测所述目标应用程序是不是存在对***分区文执行写操作的行为,并且进一步将所述目标应用程序与具有ROOT权限的预设应用对比,双重检测,以免出现误判断的情况,可以准确判断出所述目标应用程序是不是非法应用程序。
可选的,在步骤203之后,所述方法包括:
将所述目标应用程序的包名信息和签名信息上传至服务器。
该步骤中,当所述移动终端监测到所述目标应用程序在运行期间存在异常行为,也就是说,所述移动终端判断出所述目标应用程序是一种非法应用程序,并且停止运行所述目标应用程序之后,所述移动终端可以提取所述目标应用程序的包名信息和签名信息等数据信息,其中,所述数据信息可以是指能表征所述目标应用程序特征的一些数据,如目标应用的名称、路径、危害行为类别、程序样本等数据信息,然后将提取的包名信息和签名信息等数据信息上传至服务器中,以供服务器更新特征数据库,这样,可以进一步丰富特征数据库,便于其他的移动终端接收更新后的特征数据库,方便进行比对,避免被非法应用程序ROOT的危险。
本发明实施例提供的识别非法应用程序的方法,将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为;若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。这样,移动终端可以通过在目标应用程序启动前与现有的非法应用程序进行比对,以及目标应用程序启动后的实时监测目标应用程序是不是存在异常行为来识别目标应用程序是不是非法应用程序,识别方法简单实用,避免移动终端误启动非法应用程序已经非法应用程序入侵带来的危害。
参见图3,图3是本发明再一实施例提供的识别非法应用程序的方法的流程图。所述方法应用于服务器,如图3所示,本实施例与本发明图1所示实施例的区别主要是应用于服务器,所述方法包括以下步骤:
步骤301、接收第一移动终端上传的非法应用程序的包名信息和签名信息。
该步骤中,主要是服务器可以接受来自第一移动终端上传的非法应用程序的特征信息,其中所述特征信息主要包括包名信息和签名信息。
其中,本实施例中的第一移动终端,可以是图1所示方法中的将目标应用程序识别为非法应用程序的移动终端,并在识别出非法应用程序后,即将识别的非法应用程序的特征信息上传到所述服务器中。
步骤302、将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中。
该步骤中,所述服务器在接收到所述非法应用程序的包名信息和签名信息之后,所述服务器可以将所述非法应用程序的所述包名信息和所述签名信息添加到异常应用程序的特征数据库中,来丰富和更新异常应用程序的特征数据库。
步骤303、将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。
该步骤中,当所述服务器将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中,更新好特征数据库之后,所述服务器就可以将更新后的特征数据库中包括所述包名信息和所述签名信息的特征信息下发至第二移动终端中,以供所述第二移动终端在应用程序启动前,对待启动的应用程序进行匹配,来避免受到非法应用程序的危害。
其中,所述第二移动终端,可以是指与所述服务器相关联和联网的,除所述第一移动终端之外的其他移动终端。
本发明实施例提供的识别非法应用程序的方法,接收第一移动终端上传的非法应用程序的包名信息和签名信息;将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。这样,可以通过将接收非法应用程序的包名信息和签名信息添加到特征数据库中来更新特征数据库,并将更新后的特征数据库下发至移动终端中,来提前预防,建立免疫机制,避免移动终端受到非法应用程序的危害。
参见图4,图4是本发明又一实施例提供的识别非法应用程序的方法的流程图。所述方法应用于服务器,如图4所示,本实施例与本发明图3所示实施例的区别主要是步骤,所述方法包括以下步骤:
步骤401、接收第一移动终端上传的非法应用程序的包名信息和签名信息。
该步骤中,主要是服务器可以接受来自第一移动终端上传的非法应用程序的特征信息,其中所述特征信息主要包括包名信息和签名信息。
其中,本实施例中的第一移动终端,可以是图1所示方法中的将目标应用程序识别为非法应用程序的移动终端,并在识别出非法应用程序后,即将识别的非法应用程序的特征信息上传到所述服务器中。
步骤402、从第一移动终端上传的非法应用程序的包名信息和签名信息中,排除重复上报和服务器忽略的包名信息和签名信息。
该步骤中,当所述服务器从所述第一移动终端处接收了非法应用程序的包名信息和签名信息之后,为了避免有信息的重复和遗漏,所述服务器可以从所述第一移动终端上传的非法应用程序的包名信息和签名信息中,检查是否有重复上报和服务器忽略的包名信息和签名信息,并将重复上报和服务器忽略的包名信息和签名信息进行排除。
其中,重复上报的包名信息和签名信息,可以是指多个第一移动终端均有对同一非法应用程序的包名信息和签名信息的上报,或者同一移动终端对同一非法应用程序的包名信息和签名信息的多次上报,从而造成的重复上报;而服务器忽略的包名信息和签名信息,可以是指之前有上报过,但是由于危害程度不够等原因,服务器未将至列为非法应用程序的包名信息和签名信息。
步骤403、将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中。
该步骤中,所述服务器在接收到所述非法应用程序的包名信息和签名信息之后,所述服务器可以将所述非法应用程序的所述包名信息和所述签名信息添加到异常应用程序的特征数据库中,来丰富和更新异常应用程序的特征数据库。
步骤404、将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。
该步骤中,当所述服务器将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中,更新好特征数据库之后,所述服务器就可以将更新后的特征数据库中包括所述包名信息和所述签名信息的特征信息下发至第二移动终端中,以供所述第二移动终端在应用程序启动前,对待启动的应用程序进行匹配,来避免受到非法应用程序的危害。
其中,所述第二移动终端,可以是指与所述服务器相关联和联网的,除所述第一移动终端之外的其他移动终端。
可选的,在步骤403之前,所述方法包括:
基于预设的危害行为类别,对所述非法应用程序进行分类。
该步骤中,当所述移动终端接收到非法应用程序的包名信息和签名信息,并排除重复上报和服务器忽略的包名信息和签名信息之后,所述服务器可以基于预设的危害行为类别,来对排除重复上报和服务器忽略的包名信息和签名信息之后剩下的非法应用程序的包名信息和签名信息,来对非法应用程序进行分类。
其中,预设的危害行为类别,可以是预先根据非法应用程序的危害程度划分的等级类别,例如可以危害程度较大的,可以使移动终端直接瘫痪等危害的非法应用程序,可以划分为一级危险程序,如危害程度低一点,仅可以窃取移动终端中的数据信息的非法应用程序,可以划分为二级危险程序。上述仅为举例进行,并不限定具体危害行为类别。
进一步的,步骤203包括:
若所述非法应用程序被划分为第一类型应用程序,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库;若所述非法应用程序被划分为第二类型应用程序,根据用户指示,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库。
该步骤中,如果所述非法应用程序被服务器划分为第一类型应用程序,所述服务器可以直接将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库中,如果所述非法应用程序被服务器划分为第二类型应用程序,所述移动终端可以根据接收到的用户指示,来将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库。
其中,所述第一类型应用程序的危害程度大于所述第二类型应用程序。
可选的,所述方法包括:
将更新后的特征数据库中的所述包名信息和所述签名信息,发送给应用商店服务端,指示所述应用商店服务端屏蔽对所述非法应用程序的搜索。
该步骤中,当服务器将非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库中,对特征数据库进行更新之后,服务器还可以将更新后的特征数据库发送给应用商店服务端,尤其是将特征数据库中的非法应用程序的包名信息和签名信息发送给引用商店服务端,从而来指示所述应用商店服务端屏蔽对所述非法应用程序的搜索。
本发明实施例提供的识别非法应用程序的方法,接收第一移动终端上传的非法应用程序的包名信息和签名信息;从第一移动终端上传的非法应用程序的包名信息和签名信息中,排除重复上报和服务器忽略的包名信息和签名信息;将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。这样,可以通过将接收非法应用程序的包名信息和签名信息进行排除重复上报和服务器忽略的包名信息和签名信息之后,添加到特征数据库中来更新特征数据库,并将更新后的特征数据库下发至移动终端中,来提前预防,建立免疫机制,避免移动终端受到非法应用程序的危害。
参见图5至图6,图5a是本发明一较佳实施例提供的移动终端的结构图之一,图5b是本发明一较佳实施例提供的移动终端的结构图之二,图6是图5a中所示的监测模块的结构图。本发明实施例的移动终端500能够实现图1至图2的方法实施例中移动终端实现的各个过程,为避免重复,这里不再赘述。如图3至图6所示,移动终端500包括:
匹配模块510,用于将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配。
识别模块520,用于若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
可选的,所述移动终端500包括:
监测模块530,用于若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为。
停止模块540,用于若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
可选的,所述监测模块530包括:
第一确定子模块531,用于当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为。
或者第二确定子模块532,用于当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
可选的,所述移动终端500包括:
上传模块550,用于将所述目标应用程序的包名信息和签名信息上传至服务器。
本发明实施例提供的移动终端,将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。这样,移动终端可以通过在目标应用程序启动前与现有的非法应用程序进行比对,来识别目标应用程序是不是非法应用程序,识别方法简单实用,避免移动终端误启动非法应用程序带来的危害。
参见图7至图8,图7a是本发明一较佳实施例提供的服务器的结构图之一,图7b是本发明一较佳实施例提供的服务器的结构图之二,图8是图7b中所示的添加模块的结构图。本发明实施例的服务器700能够实现图1至图2的方法实施例中服务器实现的各个过程,为避免重复,这里不再赘述。如图3至图6所示,服务器700包括:
接收模块710,用于接收第一移动终端上传的非法应用程序的包名信息和签名信息。
添加模块720,用于将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中。
下发模块730,用于将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端中。
可选的,所述服务器700包括:
排查模块740,用于从第一移动终端上传的非法应用程序的包名信息和签名信息中,排除重复上报和服务器700忽略的包名信息和签名信息。
可选的,所述服务器700包括:
分类模块750,用于基于预设的危害行为类别,对所述非法应用程序进行分类。
进一步的,所述添加模块720包括:
第一添加子模块721,用于若所述非法应用程序被划分为第一类型应用程序,将所述非法目标应用程序的包名信息和签名信息添加到异常应用程序的特征数据库;
第二添加子模块722,用于若所述非法应用程序被划分为第二类型应用程序,根据用户指示,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库。
可选的,所述服务器700包括:
发送模块760,用于将更新后的特征数据库中的所述包名信息和所述签名信息,发送给应用商店服务端,指示所述应用商店服务端屏蔽对所述非法应用程序的搜索。
本发明实施例提供的服务器,接收第一移动终端上传的非法应用程序的包名信息和签名信息;将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。这样,可以通过将接收非法应用程序的包名信息和签名信息添加到特征数据库中来更新特征数据库,并将更新后的特征数据库下发至移动终端中,来提前预防,建立免疫机制,避免移动终端受到非法应用程序的危害。
参见图9,图9是本发明实另一实施例提供的移动终端的结构图,如图9所示,移动终端900包括:至少一个处理器901、存储器902、至少一个网络接口904和用户接口903。移动终端900中的各个组件通过总线***905耦合在一起。可理解,总线***905用于实现这些组件之间的连接通信。总线***905除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线***905。
其中,用户接口903可以包括显示器、键盘或者点击设备(例如,鼠标,轨迹球(trackball)、触感板或者触摸屏等。
可以理解,本发明实施例中的存储器902可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DRRAM)。本文描述的***和方法的存储器902旨在包括但不限于这些和任意其它适合类型的存储器。
在一些实施方式中,存储器902存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:操作***9021和应用程序9022。
其中,操作***9021,包含各种***程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序9022,包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序9022中。
在本发明实施例中,通过调用存储器902存储的程序或指令,具体的,可以是应用程序9022中存储的程序或指令,处理器901用于:
将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
上述本发明实施例揭示的方法可以应用于处理器901中,或者由处理器901实现。处理器901可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器901可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)、数字信号处理器(DigitalSignal Processing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(Programmable LogicDevice,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
可选的,处理器901还用于:
若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为;若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
可选的,处理器901还用于:
当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为;或者,当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
可选的,处理器901还用于:
将所述目标应用程序的包名信息和签名信息上传至服务器。
移动终端900能够实现图1至图2所示实施例中移动终端实现的各个过程,为避免重复,这里不再赘述。
本发明实施例提供的移动终端,将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。这样,移动终端可以通过在目标应用程序启动前与现有的非法应用程序进行比对,来识别目标应用程序是不是非法应用程序,识别方法简单实用,避免移动终端误启动非法应用程序带来的危害。
请参阅图10,图10是本发明又一实施例提供的移动终端的结构图,如图10所示,移动终端1000包括射频(Radio Frequency,RF)电路1010、存储器1020、输入单元1030、显示单元1040、处理器1050、音频电路1060、通信模块1070、和电源1080。
其中,输入单元1030可用于接收用户输入的数字或字符信息,以及产生与移动终端1000的用户设置以及功能控制有关的信号输入。具体地,本发明实施例中,该输入单元1030可以包括触控面板1031。触控面板1031,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1031上的操作),并根据预先设定的程式驱动相应的连接移动终端。可选的,触控面板1031可包括触摸检测移动终端和触摸控制器两个部分。其中,触摸检测移动终端检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测移动终端上接收触摸信息,并将它转换成触点坐标,再送给该处理器1050,并能接收处理器1050发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1031。除了触控面板1031,输入单元1030还可以包括其他输入设备1032,其他输入设备1032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
其中,显示单元1040可用于显示由用户输入的信息或提供给用户的信息以及移动终端1000的各种菜单界面。显示单元1040可包括显示面板1041,可选的,可以采用LCD或有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1041。
应注意,触控面板1031可以覆盖显示面板1041,形成触摸显示屏,当该触摸显示屏检测到在其上或附近的触摸操作后,传送给处理器1050以确定触摸事件的类型,随后处理器1050根据触摸事件的类型在触摸显示屏上提供相应的视觉输出。
触摸显示屏包括应用程序界面显示区及常用控件显示区。该应用程序界面显示区及该常用控件显示区的排列方式并不限定,可以为上下排列、左右排列等可以区分两个显示区的排列方式。该应用程序界面显示区可以用于显示应用程序的界面。每一个界面可以包含至少一个应用程序的图标和/或widget桌面控件等界面元素。该应用程序界面显示区也可以为不包含任何内容的空界面。该常用控件显示区用于显示使用率较高的控件,例如,设置按钮、界面编号、滚动条、电话本图标等应用程序图标等。本发明实施例的触摸屏为柔性屏,柔性屏的两个面均贴有碳纳米管的有机透明导电膜。
其中处理器1050是移动终端1000的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在第一存储器1021内的软件程序和/或模块,以及调用存储在第二存储器1022内的数据,执行移动终端1000的各种功能和处理数据,从而对移动终端1000进行整体监控。可选的,处理器1050可包括一个或多个处理单元。
在本发明实施例中,通过调用存储该第一存储器1021内的软件程序和/或模块和/或该第二存储器1022内的数据,处理器1050用于:
将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
可选的,处理器1050还用于:
若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为;若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
可选的,处理器1050还用于:
当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为;或者,当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
可选的,处理器1050还用于:
将所述目标应用程序的包名信息和签名信息上传至服务器。
移动终端1000能够实现图1至图2所示的实施例中移动终端实现的各个过程,为避免重复,这里不再赘述。
本发明实施例提供的移动终端,将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。这样,移动终端可以通过在目标应用程序启动前与现有的非法应用程序进行比对,来识别目标应用程序是不是非法应用程序,识别方法简单实用,避免移动终端误启动非法应用程序带来的危害。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种识别非法应用程序的方法,应用于移动终端,其特征在于,所述方法包括:
将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;
若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
2.如权利要求1所述的方法,其特征在于,在所述将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配的步骤之后,所述方法还包括:
若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为;
若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
3.如权利要求2所述的方法,其特征在于,所述实时监测所述目标应用程序启动后是否存在异常行为的步骤,包括:
当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为;
或者,
当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
4.如权利要求2所述的方法,其特征在于,在所述若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序的步骤之后,所述方法包括:
将所述目标应用程序的包名信息和签名信息上传至服务器。
5.一种识别非法应用程序的方法,应用于服务器,其特征在于,所述方法包括:
接收第一移动终端上传的非法应用程序的包名信息和签名信息;
将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;
将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端。
6.如权利要求5所述的方法,其特征在于,在所述将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中的步骤之前,所述方法还包括:
从第一移动终端上传的非法应用程序的包名信息和签名信息中,排除重复上报和服务器忽略的包名信息和签名信息。
7.如权利要求5所述的方法,其特征在于,在所述将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中的步骤之前,所述方法还包括:
基于预设的危害行为类别,对所述非法应用程序进行分类;
所述将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中,包括:
若所述非法应用程序被划分为第一类型应用程序,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库;
若所述非法应用程序被划分为第二类型应用程序,根据用户指示,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库。
8.如权利要求5所述的方法,其特征在于,在所述将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中的步骤之后,所述方法还包括:
将更新后的特征数据库中的所述包名信息和所述签名信息,发送给应用商店服务端,指示所述应用商店服务端屏蔽对所述非法应用程序的搜索。
9.一种移动终端,其特征在于,所述移动终端包括:
匹配模块,用于将待启动的目标应用程序的包名信息和签名信息,分别与服务器下发的特征数据库中的特征信息进行匹配;
识别模块,用于若所述目标应用程序的包名信息和签名信息与所述特征信息匹配,将所述目标应用程序识别为非法应用程序。
10.如权利要求9所述的移动终端,其特征在于,所述移动终端包括:
监测模块,用于若所述目标应用程序的包名信息和签名信息与所述特征信息不匹配,实时监测所述目标应用程序启动后是否存在异常行为;
停止模块,用于若检测到所述目标应用程序启动后存在异常行为,停止运行所述目标应用程序。
11.如权利要求10所述的移动终端,其特征在于,所述监测模块包括:
第一确定子模块,用于当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有获取***管理员Root权限的行为时,确定所述目标应用程序存在异常行为;或者
第二确定子模块,用于当检测到所述目标应用程序为非内置应用程序,且所述目标应用程序具有对***分区执行写操作的行为时,确定所述目标应用程序存在异常行为。
12.如权利要求10所述的移动终端,其特征在于,所述移动终端包括:
上传模块,用于将所述目标应用程序的包名信息和签名信息上传至服务器。
13.一种服务器,其特征在于,所述服务器包括:
接收模块,用于接收第一移动终端上传的非法应用程序的包名信息和签名信息;
添加模块,用于将所述包名信息和所述签名信息添加到异常应用程序的特征数据库中;
下发模块,用于将更新后的特征数据库中的所述包名信息和所述签名信息下发至第二移动终端中。
14.如权利要求13所述的服务器,其特征在于,所述服务器包括:
排查模块,用于从第一移动终端上传的非法应用程序的包名信息和签名信息中,排除重复上报和服务器忽略的包名信息和签名信息。
15.如权利要求13所述的服务器,其特征在于,所述服务器包括:
分类模块,用于基于预设的危害行为类别,对所述非法应用程序进行分类;
所述添加模块包括:
第一添加子模块,用于若所述非法应用程序被划分为第一类型应用程序,将所述非法目标应用程序的包名信息和签名信息添加到异常应用程序的特征数据库;
第二添加子模块,用于若所述非法应用程序被划分为第二类型应用程序,根据用户指示,将所述非法应用程序的包名信息和签名信息添加到异常应用程序的特征数据库。
16.如权利要求13所述的服务器,其特征在于,所述服务器包括:
发送模块,用于将更新后的特征数据库中的所述包名信息和所述签名信息,发送给应用商店服务端,指示所述应用商店服务端屏蔽对所述非法应用程序的搜索。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202052.0A CN106971106A (zh) | 2017-03-30 | 2017-03-30 | 一种识别非法应用程序的方法、移动终端及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710202052.0A CN106971106A (zh) | 2017-03-30 | 2017-03-30 | 一种识别非法应用程序的方法、移动终端及服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106971106A true CN106971106A (zh) | 2017-07-21 |
Family
ID=59337196
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710202052.0A Pending CN106971106A (zh) | 2017-03-30 | 2017-03-30 | 一种识别非法应用程序的方法、移动终端及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106971106A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108133123A (zh) * | 2017-12-15 | 2018-06-08 | 上海连尚网络科技有限公司 | 一种应用程序的识别方法及*** |
| CN110276193A (zh) * | 2019-05-17 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 风险特征输出方法、应用运行控制方法、***及装置 |
| CN110968862A (zh) * | 2018-09-29 | 2020-04-07 | 福建省天奕网络科技有限公司 | 一种数据异常检测方法及终端 |
| CN113779576A (zh) * | 2021-09-09 | 2021-12-10 | 安天科技集团股份有限公司 | 一种可执行文件感染病毒的识别方法、装置及电子设备 |
| CN115168149A (zh) * | 2022-07-11 | 2022-10-11 | 广州市玄武无线科技股份有限公司 | 一种异常应用程序的检测方法及*** |
| CN116506222A (zh) * | 2023-06-26 | 2023-07-28 | 北京安天网络安全技术有限公司 | 一种安全防护*** |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607381A (zh) * | 2010-08-18 | 2014-02-26 | 北京奇虎科技有限公司 | 白名单生成及恶意程序检测方法、客户端和服务器 |
| US20140090077A1 (en) * | 2012-09-25 | 2014-03-27 | Samsung Electronics Co., Ltd | Method and apparatus for application management in user device |
| CN104008340A (zh) * | 2014-06-09 | 2014-08-27 | 北京奇虎科技有限公司 | 病毒查杀方法及装置 |
| CN104021342A (zh) * | 2014-05-06 | 2014-09-03 | 可牛网络技术(北京)有限公司 | 应用程序的处理方法及装置 |
| CN104021339A (zh) * | 2014-06-10 | 2014-09-03 | 北京奇虎科技有限公司 | 移动终端的安全支付方法及装置 |
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN104392176A (zh) * | 2014-12-12 | 2015-03-04 | 北京奇虎科技有限公司 | 移动终端及其设备管理器权限的拦截方法 |
| CN105426761A (zh) * | 2015-11-18 | 2016-03-23 | 广东欧珀移动通信有限公司 | 一种非法应用的识别方法及移动终端 |
| CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
| CN106446683A (zh) * | 2016-09-21 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种恶意程序的检测方法及终端 |
| CN106503552A (zh) * | 2016-09-19 | 2017-03-15 | 南京邮电大学 | 基于签名与数据流模式挖掘的Android恶意软件检测***及方法 |
-
2017
- 2017-03-30 CN CN201710202052.0A patent/CN106971106A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607381A (zh) * | 2010-08-18 | 2014-02-26 | 北京奇虎科技有限公司 | 白名单生成及恶意程序检测方法、客户端和服务器 |
| US20140090077A1 (en) * | 2012-09-25 | 2014-03-27 | Samsung Electronics Co., Ltd | Method and apparatus for application management in user device |
| CN104021342A (zh) * | 2014-05-06 | 2014-09-03 | 可牛网络技术(北京)有限公司 | 应用程序的处理方法及装置 |
| CN104008340A (zh) * | 2014-06-09 | 2014-08-27 | 北京奇虎科技有限公司 | 病毒查杀方法及装置 |
| CN104021339A (zh) * | 2014-06-10 | 2014-09-03 | 北京奇虎科技有限公司 | 移动终端的安全支付方法及装置 |
| CN104361285A (zh) * | 2014-11-20 | 2015-02-18 | 工业和信息化部电信研究院 | 移动设备应用程序的安全检测方法及装置 |
| CN104392176A (zh) * | 2014-12-12 | 2015-03-04 | 北京奇虎科技有限公司 | 移动终端及其设备管理器权限的拦截方法 |
| CN105897807A (zh) * | 2015-01-14 | 2016-08-24 | 江苏博智软件科技有限公司 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
| CN105426761A (zh) * | 2015-11-18 | 2016-03-23 | 广东欧珀移动通信有限公司 | 一种非法应用的识别方法及移动终端 |
| CN106503552A (zh) * | 2016-09-19 | 2017-03-15 | 南京邮电大学 | 基于签名与数据流模式挖掘的Android恶意软件检测***及方法 |
| CN106446683A (zh) * | 2016-09-21 | 2017-02-22 | 深圳市金立通信设备有限公司 | 一种恶意程序的检测方法及终端 |
Non-Patent Citations (2)
| Title |
|---|
| 于华夫 等: "《科学中国人优秀论文选2》", 31 December 2001, ***出版社 * |
| 官建文 等: "《***互联网发展报告(2014)》", 30 June 2014 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108133123A (zh) * | 2017-12-15 | 2018-06-08 | 上海连尚网络科技有限公司 | 一种应用程序的识别方法及*** |
| CN108133123B (zh) * | 2017-12-15 | 2020-07-31 | 上海连尚网络科技有限公司 | 一种应用程序的识别方法及*** |
| CN110968862A (zh) * | 2018-09-29 | 2020-04-07 | 福建省天奕网络科技有限公司 | 一种数据异常检测方法及终端 |
| CN110968862B (zh) * | 2018-09-29 | 2022-03-29 | 福建省天奕网络科技有限公司 | 一种数据异常检测方法及终端 |
| CN110276193A (zh) * | 2019-05-17 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 风险特征输出方法、应用运行控制方法、***及装置 |
| CN110276193B (zh) * | 2019-05-17 | 2023-08-22 | 创新先进技术有限公司 | 风险特征输出方法、应用运行控制方法、***及装置 |
| CN113779576A (zh) * | 2021-09-09 | 2021-12-10 | 安天科技集团股份有限公司 | 一种可执行文件感染病毒的识别方法、装置及电子设备 |
| CN115168149A (zh) * | 2022-07-11 | 2022-10-11 | 广州市玄武无线科技股份有限公司 | 一种异常应用程序的检测方法及*** |
| CN116506222A (zh) * | 2023-06-26 | 2023-07-28 | 北京安天网络安全技术有限公司 | 一种安全防护*** |
| CN116506222B (zh) * | 2023-06-26 | 2023-09-08 | 北京安天网络安全技术有限公司 | 一种安全防护*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106971106A (zh) | 一种识别非法应用程序的方法、移动终端及服务器 | |
| CN107145348B (zh) | 一种应用程序分屏处理方法及移动终端 | |
| CN106126077A (zh) | 一种应用程序图标的显示控制方法和移动终端 | |
| CN106973167B (zh) | 一种来电提示方法及移动终端 | |
| CN106648416A (zh) | 一种应用的启动方法及移动终端 | |
| CN106951335A (zh) | 一种进程守护方法和移动终端 | |
| CN107741820A (zh) | 一种输入法键盘显示方法及移动终端 | |
| CN106778393A (zh) | 一种信息处理方法及移动终端 | |
| CN107450773A (zh) | 一种防误触方法、终端及计算机可读存储介质 | |
| CN106357866A (zh) | 一种通讯录管理方法及移动智能终端 | |
| CN107016125A (zh) | 二维码匹配方法、终端及终端服务器 | |
| CN107632870A (zh) | 一种应用的启动方法及终端 | |
| CN106557259A (zh) | 一种移动终端的操作方法及移动终端 | |
| CN106991319A (zh) | 一种应用程序的权限管理方法及移动终端 | |
| CN106507334A (zh) | 一种身份认证方法及移动终端 | |
| CN106991311A (zh) | 一种信息处理方法及移动终端 | |
| CN106371739A (zh) | 一种应用的快速启动方法及移动终端 | |
| CN106371659A (zh) | 一种功能入口的启动方法及移动终端 | |
| CN106250757A (zh) | 一种应用程序的控制方法及移动终端 | |
| CN106803844A (zh) | 一种灯光控制方法及移动终端 | |
| CN106649472A (zh) | 一种图片管理方法及移动终端 | |
| CN106709320A (zh) | 一种身份认证方法及移动终端 | |
| CN106934052A (zh) | 一种媒体文本处理方法及移动终端 | |
| CN107632748A (zh) | 一种信息处理方法及移动终端 | |
| CN106383713A (zh) | 一种应用程序的控制方法及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20171107 Address after: 283 No. 523860 Guangdong province Dongguan city Changan town usha BBK Avenue Applicant after: VIVO MOBILE COMMUNICATION CO., LTD. Applicant after: Wewo Mobile Communication Co. Ltd. Beijing branch Address before: 283 No. 523860 Guangdong province Dongguan city Changan town usha BBK Avenue Applicant before: VIVO MOBILE COMMUNICATION CO., LTD. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170721 |