CN109190373A - 应用检测方法、装置、计算机存储介质和计算机设备 - Google Patents
应用检测方法、装置、计算机存储介质和计算机设备 Download PDFInfo
- Publication number
- CN109190373A CN109190373A CN201810757738.0A CN201810757738A CN109190373A CN 109190373 A CN109190373 A CN 109190373A CN 201810757738 A CN201810757738 A CN 201810757738A CN 109190373 A CN109190373 A CN 109190373A
- Authority
- CN
- China
- Prior art keywords
- application
- application message
- risk
- current
- history
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种应用检测方法、装置、计算机存储介质和计算机设备。该方法包括:获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括应用对应的安装包名和其MD5值;比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;调用检测接口,对所述增量应用信息中应用对应的安装包名和其MD5值进行检测。通过本发明实施例,能够实现高效地对应用进行安全检测,保证应用的安全,又能高效利用检测资源。
Description
技术领域
本发明涉及应用检测领域,具体而言,本发明涉及一种应用检测方法、装置、计算机存储介质和计算机设备。
背景技术
计算机设备中安装有多种应用程序,恶意程序可以对这些应用程序的数据进行篡改,即恶意劫持该应用程序。现有技术中,可在计算机设备中安装安全软件工具对应用程序进行防护,安全软件工具可以检测应用程序是否被恶意劫持,在检测到应用程序被恶意劫持时,对应用程序进行修复。
现有技术中的安全软件工具在检测时会检测所有已安装应用是否存在安全风险,然而检测过的安装包要么有风险要么无风险,重复检测会浪费用户流量,浪费服务器计算资源。因此,如何实现既检测了应用给用户带来安全感,同时能够高效利用服务器用于检测的资源,成了亟需解决的问题。
发明内容
本发明针对现有技术的缺点,提供了一种应用检测方法、装置、计算机存储介质和计算机设备,通过本发明实施例的应用检测方法,能够实现高效地对应用进行安全检测,保证应用的安全,又能高效利用检测资源。
本发明实施例根据第一方面提供的一种应用检测方法,包括:
获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括应用对应的安装包名和其MD5值;
比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
调用检测接口,对所述增量应用信息中应用对应的安装包名和其MD5值进行检测。
进一步地,所述获取当前***所有应用当前的应用信息和历史的应用信息;比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息,包括:
判断内存数据缓存中是否保存有当前***所有应用的历史的应用信息;
若内存数据缓存中有保存,获取当前***所有应用的当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
若内存数据缓存中没有保存,则判断磁盘文件缓存是否保存有当前***所有应用的历史的应用信息;
若磁盘文件缓存中有保存,把所述历史的应用信息读取到内存数据缓存中,并获取当前***所有应用当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
若磁盘文件缓存中没有保存,获取当前***所有应用当前的应用信息,并将所述当前***所有应用当前的应用信息作为增量应用信息。
进一步地,所述比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息,具体包括:
分别比较每个应用当前的和历史的安装包名和其MD5值;
确定当前的和历史的安装包名和其MD5值不一致的应用为待检测应用;
将所述待检测应用当前的安装包名和其MD5值作为增量应用信息。
进一步地,所述对所述增量应用信息进行检测,包括:
将所述增量应用信息中应用对应的安装包名和其MD5值,与官方应用对应的安装包名和其MD5值进行比较;
若相同,则检测出应用没有风险;
若不相同,则检测出应用存在篡改风险。
进一步地,所述检测出应用存在篡改风险之后,还包括:
对存在篡改风险的应用进行分析;
判断所述增量应用信息中的全部应用是否均存在篡改风险;
若是,对***启动杀毒程序;
若否,判断存在篡改风险的应用是否通过同一下载工具下载;
若是通过同一下载工具下载,对所述下载工具启动杀毒程序;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站;
若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
进一步地,所述获取当前***所有应用的当前应用信息和历史应用信息,之前还包括:
确认出现检测时机;
所述检测时机为:
监听到应用进程启动;或
监听到***安装应用广播;或
接收到用户输入的风险检测指令。
进一步地,所述获取当前***所有应用的历史应用信息,包括:
若所述检测时机为接收到用户输入的风险检测指令,获取当前***所有应用在前一周检测时的应用信息,作为历史的应用信息;
若所述检测时机为监听到***安装应用广播,获取当前***所有应用在前一天检测时的应用信息,作为历史的应用信息;
若所述检测时机为监听到应用进程启动,获取当前***所有应用在最近一次检测时的应用信息,作为历史的应用信息。
进一步地,所述检测出应用存在篡改风险之后,还包括:
若所述检测时机为接收到用户输入的风险检测指令,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用,获取存在篡改风险的应用的官方地址供用户下载;
若所述检测时机为监听到***安装应用广播,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用;
若所述检测时机为监听到应用进程启动,显示存在篡改风险的应用名称。
进一步地,所述获取存在篡改风险的应用的官方地址供用户下载,包括:
对存在篡改风险的应用进行分析;
判断所述增量应用信息中的全部应用是否均存在篡改风险:
若是,对***启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若否,判断存在篡改风险的应用是否通过同一下载工具下载;
若是通过同一下载工具下载,对所述下载工具启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站;
若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
本发明实施例根据第二方面还提供了一种应用检测装置,包括:
应用信息获取模块,用于获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括安装包名和其MD5值;
增量应用信息获取模块,用于比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
增量应用信息检测模块,用于调用检测接口,对所述增量应用信息进行检测。
本发明实施例根据第三方面还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述所述的应用检测方法。
本发明实施例根据第四方面还提供了一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述所述的应用检测方法。
在本发明实施例中,通过获取当前***所有应用当前的应用信息和预先保存的历史的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;最后调用检测接口,对所述增量应用信息进行检测,从而只对增量应用信息进行风险检测,而不是对所有已安装应用进行风险检测,实现既保证应用的安全,又能高效为应用进行风险检测,避免浪费过多检测资源,还保证了用户的使用体验。
另一方面,提供了多种检测时机,并为不同的检测时机设置不同的应用历史应用信息的获取时间节点,以及发现篡改风险的应用时,在不同检测时机下,为用户提供不同的通知内容,能够保证到用户的使用体验,同时能够检测资源的进行充分利用。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明一个实施例的应用检测方法的流程示意图;
图2为本发明一个实施例的应用检测装置的结构示意图;
图3为本发明一个实施例的计算机设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
以下结合附图对本发明的具体实施方式进行详细介绍。
如图1所示,在一个实施例中,一种应用检测方法,包括以下步骤:
S110:获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括应用对应的安装包名和其MD5值;
其中,当前***所有应用指的是当前检测时,***上安装的所有应用;所述历史应用信息是当前***上安装的应用在之前检测时的应用信息;需要说明的是,所述“之前检测”不是特指上一次检测,而可以是上一次检测,前一天的检测或前一周的检测等检测时间点早于当前检测的检测。
S120:比较当前***所有应用的当前应用信息和历史应用信息,得到增量应用信息;
进行应用测试后,当时***上所有应用的应用信息都会被保存在内存中,以便下次检测时能够快速获取到应用的历史应用信息;优选地,所述所有应用的应用信息可以保存在磁盘中。
在一种实施例中,所述获取当前***所有应用的当前应用信息和历史应用信息;比较当前***所有应用的当前应用信息和历史应用信息,得到增量应用信息,包括:
判断内存数据缓存中是否保存有当前***所有应用的历史应用信息,
若内存数据缓存中有保存,获取当前***所有应用的当前应用信息,比较当前***所有应用的当前应用信息和历史应用信息,得到增量应用信息;
若内存数据缓存中没有保存,则判断磁盘文件缓存是否保存有当前***所有应用的历史应用信息;
若磁盘文件缓存中有保存,把所述历史应用信息读取到内存数据缓存中,并获取当前***所有应用的当前应用信息,比较当前***所有应用的当前应用信息和历史应用信息,得到增量应用信息;
若磁盘文件缓存中没有保存,获取当前***所有应用的当前应用信息,并将所述当前***所有应用的当前应用信息作为增量应用信息。
内存数据缓存可以高效检测历史应用信息,磁盘文件缓存可以保存较长时间历史应用信息;通过上述方法,能兼顾高效与稳定的优点,实现有效得到增量应用信息。
在一个实施例中,所述比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息,具体包括:
S121:分别比较每个应用当前的和历史的安装包名和其MD5值;
S122:确定当前的和历史的安装包名和其MD5值不一致的应用为待检测应用;
S123:将所述待检测应用当前的安装包名和其MD5值作为增量应用信息。
为了便于理解增量应用信息,以下通过例子进行说明。
比如,当前***中有两个应用APP1、APP2,获取得到所述两个应用当前的应用信息分别是:APP1(对应MD5_1a)、APP2(对应MD5_2a)。如果获取到的所述两个应用历史的应用信息分别是:APP1(对应MD5_1a)、APP2(对应MD5_2b),通过对比可知,APP1当前和历史的安装包名和其MD5值一致,说明APP1在历史检测后,并没有发生改变,因此没有必要再对APP1进行重复检测;而APP2当前和历史的安装包名的MD5值发生了改变,即APP2(对应MD5_2a)->APP2(对应MD5_2b),说明APP2在历史检测后,有发生过变化,则将APP2当前的应用信息,包括安装包名和其MD5值作为增量应用信息。
需要说明的是,如果获取到的应用历史的应用信息只有APP2(对应MD5_2a),而没有与APP1对应的历史的应用信息,说明APP1是历史检测后,***新安装的应用,也需要将APP1当前的应用信息作为增量应用信息。
S130:调用检测接口,对所述增量应用信息中应用对应的安装包名和其MD5值进行检测。
具体地,当前应用信息和历史应用信息不一致,说明应用在历史检测后有发生过变化。发生改变的原因有可能是应用进行过更新,有可能应用被篡改,因此需要对所述增量应用信息进行检测,以进一步确定应用是否存在风险。
在本发明实施例中,利用MD5加密技术来判断应用是否存在被篡改的风险。具体地,MD5(message-digest algorithm 5,信息-摘要算法)是一种广泛用于加密和解密技术上的技术,任何一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体积多大,都有且只有一个独一无二的MD5信息值,并且如果这个文件被修改过,它的MD5值也将随之改变。因此,我们可以通过对比同一文件的MD5值,来校验这个文件是否改变过。
具体地,所述对所述增量应用信息进行检测中应用对应的安装包名和其MD5值,包括:
将所述增量应用信息中应用对应的安装包名和其MD5值,与官方应用对应的安装包名和其MD5值进行比较;
若相同,则检测出应用没有风险;
若不相同,则检测出应用存在篡改风险。
需要说明的是,上述官方应用包括官方发布的关于所述增量应用信息中的应用在预设时间区间内推出的版本的应用,所述预定时间区间可以由开发者配置,如最近半年、最近一个月。
进一步地,所述检测出应用存在篡改风险之后,还包括:
对存在篡改风险的应用进行分析。
为了进一步保证应用安全,判断所述增量应用信息中的全部应用是否均存在篡改风险,若是,对***启动杀毒程序;
若否,判断存在篡改风险的应用是否通过同一下载工具下载,若是通过同一下载工具下载,对所述下载工具启动杀毒程序;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站,若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载,若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
具体地,当***成功安装新的应用时,记录所述新安装应用的来源信息,并将所述来源信息保存在内存或磁盘中。所述来源信息记录了为用户提供所述新安装应用安装包的提供方,所述应用安装包提供方包括***中已安装的下载工具、网站。所述下载工具包括应用商店、第三方助手类应用等为用户提供应用下载的应用。
所述来源信息的获取方式包括,读取当时***中已安装的下载工具和/或读取已安装的浏览器的缓存信息,根据缓存信息确定所述新的应用的来源信息。
当需要判断存在篡改风险的应用是否通过同一下载工具下载、或是否来源于同一网站时,读取内存或磁盘保存的应用对应的来源信息,比较所述存在篡改风险的应用的来源信息,从而判断出所述存在篡改风险的应用是否同一下载工具下载、或是否来源于同一网站。
在上述方法中,本发明实施例能够进行风险定位,并对不同风险采用不同的处理手段,给用户更好的体验。
具体地,所述获取当前***所有应用的当前应用信息和历史应用信息,之前还包括:
确认出现检测时机。
在一个实施例中,所述检测时机为:监听到应用进程启动;
由于应用进程启动的情况在实际情况中发生的频率非常高,即对应用进行检测的频率非常高,因此只需要获取上一次检测时应用对应的历史应用信息,从而实现高效地进行应用风险检测。
因此优选地,所述获取当前***所有应用的历史应用信息,包括:若所述检测时机为监听到应用进程启动,获取当前***所有应用在最近一次检测时的应用信息,作为历史应用信息。
具体地,检测出应用存在篡改风险后,需要通知用户对所述应用进行处理。然而由于应用进程启动的情况出现频率非常高,如果存在有篡改风险的应用,则由于对应用进行检测的频率非常高,导致给用户通知的频率非常高,而用户可能暂时不想要对所述有篡改风险的应用进行处理,或用户有更重要事情处理,为了不引起用户反感,给用户的通知中信息应该适当减少。
因此优选地,所述检测出应用存在篡改风险之后,还包括:若所述检测时机为监听到应用进程启动,显示存在篡改风险的应用名称。
在另一个实施例中,所述检测时机为:监听到***安装应用广播;
由于***安装应用或卸载应用的情况在实际情况中发生的频率较高,即对应用进行风险检测的频率较高;如果将时间节点设置太早,则会因为应用的变化大而检测出过多的增量应用信息,导致对已经检测过的应用再次进行检测,浪费了检测资源。因此,可以将获取的应用的历史应用信息的时间节点设置为相比当前检测时间早点的时间点,如一天前。
因此在一个实施例中,所述获取当前***所有应用的历史应用信息,包括:若所述检测时机为监听到***安装或卸载应用广播,获取当前***所有应用在前一天检测时的应用信息,作为历史应用信息。
由于***安装或卸载应用的情况相比上述检测时机的发生频率较低,因此,可以在通知中,为用户提示一些安全措施。
因此优选地,所述检测出应用存在篡改风险之后,还包括:若所述检测时机为监听到***安装应用广播,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用。
在另一个实施例中,所述检测时机为:接收到用户输入的风险检测指令。
由于实际情况中,用户主动输入风险检测指令频率相对较低,即对应用进行检测的频率较低,因而可以将获取的应用的历史应用信息的时间节点设置为较早的时间点,如一周前,从而实现在当前检测中,能够更彻底地检测出有发生过变化的应用,保证应用的安全。
因此在一个实施例中,所述获取当前***所有应用的历史应用信息,包括:若所述检测时机为接收到用户输入的风险检测指令,获取当前***所有应用在前一周检测时的应用信息,作为历史应用信息。
由于用户主动输入风险检测指令,在一定程度上可以反映出用户对于应用安全的重视,更有意愿执行安全措施以保证应用的安全,因此,可以在通知中,多为用户提示安全措施。
对不同检测时机,采用不同的处理方式,兼顾效率与需求;提高用户体验。
因此优选地,所述检测出应用存在篡改风险之后,还包括:
若所述检测时机为接收到用户输入的风险检测指令,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用,获取存在篡改风险的应用的官方地址供用户下载。
具体地,所述获取存在篡改风险的应用的官方地址供用户下载,包括:
对存在篡改风险的应用进行分析;
判断所述增量应用信息中的全部应用是否均存在篡改风险,若是,对***启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若否,判断存在篡改风险的应用是否通过同一下载工具下载,若是通过同一下载工具下载,对所述下载工具启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站;
若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
在提供存在篡改风险的应用的官方地址供用户下载之前,进行有效的风险判断,对于不同的风险采用不同的处理手段,从而既保障安装新下载的应用,能够正常使用,又提高了用户体验。
具体地,当***成功安装新的应用时,记录所述新安装应用的来源信息,并将所述来源信息保存在内存或磁盘中。所述来源信息记录了为用户提供所述新安装应用安装包的提供方,所述应用安装包提供方包括***中已安装的下载工具、网站。所述下载工具包括应用商店、第三方助手类应用等为用户提供应用下载的应用。
所述来源信息的获取方式包括,读取当时***中已安装的下载工具和/或读取已安装的浏览器的缓存信息,根据缓存信息确定所述新的应用的来源信息。
当需要判断存在篡改风险的应用是否通过同一下载工具下载、或是否来源于同一网站时,读取内存或磁盘保存的应用对应的来源信息,比较所述存在篡改风险的应用的来源信息,从而判断出所述存在篡改风险的应用是否同一下载工具下载、或是否来源于同一网站。
优选地,若是检测出的存在篡改风险的应用只有一个,则直接获取存在篡改风险的应用的官方地址供用户下载。
为了更好地介绍本发明提供的应用检测方法,下面通过一个应用例做具体阐述。
以下为应用例。
1.接收到用户输入的风险检测指令,确认出现检测时机。
2.获取当前***所有应用的当前应用信息,APP1(对应MD5_1a)、APP2(对应MD5_2a)。
3.从内存数据缓存中获取到与当前***所有应用对应的历史应用信息,APP1(对应MD5_2a)、APP2(对应MD5_2b)。
4.分别比较每个应用当前和历史的安装包名和其MD5值。
5.确定出当前和历史的安装包名和其MD5值不一致的应用是APP1、APP2。
6.将所述APP1、APP2当前的安装包名和其MD5值APP1(对应MD5_2a)、APP2(对应MD5_2b)作为增量应用信息。
7.获取APP1的官方应用的所有软件版本对应的安装包名和其MD5值APP1(对应MD5_1a)、APP1(对应MD5_2a)。
8.获取APP2的官方应用的所有软件版本对应的安装包名和其MD5值APP2(对应MD5_2a)。
9.判断APP1、APP2的官方应用的所有版本的安装包名和其MD5值是否包含APP1、APP2当前的安装包名和其MD5值。
10.确定APP1没有风险,APP2有篡改风险。
11.显示存在篡改风险的应用名称APP2,提示用户删除APP2,获取APP2的官方地址供用户下载。
12.对APP2进行分析。
本发明实施例还提供一种应用检测装置,如图2所示,包括以下模块:
应用信息获取模块110,用于获取当前***所有应用的当前应用信息和历史应用信息,所述应用信息包括应用对应的安装包名和其MD5值;
其中,当前***所有应用指的是当前检测时,***上安装的所有应用;所述历史应用信息是当前***上安装的应用在之前检测时的应用信息;需要说明的是,所述“之前检测”不是特指上一次检测,而可以是上一次检测,前一天的检测或前一周的检测等早于当前检测的检测。
所述应用信息获取模块110,包括:
第一判断子模块,用于判断内存数据缓存中是否保存有当前***所有应用的历史的应用信息;
第二判断子模块,用于当内存数据缓存中没有保存时,判断磁盘文件缓存是否保存有当前***所有应用的历史的应用信息;
所述增量应用信息获取模块,包括:
第一增量应用信息获得子模块,用于当内存数据缓存中有保存所述历史的应用信息时,获取当前***所有应用的当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
第二增量应用信息获得子模块,用于当磁盘文件缓存中有保存所述历史的应用信息时,把所述历史的应用信息读取到内存数据缓存中,并获取当前***所有应用当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
第三增量应用信息获得子模块,用于当磁盘文件缓存中没有保存所述历史的应用信息时,获取当前***所有应用当前的应用信息,并将所述当前***所有应用当前的应用信息作为增量应用信息。
增量应用信息获取模块120,用于比较当前***所有应用的当前应用信息和历史应用信息,得到增量应用信息;
所述增量应用信息获取模块120,具体包括:
应用信息比较子模块,用于分别比较每个应用当前的和历史的安装包名和其MD5值;
待检测应用确定子模块,用于确定当前的和历史的安装包名和其MD5值不一致的应用为待检测应用;
增量应用信息确定子模块,用于将所述待检测应用当前的安装包名和其MD5值作为增量应用信息。
增量应用信息检测模块130,用于调用检测接口,对所述增量应用信息中应用对应的安装包名和其MD5值进行检测。
具体地,在一个实施例中,所述增量应用信息检测模块130,包括:
篡改风险应用检测子模块,用于将所述增量应用信息中应用对应的安装包名和其MD5值,与官方应用对应的安装包名和其MD5值进行比较;
若相同,则检测出应用没有风险;
若不相同,则检测出应用存在篡改风险。
在另一个实施例中,所述增量应用信息检测模块130还包括:
篡改风险应用分析子模块,用于对存在篡改风险的应用进行分析;
第一安全措施子模块,用于判断所述增量应用信息中的全部应用是否均存在篡改风险,若全部应用均存在篡改风险,对***启动杀毒程序;
第二安全措施子模块,用于当全部应用不是均存在篡改风险时,判断存在篡改风险的应用是否通过同一下载工具下载,若是通过同一下载工具下载,对所述下载工具启动杀毒程序;
第三安全措施子模块,用于当存在篡改风险的应用不是通过同一下载工具下载时,判断存在篡改风险的应用是否来源于同一网站,若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
第四安全措施子模块,用于当存在篡改风险的应用不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
本发明实施例提供的应用检测装置还包括:
检测时机确认模块140,用于确认出现检测时机;
所述检测时机为:
监听到应用进程启动;或
监听到***安装应用广播;或
接收到用户输入的风险检测指令。
在此基础上,所述应用信息获取模块110,包括:
第一历史应用信息获取子模块,用于当所述检测时机为接收到用户输入的风险检测指令时,获取当前***所有应用在前一周检测时的应用信息,作为历史应用信息;
第二历史应用信息获取子模块,用于当所述检测时机为监听到***安装或卸载应用广播时,获取当前***所有应用在前一天检测时的应用信息,作为历史应用信息;
第三历史应用信息获取子模块,用于当所述检测时机为监听到应用进程启动时,获取当前***所有应用在最近一次检测时的应用信息,作为历史应用信息。
优选地,本发明实施例提供的应用检测装置还包括:
还包括:
第一通知子模块,用于当所述检测时机为接收到用户输入的风险检测指令时,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用,获取存在篡改风险的应用的官方地址供用户下载;
第二通知子模块,用于当所述检测时机为监听到***安装应用广播时,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用;
第三通知子模块,用于当所述检测时机为监听到应用进程启动时,显示存在篡改风险的应用名称。
具体地,所述第一通知子模块,包括:
第二篡改风险应用分析单元,用于对存在篡改风险的应用进行分析;
第五安全措施单元,用于判断所述增量应用信息中的全部应用是否均存在篡改风险,若全部应用均存在篡改风险,对***启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
第六安全措施单元,用于当全部应用不是均存在篡改风险时,判断存在篡改风险的应用是否通过同一下载工具下载,若是通过同一下载工具下载,对所述下载工具启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
第七安全措施单元,用于当存在篡改风险的应用不是通过同一下载工具下载时,判断存在篡改风险的应用是否来源于同一网站,若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
第八安全措施单元,用于当存在篡改风险的应用不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
需要说明的是,本发明实施例提供的应用检测装置能够实现上述应用检测方法实施例所实现的功能,功能的具体实现参照上述应用检测方法中的描述,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述应用检测方法。其中,所述存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random AcceSS Memory,随即存储器)、EPROM(EraSable Programmable Read-OnlyMemory,可擦写可编程只读存储器)、EEPROM(Electrically EraSable ProgrammableRead-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。可以是只读存储器,磁盘或光盘等。
本发明实施例还提供一种计算机设备,所述计算机设备包括:
一个或多个处理器510;
存储装置520,用于存储一个或多个程序500,
当所述一个或多个程序500被所述一个或多个处理器510执行,使得所述一个或多个处理器510实现上述应用检测方法。
如图3所示为本发明计算机设备的结构示意图,包括处理器510、存储装置520、输入单元530以及显示单元540等器件。本领域技术人员可以理解,图3示出的结构器件并不构成对所有计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件。存储装置520可用于存储应用程序500以及各功能模块,处理器510运行存储在存储装置520的应用程序500,从而执行设备的各种功能应用以及数据处理。存储装置520可以是内存储器或外存储器,或者包括内存储器和外存储器两者。内存储器可以包括只读存储器、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)、快闪存储器、或者随机存储器。外存储器可以包括硬盘、软盘、ZIP盘、U盘、磁带等。本发明所公开的存储装置包括但不限于这些类型的存储装置。本发明所公开的存储装置520只作为例子而非作为限定。
输入单元530用于接收信号的输入,以及接收用户输入的选择语音文件等相关请求。输入单元530可包括触控面板以及其它输入设备。触控面板可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作),并根据预先设定的程序驱动相应的连接装置;其它输入设备可以包括但不限于物理键盘、功能键(比如播放控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。显示单元540可用于显示用户输入的信息或提供给用户的信息以及计算机设备的各种菜单。显示单元540可采用液晶显示器、有机发光二极管等形式。处理器510是计算机设备的控制中心,利用各种接口和线路连接整个电脑的各个部分,通过运行或执行存储在存储装置520内的软件程序和/或模块,以及调用存储在存储装置内的数据,执行各种功能和处理数据。
在一实施方式中,计算机设备包括一个或多个处理器510,以及一个或多个存储装置520,一个或多个应用程序500,其中所述一个或多个应用程序500被存储在存储装置520中并被配置为由所述一个或多个处理器510执行,所述一个或多个应用程序500配置用于执行以上实施例所述的语音发送方法。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
应该理解的是,在本发明各实施例中的各功能单元可集成在一个处理模块中,也可以各个单元单独物理存在,也可以两个或两个以上单元集成于一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种应用检测方法,其特征在于,包括:
获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括应用对应的安装包名和其MD5值;
比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
调用检测接口,对所述增量应用信息中应用对应的安装包名和其MD5值进行检测。
2.如权利要求1所述的应用检测方法,其特征在于,所述获取当前***所有应用当前的应用信息和历史的应用信息;比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息,包括:
判断内存数据缓存中是否保存有当前***所有应用的历史的应用信息;
若内存数据缓存中有保存,获取当前***所有应用的当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
若内存数据缓存中没有保存,则判断磁盘文件缓存是否保存有当前***所有应用的历史的应用信息;
若磁盘文件缓存中有保存,把所述历史的应用信息读取到内存数据缓存中,并获取当前***所有应用当前的应用信息,比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
若磁盘文件缓存中没有保存,获取当前***所有应用当前的应用信息,并将所述当前***所有应用当前的应用信息作为增量应用信息。
3.如权利要求1所述的应用检测方法,其特征在于,所述比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息,包括:
分别比较每个应用当前的和历史的安装包名和其MD5值;
确定当前的和历史的安装包名和其MD5值不一致的应用为待检测应用;
将所述待检测应用当前的安装包名和其MD5值作为增量应用信息。
4.如权利要求1所述的应用检测方法,其特征在于,所述对所述增量应用信息中应用对应的安装包名和其MD5值进行检测,包括:
将所述增量应用信息中应用对应的安装包名和其MD5值,与官方应用对应的安装包名和其MD5值进行比较;
若相同,则检测出应用没有风险;
若不相同,则检测出应用存在篡改风险。
5.如权利要求4所述的应用检测方法,其特征在于,所述检测出应用存在篡改风险之后,还包括:
对存在篡改风险的应用进行分析;
判断所述增量应用信息中的全部应用是否均存在篡改风险;
若是,对***启动杀毒程序;
若否,判断存在篡改风险的应用是否通过同一下载工具下载;
若是通过同一下载工具下载,对所述下载工具启动杀毒程序;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站;
若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
6.如权利要求4所述的应用检测方法,其特征在于,所述获取当前***所有应用的当前应用信息和历史应用信息,之前还包括:
确认出现检测时机;
所述检测时机为:
监听到应用进程启动;或
监听到***安装应用广播;或
接收到用户输入的风险检测指令。
7.如权利要求6所述的应用检测方法,其特征在于,所述获取当前***所有应用的历史应用信息,包括:
若所述检测时机为接收到用户输入的风险检测指令,获取当前***所有应用在前一周检测时的应用信息,作为历史的应用信息;
若所述检测时机为监听到***安装应用广播,获取当前***所有应用在前一天检测时的应用信息,作为历史的应用信息;
若所述检测时机为监听到应用进程启动,获取当前***所有应用在最近一次检测时的应用信息,作为历史的应用信息。
8.如权利要求6所述的应用检测方法,其特征在于,所述检测出应用存在篡改风险之后,还包括:
若所述检测时机为接收到用户输入的风险检测指令,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用,获取存在篡改风险的应用的官方地址供用户下载;
若所述检测时机为监听到***安装应用广播,显示存在篡改风险的应用名称,提示删除存在篡改风险的应用;
若所述检测时机为监听到应用进程启动,显示存在篡改风险的应用名称。
9.如权利要求8所述的应用检测方法,其特征在于,所述获取存在篡改风险的应用的官方地址供用户下载,包括:
对存在篡改风险的应用进行分析;
判断所述增量应用信息中的全部应用是否均存在篡改风险:
若是,对***启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若否,判断存在篡改风险的应用是否通过同一下载工具下载;
若是通过同一下载工具下载,对所述下载工具启动杀毒程序,获取存在篡改风险的应用的官方地址供用户下载;
若不是通过同一下载工具下载,判断存在篡改风险的应用是否来源于同一网站;
若是来源于同一网站,提示所述网站存在风险,获取存在篡改风险的应用的官方地址供用户下载;
若不是来源于同一网站,获取存在篡改风险的应用的官方地址供用户下载。
10.一种应用检测装置,其特征在于,包括:
应用信息获取模块,用于获取当前***所有应用当前的应用信息和历史的应用信息,所述应用信息包括安装包名和其MD5值;
增量应用信息获取模块,用于比较当前***所有应用当前的应用信息和历史的应用信息,得到增量应用信息;
增量应用信息检测模块,用于调用检测接口,对所述增量应用信息进行检测。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-9任意一项所述的应用检测方法。
12.一种计算机设备,其特征在于,所述计算机设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9任意一项所述的应用检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810757738.0A CN109190373A (zh) | 2018-07-11 | 2018-07-11 | 应用检测方法、装置、计算机存储介质和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810757738.0A CN109190373A (zh) | 2018-07-11 | 2018-07-11 | 应用检测方法、装置、计算机存储介质和计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109190373A true CN109190373A (zh) | 2019-01-11 |
Family
ID=64935975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810757738.0A Pending CN109190373A (zh) | 2018-07-11 | 2018-07-11 | 应用检测方法、装置、计算机存储介质和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109190373A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110443034A (zh) * | 2019-08-05 | 2019-11-12 | 中国工商银行股份有限公司 | 风险程序文件的识别方法、装置、计算设备以及介质 |
CN112613726A (zh) * | 2020-12-18 | 2021-04-06 | 深圳前海微众银行股份有限公司 | 基于联邦学习的风险检测方法、客户端、设备和存储介质 |
CN115344571A (zh) * | 2022-05-20 | 2022-11-15 | 药渡经纬信息科技(北京)有限公司 | 通用型数据采集解析方法、***和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104102538A (zh) * | 2013-04-09 | 2014-10-15 | 联想(北京)有限公司 | 信息处理的方法及电子设备 |
CN104346568A (zh) * | 2013-07-26 | 2015-02-11 | 贝壳网际(北京)安全技术有限公司 | 识别恶意应用程序的方法、装置及移动设备 |
CN104598822A (zh) * | 2015-01-15 | 2015-05-06 | 百度在线网络技术(北京)有限公司 | 应用程序的检测方法及装置 |
CN107086977A (zh) * | 2016-02-15 | 2017-08-22 | ***通信集团公司 | 应用安全处理方法及装置 |
US20170302692A1 (en) * | 2008-09-12 | 2017-10-19 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
-
2018
- 2018-07-11 CN CN201810757738.0A patent/CN109190373A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170302692A1 (en) * | 2008-09-12 | 2017-10-19 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
CN104102538A (zh) * | 2013-04-09 | 2014-10-15 | 联想(北京)有限公司 | 信息处理的方法及电子设备 |
CN104346568A (zh) * | 2013-07-26 | 2015-02-11 | 贝壳网际(北京)安全技术有限公司 | 识别恶意应用程序的方法、装置及移动设备 |
CN104598822A (zh) * | 2015-01-15 | 2015-05-06 | 百度在线网络技术(北京)有限公司 | 应用程序的检测方法及装置 |
CN107086977A (zh) * | 2016-02-15 | 2017-08-22 | ***通信集团公司 | 应用安全处理方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110443034A (zh) * | 2019-08-05 | 2019-11-12 | 中国工商银行股份有限公司 | 风险程序文件的识别方法、装置、计算设备以及介质 |
CN110443034B (zh) * | 2019-08-05 | 2021-09-14 | 中国工商银行股份有限公司 | 风险程序文件的识别方法、装置、计算设备以及介质 |
CN112613726A (zh) * | 2020-12-18 | 2021-04-06 | 深圳前海微众银行股份有限公司 | 基于联邦学习的风险检测方法、客户端、设备和存储介质 |
CN115344571A (zh) * | 2022-05-20 | 2022-11-15 | 药渡经纬信息科技(北京)有限公司 | 通用型数据采集解析方法、***和存储介质 |
CN115344571B (zh) * | 2022-05-20 | 2023-05-23 | 药渡经纬信息科技(北京)有限公司 | 通用型数据采集解析方法、***和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
Kiss et al. | Kharon dataset: Android malware under a microscope | |
CN106294102B (zh) | 应用程序的测试方法、客户端、服务器及*** | |
CN109190373A (zh) | 应用检测方法、装置、计算机存储介质和计算机设备 | |
US20130246038A1 (en) | Emulator updating system and method | |
JP5690689B2 (ja) | アプリケーション解析装置およびプログラム | |
US20120331547A1 (en) | Static Analysis For Verification Of Software Program Access To Secure Resources For Computer Systems | |
CN103971056B (zh) | 一种防止操作***中应用程序被卸载的方法和装置 | |
CN103632096A (zh) | 一种对设备进行安全检测方法和装置 | |
CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
US11055416B2 (en) | Detecting vulnerabilities in applications during execution | |
CN106548065B (zh) | 应用程序安装检测方法及装置 | |
CN111343188A (zh) | 一种漏洞查找方法、装置、设备和存储介质 | |
US20240160748A1 (en) | Method And System For Data Flow Monitoring To Identify Application Security Vulnerabilities And To Detect And Prevent Attacks | |
CN108959860B (zh) | 一种检测Android***是否被破解和破解记录获取方法 | |
CN108874658A (zh) | 一种沙箱分析方法、装置、电子设备及存储介质 | |
Yang et al. | Execution enhanced static detection of android privacy leakage hidden by dynamic class loading | |
CN110502900B (zh) | 一种检测方法、终端、服务器及计算机存储介质 | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
JP2010134536A (ja) | パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム | |
CN115292716A (zh) | 第三方软件包的安全性分析方法、装置、设备及介质 | |
KR102054768B1 (ko) | 애플리케이션 보안 취약점 자동 분석 시스템 및 방법 | |
CN106909830A (zh) | 一种数据处理方法和装置 | |
CN111832061A (zh) | 沙盒文件读取方法、装置及终端 | |
KR101453357B1 (ko) | 휴대 단말에서의 악성코드 진단 및 제거 방법과 그 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200422 Address after: 310052 room 508, floor 5, building 4, No. 699, Wangshang Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Alibaba (China) Co.,Ltd. Address before: 510640 Guangdong city of Guangzhou province Whampoa Tianhe District Road No. 163 Xiping Yun Lu Yun Ping square B radio tower 15 layer self unit 02 Applicant before: GUANGZHOU UC NETWORK TECHNOLOGY Co.,Ltd. |
|
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190111 |