CN103268444A - 一种基于插件加载的android恶意代码检测系统及方法 - Google Patents
一种基于插件加载的android恶意代码检测系统及方法 Download PDFInfo
- Publication number
- CN103268444A CN103268444A CN2012105795434A CN201210579543A CN103268444A CN 103268444 A CN103268444 A CN 103268444A CN 2012105795434 A CN2012105795434 A CN 2012105795434A CN 201210579543 A CN201210579543 A CN 201210579543A CN 103268444 A CN103268444 A CN 103268444A
- Authority
- CN
- China
- Prior art keywords
- plug
- unit
- malicious code
- update
- plugin
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephone Function (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种基于插件加载的android恶意代码检测系统及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及系统,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
Description
技术领域
本发明涉及移动终端恶意代码检测领域,特别涉及一种基于插件加载的android恶意代码检测系统及方法。
背景技术
现有Android手机上的反病毒软件,通常都采用升级病毒库的方式来进行恶意代码检测和识别能力的提升,并提供对新出现的恶意代码进行检测和处理的能力。
从现有的Android手机上的反病毒软件本身在进行升级时和扩展恶意代码检测功能时,有如下的几种方法:一、通过更新病毒库来达到相应的效果;二、通过重新更新和安装apk来实现反病毒模块的更新和达到相应的效果。上述的两种升级方法,方法一无法对恶意代码检测模块和程序本身进行有效的更新和扩展,而方法二则需要消耗极高的代价,需要对整个安全应用程序进行更新和再次安装来达到更新的效果。
发明内容
本发明提供了一种基于插件加载的android恶意代码检测系统及方法,通过调用插件,来进行恶意代码的检测,能够及时对恶意代码检测能力进行扩展,解决了现有需要更新整个应用程序才能够扩展检测能力的问题。
一种基于插件加载的android恶意代码检测系统,包括:插件升级服务器和移动终端恶意代码检测模块;
所述插件升级服务器包括:
存储模块,用于存储恶意代码检测插件库;
通信模块,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,生成插件更新包;
移动终端恶意代码检测模块包括:
更新模块,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,否则直接执行检测模块;
检测模块,用于遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的系统中,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
所述的系统中,所述的插件为dex格式文件。
所述的系统中,所述的插件类型至少包括检测型和专杀处置型。
一种基于插件加载的android恶意代码检测方法,适用于上述系统,包括:
插件升级服务器存储恶意代码检测插件库,并获取更新请求,判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则生成插件更新包,并返回插件更新包获取的URL;
移动终端恶意代码检测模块向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的方法中,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
所述的方法中,所述的插件为dex格式文件。
所述的方法中,所述的插件类型至少包括检测型和专杀处置型。
一种基于插件加载的android恶意代码检测方法,适用于上述系统中的移动终端恶意代码检测模块,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的方法中,所述的插件为dex格式文件。
所述的方法中,所述的插件类型至少包括检测型和专杀处置型。
本发明的方法利用了android平台上的dexclassloader的功能,可以实现对dex文件进行加载,并导出其中定义的类和函数来达到调用非APK中的第三方dex函数的功能,因此本发明的系统及方法,通过dex插件调用,实现了在恶意代码检测过程中,对恶意代码检测能力的扩展和更新。不仅实现了灵活和低成本的反病毒检测能力的扩展,还可以通过检测插件,实现细粒度的病毒检测和专杀功能。
本发明提供了一种基于插件加载的android恶意代码检测系统及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及系统,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于插件加载的android恶意代码检测系统结构示意图;
图2为本发明一种基于插件加载的android恶意代码检测方法中插件服务器流程图;
图3为本发明一种基于插件加载的android恶意代码检测方法中移动终端恶意代码检测模块流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于插件加载的android恶意代码检测系统及方法,通过调用插件,来进行恶意代码的检测,能够及时对恶意代码检测能力进行扩展,解决了现有需要更新整个应用程序才能够扩展检测能力的问题。
一种基于插件加载的android恶意代码检测系统,如图1所示,包括:插件升级服务器101和移动终端恶意代码检测模块102;
所述插件升级服务器101包括:
存储模块101-1,用于存储恶意代码检测插件库;
通信模块101-2,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块101-3,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,生成插件更新包;
移动终端恶意代码检测模块102包括:
更新模块102-1,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,否则直接执行检测模块;
检测模块102-2,用于遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的系统中,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
所述的系统中,所述的插件为dex格式文件。
所述的系统中,所述的插件类型至少包括检测型和专杀处置型。
一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述系统,包括:
插件升级服务器流程图如图2所示:
S201:插件升级服务器存储恶意代码检测插件库,并获取更新请求;
S202:判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则执行S203;
S203:生成插件更新包,并返回插件更新包获取的URL。
移动终端恶意代码检测模块流程图如图3所示:
S301:移动终端恶意代码检测模块向插件升级服务器发送更新请求;
S302:判断是否收到插件更新包获取的URL,如果是,则执行S303,否则执行S304;
S303:获取插件更新包;
S304:遍历本地插件缓存文件夹获取所有插件;
S305:根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的方法中,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
对恶意代码检测插件库可定义为:
其中MalDetectPlugDatabase为恶意代码检测插件库,MalDetectPlug为每个插件的信息,plugversion为当前插件版本号,plugname为当前插件名称,plugfilepath为当前插件文件的存储地址,plugtype为插件类型,所述插件类型至少包括
所述的方法中,所述的插件为dex格式文件。
所述的方法中,所述的插件类型至少包括检测型和专杀处置型。
检测型插件用于进行恶意代码检测,专杀处置型用于实现对特定恶意代码的清除和处置。通过Android官方提供的开发环境来进行编译和生成。对于检测型的插件需要调用onScanFile的接口,并反馈检出结果信息,对专杀处置型的插件,需要调用onKillFile接口,并反馈处置结果状态。
一种基于插件加载的android恶意代码检测方法,适用于上述系统中的移动终端恶意代码检测模块,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
所述的方法中,所述的插件为dex格式文件。
所述的方法中,所述的插件类型至少包括检测型和专杀处置型。
本发明的方法利用了android平台上的dexclassloader的功能,可以实现对dex文件进行加载,并导出其中定义的类和函数来达到调用非APK中的第三方dex函数的功能,因此本发明的系统及方法,通过dex插件调用,实现了在恶意代码检测过程中,对恶意代码检测能力的扩展和更新。不仅实现了灵活和低成本的反病毒检测能力的扩展,还可以通过检测插件,实现细粒度的病毒检测和专杀功能。
本发明提供了一种基于插件加载的android恶意代码检测系统及方法,包括:插件升级服务器存储恶意代码检测插件库,并获取更新请求,通过判断更新请求中的版本号与最新版本号生成插件更新包,并返回插件更新包获取的URL;移动终端恶意代码检测模块向插件升级服务器发送更新请求,并接收插件更新包获取的URL,获取插件更新包,遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。本发明的方法及系统,利用了dexclassloader功能,实现了通过第三方dex文件,对恶意代码检测能力的扩展和更新。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (11)
1.一种基于插件加载的android恶意代码检测系统,其特征在于,包括:插件升级服务器和移动终端恶意代码检测模块;
所述插件升级服务器包括:
存储模块,用于存储恶意代码检测插件库;
通信模块,用于获取移动终端恶意代码检测模块的更新请求,并返回插件更新包的URL;
插件生成模块,用户判断更新请求中的版本号与最新版本号是否相同,如果是则结束更新,否则根据版本差异,将需要更新的插件生成插件更新包;
移动终端恶意代码检测模块包括:
更新模块,用于向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,则获取插件更新包,否则直接执行检测模块;
检测模块,用于遍历本地插件缓存文件夹获取所有插件;根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
2.如权利要求1所述的系统,其特征在于,所述恶意代码插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
3.如权利要求1所述的系统,其特征在于,所述的插件为dex格式文件。
4.如权利要求1所述的系统,其特征在于,所述的插件类型至少包括检测型和专杀处置型。
5.一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述系统,其特征在于,包括:
插件升级服务器存储恶意代码检测插件库,并获取更新请求,判断更新请求中的版本号与最新版本号是否相同,如果是,则结束更新,否则生成插件更新包,并返回插件更新包获取的URL;
移动终端恶意代码检测模块向插件升级服务器发送更新请求,并判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
6.如权利要求5所述的方法,其特征在于,所述恶意代码检测插件库中至少包括:插件版本号、插件名、插件文件存储地址和插件类型。
7.如权利要求5所述的方法,其特征在于,所述的插件为dex格式文件。
8.如权利要求5所述的方法,其特征在于,所述的插件类型至少包括检测型和专杀处置型。
9.一种基于插件加载的android恶意代码检测方法,适用于权利要求1所述系统中的移动终端恶意代码检测模块,其特征在于,包括:
移动终端恶意代码检测模块向插件升级服务器发送更新请求;
判断是否收到插件更新包获取的URL,如果是,获取插件更新包,并遍历本地插件缓存文件夹获取所有插件,否则直接遍历本地插件缓存文件夹获取所有插件;
根据插件类型,选择插件调用接口,调用插件进行恶意代码检测。
10.如权利要求9所述的方法,其特征在于,所述的插件为dex格式文件。
11.如权利要求9所述的方法,其特征在于,所述的插件类型至少包括检测型和专杀处置型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579543.4A CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210579543.4A CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103268444A true CN103268444A (zh) | 2013-08-28 |
| CN103268444B CN103268444B (zh) | 2016-06-01 |
Family
ID=49012072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210579543.4A Active CN103268444B (zh) | 2012-12-28 | 2012-12-28 | 一种基于插件加载的android恶意代码检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103268444B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731622A (zh) * | 2015-03-27 | 2015-06-24 | 北京奇虎科技有限公司 | 一种应用程序的加载方法、装置和移动终端 |
| CN105389510A (zh) * | 2015-12-14 | 2016-03-09 | 江山市同舟数码科技有限公司 | 一种安卓移动设备恶意软件检测方法和系统 |
| CN106325957A (zh) * | 2016-08-31 | 2017-01-11 | 广州品唯软件有限公司 | 一种插件加载方法及设备 |
| CN107563198A (zh) * | 2017-08-31 | 2018-01-09 | 广东电网有限责任公司电力科学研究院 | 一种工业控制系统的主机病毒防治系统及方法 |
| CN108008985A (zh) * | 2017-11-20 | 2018-05-08 | 北京奇虎科技有限公司 | 应用程序加载方法及装置 |
| CN109150904A (zh) * | 2018-09-25 | 2019-01-04 | 深圳市佰仟金融服务有限公司 | 接口服务调用方法及终端设备 |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020042882A1 (en) * | 2000-10-10 | 2002-04-11 | Dervan R. Donald | Computer security system |
| CN101009005A (zh) * | 2006-01-24 | 2007-08-01 | 中国电信股份有限公司 | 保障基于互联网的支付安全的方法、系统和平台 |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| CN102789389A (zh) * | 2012-08-01 | 2012-11-21 | 深圳市茁壮网络股份有限公司 | 一种插件版本检测及升级的方法、插件检测器 |
| CN102799445A (zh) * | 2012-05-03 | 2012-11-28 | 陈昊 | 一种基于Android平台的应用升级方法及系统 |
| US8327446B2 (en) * | 2002-05-06 | 2012-12-04 | Trend Micro Inc. | Antivirus stand-alone network or internet appliance and methods therefor |
-
2012
- 2012-12-28 CN CN201210579543.4A patent/CN103268444B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020042882A1 (en) * | 2000-10-10 | 2002-04-11 | Dervan R. Donald | Computer security system |
| US8327446B2 (en) * | 2002-05-06 | 2012-12-04 | Trend Micro Inc. | Antivirus stand-alone network or internet appliance and methods therefor |
| CN101009005A (zh) * | 2006-01-24 | 2007-08-01 | 中国电信股份有限公司 | 保障基于互联网的支付安全的方法、系统和平台 |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| CN102799445A (zh) * | 2012-05-03 | 2012-11-28 | 陈昊 | 一种基于Android平台的应用升级方法及系统 |
| CN102789389A (zh) * | 2012-08-01 | 2012-11-21 | 深圳市茁壮网络股份有限公司 | 一种插件版本检测及升级的方法、插件检测器 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731622A (zh) * | 2015-03-27 | 2015-06-24 | 北京奇虎科技有限公司 | 一种应用程序的加载方法、装置和移动终端 |
| CN104731622B (zh) * | 2015-03-27 | 2016-10-05 | 北京奇虎科技有限公司 | 一种应用程序的加载方法、装置和移动终端 |
| CN105389510A (zh) * | 2015-12-14 | 2016-03-09 | 江山市同舟数码科技有限公司 | 一种安卓移动设备恶意软件检测方法和系统 |
| CN106325957A (zh) * | 2016-08-31 | 2017-01-11 | 广州品唯软件有限公司 | 一种插件加载方法及设备 |
| CN107563198A (zh) * | 2017-08-31 | 2018-01-09 | 广东电网有限责任公司电力科学研究院 | 一种工业控制系统的主机病毒防治系统及方法 |
| CN107563198B (zh) * | 2017-08-31 | 2020-06-02 | 广东电网有限责任公司电力科学研究院 | 一种工业控制系统的主机病毒防治系统及方法 |
| CN108008985A (zh) * | 2017-11-20 | 2018-05-08 | 北京奇虎科技有限公司 | 应用程序加载方法及装置 |
| CN109150904A (zh) * | 2018-09-25 | 2019-01-04 | 深圳市佰仟金融服务有限公司 | 接口服务调用方法及终端设备 |
| CN109977670A (zh) * | 2019-03-12 | 2019-07-05 | 福建天晴数码有限公司 | 基于插件加载的安卓应用安全监测方法、存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103268444B (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103268444A (zh) | 一种基于插件加载的android恶意代码检测系统及方法 | |
| CN105389222B (zh) | 一种动态调用原生接口的方法、装置和系统 | |
| CN102915247B (zh) | Apk插件化管理方法 | |
| CN107769949A (zh) | 一种应用组件部署方法及部署节点 | |
| US9584476B2 (en) | Safety protection method, firewall, terminal device and computer-readable storage medium | |
| CN104834555A (zh) | 调用功能模块的方法、相关装置及装置修复方法 | |
| US10176327B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| CN108491236A (zh) | 一种插件加载方法、装置及计算机可读存储介质 | |
| CN106681749B (zh) | 基于安卓平台的局部代码补丁更新方法及装置 | |
| CN102982258A (zh) | 一种对移动应用程序进行原版校验的系统 | |
| KR20050089072A (ko) | 모바일 장치들 상의 라이브러리들을 공유하기 위한 방법 및장치 | |
| CN106095458A (zh) | 一种应用程序中插件的管理方法和装置 | |
| CN105404524A (zh) | Java应用中的类加载隔离方法及装置 | |
| CN103777967A (zh) | 页面返回方法、页面生成方法和装置 | |
| CN108228230A (zh) | Ufs固件的升级方法、终端及计算机可读存储介质 | |
| CN101422070A (zh) | 在无线装置操作环境中执行未经验证的程序 | |
| US10310964B2 (en) | System and method for determining relevance of application software maintenance | |
| CN104361285A (zh) | 移动设备应用程序的安全检测方法及装置 | |
| CN108540509A (zh) | 一种终端浏览器的处理方法、装置及服务器、智能终端 | |
| CN104572054A (zh) | 一种能力调用方法和设备 | |
| CN107733974A (zh) | 一种移动终端的升级方法 | |
| CN104765624A (zh) | 虚拟机应用程序的更新处理方法和装置 | |
| CN104346195A (zh) | 软件安装方法和系统 | |
| CN112286586B (zh) | 一种插件的配置方法及相关设备 | |
| CN114416396A (zh) | 一种接口版本控制方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430000, Hubei, Wuhan province East Lake Wuhan New Technology Development Zone Software Park Road 1, software industry phase 4-1, B4, building 12, room 01 Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |