CN105095754A - 一种处理病毒应用的方法、和装置和移动终端 - Google Patents
一种处理病毒应用的方法、和装置和移动终端 Download PDFInfo
- Publication number
- CN105095754A CN105095754A CN201510236052.3A CN201510236052A CN105095754A CN 105095754 A CN105095754 A CN 105095754A CN 201510236052 A CN201510236052 A CN 201510236052A CN 105095754 A CN105095754 A CN 105095754A
- Authority
- CN
- China
- Prior art keywords
- virus applications
- applications
- virus
- killing
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Agricultural Chemicals And Associated Chemicals (AREA)
Abstract
本发明公开了一种处理病毒应用的方法、装置和移动终端。所述方法包括:查找出符合预设特征的病毒应用,对查找出的所述病毒应用进行隔离处理。本发明的技术方案,对于一些顽固病毒应用在无法删除时实现隔离,阻止该病毒应用的运行,避免其对用户的危害,给用户提供了快速的病毒处理方案和更为安全的使用环境。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种处理病毒应用的方法和、装置和移动终端。
背景技术
目前,移动终端设备(如手机、PAD等)上出现了一些十分顽固的病毒应用。这些病毒应用因为各种各样的原因,用常规的办法无法被卸载,或者是被卸载后会再次出现,有的甚至被卸载后会造成系统故障,给用户造成很大困扰。而针对每一种病毒做专杀的方式虽然能够解决这种问题,但却存在着运行起来比较缓慢,效率低下的缺点。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的处理病毒应用的方法和、装置和移动终端。
依据本发明的一个方面,提供了一种处理病毒应用的方法,该方法包括:
查找出符合预设特征的病毒应用;
对查找出的所述病毒应用进行隔离处理。
可选地,所述查找出符合预设特征的病毒应用包括:
对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
病毒应用无法删除;
病毒应用被删除后会再次出现;
病毒应用被删除后会出现系统故障。
可选地,所述对查找出的所述病毒应用进行隔离处理包括:
将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
可选地,所述对查找出的所述病毒应用进行隔离处理进一步包括如下中的一种或多种:
将所述病毒应用正在运行的数据内容清空;
停止所述病毒应用使用的进程;
释放所述病毒应用占用的内存。
可选地,该方法进一步包括:
将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
可选地,该方法进一步包括:
根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
可选地,该方法进一步包括:
根据用户指令恢复被隔离的应用;
并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
可选地,该方法进一步包括:
对于能够卸载,但卸载后又会重启的应用上报到服务器端;
接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;
根据服务器端反馈的处理方案进行处理。
依据本发明的另一个方面,提供了一种处理病毒应用的装置,其中,该装置包括:
查找单元,适于查找出符合预设特征的病毒应用;
隔离单元,适于对查找出的所述病毒应用进行隔离处理。
可选地,所述查找单元,适于对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
病毒应用无法删除;
病毒应用被删除后会再次出现;
病毒应用被删除后会出现系统故障。
可选地,所述隔离单元,适于将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
可选地,所述隔离单元,进一步适于执行如下中的一种或多种:
将所述病毒应用正在运行的数据内容清空;
停止所述病毒应用使用的进程;
释放所述病毒应用占用的内存。
可选地,该装置进一步包括:
上报单元,适于将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
可选地,该装置进一步包括:
查杀单元,适于根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
可选地,该装置进一步包括:
隔离恢复单元,适于根据用户指令恢复被隔离的应用;,并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
可选地,该装置进一步包括:
优选处理单元,适于对能够卸载,但卸载后又会重启的应用上报到服务器端;接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;以及根据服务器端反馈的处理方案指定相应功能单元进行处理。
依据本发明的一个方面,还提供了一种处理病毒应用的移动终端,该移动终端包括如上述任一项所述的处理病毒应用的装置。
由上述可知,本发明提供的查找出符合预设特征的病毒应用,对查找出的所述病毒应用进行隔离处理的技术方案,对于一些顽固病毒应用在无法删除时实现隔离,阻止该病毒应用的运行,避免其对用户的危害,给用户提供了快速的病毒处理方案和更为安全的使用环境。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种处理病毒应用的方法的流程图;
图2示出了根据本发明一个实施例的一种处理病毒应用的装置的示意图;
图3示出了根据本发明另一个实施例的一种处理病毒应用的装置的示意图;
图4示出了根据本发明另一个实施例的一种处理病毒应用的装置的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种处理病毒应用的方法的流程图。如图1所示,该方法包括:
步骤S110,查找出符合预设特征的病毒应用;
步骤S120,对查找出的所述病毒应用进行隔离处理。
图1所示的方法,对于一些顽固病毒应用在无法删除时实现隔离,阻止该病毒应用的运行,避免其对用户的危害,给用户提供了快速的病毒处理方案和更为安全的使用环境。
本发明的一个实施例中,图1所示方法的步骤S110所述查找出符合预设特征的病毒应用包括:
对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
(1)病毒应用无法删除。这种情况是说这个病毒对系统本身做了一些修改,用现有的root下和非root下常规的删除和卸载是卸不掉的,甚至通过remount的方式都卸不掉,它在系统里是只读的,删除不了。例如,不死木马就是被写入到boot.img中。一般在操作系统启动时,会首先将boot.img解压缩,并释放到内存中,继而进行操作系统的启动,因此,现有的杀毒方式是不能清除不死木马的,在操作系统重启后,不死木马会再次被释放到移动终端的内存中。
(2)病毒应用被删除后会再次出现。这种情况是说病毒本身被杀掉了,但是它还有母体(可能是一种正常应用),这个母体有root权限,没过多久又将该病毒应用恢复出来。
(3)病毒应用被删除后会出现系统故障。这种情况是说病毒应用修改了系统中的其他文件,如果该病毒应用被删除后,下次开机系统就故障跑不起来了。比如,一些病毒会替换系统某个组件或者文件,或者一些病毒的调用者感染了桌面等组件,也会引起系统的问题。
在本发明的一个实施例中,通过在本地启动一个监控服务对病毒应用扫描以及查杀过程进行监控。具体来说对监控病毒查杀引擎的查杀过程以及结果,查找出上述的三类病毒。
其中,病毒查杀引擎可以通过提取应用的相关文件的特征值来检测病毒应用。提取文件的特征值可采用多种方法,例如匹配ELF(ExecutableandLinkingFormat,可执行链接文件)文件中可执行代码的机器指令,具体在提取文件的特征值时,可以只提取文件中一段指定长度的数据(可执行代码的指令或者是其中一部分)。
例如,可以采用如下方式提取文件的特征值:
以Android操作系统为例,大部分Android应用都主要是由Java语言编写,编译之后生成了Dalvik虚拟机的字节码(bytecode),打包成了classes.dex文件。解析classes.dex文件,反编译其字节码,就可以得到应用程序所要执行的指令。
可以挑选指令中能代表恶意软件特征的指令作为特征码,当发现classes.dex文件中包含这样的特征码时,就作为一个特征。例如,Android.Geinimi木马为了隐藏自己,将一些关键数据(如木马服务器信息)加密之后写入代码中,这些被加密的数据反而成为了检测识别它的特征。用dexdump工具分析classes.dex文件可看到输出中包含以下片段:
00d00c:0003010010000000553502348664...|02d4:array-data(12units)
00d024:00030100100000001beac301eadf...|02e0:array-data(12units)
上述片段就可以提取作为检测识别的特征。
当然,dexdump工具只是显示这些特征数据的手段之一,也可以通过其他方式自行实现解析、反编译和识别classes.dex文件的功能。
综上所述,样本一不包含ELF文件,所以没有提取到ELF特征。
从样本一中提取了上述特征之后,假设云查杀服务器的病毒库中存在以下特征记录:
特征一:packageName=com.wbs
特征二:无
特征三:MD5(signature[0])=294f08ae04307a649322524713318543
特征一+特征三:安全级别为“木马”
当检测流程走到“找到包含特征一、特征三的木马”时,找到记录,返回结果为“木马”。
服务端中收集的特征信息可以包括以下列举的:
各种样本Android安装包的包名,和/或,版本号,和/或,数字签名,和/或,Android组件receiver的特征,和/或,Android组件service的特征,和/或,Android组件activity的特征,和/或,可执行文件中的指令或字符串,和/或,Android安装包目录下各文件的MD5值;
本例中提取的特征包括:
1)Android安装包包名:packageName
2)Android安装包版本号:versionCode
3)Android安装包的数字签名的MD5:signature[0]
4)Android组件receiver
5)classes.dex中的指令
6)ELF文件中的字符串
7)assets,res,lib等目录下各文件的MD5
8)Android组件service,activity
本发明的一个实施例中,图1所示方法的步骤S120所述对查找出的所述病毒应用进行隔离处理包括:将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
当病毒应用的上述Android四大组件被禁用后,该病毒应用虽然没有被删除,也跑不起来了,不能再对用户造成伤害。此时也可以提示用户,该病毒应用已被隔离。
在具体实现时,利用挂钩插件监控目标应用的特定事件行为而实现的,例如,通过Java挂钩插件库和Native挂钩插件库。监控单元可以通过远程插件接口向后台沙箱HOOK框架发送请求,获得针对特定事件行为的HOOK函数,即所述的挂钩插件,借此建立对特定事件行为的监控捕获和处理,从而实现对某些应用和组件的禁用。
在本发明的一个实施例中,禁用是在处理病毒的进程,界面进程和主动防御进程进行通讯。利用Java反射调用机制,将LoadApk与ActivityThread涉及的运行时配置信息用反射替换成指定目录中目标应用安装包的ClassLoader与资源,从而实现外壳应用在运行时对目标应用的加载。切断一些病毒和调用者之间的联系。对于调用者的应用特点的黑,白,灰等属性进行判断。
在此基础上,所述对查找出的所述病毒应用进行隔离处理进一步包括如下中的一种或多种:
(1)将所述病毒应用正在运行的数据内容清空;例如调用firststop这样的一些机制,把该病毒应用运行的一些内容全部清空。
(2)停止所述病毒应用使用的进程。
(3)释放所述病毒应用占用的内存。
通过上述隔离操作后,该病毒应用就回到了刚安装时的状态,再加上Android四大组件被禁用,它的一些启动图标也会被隐藏掉,基本上用户就感知不到这个病毒应用了,也避免用户再不小心启动它。病毒应用被隔离后,病毒扫描引擎就扫描不到它了。
在本发明的一个实施例中,在将病毒隔离后进一步包括:将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析;以及根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
服务器端可以通过分析找出合适的专杀方法下发给客户端对被隔离的病毒应用进行彻底的清除,以及对其母体进行相应的处理。
本发明的一个实施例中,图1所示方法进一步包括:根据用户指令恢复被隔离的应用;并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
这种情况是针对扫描错误的情况,可以通过手动方式将被当作病毒隔离的应用恢复回来。并提示用户将该应用添加到白名单,这样病毒扫描引擎就不会再扫到该应用了。
本发明的一个实施例中,图1所示方法进一步包括:对于能够卸载,但卸载后又会重启的应用上报到服务器端;接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;根据服务器端反馈的处理方案进行处理。
这是针对不确定该出现问题的应用是否为病毒的情况,则先将该应用上报到云端服务器,云端服务器会告诉客户端是否为病毒应用,以及如果是病毒应用的话建议处理的方式是什么。如先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理。如果建议隔离,则表示这个病毒直接卸载会出现问题。
云端服务器设置病毒的md5,hash等特征。云端服务器保存不同的应用的处理方案,目前有默认隔离、特殊病毒的专杀和卸载。特殊病毒的专杀是用于解决一些顽固的病毒木马。例如,不死木马。
扫描的话针对网络情况,用网络端的扫描引擎和本地引擎联合进行扫描。举例而言,查杀模式可包括:普通模式和增强模式。普通模式,采用快速方式提取文件特征,依次通过本地缓存、网络中病毒库、以及本地病毒库的顺序进行查杀。增强模式,完整提取文件的多个特征,并考量文件的子包进行病毒查杀。其中,文件的信息可包括:文件名称、证书MD5(消息摘要算法第五版,MessageDigestAlgorithm)、版本号、文件MD5、证书使用期限、或文件包括的子包。
本发明的上述实施例中所述的方法可以使用在病毒引擎中,例如,手机安全卫士,手机查杀引擎等,即本实施例提供的上述方法的执行主体可以是安装在客户端的病毒查杀装置(亦或称病毒查杀引擎)。所述病毒查杀装置可以是专门针对Android系统上的病毒、木马和其他恶意软件的查杀装置。所述病毒查杀装置可通过扫描Android安装包(APK文件)的包名、数字签名、AndroidManifest.xml中列出的各模块的入口信息、Dex文件和ELF文件、Android安装包的版本号、Android安装包目录下个文件的MD5值等中的一个或任意多个信息,作为识别各种恶意软件(病毒、木马和其他恶意软件)的特征。
图2示出了根据本发明一个实施例的一种处理病毒应用的装置的示意图。如图2所示,该处理病毒应用装置200包括:
查找单元210,适于查找出符合预设特征的病毒应用;
隔离单元220,适于对查找出的所述病毒应用进行隔离处理。
图2所示的装置,对于一些顽固病毒应用在无法删除时实现隔离,阻止该病毒应用的运行,避免其对用户的危害,给用户提供了快速的病毒处理方案和更为安全的使用环境。
在本发明的一个实施例中,在图2所示装置中的所述查找单元210,适于对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
(1)病毒应用无法删除。这种情况是说这个病毒对系统本身做了一些修改,用现有的root下和非root下常规的删除和卸载是卸不掉的,甚至通过remount的方式都卸不掉,它在系统里是只读的,删除不了。
(2)病毒应用被删除后会再次出现。这种情况是说病毒本身被杀掉了,但是它还有母体(可能是一种正常应用),这个母体有root权限,没过多久又把该病毒应用恢复出来。
(3)病毒应用被删除后会出现系统故障。这种情况是说病毒应用修改了系统中的其他文件,如果该病毒应用被删除后,下次开机系统就故障跑步起来了。
在本发明的一个实施例中,查找单元210通过在本地启动一个监控服务对病毒应用扫描以及查杀过程进行监控。具体来说对监控病毒查杀引擎的查杀过程以及结果,查找出上述的三类病毒。
其中,病毒查杀引擎可以通过提取应用的相关文件的特征值来检测病毒应用。提取文件的特征值可采用多种方法,例如匹配ELF(ExecutableandLinkingFormat,可执行链接文件)文件中可执行代码的机器指令,具体在提取文件的特征值时,可以只提取文件中一段指定长度的数据(可执行代码的指令或者是其中一部分)。
例如,可以采用如下方式提取文件的特征值:
以Android操作系统为例,大部分Android应用都主要是由Java语言编写,编译之后生成了Dalvik虚拟机的字节码(bytecode),打包成了classes.dex文件。解析classes.dex文件,反编译其字节码,就可以得到应用程序所要执行的指令。
可以挑选指令中能代表恶意软件特征的指令作为特征码,当发现classes.dex文件中包含这样的特征码时,就作为一个特征。例如,Android.Geinimi木马为了隐藏自己,将一些关键数据(如木马服务器信息)加密之后写入代码中,这些被加密的数据反而成为了检测识别它的特征。用dexdump工具分析classes.dex文件可看到输出中包含以下片段:
00d00c:0003010010000000553502348664...|02d4:array-data(12units)
00d024:00030100100000001beac301eadf...|02e0:array-data(12units)
上述片段就可以提取作为检测识别的特征。
当然,dexdump工具只是显示这些特征数据的手段之一,也可以通过其他方式自行实现解析、反编译和识别classes.dex文件的功能。
综上所述,样本一不包含ELF文件,所以没有提取到ELF特征。
从样本一中提取了上述特征之后,假设云查杀服务器的病毒库中存在以下特征记录:
特征一:packageName=com.wbs
特征二:无
特征三:MD5(signature[0])=294f08ae04307a649322524713318543
特征一+特征三:安全级别为“木马”
当检测流程走到“找到包含特征一、特征三的木马”时,找到记录,返回结果为“木马”。
服务端中收集的特征信息可以包括以下列举的:
各种样本Android安装包的包名,和/或,版本号,和/或,数字签名,和/或,Android组件receiver的特征,和/或,Android组件service的特征,和/或,Android组件activity的特征,和/或,可执行文件中的指令或字符串,和/或,Android安装包目录下各文件的MD5值;
本例中提取的特征包括:
1)Android安装包包名:packageName
2)Android安装包版本号:versionCode
3)Android安装包的数字签名的MD5:signature[0]
4)Android组件receiver
5)classes.dex中的指令
6)ELF文件中的字符串
7)assets,res,lib等目录下各文件的MD5
8)Android组件service,activity
在本发明的一个实施例中,在图2所示装置中的所述隔离单元220,适于将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
当病毒应用的上述Android四大组件被禁用后,该病毒应用虽然没有被删除,也跑不起来了,不能再对用户造成伤害。此时也可以提示用户,该病毒应用已被隔离。
在具体实现时,利用挂钩插件监控目标应用的特定事件行为而实现的,例如,通过Java挂钩插件库和Native挂钩插件库。监控单元可以通过远程插件接口向后台沙箱HOOK框架发送请求,获得针对特定事件行为的HOOK函数,即所述的挂钩插件,借此建立对特定事件行为的监控捕获和处理,从而实现对某些应用和组件的禁用。
在本发明的一个实施例中,禁用是在处理病毒的进程,界面进程和主动防御进程进行通讯。利用Java反射调用机制,将LoadApk与ActivityThread涉及的运行时配置信息用反射替换成指定目录中目标应用安装包的ClassLoader与资源,从而实现外壳应用在运行时对目标应用的加载。切断一些病毒和调用者之间的联系。对于调用者的应用特点的黑,白,灰等属性进行判断。
在本发明的一个实施例中,所述隔离单元220,进一步适于执行如下中的一种或多种:
(1)将所述病毒应用正在运行的数据内容清空;例如调用firststop这样的一些机制,把该病毒应用运行的一些内容全部清空。
(2)停止所述病毒应用使用的进程;
(3)释放所述病毒应用占用的内存。
通过上述隔离操作后,该病毒应用就回到了刚安装时的状态,再加上Android四大组件被禁用,它的一些启动图标也会被隐藏掉,基本上用户就感知不到这个病毒应用了,也避免用户再不小心启动它。病毒应用被隔离后,病毒扫描引擎就扫描不到它了。
图3示出了根据本发明另一个实施例的一种处理病毒应用的装置的示意图。如图3所示,该处理病毒应用装置300包括:查找单元310、隔离单元320、上报单元330和查杀单元340。
其中,查找单元310和隔离单元320分别与图2所示装置的查找单元210和隔离单元220对应相同。
上报单元330,适于将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
查杀单元340,适于根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
这样,服务器端可以通过分析找出合适的专杀方法下发给客户端对被隔离的病毒应用进行彻底的清除,以及对其母体进行相应的处理。
图4示出了根据本发明另一个实施例的一种处理病毒应用的装置的示意图。如图4所示,该处理病毒应用装置400包括:查找单元410、隔离单元420、隔离恢复单元430和优选处理单元440。
其中,查找单元410和隔离单元420分别于图2所示装置的查找单元210和隔离单元220对应相同。
隔离恢复单元430,适于根据用户指令恢复被隔离的应用;并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
优选处理单元440,适于对能够卸载,但卸载后又会重启的应用上报到服务器端;接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;以及根据服务器端反馈的处理方案指定相应功能单元进行处理。
这是针对不确定该出现问题的应用是否为病毒的情况,则先将该应用上报到云端服务器,云端服务器会告诉客户端是否为病毒应用,以及如果是病毒应用的话建议处理的方式是什么。如先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理。如果建议隔离,则表示这个病毒直接卸载会出现问题。
云端服务器设置病毒的md5,hash等特征。云端服务器保存不同的应用的处理方案,目前有默认隔离、特殊病毒的专杀和卸载。特殊病毒的专杀是用于解决一些顽固的病毒木马。例如,不死木马。
在本发明的一个实施例中,还提供了一种处理病毒应用的移动终端,该移动终端包括如上述任一实施例中所述的处理病毒应用的装置。
综上所述,本发明提供的查找出符合预设特征的病毒应用,对查找出的所述病毒应用进行隔离处理的技术方案,对于一些顽固病毒应用在无法删除时实现隔离,阻止该病毒应用的运行,避免其对用户的危害,给用户提供了快速的病毒处理方案和更为安全的使用环境。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的处理病毒应用的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种处理病毒应用的方法,其中,该方法包括:查找出符合预设特征的病毒应用;对查找出的所述病毒应用进行隔离处理。
A2、如A1所述的方法,其中,所述查找出符合预设特征的病毒应用包括:
对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:病毒应用无法删除;病毒应用被删除后会再次出现;病毒应用被删除后会出现系统故障。
A3、如A1所述的方法,其中,所述对查找出的所述病毒应用进行隔离处理包括:将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
A4、如A3所述的方法,其中,所述对查找出的所述病毒应用进行隔离处理进一步包括如下中的一种或多种:
将所述病毒应用正在运行的数据内容清空;
停止所述病毒应用使用的进程;
释放所述病毒应用占用的内存。
A5、如A3所述的方法,其中,该方法进一步包括:
将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
A6、如A5所述的方法,其中,该方法进一步包括:
根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
A7、如A1所述的方法,其中,该方法进一步包括:
根据用户指令恢复被隔离的应用;并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
A8、如A1所述的方法,其中,该方法进一步包括:
对于能够卸载,但卸载后又会重启的应用上报到服务器端;
接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;
根据服务器端反馈的处理方案进行处理。
本发明还公开了B9、一种处理病毒应用的装置,其中,该装置包括:
查找单元,适于查找出符合预设特征的病毒应用;
隔离单元,适于对查找出的所述病毒应用进行隔离处理。
B10、如B9所述的装置,其中,
所述查找单元,适于对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
病毒应用无法删除;
病毒应用被删除后会再次出现;
病毒应用被删除后会出现系统故障。
B11、如B9所述的装置,其中,
所述隔离单元,适于将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
B12、如B11所述的装置,
所述隔离单元,进一步适于执行如下中的一种或多种:
将所述病毒应用正在运行的数据内容清空;
停止所述病毒应用使用的进程;
释放所述病毒应用占用的内存。
B13、如B11所述的装置,其中,该装置进一步包括:
上报单元,适于将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
B14、如B13所述的装置,其中,该装置进一步包括:
查杀单元,适于根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
B15、如B9所述的装置,其中,该装置进一步包括:
隔离恢复单元,适于根据用户指令恢复被隔离的应用;并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
B16、如B9所述的装置,其中,该装置进一步包括:
优选处理单元,适于对能够卸载,但卸载后又会重启的应用上报到服务器端;接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;以及根据服务器端反馈的处理方案指定相应功能单元进行处理。
B17、一种处理病毒应用的移动终端,其中,该移动终端包括如B9-B16中任一项所述的处理病毒应用的装置。
Claims (10)
1.一种处理病毒应用的方法,其中,该方法包括:
查找出符合预设特征的病毒应用;
对查找出的所述病毒应用进行隔离处理。
2.如权利要求1所述的方法,其中,所述查找出符合预设特征的病毒应用包括:
对病毒应用扫描及查杀过程进行监控,查找出符合如下特征中的任一个或多个的病毒应用:
病毒应用无法删除;
病毒应用被删除后会再次出现;
病毒应用被删除后会出现系统故障。
3.如权利要求1所述的方法,其中,所述对查找出的所述病毒应用进行隔离处理包括:
将所述病毒应用的核心组件进行禁用处理;以及拦截企图启动所述病毒应用的行为;
其中,所述病毒应用的核心组件包括如下Android组件中的一种或多种:Activity组件、Service组件、BroadcastReceiver组件以及ContentProvider组件。
4.如权利要求3所述的方法,其中,所述对查找出的所述病毒应用进行隔离处理进一步包括如下中的一种或多种:
将所述病毒应用正在运行的数据内容清空;
停止所述病毒应用使用的进程;
释放所述病毒应用占用的内存。
5.如权利要求3所述的方法,其中,该方法进一步包括:
将企图启动所述病毒应用的应用标记出来上报到服务器端进行分析。
6.如权利要求5所述的方法,其中,该方法进一步包括:
根据服务器端反馈的查杀方法对所述病毒应用以及企图启动所述病毒应用的应用进行查杀。
7.如权利要求1所述的方法,其中,该方法进一步包括:
根据用户指令恢复被隔离的应用;
并提示用户是否将恢复的应用添加到白名单,如果用户指示为是,则将恢复的应用添加到白名单。
8.如权利要求1所述的方法,其中,该方法进一步包括:
对于能够卸载,但卸载后又会重启的应用上报到服务器端;
接收服务器端反馈的处理方案,包括:优先用卸载、优先用隔离、优先用指定查杀方式进行查杀或者不处理;
根据服务器端反馈的处理方案进行处理。
9.一种处理病毒应用的装置,其中,该装置包括:
查找单元,适于查找出符合预设特征的病毒应用;
隔离单元,适于对查找出的所述病毒应用进行隔离处理。
10.一种处理病毒应用的移动终端,其中,该移动终端包括如权利要求9所述的处理病毒应用的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236052.3A CN105095754A (zh) | 2015-05-11 | 2015-05-11 | 一种处理病毒应用的方法、和装置和移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236052.3A CN105095754A (zh) | 2015-05-11 | 2015-05-11 | 一种处理病毒应用的方法、和装置和移动终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105095754A true CN105095754A (zh) | 2015-11-25 |
Family
ID=54576162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510236052.3A Pending CN105095754A (zh) | 2015-05-11 | 2015-05-11 | 一种处理病毒应用的方法、和装置和移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105095754A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105512557A (zh) * | 2015-12-22 | 2016-04-20 | 北京奇虎科技有限公司 | 病毒处理方法、装置、系统及移动终端 |
| CN105631332A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 一种处理恶意程序的方法及装置 |
| CN107070878A (zh) * | 2017-02-13 | 2017-08-18 | 北京奇虎科技有限公司 | 一种用于对受监控应用进行病毒隔离的系统及方法 |
| CN108229147A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种基于Android虚拟容器的内存检测装置及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310393A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 防止计算机病毒传染的方法 |
| US20130061325A1 (en) * | 2011-09-07 | 2013-03-07 | Mcafee, Inc. | Dynamic Cleaning for Malware Using Cloud Technology |
| CN103020520A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 一种基于企业的文件安全检测方法和系统 |
| EP2584488A1 (en) * | 2011-09-20 | 2013-04-24 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
| CN103761471A (zh) * | 2014-02-21 | 2014-04-30 | 北京奇虎科技有限公司 | 基于智能终端设备安装应用程序的方法与装置 |
| CN104252594A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 病毒检测方法和装置 |
| CN104517054A (zh) * | 2014-12-25 | 2015-04-15 | 北京奇虎科技有限公司 | 一种检测恶意apk的方法、装置、客户端和服务器 |
-
2015
- 2015-05-11 CN CN201510236052.3A patent/CN105095754A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310393A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 防止计算机病毒传染的方法 |
| US20130061325A1 (en) * | 2011-09-07 | 2013-03-07 | Mcafee, Inc. | Dynamic Cleaning for Malware Using Cloud Technology |
| EP2584488A1 (en) * | 2011-09-20 | 2013-04-24 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
| CN103020520A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 一种基于企业的文件安全检测方法和系统 |
| CN104252594A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 病毒检测方法和装置 |
| CN103761471A (zh) * | 2014-02-21 | 2014-04-30 | 北京奇虎科技有限公司 | 基于智能终端设备安装应用程序的方法与装置 |
| CN104517054A (zh) * | 2014-12-25 | 2015-04-15 | 北京奇虎科技有限公司 | 一种检测恶意apk的方法、装置、客户端和服务器 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105512557A (zh) * | 2015-12-22 | 2016-04-20 | 北京奇虎科技有限公司 | 病毒处理方法、装置、系统及移动终端 |
| CN105631332A (zh) * | 2015-12-24 | 2016-06-01 | 北京奇虎科技有限公司 | 一种处理恶意程序的方法及装置 |
| CN105631332B (zh) * | 2015-12-24 | 2018-10-23 | 北京奇虎科技有限公司 | 一种处理恶意程序的方法及装置 |
| CN108229147A (zh) * | 2016-12-21 | 2018-06-29 | 武汉安天信息技术有限责任公司 | 一种基于Android虚拟容器的内存检测装置及方法 |
| CN108229147B (zh) * | 2016-12-21 | 2021-11-12 | 武汉安天信息技术有限责任公司 | 一种基于Android虚拟容器的内存检测装置及方法 |
| CN107070878A (zh) * | 2017-02-13 | 2017-08-18 | 北京奇虎科技有限公司 | 一种用于对受监控应用进行病毒隔离的系统及方法 |
| CN107070878B (zh) * | 2017-02-13 | 2020-09-18 | 北京安云世纪科技有限公司 | 一种用于对受监控应用进行病毒隔离的系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104008340B (zh) | 病毒查杀方法及装置 | |
| US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
| US7836500B2 (en) | Computer virus and malware cleaner | |
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| US9235703B2 (en) | Virus scanning in a computer system | |
| CN104318160B (zh) | 查杀恶意程序的方法和装置 | |
| CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
| US10579796B1 (en) | Systems and methods of detecting malicious powershell scripts | |
| US10055583B2 (en) | Method and apparatus for processing file | |
| CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
| CN109255235B (zh) | 基于用户态沙箱的移动应用第三方库隔离方法 | |
| CN104462968A (zh) | 恶意应用程序的扫描方法、装置和系统 | |
| CN105095754A (zh) | 一种处理病毒应用的方法、和装置和移动终端 | |
| US8448243B1 (en) | Systems and methods for detecting unknown malware in an executable file | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| CN103279707A (zh) | 一种用于主动防御恶意程序的方法、设备及系统 | |
| CN105550581A (zh) | 一种恶意代码检测方法及装置 | |
| CN103559447A (zh) | 一种基于病毒样本特征的检测方法、检测装置及检测系统 | |
| CN103679027A (zh) | 内核级恶意软件查杀的方法和装置 | |
| CN102999725B (zh) | 恶意代码处理方法和系统 | |
| CN102929733B (zh) | 一种错误文件处理方法、装置和客户端设备 | |
| CN104462969A (zh) | 查杀恶意应用程序的方法、装置和系统 | |
| CN105631332A (zh) | 一种处理恶意程序的方法及装置 | |
| CN110502900B (zh) | 一种检测方法、终端、服务器及计算机存储介质 | |
| CN102915359A (zh) | 文件管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151125 |
|
| RJ01 | Rejection of invention patent application after publication |