CN105468969A - 一种提升杀毒应用程序安全性的方法及系统 - Google Patents
一种提升杀毒应用程序安全性的方法及系统 Download PDFInfo
- Publication number
- CN105468969A CN105468969A CN201510801584.7A CN201510801584A CN105468969A CN 105468969 A CN105468969 A CN 105468969A CN 201510801584 A CN201510801584 A CN 201510801584A CN 105468969 A CN105468969 A CN 105468969A
- Authority
- CN
- China
- Prior art keywords
- application program
- virus killing
- antivirus engine
- application message
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种提升杀毒应用程序安全性的方法及系统,杀毒应用程序主体将提取的各应用程序的应用信息数据存入文件系统中,处于TEE的杀毒引擎服务端从文件系统获取应用信息数据,然后利用预先加载的病毒库对应用信息数据进行检测,并将检测结果通过杀毒引擎客户端发送给杀毒应用程序主体。本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。
Description
技术领域
本发明涉及杀毒软件技术领域,更具体的说,涉及一种提升杀毒应用程序安全性的方法及系统。
背景技术
随着用户对安全认知的提升,越来越多的用户在设备上安装杀毒应用程序。Android(安卓)设备作为目前应用最为广泛的设备逐渐成为被攻击最多的一种设备,Android设备中的很多杀毒应用程序都遭到了攻击者的研究。同时,Android源代码是开源这一特征,导致杀毒应用程序被分析和恶意利用的风险相比于其他操作系统更大。因此,如何更好的保护杀毒应用程序本身也成为一个课题,这也是杀毒应用程序的安全基础。
目前,常用的方法是对杀毒应用程序进行加密、加壳等等。由于Android源代码是开源的,因此攻击者可以追踪杀毒应用程序在Android运行环境中的运行情况,这样,即使加密、加壳也难以保护一些核心代码。与此同时,加密、加壳后的程序文件本身也是很容易被破解的,因此安全度有限。
综上,如何提升杀毒应用程序的安全性是本领域技术人员亟待解决的技术问题。
发明内容
有鉴于此,本发明提供一种提升杀毒应用程序安全性的方法及系统,以实现对杀毒应用程序安全性的提升。
一种提升杀毒应用程序安全性的方法,包括:
处于富执行环境REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于可信执行环境TEE的杀毒引擎服务端发送病毒检测命令;
所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
优选的,还包括:
所述杀毒应用程序主体在用户界面显示所述检测结果。
优选的,所述杀毒应用程序主体将所述应用信息数据存放到文件系统中包括:
所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中。
优选的,所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端包括:
所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端。
优选的,所述病毒库为加密病毒库。
优选的,所述杀毒应用程序主体将所述应用信息数据存放到文件系统中包括:
所述杀毒应用程序主体利用随机选取的文件传输路径,将所述应用信息数据存放到文件系统中。
优选的,所述病毒检测命令中携带有存放所述应用信息数据选取的路径信息。
一种提升杀毒应用程序安全性的系统,包括:
启动单元,用于处于富执行环境REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
提取单元,用于所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
存放单元,用于所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
命令发送单元,用于所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于可信执行环境TEE的杀毒引擎服务端发送病毒检测命令;
接收单元,用于所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
检测单元,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
结果发送单元,用于所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
优选的,还包括:
显示单元,用于所述杀毒应用程序主体在用户界面显示所述检测结果。
优选的,所述存放单元包括:
存放子单元,用于所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中。
优选的,所述检测单元包括:
解密子单元,用于所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
检测子单元,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端。
优选的,所述病毒库为加密病毒库。
优选的,所述存放单元包括:
发送子单元,用于所述杀毒应用程序主体利用随机选取的文件传输路径,将所述应用信息数据存放到文件系统中。
优选的,所述病毒检测命令中携带有存放所述应用信息数据选取的路径信息。
从上述的技术方案可以看出,本发明提供了一种提升杀毒应用程序安全性的方法及系统,杀毒应用程序主体将提取的各应用程序的应用信息数据存入文件系统中,处于TEE的杀毒引擎服务端从文件系统获取应用信息数据,然后利用预先加载的病毒库对该应用信息数据进行检测,并将检测结果通过杀毒引擎客户端发送给杀毒应用程序主体。可以看出,本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone(安全域)的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。同时,基于TrustZone的安全操作系统在运行的时候,Android操作系统本身处于“冻结”状态,常规的Android病毒或者分析工具无法访问到基于TrustZone的安全操作系统。因此本发明可以有效加大杀毒应用程序被分析和恶意利用的难度,从而提升了杀毒应用程序的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种提升杀毒应用程序安全性的方法流程图;
图2为本发明实施例公开的另一种提升杀毒应用程序安全性的方法流程图;
图3为本发明实施例公开的一种提升杀毒应用程序安全性的系统的结构示意图;
图4为本发明实施例公开的另一种提升杀毒应用程序安全性的系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种提升杀毒应用程序安全性的方法及系统,以实现对杀毒应用程序安全性的提升。
参见图1,本发明实施例公开的一种提升杀毒应用程序安全性的方法流程图,包括步骤:
步骤S11、处于REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
其中,REE(RichExecutionEnvironment,富执行环境)指的是Android、Linux、Windows、IOS等操作系统。在本申请中,REE主要指Android操作系统。
需要说明的是,本步骤中的杀毒应用程序主体功能包括传统杀毒应用程序中除了杀毒引擎之外的其他部分,包括用户界面、扫描应用程序部分等。
步骤S12、所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
步骤S13、所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
步骤S14、所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于TEE的杀毒引擎服务端发送病毒检测命令;
其中,TEE(TrustedExecutionEnvironment,可信执行环境)相比REE而言,功能比较简单,且侧重于安全性设计,在本专利中特指基于TrustZone的安全操作系统。
TrustZone是一个安全术语,中文名为安全域,这个概念是ARM公司(一家全球领先的半导体知识产权提供商)提出并推广的,可以理解为基于CPU(CentralProcessingUnit,中央处理器)硬件的安全域。
步骤S15、所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
需要说明的是,文件系统是REE和TEE可以共同访问的,REE和TEE通过文件系统进行信息交互,交互内容包括病毒库、扫描应用程序扫描得到的应用信息数据等。
步骤S16、所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
具体的,杀毒引擎服务端利用病毒匹配算法将病毒库和应用信息数据进行匹配,从而实现对应用信息数据的检测。
步骤S17、所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
综上可以看出,本发明提供的提升杀毒应用程序安全性的方法,杀毒应用程序主体将提取的各应用程序的应用信息数据存入文件系统中,处于TEE的杀毒引擎服务端从文件系统获取应用信息数据,然后利用预先加载的病毒库对该应用信息数据进行检测,并将检测结果通过杀毒引擎客户端发送给杀毒应用程序主体。可以看出,本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone(安全域)的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。同时,基于TrustZone的安全操作系统在运行的时候,Android操作系统本身处于“冻结”状态,常规的Android病毒或者分析工具无法访问到基于TrustZone的安全操作系统。因此本发明可以有效加大杀毒应用程序被分析和恶意利用的难度,从而提升了杀毒应用程序的安全性。
为进一步优化上述实施例,在步骤S17之后,还包括:
所述杀毒应用程序主体在用户界面显示所述检测结果。
具体的,当杀毒引擎服务端在应用信息数据中检测到病毒时,杀毒应用程序主体会在用户界面显示病毒信息;
当杀毒引擎服务端在应用信息数据中没有检测到病毒时,杀毒应用程序主体会在用户界面显示当前设备正常的提示信息。
为进一步提升杀毒应用程序的安全性,本发明还对获取的应用信息数据进行了加密。
具体的,参见图2,本发明另一实施例公开的一种提升杀毒应用程序安全性的方法流程图,包括步骤:
步骤S21、处于REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
步骤S22、所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
步骤S23、所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中;
步骤S24、所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于TEE的杀毒引擎服务端发送病毒检测命令;
步骤S25、所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
步骤S26、所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
步骤S27、所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
步骤S28、所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
由于杀毒应用程序主体所处的环境是Android操作系统,杀毒引擎服务端所处的环境是TrustZone操作系统,因此杀毒应用程序主体和杀毒引擎服务端是相互独立的,为保护二者传输信息的完整性,本发明使两部分程序分别持一个非对称加密的公私钥(比如,RSA加密算法),杀毒应用程序主体持公钥,在扫描得到应用信息数据后,利用公钥对该应用信息数据进行加密,然后将加密后的应用信息数据在文件系统进行存储;杀毒引擎服务端持有私钥,在从文件系统获取应用信息数据后,利用私钥对其解密,得到解密后的应用信息数据。
综上可以看出,本发明通过对扫描得到的应用信息数据进行加密保证了被检测信息的完整性,同时保证其未被篡改。
为进一步提升杀毒应用程序的安全性,上述实施例中的病毒库为加密病毒库。
杀毒引擎服务端从文件系统加载病毒库后,首先对该病毒库进行解密,然后利用解密后的病毒库对解密后的应用信息数据进行检测。
其中,病毒库的加密过程可以和应用信息数据一样,或是采用其他方式加密,本发明在此不做限定。
需要说明的是,本发明为进一步加大攻击者分析和研究杀毒应用程序的难度,杀毒应用程序主体在文件系统存放应用信息数据的路径为随机选取的文件传输路径。
此时,杀毒引擎客户端向杀毒引擎服务端发送病毒检测命令中携带有存放应用信息数据选取的路径信息。
综上可以看出,本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone(安全域)的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。同时,基于TrustZone的安全操作系统在运行的时候,Android操作系统本身处于“冻结”状态,常规的Android病毒或者分析工具无法访问到基于TrustZone的安全操作系统。因此本发明可以有效加大杀毒应用程序被分析和恶意利用的难度,从而提升了杀毒应用程序的安全性。
同时,由于杀毒应用程序主体所处的REE环境是可能被攻击和篡改的,因此,本发明为避免杀毒应用程序主体扫描到的应用信息数据被篡改后去欺骗杀毒引擎,在杀毒应用程序主体和杀毒引擎服务器间数据交互上增加了非对称加密进行保护,所采用的加密算法和密钥强度可以保护应用信息数据的安全。
其中,本发明采用的加密技术手段可以扩展到所有REE和TEE数据交互的场景。
与上述方法实施例相对应,本发明还提供了一种提升杀毒应用程序安全性的系统。
参见图3,本发明实施例公开的一种提升杀毒应用程序安全性的系统的结构示意图,包括:
启动单元31,用于处于REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
其中,REE(RichExecutionEnvironment,富执行环境)指的是Android、Linux、Windows、IOS等操作系统。在本申请中,REE主要指Android操作系统。
需要说明的是,本步骤中的杀毒应用程序主体功能包括传统杀毒应用程序中除了杀毒引擎之外的其他部分,包括用户界面、扫描应用程序部分等。
提取单元32,用于所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
存放单元33,用于所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
命令发送单元34,用于所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于TEE的杀毒引擎服务端发送病毒检测命令;
其中,TEE(TrustedExecutionEnvironment,可信执行环境)相比REE而言,功能比较简单,且侧重于安全性设计,在本专利中特指基于TrustZone的安全操作系统。
TrustZone是一个安全术语,中文名为安全域,这个概念是ARM公司(一家全球领先的半导体知识产权提供商)提出并推广的,可以理解为基于CPU(CentralProcessingUnit,中央处理器)硬件的安全域。
接收单元35,用于所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
需要说明的是,文件系统是REE和TEE可以共同访问的,REE和TEE通过文件系统进行信息交互,交互内容包括病毒库、扫描应用程序扫描得到的应用信息数据等。
检测单元36,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
具体的,杀毒引擎服务端利用病毒匹配算法将病毒库和应用信息数据进行匹配,从而实现对应用信息数据的检测。
结果发送单元37,用于所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
综上可以看出,本发明提供的提升杀毒应用程序安全性的系统,杀毒应用程序主体将提取的各应用程序的应用信息数据存入文件系统中,处于TEE的杀毒引擎服务端从文件系统获取应用信息数据,然后利用预先加载的病毒库对该应用信息数据进行检测,并将检测结果通过杀毒引擎客户端发送给杀毒应用程序主体。可以看出,本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone(安全域)的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。同时,基于TrustZone的安全操作系统在运行的时候,Android操作系统本身处于“冻结”状态,常规的Android病毒或者分析工具无法访问到基于TrustZone的安全操作系统。因此本发明可以有效加大杀毒应用程序被分析和恶意利用的难度,从而提升了杀毒应用程序的安全性。
为进一步优化上述实施例,还包括:
显示单元,用于所述杀毒应用程序主体在用户界面显示所述检测结果。
具体的,当杀毒引擎服务端在应用信息数据中检测到病毒时,杀毒应用程序主体会在用户界面显示病毒信息;
当杀毒引擎服务端在应用信息数据中没有检测到病毒时,杀毒应用程序主体会在用户界面显示当前设备正常的提示信息。
为进一步提升杀毒应用程序的安全性,本发明还对获取的应用信息数据进行了加密。
因此,在上述实施例中,存放单元33包括:
存放子单元331,用于所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中。
与此同时,检测单元36包括:
解密子单元361,用于所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
检测子单元362,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端。
具体参见图4,本发明另一实施例公开的一种提升杀毒应用程序安全性的系统的结构示意图,包括:
启动单元31,用于处于REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
提取单元32,用于所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
存放子单元331,用于所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中;
命令发送单元34,用于所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于TEE的杀毒引擎服务端发送病毒检测命令;
接收单元35,用于所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
解密子单元361,用于所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
检测子单元362,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
结果发送单元37,用于所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
由于杀毒应用程序主体所处的环境是Android操作系统,杀毒引擎服务端所处的环境是TrustZone操作系统,因此杀毒应用程序主体和杀毒引擎服务端是相互独立的,为保护二者传输信息的完整性,本发明使两部分程序分别持一个非对称加密的公私钥(比如,RSA加密算法),杀毒应用程序主体持公钥,在扫描得到应用信息数据后,利用公钥对该应用信息数据进行加密,然后将加密后的应用信息数据在文件系统进行存储;杀毒引擎服务端持有私钥,在从文件系统获取应用信息数据后,利用私钥对其解密,得到解密后的应用信息数据。
综上可以看出,本发明通过对扫描得到的应用信息数据进行加密保证了被检测信息的完整性,同时保证其未被篡改。
为进一步提升杀毒应用程序的安全性,上述实施例中的病毒库为加密病毒库。
杀毒引擎服务端从文件系统加载病毒库后,首先对该病毒库进行解密,然后利用解密后的病毒库对解密后的应用信息数据进行检测。
其中,病毒库的加密过程可以和应用信息数据一样,或是采用其他方式加密,本发明在此不做限定。
需要说明的是,本发明为进一步加大攻击者分析和研究杀毒应用程序的难度,存放单元33包括:
发送子单元,用于所述杀毒应用程序主体利用随机选取的文件传输路径,将所述应用信息数据存放到文件系统中。
此时,杀毒引擎客户端向杀毒引擎服务端发送病毒检测命令中携带有存放应用信息数据选取的路径信息。
综上可以看出,本发明将杀毒应用程度中的关键模块杀毒引擎服务端转移到基于TrustZone(安全域)的安全操作系统的TEE中,从而使杀毒应用程序在Android操作系统中运行到这些关键模块时,自动跳转到基于TrustZone的安全操作系统来执行,由于该安全操作系统本身是为安全设计,因此不会开源出源代码给攻击者研究,从而加大了攻击者分析和研究的难度。同时,基于TrustZone的安全操作系统在运行的时候,Android操作系统本身处于“冻结”状态,常规的Android病毒或者分析工具无法访问到基于TrustZone的安全操作系统。因此本发明可以有效加大杀毒应用程序被分析和恶意利用的难度,从而提升了杀毒应用程序的安全性。
同时,由于杀毒应用程序主体所处的REE环境是可能被攻击和篡改的,因此,本发明为避免杀毒应用程序主体扫描到的应用信息数据被篡改后去欺骗杀毒引擎,在杀毒应用程序主体和杀毒引擎服务器间数据交互上增加了非对称加密进行保护,所采用的加密算法和密钥强度可以保护应用信息数据的安全。
需要说明的是,系统实施例中,各组成部分的工作原理具体请参见对应方法实施例部分,本发明在此不做限定。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1.一种提升杀毒应用程序安全性的方法,其特征在于,包括:
处于富执行环境REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于可信执行环境TEE的杀毒引擎服务端发送病毒检测命令;
所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述杀毒应用程序主体在用户界面显示所述检测结果。
3.根据权利要求1所述的方法,其特征在于,所述杀毒应用程序主体将所述应用信息数据存放到文件系统中包括:
所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中。
4.根据权利要求3所述的方法,其特征在于,所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端包括:
所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端。
5.根据权利要求1所述的方法,其特征在于,所述病毒库为加密病毒库。
6.根据权利要求1所述的方法,其特征在于,所述杀毒应用程序主体将所述应用信息数据存放到文件系统中包括:
所述杀毒应用程序主体利用随机选取的文件传输路径,将所述应用信息数据存放到文件系统中。
7.根据权利要求6所述的方法,其特征在于,所述病毒检测命令中携带有存放所述应用信息数据选取的路径信息。
8.一种提升杀毒应用程序安全性的系统,其特征在于,包括:
启动单元,用于处于富执行环境REE的杀毒应用程序主体利用接收到的用户输入的杀毒指令,启动杀毒功能;
提取单元,用于所述杀毒应用程序主体扫描所在设备上安装的各应用程序,并提取各所述应用程序的应用信息数据;
存放单元,用于所述杀毒应用程序主体将所述应用信息数据存放到文件系统中;
命令发送单元,用于所述杀毒应用程序主体调用杀毒引擎客户端,触发所述杀毒引擎客户端向处于可信执行环境TEE的杀毒引擎服务端发送病毒检测命令;
接收单元,用于所述杀毒引擎服务端接收所述病毒检测命令,并从所述文件系统获取所述应用信息数据;
检测单元,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端;
结果发送单元,用于所述杀毒引擎客户端将所述检测结果发送至所述杀毒应用程序主体。
9.根据权利要求8所述的系统,其特征在于,还包括:
显示单元,用于所述杀毒应用程序主体在用户界面显示所述检测结果。
10.根据权利要求8所述的系统,其特征在于,所述存放单元包括:
存放子单元,用于所述杀毒应用程序主体利用公钥对所述应用信息数据进行加密,并将加密后的应用信息数据存放到文件系统中。
11.根据权利要求10所述的系统,其特征在于,所述检测单元包括:
解密子单元,用于所述杀毒引擎服务端利用与所述公钥对应的私钥对所述应用信息数据进行解密,得到解密后的应用信息数据;
检测子单元,用于所述杀毒引擎服务端利用预先从所述文件系统加载的病毒库对所述解密后的应用信息数据进行检测,并将检测结果发送至所述杀毒引擎客户端。
12.根据权利要求8所述的系统,其特征在于,所述病毒库为加密病毒库。
13.根据权利要求8所述的系统,其特征在于,所述存放单元包括:
发送子单元,用于所述杀毒应用程序主体利用随机选取的文件传输路径,将所述应用信息数据存放到文件系统中。
14.根据权利要求13所述的系统,其特征在于,所述病毒检测命令中携带有存放所述应用信息数据选取的路径信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510801584.7A CN105468969B (zh) | 2015-11-19 | 2015-11-19 | 一种提升杀毒应用程序安全性的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510801584.7A CN105468969B (zh) | 2015-11-19 | 2015-11-19 | 一种提升杀毒应用程序安全性的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105468969A true CN105468969A (zh) | 2016-04-06 |
| CN105468969B CN105468969B (zh) | 2019-02-01 |
Family
ID=55606655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510801584.7A Active CN105468969B (zh) | 2015-11-19 | 2015-11-19 | 一种提升杀毒应用程序安全性的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105468969B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107305607A (zh) * | 2016-04-18 | 2017-10-31 | 大唐半导体设计有限公司 | 一种防止后台恶意程序独立运行的方法和装置 |
| CN108416215A (zh) * | 2018-03-28 | 2018-08-17 | 北京润信恒达科技有限公司 | 一种检测系统异常的方法及装置 |
| CN109117625A (zh) * | 2017-06-22 | 2019-01-01 | 华为技术有限公司 | Ai软件系统安全状态的确定方法及装置 |
| CN114036517A (zh) * | 2021-11-02 | 2022-02-11 | 安天科技集团股份有限公司 | 一种病毒识别方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1648814A (zh) * | 2005-03-25 | 2005-08-03 | 张�林 | 利用独立操作系统查杀新电脑病毒的方法 |
| CN102208002A (zh) * | 2011-06-09 | 2011-10-05 | 国民技术股份有限公司 | 一种新型计算机病毒查杀装置 |
| CN102682228A (zh) * | 2011-03-09 | 2012-09-19 | 北京网秦天下科技有限公司 | 利用sim卡查杀移动设备的病毒的方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102023933A (zh) * | 2009-09-14 | 2011-04-20 | 北京爱国者存储科技有限责任公司 | 防计算机病毒的移动存储装置及防计算机病毒的方法 |
| CN102819694B (zh) * | 2011-06-09 | 2015-12-02 | 国民技术股份有限公司 | 一种tcm芯片、查毒方法及运行tcm芯片的设备 |
| CN103150512B (zh) * | 2013-03-18 | 2015-10-21 | 珠海市君天电子科技有限公司 | 一种蜜罐系统和运用该系统检测木马的方法 |
-
2015
- 2015-11-19 CN CN201510801584.7A patent/CN105468969B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1648814A (zh) * | 2005-03-25 | 2005-08-03 | 张�林 | 利用独立操作系统查杀新电脑病毒的方法 |
| CN102682228A (zh) * | 2011-03-09 | 2012-09-19 | 北京网秦天下科技有限公司 | 利用sim卡查杀移动设备的病毒的方法和系统 |
| CN102208002A (zh) * | 2011-06-09 | 2011-10-05 | 国民技术股份有限公司 | 一种新型计算机病毒查杀装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107305607A (zh) * | 2016-04-18 | 2017-10-31 | 大唐半导体设计有限公司 | 一种防止后台恶意程序独立运行的方法和装置 |
| CN107305607B (zh) * | 2016-04-18 | 2019-12-03 | 大唐半导体设计有限公司 | 一种防止后台恶意程序独立运行的方法和装置 |
| CN109117625A (zh) * | 2017-06-22 | 2019-01-01 | 华为技术有限公司 | Ai软件系统安全状态的确定方法及装置 |
| CN109117625B (zh) * | 2017-06-22 | 2020-11-06 | 华为技术有限公司 | Ai软件系统安全状态的确定方法及装置 |
| CN108416215A (zh) * | 2018-03-28 | 2018-08-17 | 北京润信恒达科技有限公司 | 一种检测系统异常的方法及装置 |
| CN114036517A (zh) * | 2021-11-02 | 2022-02-11 | 安天科技集团股份有限公司 | 一种病毒识别方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105468969B (zh) | 2019-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170034189A1 (en) | Remediating ransomware | |
| US20170243203A1 (en) | Crm security core | |
| KR101754308B1 (ko) | 모바일 민감 데이터 관리 방법 및 이를 수행하는 위탁 서버 | |
| US9245154B2 (en) | System and method for securing input signals when using touch-screens and other input interfaces | |
| Li et al. | Mayhem in the push clouds: Understanding and mitigating security hazards in mobile push-messaging services | |
| US20090019528A1 (en) | Method for realizing network access authentication | |
| CN105260663A (zh) | 一种基于TrustZone技术的安全存储服务系统及方法 | |
| US20130061325A1 (en) | Dynamic Cleaning for Malware Using Cloud Technology | |
| US10581819B1 (en) | Network traffic scanning of encrypted data | |
| CN105468969A (zh) | 一种提升杀毒应用程序安全性的方法及系统 | |
| CN105320535A (zh) | 一种安装包的校验方法、客户端、服务器及系统 | |
| CN101582896A (zh) | 第三方网络认证系统及其认证方法 | |
| US9240978B2 (en) | Communication system having message encryption | |
| Song et al. | Impeding Automated Malware Analysis with Environment-sensitive Malware. | |
| CN105959648A (zh) | 一种加密方法、装置及视频监控系统 | |
| Baray et al. | WLAN security protocols and WPA3 security approach measurement through aircrack-ng technique | |
| Thakur et al. | Ransomware: Threats, identification and prevention | |
| CA2927547C (en) | Crm security core | |
| CN105610770A (zh) | 访问方法、访问装置、终端、加密方法、加密装置和终端 | |
| Khan et al. | A malicious attacks and defense techniques on android-based smartphone platform | |
| CN110933028B (zh) | 报文传输方法、装置、网络设备及存储介质 | |
| KR20140123353A (ko) | 보안 메시지 전송 시스템, 이를 위한 장치 및 그의 보안 메시지 처리 방법 | |
| CN113672973A (zh) | 基于可信执行环境的risc-v架构的嵌入式设备的数据库系统 | |
| CN115146284A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| Nicula | Generating antivirus evasive executables using code mutation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 101-105, floor 1, Chuangda building, No. 9, Qinghua East Road, Haidian District, Beijing 100083 (Dongsheng District) Patentee after: Thunder Software Technology Co., Ltd. Address before: 100191 Beijing Haidian District Lung Cheung Road No. 1 Tai Xiang business building 4 layer 401-409 Patentee before: Thunder Software Technology Co., Ltd. |