CN106203104A - 一种恶意代码查杀方法、装置及设备 - Google Patents
一种恶意代码查杀方法、装置及设备 Download PDFInfo
- Publication number
- CN106203104A CN106203104A CN201610481643.1A CN201610481643A CN106203104A CN 106203104 A CN106203104 A CN 106203104A CN 201610481643 A CN201610481643 A CN 201610481643A CN 106203104 A CN106203104 A CN 106203104A
- Authority
- CN
- China
- Prior art keywords
- application program
- information
- terminal
- application
- pushed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种恶意代码查杀方法,包括:接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;检测终端中是否存在与所述应用程序标识对应的应用程序;若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。另,本发明实施例还提供一种恶意代码查杀装置及设备。所述恶意代码查杀方法及装置可以避免因恶意代码快速更新而导致终端查杀不及时的情况,保证用户终端运行环境的安全。
Description
技术领域
本发明涉及计算机软件领域,尤其涉及一种恶意代码查杀方法、装置及设备。
背景技术
随着智能设备的大量普及,智能设备上的恶意应用也汹涌而来,巨大的经济利益驱使病毒作者不顾法律道德的约束编写大量的恶意应用,为了躲避杀毒软件的查杀,恶意应用会不断更新病毒程序并且采用云端下发的方式更新病毒程序,以最大的程度保证病毒程序存活在终端设备中。
传统的恶意代码查杀方法一般都需要用户主动使用安全软件扫描或者在应用安装时进行扫描,如果用户主动扫描时或者应用安装后第一次检测不出病毒,则只能等用户下次主动扫描。然而,由于病毒会不断更新,这样就会存在扫描不及时的情况,让病毒更长的时间存活在终端中。此外,虽然已有安全软件增加了定时扫描功能,但该功能需要用户主动设置定时扫描频率,如果扫描频率设置过高,在采用云端查杀的方式时会导致流量浪费;如果扫描频率设置过低,则会导致扫描不及时,增加终端数据被病毒劫持的风险,可能给用户带来损失。
发明内容
为解决现有技术中所存在的上述问题,本发明提供一种恶意代码查杀方法、装置及设备,通过云端查杀的方式获取终端的应用程序文件的安全信息,进而将获取到的安全信息推送给终端,从而可以有效避免因恶意代码快速更新而导致终端查杀不及时的情况,保证用户终端运行环境的安全。
一种恶意代码查杀方法,应用于终端,所述方法包括:
接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测终端中是否存在与所述应用程序标识对应的应用程序;
若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,所述接收从服务器端发来的推送信息之前,所述方法还包括:
检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述方法还包括:
将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
可选的,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
可选的,所述对所述应用程序执行相应的安全处理,包括:
展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
一种恶意代码查杀方法,应用于服务器端,所述方法包括:
判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,所述判断应用程序的安全性之前,所述方法还包括:
接收终端发送的应用程序标识和终端标识;
根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息;
根据所述终端标识将所述查询结果信息推送给对应的终端,所述查询结果信息中包含应用程序标识和应用程序安全信息。
可选的,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述方法还包括:
将所述应用程序标记为未知应用程序,并根据所述终端标识反馈安全信息不存在标识给对应的终端;
接收终端发送的所述未知应用程序的应用程序文件。
可选的,所述判断应用程序的安全性,包括:
通过至少一个服务器端杀毒引擎对所述未知应用程序的应用程序文件进行安全扫描;
根据安全扫描结果鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
可选的,若根据所述安全扫描结果无法鉴定所述未知应用程序的应用程序文件中是否包含恶意代码,则所述判断应用程序的安全性,还包括:
通过虚拟化环境运行所述未知应用程序的应用程序文件,并监测所述未知应用程序的应用程序文件的行为;
根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
一种恶意代码查杀装置,应用于终端,所述装置包括:
接收单元,用于接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测单元,用于检测终端中是否存在与所述应用程序标识对应的应用程序;
处理单元,用于在所述设备中存在与所述应用程序标识对应的应用程序时,根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,所述装置还包括发送单元,
所述检测单元,还用于检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
所述发送单元,用于将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
所述接收单元,还用于接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
所述处理单元,还用于根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,所述发送单元,还用于在所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
可选的,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
可选的,所述处理单元,还用于展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
一种恶意代码查杀装置,应用于服务器端,所述装置包括:
安全鉴定单元,用于判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
信息推送单元,用于根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可选的,所述装置还包括:
数据接收单元,用于接收终端发送的应用程序标识和终端标识;
所述安全鉴定单元,还用于根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息;
所述信息推送单元,还用于根据所述终端标识将所述查询结果信息推送给对应的终端,所述查询结果信息中包含应用程序标识和应用程序安全信息。
可选的,所述安全鉴定单元,还用于在所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,将所述应用程序标记为未知应用程序;
所述信息推送单元,还用于所述根据所述终端标识反馈安全信息不存在标识给对应的终端;
所述数据接收单元,还用于接收终端发送的所述未知应用程序的应用程序文件。
可选的,所述安全鉴定单元包括:
安全扫描子单元,用于通过至少一个服务器端杀毒引擎对所述未知应用程序的应用程序文件进行安全扫描;并
根据安全扫描结果鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
可选的,所述安全鉴定单元还包括:
虚拟运行子单元,用于通过虚拟化环境运行所述未知应用程序的应用程序文件,并监测所述未知应用程序的应用程序文件的行为;以及
根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
一种恶意代码查杀设备,包括处理器和存储器,所述处理器与所存储器连接,所述存储器用于存储可执行程序代码,所述处理器用于调用存储于所述存储器中的可执行程序代码,并执行如下操作:
接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测终端中是否存在与所述应用程序标识对应的应用程序;
若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
一种恶意代码查杀设备,包括处理器和存储器,所述处理器与所存储器连接,所述存储器用于存储可执行程序代码,所述处理器用于调用存储于所述存储器中的可执行程序代码,并执行如下操作:
判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
本发明实施例所述的恶意代码查杀方法、装置及设备中,通过接收服务器端发来的包含应用程序标识和应用程序安全信息的推送信息,进而可根据所述程序标识检测终端中是否存在与所述应用程序标识对应的应用程序,若存在,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。由于服务器端通过主动推送的方式将所述应用程序标识和应用程序安全信息推送给终端,从而可以有效避免因恶意代码快速更新而导致终端查杀不及时的情况,保证用户终端运行环境的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例提供的恶意代码查杀方法的流程示意图;
图2是图1所示恶意代码查杀方法的另一流程示意图;
图3是本发明第二实施例提供的恶意代码查杀方法的流程示意图;
图4是图3所示恶意代码查杀方法的另一流程示意图;
图5是图3所示恶意代码查杀方法的又一流程示意图;
图6是本发明第三实施例提供的恶意代码查杀装置的结构示意图;
图7是本发明第四实施例提供的恶意代码查杀装置的结构示意图;
图8是本发明第五实施例提供的恶意代码查杀设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明第一实施例提供一种恶意代码查杀方法,应用于终端,所述方法包括:
步骤S12:接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
步骤S14:检测终端中是否存在与所述应用程序标识对应的应用程序;
步骤S16:若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
所述终端可以为智能手机、平板电脑、智能手表等用户终端,所述终端可以包括唯一的终端标识,例如国际移动设备标识(International Mobile Equipment Identity,IMEI)、通用唯一识别码(Universally Unique Identifier,UUID)或是其他可以唯一识别所述终端的信息。在本实施例中,可选所述终端的IMEI作为所述终端标识。所述终端可以运行操作系统,如安卓、IOS、Windows等。基于所述操作系统,所述终端还可以安装和运行各种应用程序(App),包括系统应用程序和用户应用程序,例如杀毒引擎应用程序、网页浏览器应用程序、购物商城应用程序等。每一个所述应用程序在首次安装后或者更新后可以获取应用程序标识作为应用程序文件的唯一身份信息,用于识别所述应用程序文件。在本实施例中,所述应用程序标识为应用程序文件的散列值,比如可以计算应用程序安装文件的MD5值作为应用程序标识。
所述终端可以通过移动互联网与所述服务器端进行数据通信,例如,所述终端可以通过发送所述终端标识给所述服务器端,以建立所述终端和所述服务器端之间的映射关系。此外,所述终端在应用程序首次安装或更新时还可以将应用程序标识发送至所述服务器端,以使得所述服务器端可以根据所述应用程序标识判断应用程序的安全性。所述服务器端可以预设有当前主流应用市场(如Google Play、App Store)常见的应用程序对应的应用程序标识及应用程序安全信息,当所述服务器端在接收到所述终端标识及应用程序标识后,根据所述应用程序标识查询对应的应用程序安全信息,进而根据所述终端标识将所述应用程序安全信息推送给对应的终端。由于在应用程序首次安装时及每次应用程序更新时,所述终端均会主动将新安装或更新后的应用程序标识发送给所述服务器端,使得所述服务器端可以及时地对新安装或更新后的应用程序的安全性进行检查,从而可以有效避免因恶意代码快速更新而导致终端查杀不及时的情况,保证用户终端运行环境的安全。
可以理解,所述服务器端也可以定期更新当前主流应用市场中存在恶意代码的应用程序,并生成包含应用程序标识和应用程序安全信息的推送信息,进而将所述推送信息定期推送至与所述服务器建立通信连接的终端。当所述终端接收到所述推送信息后,根据所述推送信息中包含的应用程序标识,检测终端中是否包含于所述应用程序标识对应的应用程序,若存在,则根据所述推送信息中包含的应用程序安全信息,对所述应用程序执行相应的安全处理。
请参阅图2,在一种实施方式中,所述接收从服务器端发来的推送信息之前,所述方法还包括:
步骤S111:检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
步骤S113:将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
步骤S115:接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
步骤S117:根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
具体地,对所述终端中安装的应用程序进行安全检测扫描时,生成对应的应用程序标识和终端标识。通过将所述应用程序标识和终端标识上传至服务器端,以使服务器端可以根据所述应用程序标识查询对应的应用程序安全信息,并生成包含应用程序标识和应用程序安全信息的查询结果信息,进而发送给所述终端。所述终端通过接收所述服务器端发送的查询结果信息,并根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
可以理解,为最大程度地保证所述终端运行环境的安全,首次对终端环境进行安全扫描时,可以主动检测所述终端中安装的所有应用程序,获取所述终端的终端标识及所述终端上所有应用程序的标识,并将所有应用程序的标识和所述终端标识发送给所述服务器端,以便于所述服务器端可以根据所述应用程序的标识查询所述终端上已安装的所有应用程序的安全信息,进而根据所述终端标识信息将所述所有应用程序的安全信息发送回对应的终端。
在本实施例中,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
在一种实施方式中,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述方法还包括:
将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
可以理解,所述查询结果信息中还可以包括安全信息不存在标识,所述安全信息不存在标识可以由所述服务器端在查询不到应用程序安全信息时生成,其中包括安全信息不存在的应用程序的标识。当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述终端通过获取所述查询结果信息中包含的安全信息不存在标识,进而根据所述安全信息不存在标识中的应用程序标识,将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端,以使得所述服务器端可以根据上传的应用程序文件进一步鉴定所述应用程序的应用程序文件中是否包含恶意代码。
其中,所述对所述应用程序执行相应的安全处理,包括:
展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
具体地,当所述终端接收到所述推送信息之后,若检测到所述设备中存在与所述推送信息中的应用程序标识对应的应用程序,则从所述推送信息中提取对应于该应用程序标识的应用程序安全信息,并可以将所述应用程序安全信息展示给终端用户。例如,当所述应用程序安全信息表明对应的应用程序中包含恶意代码时,可以通过提示窗口的形式告知终端用户,并可以建议用户手动清除所述包含恶意代码的应用程序,或者,也可以通过所述提示窗口接收用户的同一清除指令,进而自动清除所述包含恶意代码的应用程序。
请参阅图3,本发明第二实施例提供一种恶意代码查杀方法,应用于服务器端,所述方法包括:
步骤S22:判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
步骤S24:根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
所述服务器端可以是接入互联网的计算机,其可以通过互联网与至少一个终端建立通信连接,进而在判断所述应用程序的安全性之后,将对应的推送信息通过互联网推送给对应的终端。在一种实施方式中,所述服务器端中设置有应用程序安全性鉴定引擎,所述应用程序安全性鉴定引擎可以对应用程序文件的安全性进行鉴定,以判断所述应用程序文件中是否包含恶意代码,进而根据判断结果生成对应的推送信息,并根据终端标识将所述推送信息推送给对应的中。可以理解,所述应用程序文件可以是由所述服务器端从互联网获取的应用程序文件,例如通过在应用市场下载而获取到的应用程序文件,也可以是接收所述终端发送过来的应用程序文件。
请参阅图4,在一种实施方式中,所述判断应用程序的安全性之前,所述方法还包括:
步骤S211:接收终端发送的应用程序标识和终端标识;
步骤S213:根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息;
步骤S215:根据所述终端标识将所述查询结果信息推送给对应的终端,所述查询结果信息中包含应用程序标识和应用程序安全信息。
具体地,所述服务器端可以预设有当前主流应用市场(如Google Play、AppStore)常见的应用程序对应的应用程序标识及应用程序安全信息,当所述服务器端在接收到所述终端标识及应用程序标识后,根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息,进而根据所述终端标识将所述查询结果信息推送给对应的终端。终端在接收到所述查询结果信息后,通过获取所述查询结果信息中包含的应用程序标识和应用程序安全信息,进而对终端中安装的应用程序执行相应的安全处理。例如,对于应用程序安全信息指示存在恶意代码的应用,可以将其清除,以保证终端运行环境的安全。
可以理解,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述方法还包括:
将所述应用程序标记为未知应用程序,并根据所述终端标识反馈安全信息不存在标识给对应的终端;
接收终端发送的所述未知应用程序的应用程序文件。
在一种实施方式中,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述服务器端将所述应用程序标记为未知应用程序,并根据所述终端标识反馈安全信息不存在标识给对应的终端。可以理解,所述安全信息不存在标识可以包含于所述查询结果信息中。当所述终端接收到所述服务器端推送的所述查询结果信息时,若所述查询结果信息中包含所述安全信息不存在标识,则表明所述终端中存在某一个或多个应用程序无法从所述服务器端直接查询到安全信息。此时,所述终端根据所述安全信息不存在标识,将所述未知应用程序的应用程序文件上传至所述服务器端,以使得所述服务器端可以根据所述应用程序文件对所述未知应用程序的安全性进行鉴定。
请参阅图5,在一种实施方式中,所述判断应用程序的安全性,包括:
步骤S221:通过至少一个服务器端杀毒引擎对所述未知应用程序的应用程序文件进行安全扫描;
步骤S223:根据安全扫描结果鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
可以理解,当接收到所述终端发送的所述未知应用程序的应用程序文件时,所述服务器端可以通过设置于所述服务器端的杀毒引擎对所述应用程序文件进行安全扫描,进而根据安全扫描结构鉴定所述应用程序文件中是否包含恶意代码。如果经过一个杀毒引擎扫描之后依然无法确定所述应用程序文件是否包含恶意代码,则可以通过多个杀毒引擎分别对所述应用程序文件进行扫描,当有超过预设比例(例如1/3)的杀毒引擎指示所述应用程序文件中包含恶意代码时,则可鉴定所述应用程序文件中包含恶意代码;否则,若只有少于预设比例的杀毒引擎指示所述应用程序文件中包含恶意代码时,表示采用多个杀毒引擎的方法依然不能确定所述应用程序文件是否包含恶意代码。
若根据所述安全扫描结果无法鉴定所述未知应用程序的应用程序文件中是否包含恶意代码,则所述判断应用程序的安全性,还包括:
步骤S225:通过虚拟化环境运行所述未知应用程序的应用程序文件,并监测所述未知应用程序的应用程序文件的行为;
步骤S227:根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码;
步骤S229:根据鉴定结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息。
其中,所述虚拟化环境可以为沙箱,所述应用程序文件对应的未知应用程序可以被安装并运行于所述沙箱提供的虚拟化环境中,同时,所述沙箱中还可以安装并运行有应用程序行为监测软件,用于监测所述应用程序文件在运行过程中的行为,当监测到所述应用程序文件在运行过程中存在类似恶意代码的行为时,例如,对系统文件的强制更改或是对于系统提示窗口的拦截等行为,则鉴定所述应用程序文件中包含恶意代码。
可以理解,作为一种可选的实施方式,如果通过沙箱依然无法确定所述应用程序文件中是否包含恶意代码,则可以进一步通过人工鉴定的方式来对所述应用程序文件的安全性进行鉴定。即,所述根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码可以是人工鉴定。例如,通过将所述应用程序文件转换为对应的代码,进而通过人工对所述代码进行检查,以确定其中是否包含恶意代码。
当所述服务器端在确定所述未知应用程序的应用程序文件是否包含恶意代码之后,生成包含所述未知应用程序的安全信息的推送信息,进而根据所述设备标识信息将所述推送信息推送给对应的终端,当所述终端接收到所述推送信息后,可以根据所述推送信息中的应用程序安全信息对所述未知应用程序执行相应的安全处理。例如,可以通过提示窗口的形式告知终端用户,并可以建议用户手动清除所述包含恶意代码的应用程序,或者,也可以通过所述提示窗口接收用户的同一清除指令,进而自动清除所述包含恶意代码的应用程序,以保证所述终端运行环境的安全。
请参阅图6,本发明第三实施例提供一种恶意代码查杀装置30,应用于终端,所述装置包括:
接收单元31,用于接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测单元33,用于检测终端中是否存在与所述应用程序标识对应的应用程序;
处理单元35,用于在所述设备中存在与所述应用程序标识对应的应用程序时,根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,所述装置还包括发送单元37,
所述检测单元33,还用于检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
所述发送单元37,用于将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
所述接收单元31,还用于接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
所述处理单元35,还用于根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,所述发送单元37,还用于在所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
其中,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
其中,所述处理单元35,还用于展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
可以理解,本实施例中所述恶意代码查杀装置30的各个组成单元的功能及其具体实现还可以参照本发明图1-图2所示方法实施例中的相关描述,此处不再赘述。
请参阅图7,本发明第四实施例提供一种恶意代码查杀装置40,应用于服务器端,所述装置包括:
安全鉴定单元41,用于判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
信息推送单元43,用于根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,所述装置还包括:
数据接收单元45,用于接收终端发送的应用程序标识和终端标识;
所述安全鉴定单元41,还用于根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息;
所述信息推送单元43,还用于根据所述终端标识将所述查询结果信息推送给对应的终端,所述查询结果信息中包含应用程序标识和应用程序安全信息。
其中,所述安全鉴定单元41,还用于在所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,将所述应用程序标记为未知应用程序;
所述信息推送单元43,还用于所述根据所述终端标识反馈安全信息不存在标识给对应的终端;
所述数据接收单元45,还用于接收终端发送的所述未知应用程序的应用程序文件。
其中,所述安全鉴定单元41包括:
安全扫描子单元411,用于通过至少一个服务器端杀毒引擎对所述未知应用程序的应用程序文件进行安全扫描;并
根据安全扫描结果鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
其中,所述安全鉴定单元41还包括:
虚拟运行子单元413,用于通过虚拟化环境运行所述未知应用程序的应用程序文件,并监测所述未知应用程序的应用程序文件的行为;以及
根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
可以理解,本实施例中所述恶意代码查杀装置30的各个组成单元的功能及其具体实现还可以参照本发明图3-图5所示方法实施例中的相关描述,此处不再赘述。
请参阅图8,本发明第五实施例提供一种恶意代码查杀设备50,包括处理器51和存储器53,所述处理器51与所存储器53连接,所述存储器53用于存储可执行程序代码,所述处理器51用于调用存储于所述存储器53中的可执行程序代码,并执行对应的操作。
在一种实施方式中,所述恶意代码查杀设备50可以是终端,例如手机、平板电脑等,所述处理器51用于调用存储于所述存储器53中的可执行程序代码,并执行如下操作:
接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测终端中是否存在与所述应用程序标识对应的应用程序;
若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,所述接收从服务器端发来的推送信息之前,所述操作还包括:
检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述操作还包括:
将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
其中,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
其中,所述对所述应用程序执行相应的安全处理,包括:
展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
在一种实施方式中,所述恶意代码查杀设备50可以是服务器,所述处理器51用于调用存储于所述存储器53中的可执行程序代码,并执行如下操作:
判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
其中,所述判断应用程序的安全性之前,所述操作还包括:
接收终端发送的应用程序标识和终端标识;
根据所述应用程序标识查询对应的应用程序安全信息,并生成查询结果信息;
根据所述终端标识将所述查询结果信息推送给对应的终端,所述查询结果信息中包含应用程序标识和应用程序安全信息。
其中,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述操作还包括:
将所述应用程序标记为未知应用程序,并根据所述终端标识反馈安全信息不存在标识给对应的终端;
接收终端发送的所述未知应用程序的应用程序文件。
其中,所述判断应用程序的安全性,包括:
通过至少一个服务器端杀毒引擎对所述未知应用程序的应用程序文件进行安全扫描;
根据安全扫描结果鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
其中,若根据所述安全扫描结果无法鉴定所述未知应用程序的应用程序文件中是否包含恶意代码,则所述判断应用程序的安全性,还包括:
通过虚拟化环境运行所述未知应用程序的应用程序文件,并监测所述未知应用程序的应用程序文件的行为;
根据所述未知应用程序的应用程序文件的行为鉴定所述未知应用程序的应用程序文件中是否包含恶意代码。
可以理解,本实施例中所述处理器51执行的各操作步骤的具体内容及其实现还可以参照本发明图1-图5所示方法实施例中的相关描述,此处不再赘述。
本发明实施例所述的恶意代码查杀方法、装置及设备中,通过接收服务器端发来的包含应用程序标识和应用程序安全信息的推送信息,进而可根据所述程序标识检测终端中是否存在与所述应用程序标识对应的应用程序,若存在,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。由于服务器端通过主动推送的方式将所述应用程序标识和应用程序安全信息推送给终端,从而可以有效避免因恶意代码快速更新而导致终端查杀不及时的情况,保证用户终端运行环境的安全。
以上所揭露的仅为本发明的较佳实施例而已,当然不能以此来限定本发明的权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种恶意代码查杀方法,其特征在于,应用于终端,所述方法包括:
接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测终端中是否存在与所述应用程序标识对应的应用程序;
若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
2.如权利要求1所述的方法,其特征在于,所述接收从服务器端发来的推送信息之前,所述方法还包括:
检测终端中安装的应用程序,并生成对应的应用程序标识和终端标识;
将所述应用程序标识和终端标识上传至服务器端,以使服务器端根据所述应用程序标识查询对应的应用程序安全信息;
接收服务器端根据所述终端标识发来的查询结果信息,所述查询结果信息中包含应用程序标识和应用程序安全信息;
根据所述查询结果信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
3.如权利要求2所述的方法,其特征在于,当所述查询结果信息表明所述应用程序在所述服务器端不存在应用程序安全信息时,所述方法还包括:
将所述不存在应用程序安全信息的应用程序文件上传至所述服务器端。
4.如权利要求2所述的方法,其特征在于,所述检测终端中安装的应用程序包括检测终端中已经安装的应用程序、新安装的应用程序及已经安装的应用程序的更新。
5.如权利要求1-4任意一项所述的方法,其特征在于,所述对所述应用程序执行相应的安全处理,包括:
展示所述应用程序安全信息,和/或,清除包含恶意代码的应用程序。
6.一种恶意代码查杀方法,其特征在于,应用于服务器端,所述方法包括:
判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
7.一种恶意代码查杀装置,其特征在于,应用于终端,所述装置包括:
接收单元,用于接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测单元,用于检测终端中是否存在与所述应用程序标识对应的应用程序;
处理单元,用于在所述设备中存在与所述应用程序标识对应的应用程序时,根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
8.一种恶意代码查杀装置,其特征在于,应用于服务器端,所述装置包括:
安全鉴定单元,用于判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
信息推送单元,用于根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
9.一种恶意代码查杀设备,其特征在于,包括处理器和存储器,所述处理器与所存储器连接,所述存储器用于存储可执行程序代码,所述处理器用于调用存储于所述存储器中的可执行程序代码,并执行如下操作:
接收从服务器端发来的推送信息,所述推送信息包含应用程序标识和应用程序安全信息,所述推送信息是由服务器端根据终端标识推送来的;
检测终端中是否存在与所述应用程序标识对应的应用程序;
若所述设备中存在与所述应用程序标识对应的应用程序,则根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
10.一种恶意代码查杀设备,其特征在于,包括处理器和存储器,所述处理器与所存储器连接,所述存储器用于存储可执行程序代码,所述处理器用于调用存储于所述存储器中的可执行程序代码,并执行如下操作:
判断应用程序的安全性,并根据判断结果生成对应的推送信息,所述推送信息包含应用程序标识和应用程序安全信息;
根据终端标识将所述推送信息推送给对应的终端,以使所述终端根据所述推送信息中的应用程序安全信息对所述应用程序执行相应的安全处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610481643.1A CN106203104A (zh) | 2016-06-27 | 2016-06-27 | 一种恶意代码查杀方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610481643.1A CN106203104A (zh) | 2016-06-27 | 2016-06-27 | 一种恶意代码查杀方法、装置及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106203104A true CN106203104A (zh) | 2016-12-07 |
Family
ID=57462020
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610481643.1A Pending CN106203104A (zh) | 2016-06-27 | 2016-06-27 | 一种恶意代码查杀方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106203104A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107194253A (zh) * | 2017-05-23 | 2017-09-22 | 维沃移动通信有限公司 | 一种应用程序处理方法、移动终端及云服务器 |
CN116759040A (zh) * | 2023-08-17 | 2023-09-15 | 北方健康医疗大数据科技有限公司 | 一种用于医疗大数据的数据治理系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120174225A1 (en) * | 2010-12-30 | 2012-07-05 | Verisign, Inc. | Systems and Methods for Malware Detection and Scanning |
CN103067391A (zh) * | 2012-12-28 | 2013-04-24 | 广东欧珀移动通信有限公司 | 一种恶意权限的检测方法、系统及设备 |
CN103714289A (zh) * | 2013-12-02 | 2014-04-09 | 百度在线网络技术(北京)有限公司 | 一种确定移动应用的查杀结果的方法与装置 |
CN103917981A (zh) * | 2011-11-10 | 2014-07-09 | 思科博瑞公司 | 未授权应用程序的检测系统及方法 |
CN104346570A (zh) * | 2014-12-01 | 2015-02-11 | 西安邮电大学 | 一种基于动态代码序列跟踪分析的木马判定系统 |
CN105303106A (zh) * | 2014-06-06 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 恶意代码处理方法、装置及系统 |
-
2016
- 2016-06-27 CN CN201610481643.1A patent/CN106203104A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120174225A1 (en) * | 2010-12-30 | 2012-07-05 | Verisign, Inc. | Systems and Methods for Malware Detection and Scanning |
CN103917981A (zh) * | 2011-11-10 | 2014-07-09 | 思科博瑞公司 | 未授权应用程序的检测系统及方法 |
CN103067391A (zh) * | 2012-12-28 | 2013-04-24 | 广东欧珀移动通信有限公司 | 一种恶意权限的检测方法、系统及设备 |
CN103714289A (zh) * | 2013-12-02 | 2014-04-09 | 百度在线网络技术(北京)有限公司 | 一种确定移动应用的查杀结果的方法与装置 |
CN105303106A (zh) * | 2014-06-06 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 恶意代码处理方法、装置及系统 |
CN104346570A (zh) * | 2014-12-01 | 2015-02-11 | 西安邮电大学 | 一种基于动态代码序列跟踪分析的木马判定系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107194253A (zh) * | 2017-05-23 | 2017-09-22 | 维沃移动通信有限公司 | 一种应用程序处理方法、移动终端及云服务器 |
CN107194253B (zh) * | 2017-05-23 | 2019-08-20 | 维沃移动通信有限公司 | 一种应用程序处理方法、移动终端及云服务器 |
CN116759040A (zh) * | 2023-08-17 | 2023-09-15 | 北方健康医疗大数据科技有限公司 | 一种用于医疗大数据的数据治理系统及方法 |
CN116759040B (zh) * | 2023-08-17 | 2024-01-09 | 北方健康医疗大数据科技有限公司 | 一种用于医疗大数据的数据治理系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102663288B (zh) | 病毒查杀方法及装置 | |
KR101389682B1 (ko) | 바이러스 피해를 방지하는 시스템 및 방법 | |
CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
KR101281825B1 (ko) | 클라우드 시스템에서 가상 인터페이스를 이용하는 보안 강화 장치 및 방법 | |
CN109635523B (zh) | 应用程序检测方法、装置及计算机可读存储介质 | |
CN104462978A (zh) | 一种应用程序权限管理的方法和装置 | |
CN110149298B (zh) | 一种劫持检测的方法和装置 | |
CN102945348B (zh) | 文件信息收集方法与装置 | |
CN106843957A (zh) | 系统固件升级方法及装置 | |
CN107370740B (zh) | 跳转拦截方法和装置 | |
CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
CN107634931A (zh) | 异常数据的处理方法、云端服务器、网关及终端 | |
CN103632096A (zh) | 一种对设备进行安全检测方法和装置 | |
CN104346566A (zh) | 检测隐私权限风险的方法、装置、终端、服务器及系统 | |
CN107682361B (zh) | 网站漏洞扫描方法、装置、计算机设备及存储介质 | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN102571812A (zh) | 一种网络威胁的跟踪识别方法及装置 | |
CN110856126A (zh) | 信息上报、接收方法、终端设备及存储介质 | |
CN103065083A (zh) | 一种智能移动终端的应用程序接口监控方法及系统 | |
CN103902900A (zh) | 外部提取式移动终端恶意代码检测装置及方法 | |
CN110545269A (zh) | 访问控制方法、设备及存储介质 | |
CN104573492A (zh) | 一种应用软件安全下载安装的方法及装置 | |
CN105554137A (zh) | 一种备份系统及方法 | |
CN104700029A (zh) | 一种软件在线检测方法、装置和服务器 | |
CN106203104A (zh) | 一种恶意代码查杀方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |