CN106372509B - 一种查杀未知可疑应用程序的方法及装置 - Google Patents
一种查杀未知可疑应用程序的方法及装置 Download PDFInfo
- Publication number
- CN106372509B CN106372509B CN201610874214.0A CN201610874214A CN106372509B CN 106372509 B CN106372509 B CN 106372509B CN 201610874214 A CN201610874214 A CN 201610874214A CN 106372509 B CN106372509 B CN 106372509B
- Authority
- CN
- China
- Prior art keywords
- unknown
- icon
- applications
- application programs
- unknown applications
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- User Interface Of Digital Computer (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种查杀未知可疑应用程序的方法及装置,涉及互联网技术领域,主要目的在于解决如何在海量应用中有效的查杀未知可疑应用程序的问题。本发明的方法包括:根据应用程序的查询量获取未知应用程序;检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;当确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。本发明主要用于查杀未知应用程序中的病毒。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种查杀未知可疑应用程序的方法及装置。
背景技术
随着互联网的发展尤其是移动互联网的普及,越来越多的应用程序在移动终端被使用。而在这些海量的应用程序中,也同样伴随着恶意程序。恶意程序也可以称为病毒程序,能够感染安装终端,损坏或窃取安装终端的文件,甚至远程控制安装终端。随着人们对互联网安全越来越重视,那些传播量或查询量很大的应用程序通常都不会具有病毒、即使具有病毒也能很快被人们发现并将病毒进行查杀。
然而在日常监控应用程序的过程中发明人发现:现有在检测恶意程序时,通常是针对那些大众普及的应用程序进行检测,并且在这样的应用程序中检测到病毒后,能够很快进行查杀。但是对于那些针对特定用户群、特定部门、甚至是特定个人对象的应用程序而言,即使出现病毒,也不容易被用户发现或报告;或者,当某个应用程序在还没有普及之前已被感染病毒,但是并未被及时发现,那么在普及之后发现病毒时已经为时已晚,造成了较严重的后果。因此,如何有效的发现未知可疑程序就成为目前查杀病毒程序过程中亟待解决的技术问题。
发明内容
有鉴于此,本发明提出了一种查杀未知可疑应用程序的方法及装置,主要目的在于解决如何在海量应用中有效的查杀未知可疑应用程序的问题。
依据本发明的第一个方面,本发明提供了一种查杀未知可疑应用程序的方法,包括:
根据应用程序的查询量获取未知应用程序;
检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;
当确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。
依据本发明的第二个方面,本发明提供了一种查杀未知可疑应用程序的装置,包括:
获取单元,用于根据应用程序的查询量获取未知应用程序;
检测单元,用于检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;
查杀单元,用于当所述检测单元的确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。
借由上述技术方案,本发明实施例提供的一种查杀未知可疑应用程序的方法及装置,能够通过应用程序的查询量确定未知应用程序,也就是传播量不大的应用程序,然后检测未知应用程序的文件名以及图标是否可疑,当未知应用程序的文件名以及图标可疑时,将可疑的未知应用程序进行病毒查杀,确定未知应用程序是否感染病毒。由于某些定向攻击病毒只隐藏在那些传播量或查询量较少的应用程序中,或者刚出现不久的应用程序中,而现有技术中通常对流行的或者广泛传播的应用程序进行病毒查杀,因此无法快速有效的查杀这些定向攻击病毒。而本发明能够根据应用程序的查询量确定未知应用程序,并通过检测未知应用程序的文件名以及图标,来确定未知可疑应用程序,并通过病毒查杀的方式确定未知可疑应用程序是否感染病毒,从而从海量应用程序中确定用于进行定向攻击的病毒。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种查杀未知可疑应用程序的方法的流程图;
图2示出了本发明实施例提供的一种查杀未知可疑应用程序的装置的组成框图;
图3示出了本发明实施例提供的一种查杀未知可疑应用程序的装置的组成框图;
图4示出了本发明实施例提供的一种查杀未知可疑应用程序的装置的组成框图。
具体实施方式
下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
由于现有技术在海量的应用程序中查杀病毒时,往往只是对那些传播量、下载量或者查询量较高的应用程序进行病毒查杀,以免病毒的大范围感染。但是对于那些定向攻击的病毒而言,其通常不会潜伏在这些用户量较大的应用程序中,因此定向攻击的病毒不容易被查杀出来。或者,当某个病毒潜伏在那些刚出现的应用程序或者刚破解的应用程序中时,由于这样的应用程序还未大范围传播,因此病毒并不容易被发现,如果不能及时查杀该病毒,那么等到应用程序传播量扩大后才发现病毒则为时已晚。
基于上述原因,本发明实施例提供了一种查杀未知可疑应用程序的方法,能够在海量应用程序中查询出定向攻击的病毒或者还未大范围传播的病毒。如图1所示,该方法包括:
101、根据应用程序的查询量获取未知应用程序。
在研究应用程序病毒的过程中,会存在定向攻击的病毒或者是还未大范围传播的病毒,这些定向攻击的病毒或者是还未大范围传播的病毒通常都潜伏于那些传播量或查询量较少的应用程序中,这些应用程序通常还未被普遍查询、安装或下载,本发明实施例将还未被普遍查询、安装或下载的应用程序,也就是特定查询量、安装量或下载量的应用程序称为未知应用程序。由于本发明实施例是为了在病毒还未大范围传播之前查杀出该病毒,或者是为了在海量的应用程序中查询出那些用于进行定向攻击的病毒,而这样的病毒通常潜伏于未知应用程序中,因此,本发明实施例在海量应用程序中查杀未知可疑应用程序时,需要执行步骤101根据应用程序的查询量获取未知应用程序。
102、检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑。
当在海量应用程序中获取到未知应用程序之后,就需要确定该未知应用程序是否可疑。由于那些被病毒感染的应用程序为了躲避病毒查杀,通常会将感染的应用程序进行伪装,主要是通过将其文件名和图标伪装成正常的文件名和正常图标,从而躲避病毒查杀。因此,当在步骤101中获取到未知应用程序之后,本发明实施例还需要检测所述未知应用程序的文件名以及图标是否可疑,也就是检测所述未知应用程序的文件名以及图标是否进行了伪装,从而确定所述未知应用程序是否可疑。在检测未知应用程序的文件名以及图标是否进行了伪装时,可以通过文件名的命名格式和命名内容确定是否对文件名进行了伪装,可以通过图标的二进制文件或图标相似度来确定是否对图标进行了伪装。当检测所述未知应用程序的文件名和/或图标进行了伪装,则确定所述未知应用程序可疑。
103、当确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。
在通过步骤102确定未知应用程序可疑时,也就是确定出未知可疑应用程序后,并不能完全确定该未知可疑应用程序就一定感染病毒,还需要通过执行步骤103来将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。
本发明实施例提供的一种查杀未知可疑应用程序的方法,能够通过应用程序的查询量确定未知应用程序,也就是传播量不大的应用程序,然后检测未知应用程序的文件名以及图标是否可疑,当未知应用程序的文件名以及图标可疑时,将可疑的未知应用程序进行病毒查杀,确定未知应用程序是否感染病毒。由于某些定向攻击病毒只隐藏在那些传播量或查询量较少的应用程序中,或者刚出现不久的应用程序中,而现有技术中通常对流行的或者广泛传播的应用程序进行病毒查杀,因此无法快速有效的查杀这些定向攻击病毒。而本发明能够根据应用程序的查询量确定未知应用程序,并通过检测未知应用程序的文件名以及图标,来确定未知可疑应用程序,并通过病毒查杀的方式确定未知可疑应用程序是否感染病毒,从而从海量应用程序中确定用于进行定向攻击的病毒。
为了更好的对上述图1所示的方法进行理解,作为对上述实施方式的细化和扩展,本发明实施例将结合图1的步骤进行详细说明。
在众多的病毒中,会存在一种定向攻击的病毒,例如某个定向攻击的病毒只是用于攻击财务部门的,那么该病毒只是潜伏于财务部门使用的应用程序中。由于财务部门使用的应用程序在海量的应用程序中并不会被广泛使用,因此其查询量或下载量通常较少,而现有技术在海量的应用程序中查杀病毒时,往往只针对那些大范围传播的应用程序进行查杀,因此潜伏在类似于财务部门使用的应用程序中的病毒不容易被发现。或者,在0day软件,也就是破解的应用程序中,会存在一些不易发现的病毒。由于0day泛指所有在应用程序发行之前,或发行后的24小时内就出现的破解版本,当0day软件潜伏有病毒后,由于查询、下载或安装的用户数量有限,因此潜伏的病毒不易被及时发现,当随着查询、下载或安装的用户数量越来越多时,病毒被发现后已经为时已晚。
因此,若要在海量的应用程序中及时查杀出上述定向攻击的病毒或者还未大范围传播的病毒,就需要获取那些查询量、下载量或安装量较少的未知应用程序进行病毒查杀。作为一种可选的实施方式,在从海量的应用程序中获取未知应用程序时,可以根据应用程序的查询量获取未知应用程序。具体的,可以通过应用程序分发中心,如各种应用分发平台的后台记录,获取应用程序的查询量或下载量,当应用程序的查询量小于预设的查询量阈值时,确定所述应用程序为未知应用程序。在确定预设的查询量阈值时,本发明实施例对此不作限制,作为一种可选的确定查询量阈值的方式,本发明实施例可以将应用分发平台内所有应用程序的下载次数相加得到下载总次数,然后用下载总次数除以应用分发平台内所有应用程序的总个数,得到应用程序的平均下载量,将所述平均下载量作为预设的查询量阈值。当应用分发平台内的应用程序的下载量小于预设的查询量阈值时,确定该应用程序为未知应用程序。
当通过上述方式获取到未知应用程序之后,就需要检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑。在确定未知应用程序是否可疑时,其确定结果可以分为两种情况:
(1)在检测文件名以及图标时,只检测到未知应用程序的文件名可疑时,确定所述未知应用程序为一级可疑;
(2)在检测文件名以及图标时,只检测到未知应用程序的图标可疑时,确定所述未知应用程序为一级可疑;
(3)在检测文件名以及图标时,同时检测到未知应用程序的文件名和图标都可疑时,确定所述未知应用程序为二级可疑。
其中,二级可疑比一级可疑的可疑程度更高,更有可能为潜伏有病毒的应用程序。由于潜伏有病毒的应用程序,通常会将其应用程序的文件名或图标进行伪装,从而迷惑用户或杀毒软件误以为其为正常的应用程序,使其避免被查杀。因此,在检测未知应用程序的文件名是否可疑时,也就是检测未知应用程序的文件名是否进行了伪装。
具体的,检测未知应用程序的文件名的步骤包括:
A、识别所述未知应用程序的文件名中是否包含反转控制符、双扩展名和/或空格;
B、当所述未知应用程序的文件名中包含反转控制符、双扩展名和/或空格时,确定所述未知应用程序可疑。
其中,反转控制符也称为RLO控制符(RLO控制符是Unicode控制符的一种,用来显示中东文字,从右到左书写),现有的恶意程序通常会利用RLO控制符实现逆名欺骗木马,该木马病毒在文件名中插入RLO控制符,使得字符显示从右到左的顺序,让病毒程序的真实后缀名(.exe/.scr/.com等)被隐藏,伪装后的病毒看起来是.jpg、.txt、.rmvb的文件,使得经验丰富的IT技术人员也轻易被骗。
其次,由于文件名由文件主名和扩展名组成,主名和扩展名之间由一个小圆点隔开,例如一个正常的文件名为G9401.DBF,这里G9401是主名,DBF是扩展名,一个正常的文件名通常只有一个扩展名。但是某些病毒会利用双扩展名来迷惑用户,例如,当未知应用程序的文件名为AOUHFA9F.JPG.EXE时,常常会误认为是.JPG的图片,但是其实际的扩展名却是.EXE(可执行文件),因此该未知应用程序就很可能携带病毒。
此外,在工程文件的文件名中或者正常的文件名命名时,通常不会在文件名中出现空格,尤其是一些文件被病毒感染后,会在文件主名和后缀(扩展名)之间多了一个或多个空格,此时文件无法进行预览和打开。
基于上述原因,若在未知应用程序的文件名中识别出RLO控制符、双扩展名、或者一个或多个空格时,说明所述未知应用程序存在被病毒感染的可能,因此可以确定所述未知应用程序可疑。
具体的,检测未知应用程序的图标的步骤包括:
a、检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件是否相同;
b、当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件相同时,确定所述未知应用程序可疑。
其中,图标是具有明确指代含义的计算机图形,桌面图标是软件标识,界面中的图标是功能标识,本发明实施例中的应用程序的图标可以认为是软件标识。图标在本质上也是一种二进制文件,安卓系统的图标通常为png格式图标,微软系统的图标通常为icon格式图标,它们都是以二进制文件进行生成的。当某个感染病毒的应用程序在进行伪装时,往往会使用与其他正常应用程序相同的二进制文件生成图标,从而迷惑用户或杀毒软件,避免被查杀。因此,本发明实施例需要获取未知应用程序的图标的二进制文件,并将其二进制文件与预设的正常图标的二进制文件进行比对,当未知应用程序的二进制文件与预设的正常图标的二进制文件相同时,说明未知应用程序可能进行了伪装,进而可以确定所述未知应用程序可疑。其中,预设的正常图标的二进制文件包含目前市面上常用的或主流的各种图标的二进制文件。
但是,若发布病毒的攻击者了解生成二进制文件图标的规则,就会特意在图标上添加一个不易被发现的点或者线条,此时图标的二进制文件就会出现细微的差别。因此,当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件不同时,也不能完全确认所述未知应用程序不可疑。
基于上述情况,本发明实施例还提供了一种可选的实施方式,也就是在检测未知应用程序的图标时,除了步骤a和步骤b之外,若检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件不同时,还可以执行步骤c和步骤d:
c:通过图标相似度算法检测所述未知应用程序的图标与预设的正常图标之间是否相似;
d:当所述未知应用程序的图标与预设的正常图标之间相似时,确定所述未知应用程序可疑。
其中,本发明实施例提供的图标相似度算法主要是对未知应用程序的图标以及正常图标分别生成一个指纹字符串,然后比较两者的指纹字符串,两者的指纹字符串越接近,说明两者的图标越相似。具体的执行步骤包括:
(1)缩小尺寸;
将图标缩小到8x8的尺寸,总共64个像素,用于去除图标的细节,只保留结构、明暗等基本信息,摒弃不同尺寸、比例带来的图标差异。
(2)简化色彩;
将缩小后的图标,转为64级灰度,也就是所有像素点总共只有64种颜色。
(3)计算平均值;
计算所有64个像素的灰度平均值。
(4)比较像素的灰度;
将每个像素的灰度,与平均值进行比较,大于或等于平均值,记为1;小于平均值,记为0。
(5)计算哈希值。
将上一步的比较结果,组合在一起,就构成了一个64位的整数,这就是图标的指纹。组合的次序并不重要,只要保证不同的图标都采用同样次序就行了。得到图标的指纹以后,就可以对比不同的图标,看看64位中有多少位是不一样的。如果不相同的数据位不超过5,就说明两张图标很相似;如果大于10,就说明这是两张不同的图标。
当通过上述图标相似度算法得到所述未知应用程序的图标与预设的正常图标之间相似时,可以确定所述未知应用程序可疑。
这里需要说明的是,上述不同实施方式中分别列举了如何检测未知应用程序的文件名是否可疑,如何检测未知应用程序的图标是否可疑,无论未知应用程序只是文件名可疑,或只是图标可疑,或文件名与图标都可疑,这三种检测结果都可以确定未知应用程序为未知可疑应用程序,只是其感染病毒的可疑程度不同,当检测到未知应用程序的文件名与图标都可疑时,该未知应用程序感染病毒的可能性最大。
当确定了未知应用程序为未知可疑应用程序之后,就需要将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。具体的,可以通过杀毒软件扫描的方式将所述未知可疑应用程序进行病毒查杀,当杀毒软件的查杀结果为所述未知可疑应用程序感染病毒时,可以根据查杀结果进一步确定感染病毒的类型。
当杀毒软件的查杀结果为所述未知可疑应用程序未感染病毒时,本发明实施例还提供了一种可选的实施方式,可以进一步确定所述未知可疑应用程序是否真的未感染病毒。其主要是通过运行该未知可疑应用程序,根据未知可疑应用程序的运行结果确定是否真的未感染病毒。正常应用程序的运行结果与感染病毒的应用程序的运行结果具有不同的行为特征信息,也就是运行结果具有的特征。例如在执行读取寄存器的值时,正常应用程序只会执行读取操作,而感染病毒的应用程序不仅读取寄存器的值,而且还会更改寄存器的值,这就是两者的不同行为特征信息。因此,依据运行结果的行为特征信息,可以更加准确的确定所述未知可疑应用程序是否真的未感染病毒。而沙箱是一种按照安全策略限制程序行为的执行环境,早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙箱环境中运行。因此,本发明实施例在运行未知可疑应用程序时,可以在沙箱环境中对所述未知可疑应用程序进行测试,根据测试结果确定所述未知可疑应用程序是否感染病毒。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种查杀未知可疑应用程序的装置,如图2所示,该装置包括:获取单元21、检测单元22以及查杀单元23,其中,
获取单元21,用于根据应用程序的查询量获取未知应用程序;
检测单元22,用于检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;
查杀单元23,用于当检测单元22的确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒。
进一步的,获取单元21用于当应用程序的查询量小于预设的查询量阈值时,确定所述应用程序为未知应用程序。
进一步的,如图3所示,检测单元22包括:
第一检测模块221,用于识别所述未知应用程序的文件名中是否包含反转控制符、双扩展名和/或空格;当所述未知应用程序的文件名中包含反转控制符、双扩展名和/或空格时,确定所述未知应用程序可疑。
进一步的,如图3所示,检测单元22还包括:
第二检测模块222,用于检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件是否相同;当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件相同时,确定所述未知应用程序可疑。
进一步的,如图3所示,检测单元22还包括:
第三检测模块223,用于当第二检测模块222检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件不同时,通过图标相似度算法检测所述未知应用程序的图标与预设的正常图标之间是否相似;当所述未知应用程序的图标与预设的正常图标之间相似时,确定所述未知应用程序可疑。
进一步的,查杀单元23用于通过杀毒软件扫描的方式将所述未知可疑应用程序进行病毒查杀;当查杀结果为所述未知可疑应用程序感染病毒时,确定感染病毒的类型。
进一步的,如图4所示,所述装置还包括:
测试单元24,用于当查杀结果为所述未知可疑应用程序未感染病毒时,在沙箱环境中对所述未知可疑应用程序进行测试,根据测试结果确定所述未知可疑应用程序是否感染病毒。
本发明实施例提供的一种查杀未知可疑应用程序的装置,能够通过应用程序的查询量确定未知应用程序,也就是传播量不大的应用程序,然后检测未知应用程序的文件名以及图标是否可疑,当未知应用程序的文件名以及图标可疑时,将可疑的未知应用程序进行病毒查杀,确定未知应用程序是否感染病毒。由于某些定向攻击病毒只隐藏在那些传播量或查询量较少的应用程序中,或者刚出现不久的应用程序中,而现有技术中通常对流行的或者广泛传播的应用程序进行病毒查杀,因此无法快速有效的查杀这些定向攻击病毒。而本发明能够根据应用程序的查询量确定未知应用程序,并通过检测未知应用程序的文件名以及图标,来确定未知可疑应用程序,并通过病毒查杀的方式确定未知可疑应用程序是否感染病毒,从而从海量应用程序中确定用于进行定向攻击的病毒。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种查杀未知可疑应用程序的方法,其特征在于,所述方法包括:
根据应用程序的查询量获取未知应用程序,所述根据应用程序的查询量获取未知应用程序包括:当应用程序的查询量小于预设的查询量阈值时,确定所述应用程序为未知应用程序;
检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;
当确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒;
检测所述未知应用程序的文件名,确定所述未知应用程序是否可疑包括:
识别所述未知应用程序的文件名中是否包含反转控制符、双扩展名和/或空格;
当所述未知应用程序的文件名中包含反转控制符、双扩展名和/或空格时,确定所述未知应用程序可疑。
2.根据权利要求1所述的方法,其特征在于,检测所述未知应用程序的图标,确定所述未知应用程序是否可疑包括:
检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件是否相同;
当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件相同时,确定所述未知应用程序可疑。
3.根据权利要求2所述的方法,其特征在于,当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件不同时,所述方法进一步包括:
通过图标相似度算法检测所述未知应用程序的图标与预设的正常图标之间是否相似;
当所述未知应用程序的图标与预设的正常图标之间相似时,确定所述未知应用程序可疑。
4.根据权利要求1-3中任一项所述的方法,其特征在于,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒包括:
通过杀毒软件扫描的方式将所述未知可疑应用程序进行病毒查杀;
当查杀结果为所述未知可疑应用程序感染病毒时,确定感染病毒的类型。
5.根据权利要求4所述的方法,其特征在于,当查杀结果为所述未知可疑应用程序未感染病毒时,所述方法进一步包括:
在沙箱环境中对所述未知可疑应用程序进行测试,根据测试结果确定所述未知可疑应用程序是否感染病毒。
6.一种查杀未知可疑应用程序的装置,其特征在于,所述装置包括:
获取单元,用于根据应用程序的查询量获取未知应用程序,所述根据应用程序的查询量获取未知应用程序包括:当应用程序的查询量小于预设的查询量阈值时,确定所述应用程序为未知应用程序;
检测单元,用于检测所述未知应用程序的文件名以及图标,确定所述未知应用程序是否可疑;
查杀单元,用于当所述检测单元的确定结果为是时,将未知可疑应用程序进行病毒查杀,确定所述未知可疑应用程序是否感染病毒;
所述检测单元包括:
第一检测模块,用于识别所述未知应用程序的文件名中是否包含反转控制符、双扩展名和/或空格;当所述未知应用程序的文件名中包含反转控制符、双扩展名和/或空格时,确定所述未知应用程序可疑。
7.根据权利要求6所述的装置,所述检测单元包括:
第二检测模块,用于检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件是否相同;当检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件相同时,确定所述未知应用程序可疑。
8.根据权利要求7所述的装置,所述检测单元还包括:
第三检测模块,用于当第二检测模块检测所述未知应用程序的图标的二进制文件与预设的正常图标的二进制文件不同时,通过图标相似度算法检测所述未知应用程序的图标与预设的正常图标之间是否相似;当所述未知应用程序的图标与预设的正常图标之间相似时,确定所述未知应用程序可疑。
9.根据权利要求6-8中任一项所述的装置,所述查杀单元用于通过杀毒软件扫描的方式将所述未知可疑应用程序进行病毒查杀;当查杀结果为所述未知可疑应用程序感染病毒时,确定感染病毒的类型。
10.根据权利要求9所述的装置,所述装置进一步包括:
测试单元,用于当查杀结果为所述未知可疑应用程序未感染病毒时,在沙箱环境中对所述未知可疑应用程序进行测试,根据测试结果确定所述未知可疑应用程序是否感染病毒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610874214.0A CN106372509B (zh) | 2016-09-30 | 2016-09-30 | 一种查杀未知可疑应用程序的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610874214.0A CN106372509B (zh) | 2016-09-30 | 2016-09-30 | 一种查杀未知可疑应用程序的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106372509A CN106372509A (zh) | 2017-02-01 |
| CN106372509B true CN106372509B (zh) | 2019-08-23 |
Family
ID=57894763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610874214.0A Active CN106372509B (zh) | 2016-09-30 | 2016-09-30 | 一种查杀未知可疑应用程序的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106372509B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108416212A (zh) * | 2018-03-01 | 2018-08-17 | 腾讯科技(深圳)有限公司 | 应用程序识别方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773417A (zh) * | 2004-11-08 | 2006-05-17 | 微软公司 | 聚集反病毒软件应用程序的知识库的系统和方法 |
| CN102831338A (zh) * | 2012-06-28 | 2012-12-19 | 北京奇虎科技有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN104267994A (zh) * | 2014-09-30 | 2015-01-07 | 北京奇虎科技有限公司 | 一种运行应用程序的装置和终端设备 |
| CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 |
| CN105631334A (zh) * | 2015-12-25 | 2016-06-01 | 北京奇虎科技有限公司 | 应用的安全检测处理方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
-
2016
- 2016-09-30 CN CN201610874214.0A patent/CN106372509B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773417A (zh) * | 2004-11-08 | 2006-05-17 | 微软公司 | 聚集反病毒软件应用程序的知识库的系统和方法 |
| CN102831338A (zh) * | 2012-06-28 | 2012-12-19 | 北京奇虎科技有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN104267994A (zh) * | 2014-09-30 | 2015-01-07 | 北京奇虎科技有限公司 | 一种运行应用程序的装置和终端设备 |
| CN105427096A (zh) * | 2015-12-25 | 2016-03-23 | 北京奇虎科技有限公司 | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 |
| CN105631334A (zh) * | 2015-12-25 | 2016-06-01 | 北京奇虎科技有限公司 | 应用的安全检测处理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106372509A (zh) | 2017-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684832B (zh) | 检测恶意文件的系统和方法 | |
| JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
| JP6116697B2 (ja) | 電子デバイスを保護する方法、プログラム、システム、および機械可読ストレージ媒体 | |
| US7571482B2 (en) | Automated rootkit detector | |
| US7647636B2 (en) | Generic RootKit detector | |
| US9336390B2 (en) | Selective assessment of maliciousness of software code executed in the address space of a trusted process | |
| EP2955658B1 (en) | System and methods for detecting harmful files of different formats | |
| US7650639B2 (en) | System and method for protecting a limited resource computer from malware | |
| US7757290B2 (en) | Bypassing software services to detect malware | |
| US10013555B2 (en) | System and method for detecting harmful files executable on a virtual stack machine based on parameters of the files and the virtual stack machine | |
| Kapravelos et al. | Escape from monkey island: Evading high-interaction honeyclients | |
| US20110277033A1 (en) | Identifying Malicious Threads | |
| Alzahrani et al. | An analysis of conti ransomware leaked source codes | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| Zakeri et al. | A static heuristic approach to detecting malware targets | |
| Yücel et al. | Imaging and evaluating the memory access for malware | |
| Brand et al. | Malware forensics: Discovery of the intent of deception | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
| CN106372509B (zh) | 一种查杀未知可疑应用程序的方法及装置 | |
| Bhojani | Malware analysis | |
| US9202065B2 (en) | Detecting sensitive data access by reporting presence of benign pseudo virus signatures | |
| EP3252645A1 (en) | System and method of detecting malicious computer systems | |
| Kaur | Network Security: Anti-virus. | |
| Ahmed | Behaviour Anomaly on Linux Systems to Detect Zero-day Malware Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211207 Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee after: 3600 Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230628 Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: Beijing Hongxiang Technical Service Co.,Ltd. Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, high tech Zone, Binhai New Area, Tianjin Patentee before: 3600 Technology Group Co.,Ltd. |
|
| TR01 | Transfer of patent right |