CN108182361A - 一种静默下载的检测方法、装置及一种移动终端 - Google Patents
一种静默下载的检测方法、装置及一种移动终端 Download PDFInfo
- Publication number
- CN108182361A CN108182361A CN201611123032.6A CN201611123032A CN108182361A CN 108182361 A CN108182361 A CN 108182361A CN 201611123032 A CN201611123032 A CN 201611123032A CN 108182361 A CN108182361 A CN 108182361A
- Authority
- CN
- China
- Prior art keywords
- destination folder
- silent
- path
- folder
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种静默下载的检测方法及系统,通过对移动端恶意代码静默下载的行为特点进行监控,根据分析静默下载可能涉及的文件夹内是否创建了新文件且应用程序的后台进程存在消耗流量行为来判断终端具有下载行为,然后再判断终端的状态是否满足静默状态来确定是否存在静默下载行为。本发明可以应用于应用程序检测分析领域,若应用程序存在静默下载行为则可以对其进行标记,而后添加入类似于病毒引擎的产品,当用户安装该应用程序后,病毒引擎能提醒用户免受恶意行为威胁。可以理解的,本发明也能直接应用于用户的移动终端中,当检测到静默下载行为后,可以提醒用户后关闭数据流量以减少损失。
Description
技术领域
本发明涉及信息技术领域,尤其涉及静默下载的检测方法、装置及一种移动终端。
背景技术
静默下载主要通过在没有与用户交互的情况下,私自在后台进程中消耗网络流量下载文件,文件下载后会保存在某些指定文件夹中。随着Android系统等智能手机平台的兴起,移动终端的恶意代码逐渐成为信息安全领域的又一重大威胁。目前,Android中的恶意代码数量正呈现出爆炸式增长的趋势,移动端的恶意代码为了实现流氓推送等行为,往往利用静默下载技术在用户手机中静默下载恶意文件。
发明内容
本发明的目的在于提供静默下载的检测方法及装置,能够准确检测到应用的静默下载行为,帮助用户免受恶意行为威胁。
为了实现上述目的,本发明公开了一种静默下载的检测方法,包括以下步骤:
在应用程序安装后按照预设的规则获取目标文件夹的路径;
监控所述目标文件夹及应用程序的后台进程;
监控终端是否满足预设的静默状态条件;
当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
进一步的,获取目标文件夹的路径的方法包括:
在应用程序自己定义的路径中获取目标文件夹;
或
在SD卡里获取目标文件夹;
或
在系统目录中获取目标文件夹。
进一步的,获取目标文件夹的路径的方法包括:
获取程序代码中包含文件夹路径的字符串;
或
分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径;
或
获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/<packagename >/cache文件夹。
进一步的,预设的静默状态条件为在终端下载行为产生前不存在用户交互行为。
进一步的,所述用户交互行为包括点击、触摸、滑动、声控、光控或震动等。
为了实现上述目的,本发明还公开了一种静默下载的检测装置,包括获取模块、第一监控模块、第二监控模块、判断模块,其中:
获取模块,用于在应用程序安装后按照预设的规则获取目标文件夹的路径;
第一监控模块,用于监控所述目标文件夹及应用程序的后台进程;
第二监控模块,用于监控终端是否满足预设的静默状态条件;
判断模块,用于当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
进一步的,所述获取模块获取目标文件夹的路径的方法包括:
获取程序代码中包含文件夹路径的字符串;
或
分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径;
或
获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/<packagename >/cache文件夹。
进一步的,所述预设的静默状态条件为在终端下载行为产生前不存在用户交互行为。
进一步的,所述用户交互行为包括点击、触摸或滑动。
本发明还公开了一种移动终端,包括上述静默下载的检测装置,当检测到静默下载行为后,提醒用户后关闭数据流量。
本发明与现有技术相比的有益效果是: 本发明通过对移动端恶意代码静默下载的行为特点进行监控,根据分析静默下载可能涉及的文件夹内是否创建了新文件且应用程序的后台进程存在消耗流量行为来判断终端具有下载行为,然后再判断终端的状态是否满足静默状态来确定是否存在静默下载行为。本发明可以应用于应用程序检测分析领域,若应用程序存在静默下载行为则可以对其进行标记,而后添加入类似于病毒引擎的产品,当用户安装该应用程序后,病毒引擎能提醒用户免受恶意行为威胁。可以理解的,本发明也能直接应用于用户的移动终端中,当检测到静默下载行为后,可以提醒用户后关闭数据流量以减少损失。
附图说明
图1为本发明一种静默下载的检测方法流程图。
图2为本发明一种静默下载的检测装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。
在一些实施例中,如图1所示,一种静默下载的检测方法,包括以下步骤:
S01,在应用程序安装后按照预设的规则获取目标文件夹的路径。
通过对现有静默下载行为的大量研究,发现了静默下载行为有一些默认的下载路径,因此可以主要从三方面来获取目标文件夹的路径:
目标文件夹存储在应用程序自己定义的路径中。
针对这种情况,需要获取程序代码中包含文件夹路径的字符串。
例如:"/mnt/sdcard/download"直接通过字符串写在代码中。
目标文件夹存储在SD卡里。
针对这种情况,需要分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径。
可以通过getExternalStorageDirectory()获取SD卡根目录字符串。例如:String.valueOf(Environment.getExternalStorageDirectory().getPath()) +File.separator + ".tmp",其获取的就是SD卡根目录下的.tmp目录。
目标文件夹存储在系统目录中。
主要包括获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/< packagename >/cache文件夹路径。
一般可以通过getFilesDir()获取的/data/data/<packagename>/files文件夹路径,通过getCacheDir()获取/data/data/< packagename >/cache文件夹路径。例如:String.valueOf(this.m_service.getApplicationContext().getFilesDir().getAbsolutePath())获取的就是该程序包名下的files目录,同样使用getCacheDir()也可以获取该包名下的cache目录。
S02,监控所述目标文件夹及应用程序的后台进程。
当所述目标文件夹内创建了新文件且应用程序的后台进程存在消耗流量行为时,判断终端具有下载行为,此时进入S03,否则,继续监控。
监控流量的方法可以有多种,例如,通过实时监控每个进程相关的网络数据包来监控进程的流量。一般,流量消耗会设置阈值,达到该阈值才认为有文件下载。
S03,监控终端是否满足预设的静默状态条件。
可以理解的,静默状态条件一般为在终端下载行为产生前不存在用户交互行为,包括点击、触摸(长按、短按)、滑动、声控、光控或震动等。
可以理解的,S02和S03的顺序是可以改变的。
S04,当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
本发明通过对移动端恶意代码静默下载的行为特点进行监控,根据分析静默下载可能涉及的文件夹内是否创建了新文件且应用程序的后台进程存在消耗流量行为来判断终端具有下载行为,然后再判断终端的状态是否满足静默状态来确定是否存在静默下载行为。本发明可以应用于应用程序检测分析领域,若应用程序存在静默下载行为则可以对其进行标记,而后添加入类似于病毒引擎的产品,当用户安装该应用程序后,病毒引擎能提醒用户免受恶意行为威胁。可以理解的,本发明也能直接应用于用户的移动终端中,当检测到静默下载行为后,可以提醒用户后关闭数据流量以减少损失。
在另一些实施例中,如图2所示,一种静默下载的检测装置,包括获取模块10、第一监控模块20、第二监控模块30、判断模块40,其中:
获取模块10,用于在应用程序安装后按照预设的规则获取目标文件夹的路径。
获取模块10获取目标文件夹的路径的方法包括:
目标文件夹存储在应用程序自己定义的路径中。
针对这种情况,需要获取程序代码中包含文件夹路径的字符串。
例如:"/mnt/sdcard/download"直接通过字符串写在代码中。
目标文件夹存储在SD卡里。
针对这种情况,需要分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径。
可以通过getExternalStorageDirectory()获取SD卡根目录字符串。例如:String.valueOf(Environment.getExternalStorageDirectory().getPath()) +File.separator + ".tmp",其获取的就是SD卡根目录下的.tmp目录。
目标文件夹存储在系统目录中。
主要包括获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/< packagename >/cache文件夹路径。
一般可以通过getFilesDir()获取的/data/data/<packagename>/files文件夹路径,通过getCacheDir()获取/data/data/< packagename >/cache文件夹路径。例如:String.valueOf(this.m_service.getApplicationContext().getFilesDir().getAbsolutePath())获取的就是该程序包名下的files目录,同样使用getCacheDir()也可以获取该包名下的cache目录。
第一监控模块20,用于监控所述目标文件夹及应用程序的后台进程。
第二监控模块30,用于监控终端是否满足预设的静默状态条件。
判断模块40,用于当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
预设的静默状态条件为在终端下载行为产生前不存在用户交互行为,包括点击、触摸(长按、短按)、滑动、声控、光控或震动等。
本发明通过对移动端恶意代码静默下载的行为特点进行监控,根据分析静默下载可能涉及的文件夹内是否创建了新文件且应用程序的后台进程存在消耗流量行为来判断终端具有下载行为,然后再判断终端的状态是否满足静默状态来确定是否存在静默下载行为。本发明可以应用于应用程序检测分析领域,若应用程序存在静默下载行为则可以对其进行标记,而后添加入类似于病毒引擎的产品,当用户安装该应用程序后,病毒引擎能提醒用户免受恶意行为威胁。可以理解的,本发明也能直接应用于用户的移动终端中,当检测到静默下载行为后,可以提醒用户后关闭数据流量以减少损失。
上述说明示出并描述了本发明的若干实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种静默下载的检测方法,其特征在于,包括以下步骤:
在应用程序安装后按照预设的规则获取目标文件夹的路径;
监控所述目标文件夹及应用程序的后台进程;
监控终端是否满足预设的静默状态条件;
当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
2.如权利要求1所述的检测方法,其特征在于,获取目标文件夹的路径的方法包括:
在应用程序自己定义的路径中获取目标文件夹;
或
在SD卡里获取目标文件夹;
或
在系统目录中获取目标文件夹。
3.如权利要求2所述的检测方法,其特征在于,获取目标文件夹的路径的方法包括:
获取程序代码中包含文件夹路径的字符串;
或
分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径;
或
获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/<packagename >/cache文件夹。
4.如权利要求1所述的检测方法,其特征在于,预设的静默状态条件为在终端下载行为产生前不存在用户交互行为。
5.一种静默下载的检测装置,其特征在于,包括获取模块、第一监控模块、第二监控模块、判断模块,其中:
获取模块,用于在应用程序安装后按照预设的规则获取目标文件夹的路径;
第一监控模块,用于监控所述目标文件夹及应用程序的后台进程;
第二监控模块,用于监控终端是否满足预设的静默状态条件;
判断模块,用于当所述目标文件夹内创建了新文件,应用程序的后台进程存在消耗流量行为且终端满足预设的静默状态条件时,判断终端存在静默下载行为。
6.如权利要求5所述的检测装置,其特征在于,所述获取模块获取目标文件夹的路径的方法包括:
在应用程序自己定义的路径中获取目标文件夹;
或
在SD卡里获取目标文件夹;
或
在系统目录中获取目标文件夹。
7.如权利要求6所述的检测装置,其特征在于,所述获取模块获取目标文件夹的路径的方法包括:获取程序代码中包含文件夹路径的字符串;
或
分别获取程序代码中SD卡根目录字符串、子目录字符串,然后将二者拼接得取目标文件夹的路径;
或
获取程序代码中/data/data/<packagename>/files文件夹路径或/data/data/<packagename >/cache文件夹。
8.如权利要求5所述的检测装置,其特征在于,所述预设的静默状态条件为在终端下载行为产生前不存在用户交互行为。
9.如权利要求4所述的检测方法或权利要求7所述的检测装置,其特征在于,所述用户交互行为包括点击、触摸、滑动、声控、光控或震动。
10.一种移动终端,其特征在于,包括权利要求5-8任一所述的检测装置,当检测到静默下载行为后,提醒用户后关闭数据流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611123032.6A CN108182361A (zh) | 2016-12-08 | 2016-12-08 | 一种静默下载的检测方法、装置及一种移动终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611123032.6A CN108182361A (zh) | 2016-12-08 | 2016-12-08 | 一种静默下载的检测方法、装置及一种移动终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108182361A true CN108182361A (zh) | 2018-06-19 |
Family
ID=62544773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611123032.6A Pending CN108182361A (zh) | 2016-12-08 | 2016-12-08 | 一种静默下载的检测方法、装置及一种移动终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108182361A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111314183A (zh) * | 2020-04-09 | 2020-06-19 | 网易(杭州)网络有限公司 | 一种流量信息检测方法、装置、电子设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
US20130254274A1 (en) * | 2010-11-29 | 2013-09-26 | Tencent Technology (Shenzhen) Company Limited | Method, Device, and System for Downloading Games |
CN103781057A (zh) * | 2014-01-08 | 2014-05-07 | 北京奇虎科技有限公司 | 一种静默下载升级包的方法及装置 |
-
2016
- 2016-12-08 CN CN201611123032.6A patent/CN108182361A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130254274A1 (en) * | 2010-11-29 | 2013-09-26 | Tencent Technology (Shenzhen) Company Limited | Method, Device, and System for Downloading Games |
CN103034807A (zh) * | 2011-10-08 | 2013-04-10 | 腾讯科技(深圳)有限公司 | 恶意程序检测方法和装置 |
CN103781057A (zh) * | 2014-01-08 | 2014-05-07 | 北京奇虎科技有限公司 | 一种静默下载升级包的方法及装置 |
Non-Patent Citations (2)
Title |
---|
左手指月: ""文件之获取文件夹路径/data/data/"", 《HTTPS://WWW.CNBLOGS.COM/AWKFLF11/ARTICLES/5178141.HTML》 * |
网友: ""迅雷开启静默下载什么意思"", 《百度知道,HTTPS://ZHIDAO.BAIDU.COM/QUESTION/455646110445881845.HTML》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111314183A (zh) * | 2020-04-09 | 2020-06-19 | 网易(杭州)网络有限公司 | 一种流量信息检测方法、装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lei et al. | EveDroid: Event-aware Android malware detection against model degrading for IoT devices | |
EP3814961B1 (en) | Analysis of malware | |
EP3506139B1 (en) | Malware detection in event loops | |
Moonsamy et al. | Mining permission patterns for contrasting clean and malicious android applications | |
CN106796635B (zh) | 确定装置、确定方法 | |
KR101246623B1 (ko) | 악성 애플리케이션 진단 장치 및 방법 | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
CN102170495B (zh) | 手机应用分类管理方法及装置 | |
CN105335655A (zh) | 一种基于敏感行为识别的安卓应用安全性分析方法 | |
CN106845223B (zh) | 用于检测恶意代码的方法和装置 | |
JP2017511923A (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
CN110704836A (zh) | 实时无签名恶意软件检测 | |
CN102254113A (zh) | 一种检测和拦截移动终端恶意代码的方法及系统 | |
KR20110124342A (ko) | 모델을 사용하여 실행가능 프로그램을 조사하는 방법 및 장치 | |
CN104657634A (zh) | 盗版应用的识别方法和装置 | |
CN102340398A (zh) | 安全策略设置、确定方法、应用程序执行操作方法及装置 | |
CN111563015A (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
CN104915596B (zh) | apk病毒特征库构建方法、装置及apk病毒检测系统 | |
Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
CN102547710A (zh) | 在移动通信系统中探测病毒的方法和装置 | |
CN108182361A (zh) | 一种静默下载的检测方法、装置及一种移动终端 | |
CN103150343A (zh) | 对已下载文件进行管理的方法和系统 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
EP3018608A1 (en) | Method and system for detecting execution of a malicious code in a web-based operating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180619 |
|
WD01 | Invention patent application deemed withdrawn after publication |