CN108932429A - 应用程序的分析方法、终端及存储介质 - Google Patents
应用程序的分析方法、终端及存储介质 Download PDFInfo
- Publication number
- CN108932429A CN108932429A CN201710393049.1A CN201710393049A CN108932429A CN 108932429 A CN108932429 A CN 108932429A CN 201710393049 A CN201710393049 A CN 201710393049A CN 108932429 A CN108932429 A CN 108932429A
- Authority
- CN
- China
- Prior art keywords
- behavior
- specified application
- terminal
- instruction
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种应用程序的分析方法、终端及存储介质,属于信息安全技术领域。该方法包括:当获取到针对指定应用程序的行为分析指令时,在终端中为该指定应用程序创建虚拟运行环境;在该虚拟运行环境中运行该指定应用程序,并在该指定应用程序运行的过程中,监控该指定应用程序的行为;当监测到敏感行为时,在行为报告中记录该敏感行为的行为信息。由于该应用程序是在终端创建的虚拟运行环境中运行的,因此不会对终端的功能和用户信息的安全造成影响。并且通过在终端本地虚拟运行该应用程序,可以全面的检测出该应用程序中的敏感行为,有效提高了该分析方法的准确率。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种应用程序的分析方法、终端及存储介质。
背景技术
随着互联网技术的不断发展,应用程序的类型越来越丰富,用户对于应用程序的安全性也越来越重视。
相关技术中,用户可以将指定的应用程序的安装包上传至病毒分析系统,该病毒分析系统可以通过静态代码分析的方法,检测该应用程序的安装包中是否包括预设的敏感函数,该预设的敏感函数可以为用于执行敏感行为的函数,该敏感行为可以包括:调用摄像头、拨打电话、文件加密、获取通话记录等危害终端功能和用户隐私的行为。当该应用程序的安装包中包括敏感函数时,该病毒分析系统可以确定该应用程序在运行的过程中可能存在敏感行为,并向用户返回分析结果。
但是,相关技术中的静态代码分析的方法是在不执行代码的情况下对其进行的静态分析,该分析方法的误报率和漏报率较高。
发明内容
为了解决相关技术中的分析方法分析误报率和漏报率较高的问题,本发明提供了一种应用程序的分析方法、终端及存储介质。所述技术方案如下:
第一方面,提供了一种应用程序的分析方法,所述方法包括:
当获取到针对指定应用程序的行为分析指令时,在所述终端中为所述指定应用程序创建虚拟运行环境;
在所述虚拟运行环境中运行所述指定应用程序,并在所述指定应用程序运行的过程中,监控所述指定应用程序的行为;
当监测到敏感行为时,在行为报告中记录所述敏感行为的行为信息。
第二方面,提供了一种终端,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行一种应用程序的分析方法,所述方法包括:
当获取到针对指定应用程序的行为分析指令时,在所述终端中为所述指定应用程序创建虚拟运行环境;
在所述虚拟运行环境中运行所述指定应用程序,并在所述指定应用程序运行的过程中,监控所述指定应用程序的行为;
当监测到敏感行为时,在行为报告中记录所述敏感行为的行为信息。
第三方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的应用程序的分析方法。
本发明实施例提供的技术方案带来的有益效果是:
本发明提供了一种应用程序的分析方法、终端及存储介质,终端在分析应用程序的行为时,是在终端中的虚拟运行环境中运行该应用程序的,因此不会对终端的功能和用户信息的安全造成影响。并且通过在终端本地虚拟运行该应用程序,可以全面的检测出该应用程序中的敏感行为,有效提高了该分析方法的准确率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种应用程序的分析方法的应用场景的示意图;
图2是本发明实施例提供的一种应用程序的分析方法的流程图;
图3-1是本发明实施例提供的一种行为分析应用程序的程序界面示意图;
图3-2是本发明实施例提供的一种显示检测结果的界面示意图;
图3-3是本发明实施例提供的一种行为分析应用程序的架构图;
图3-4是本发明实施例提供的一种拦截敏感行为后的界面示意图;
图3-5是本发明实施例提供的一种显示行为报告的界面示意图;
图3-6是本发明实施例提供的一种显示行为报告列表的界面示意图;
图3-7是本发明实施例提供的一种显示进程列表的界面示意图;
图3-8是本发明实施例提供的另一种应用程序的分析方法的流程图;
图4-1是本发明实施例提供的一种应用程序的分析装置的结构示意图;
图4-2是本发明实施例提供的另一种应用程序的分析装置的结构示意图;
图5是本发明实施例提供的一种终端的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1是本发明实施例提供的一种应用程序的分析方法的应用场景的示意图,参考图1,该应用程序的分析方法可以应用于终端01中,该终端01中可以安装有行为分析应用程序02,例如,该行为分析应用程序02可以为图1中所示的“AA盒子”。该行为分析应用程序02可以对终端中已安装的应用程序,以及已下载的应用程序的安装包进行检测和行为分析,并生成该应用程序的行为报告,以便用户可以根据该行为报告及时了解应用程序的安全性。
为了保证终端中安装的应用程序的安全性,相关技术中,终端可以安装杀毒应用程序,该杀毒应用程序可以通过远端病毒数据库对终端中应用程序的特征信息进行检测,以识别该应用程序中是否存在病毒数据。但是,该安装杀毒应用程序的方法,远端的病毒数据库需及时更新防御策略;同时,病毒制造者可通过代码加密技术、社会工程学等手段,逃避杀毒应用程序的特征查杀,安全厂商和用户处于被动防守地位。而通过本发明实施例提供的方法,终端可以虚拟运行待检测的应用程序,从而可以主动监测和识别出待检测的应用程序运行过程中可能执行的敏感行为,该分析方法不用依赖病毒数据库,且可靠性较高。
另一种相关技术中,用户还可以手动将待检测的应用程序的安装包上传至病毒分析系统,该病毒分析系统可以通过静态代码分析与模拟器(模拟器可以模拟终端的操作系统)动态运行相结合的方法,完成待检测对应用程序的分析,并输出分析报告。但是,而该病毒分析系统采用静态代码分析与模拟器动态运行相结合的手段,其误报率与漏报率较高;同时,模拟器提供的分析场景较为有限,例如缺乏对通话、短信和摄像头调用等场景的覆盖,因此模拟器很难挖掘出潜伏类和伪装类的病毒应用程序;此外,该病毒分析系统还需要用户手动提交安装包,并等待分析报告,该分析过程操作复杂,效率较低。而在本发明实施例提供的方法中,终端中安装的行为分析应用程序可以在本地模拟终端操作系统中的核心服务,为待检测的应用程序创建虚拟运行环境,以虚拟运行该待检测的应用程序,从而可以快速且全面的对待检测应用程序进行检测和行为分析,该分析方法的效率和准确率均较高。
请参考图2,其示出了本发明实施例提供的一种应用程序的分析方法的流程图,该方法可以应用于图1所示的终端中,参考图2,该方法具体包括:
步骤101、获取针对指定应用程序的检测指令。
在本发明实施例中,当用户需要对终端中已安装的应用程序,或者已下载的应用程序的安装包进行检测和行为分析时,可以通过预设的触控操作,触发终端启动行为分析应用程序。该行为分析应用程序可以在程序界面上显示终端中已安装的应用程序的列表,以及已下载的应用程序的安装包的列表。当用户通过预设的选定操作,在该应用程序的列表或者安装包的列表中选择指定应用程序时,行为分析应用程序即可获取到针对该指定应用程序的检测指令。其中,该预设的触控操作和该预设的选定操作可以为单击操作或者双击操作等,本发明实施例对此不做限定。
示例的,假设终端中已下载了应用程序“DD锁屏”的安装包,用户为了检测该安装包的安全性,可以在图1所示的界面中通过单击操作点击行为分析应用程序“AA盒子”的图标,终端可以根据该单击操作启动该行为分析应用程序“AA盒子”,并显示如图3-1所示的程序界面。参考图3-1,该程序界面中可以显示有“应用体检”和“文件体检”两个图标。其中,“应用体检”图标用于触发对终端中已安装的应用程序(Application,APP)进行检测,“文件体检”图标用于触发对终端中已下载的应用程序的安装包(例如,安卓安装包(AndroidPackage,APK))进行检测。
当用户点击“文件体检”图标时,行为分析应用程序“AA盒子”即可在该程序界面中显示终端中已下载的安装包的列表。当用户通过单击操作在该安装包的列表中点击“DD锁屏”时,行为分析应用程序“AA盒子”即可获取到针对该指定应用程序“DD锁屏”的检测指令。
此外,当用户在图3-1所示的界面中点击“应用体检”的图标时,行为分析应用程序“AA盒子”可以在该程序界面中显示终端中已安装的应用程序的列表,以便用户在该列表中确定待检测的指定应用程序。或者,该行为分析应用程序“AA盒子”还可以直接对该终端中所有已安装的应用程序进行检测。
步骤102、根据该检测指令,获取该指定应用程序的安装包。
由于安装包中包含有应用程序中的所有文件,因此一般通过检测应用程序的安装包来判断该应用程序中是否含有病毒数据。具体的,行为分析应用程序可以从指定应用程序的存储目录中获取该指定应用程序的安装包。
需要说明的是,如果终端在安装完成应用程序后,根据用户的指示删除了该应用程序的安装包,则由于该应用程序安装包中的文件已经存储在了终端的系统文件中,因此该行为分析应用程序还可以从终端的系统文件中获取该应用程序的安装包。
步骤103、按照预设的病毒检测规则,检测该安装包是否为可疑安装包。
在本发明实施例中,行为分析应用程序中可以预先配置有病毒检测规则,该病毒检测规则可以为:对该指定应用程序的安装包进行病毒检测,当检测到该安装包中存在病毒数据时,确定该安装包为可疑安装包。其中,在进行病毒检测时,该行为分析应用程序可以与远端服务器建立通信连接,并可以将该指定应用程序的安装包,或者该安装包的特征信息(例如哈希值等特征值)上传至远端服务器。该远端服务器中可以根据预先存储的病毒数据库对该指定应用程序进行检查。当检测到该指定应用程序的安装包中存在与该病毒数据库中的病毒数据匹配的数据,或者检查到该指定应用程序的安装包的特征信息与病毒数据库中的病毒特征相匹配时,则可以确定该安装包中存在病毒数据,并可以向该指定应用程序返回检测的结果。
步骤104、当该安装包为可疑安装包时,显示提示信息,该提示信息用于提示对该指定应用程序进行行为分析。
当行为分析应用程序检测到指定应用程序的安装包为可疑安装包时,为了避免该指定应用程序安装后对用户的信息和财产造成威胁,该行为分析应用程序可以在程序界面中显示提示信息。该提示信息可以用于提示用户对该指定应用程序进行行为分析,或者该提示信息还可以提示用户卸载该指定应用程序。
示例的,假设行为分析应用程序“AA盒子”对终端中所有已安装的应用程序均进行了检测,则该行为分析应用程序“AA盒子”可以在程序界面中显示如图3-2所示的检测结果。对于可疑安装包,该检测结果中可以包括结果标识,例如“危险”,以及提示信息,例如“卸载”图标和“行为分析”图标。对于非可疑安装包,该检测结果中可以仅包括结果标识,例如“安全”。
此外,为了进一步提高检测的可靠性,该病毒检测规则还可以包括:当检测到该安装包中不存在病毒数据,且该应用程序的标识未记录在预设的白名单中时,确定该安装包为可疑安装包。其中,该预设的白名单中可以记录有正规厂商发布的应用程序的标识。对于在病毒检测过程中未检测到病毒数据,但标识未记录在预设的白名单中的应用程序,其对应的检测结果中的结果标识可以为“未知”。
示例的,假设“AA盒子”在应用程序“DD锁屏”的安装包中未检测到病毒数据,但该应用程序“DD锁屏”的标识并未记录在预设的白名单中,因此也可以将该应用程序的安装包确定为可疑安装包,并且如图3-2所示,可以在程序界面中显示提示信息,以及结果标识,该结果标识可以为“未知”。
步骤105、当获取到针对指定应用程序的行为分析指令时,为该指定应用程序创建虚拟运行环境。
该行为分析指令可以是用户根据提示信息的指示,通过执行预设操作而触发的。例如,用户可以通过单击“行为分析”图标触发该行为分析指令。行为分析应用程序获取到针对该指定应用程序的行为分析指令后,为了避免该应用程序中的病毒数据对终端中操作系统的安全造成影响,可以为该指定应用程序创建一个独立于终端操作系统的虚拟运行环境。
图3-3是本发明实施例提供的一种行为分析应用程序的架构图,从图3-3可以看出,该行为分析应用程序中可以包括虚拟服务模块、动态运行模块和行为监控模块。当该行为分析应用程序启动时,该虚拟服务模块即可对终端操作系统框架层的核心服务进行劫持与模拟。也即是,该虚拟服务模块可以劫持操作系统中核心服务的代码,并模拟运行该核心服务,以便能够支撑指定应用程序的运行。其中,对于安卓操作系统,该核心服务可以包括:Activity管理服务(Activity Manager Service,AMS)和包管理服务(Package ManagerService,PMS)等。其中,AMS主要负责系统中四大组件的启动、切换、调度及应用进程的管理和调度等工作,其职责与操作系统中的进程管理和调度模块相类似。PMS主要负责系统中package的管理,应用程序的安装、卸载和信息查询等。
在行为分析应用程序获取到针对指定应用程序的行为分析指令之后,该动态运行模块启动,并可以通过核心服务模拟子模块与该虚拟服务模块进行交互,以便对运行环境进行初始化。之后,该动态运行模块即可开始解析并加载该指定应用程序的安装包,其中,解析可以是指对该安装包进行解压缩,加载可以是指安装该指定应用程序。进一步的,该行为分析应用程序可以在该初始化后的运行环境中,通过沙箱分配子模块为该指定应用程序创建沙箱(Sand Box),由此即可完成虚拟运行环境的创建。该指定应用程序可以运行在该沙箱中,且该指定应用程序运行过程中的生成的数据以及缓存文件均会存储在该沙箱中。
示例的,假设在图3-2所示的程序界面中,用户通过单击操作点击了应用程序“DD锁屏”所对应的“行为分析”图标,该分析应用程序即可获取到针对该指定应用程序“DD锁屏”的行为分析指令,并可以为其创建虚拟运行环境。
需要说明的是,在实际应用中,为了保障用户信息的安全,每个应用程序在安装完成后,操作系统会为该应用程序配置默认权限(例如读取联系人或者读取位置信息等),该默认权限为该应用程序在运行过程中能够直接执行的操作。当应用程序在运行过程中执行该默认权限之外的行为时,终端可以将该行为确定为敏感行为,并提示用户。在本发明实施例中,为了能全面的检测指定应用程序在运行过程中可能执行的敏感行为,该行为分析应用程序为指定应用程序创建的沙箱可以为低权限的沙箱。也即是,该指定应用程序在运行过程中所拥有的权限比操作系统为应用程序配置的默认权限要少。
步骤106、在该虚拟运行环境中运行该指定应用程序,并在该指定应用程序运行的过程中,监控该指定应用程序的行为。
进一步的,该行为分析应用程序可以通过应用进程管理子模块为该指定应用程序创建进程,以启动该指定应用程序。同时,该行为分析应用程序可以加载行为监控模块,以便在运行该指定应用程序的同时,监控该指定应用程序的行为。其中,该指定应用程序的行为具体可以是指该指定应用程序在运行过程中所调用的函数。
在本发明实施例中,由于根据操作系统类型的不同,应用程序的运行模式也有所不同,因此该行为分析应用程序的行为监控模块中,还可以存储有操作系统类型与监控算法的对应关系。在对该指定应用程序的行为进行监控之前,该行为监控模块可以先根据终端中操作系统类型,确定对应的监控算法,再根据该确定出的监控算法对指定应用程序的行为进行监控。其中,该监控算法可以采用钩子(Hook)技术,对指定应用程序运行过程中所调用的函数进行监控。
示例的,假设终端中安装的操作系统为安卓操作系统,目前安卓操作系统中所采用的虚拟机(Virtual Machine,VM)一般包括Dalvik虚拟机和ART(Android Runtime)虚拟机。其中版本低于4.4的安卓操作系统一般采用Dalvik虚拟机,版本为4.4及以上的安卓操作系统一般采用ART虚拟机。其中,Dalvik虚拟机可以支持已转换为.dex(即DalvikExecutable)格式的Java应用程序的运行。ART虚拟机能够把应用程序的字节码转换为机器码,与Dalvik虚拟机的主要不同在于:Dalvik采用的是即时编译(Just In Time,JIT)技术,而ART采用提前编译(Ahead-of-time,AOT)技术。由此可知,该两种虚拟机所提供的运行环境下,应用程序的运行模式不同,因此该行为分析应用程序“AA盒子”中至少可以配置有对应于版本低于4.4的安卓操作系统的第一监控算法,以及对应于版本为4.4及以上的安卓操作系统的第二监控算法。若行为分析应用程序“AA盒子”检测到终端当前的操作系统为4.4版本的安卓操作系统,则可以采用该第二监控算法对应用程序“DD锁屏”的行为进行监控。
步骤107、当监测到敏感行为时,确定与该敏感行为对应的处理策略。
在本发明实施例中,该行为分析应用程序中可以预先存储有敏感行为库,该敏感行为库中记录有至少一个敏感行为,例如该敏感行为可以包括:读取联系人、读取短信、拨打电话、获取位置信息、锁屏和文件加密等。在指定应用程序运行的过程中,该行为分析应用程序可以将该指定应用程序执行的每个行为与该敏感行为库中记录的敏感行为进行对比,当监测到该指定应用程序执行的行为属于该敏感行为库中的行为时,即可确定该指定应用程序执行了敏感行为;或者,当行为分析应用程序检测到该指定应用程序执行的行为属于默认权限之外的行为时,也可以确定该指定应用程序执行了敏感行为。
进一步的,该行为分析应用程序中的行为监控模块可以根据预设的敏感行为与处理策略的对应关系,确定与该监测到的敏感行为所对应的处理策略。其中,该处理策略具体可以包括:拦截敏感行为或者向该指定应用程序返回虚拟数据等,其中,该虚拟数据是指行为分析应用程序伪造的用户数据,例如伪造的联系人数据、短信和通话记录等。
示例的,假设该敏感行为为:锁屏,则该对应的处理策略可以为拦截敏感行为;若该敏感行为为:读取联系人,则该对应的处理策略可以为返回虚拟的联系人数据。
步骤108、执行该处理策略。
该行为监控模块可以拦截敏感行为,或者可以向指定应用程序返回虚拟数据,然后继续对该指定应用程序的行为进行监控。其中,当行为监控模块拦截敏感行为之后,还可以在程序界面中显示通知消息,该通知消息可以用于提示用户结束该指定应用程序的运行,或者查看该指定应用程序的行为报告。
图3-4是本发明实施例提供的一种拦截敏感行为后的界面示意图。如图3-4所示,假设指定应用程序“DD锁屏”在运行的过程中执行了敏感行为:锁屏,并在该锁屏界面上显示了威胁信息“23时59分42秒后清除手机所有数据!”,则该行为分析应用程序可以及时拦截该敏感行为,并在显示界面中显示通知消息:“结束运行”图标和“查看日志”图标。当用户点击“结束运行”图标时,该行为分析应用程序即可结束该指定应用程序“DD锁屏”的进程;当用户点击“查看日志”图标时,该行为分析应用程序可以显示该指定应用程序“DD锁屏”的行为报告。由于该“DD锁屏”是在与终端操作系统隔离的虚拟运行环境中运行的,因此不会对终端操作系统的安全性造成影响。并且通过虚拟运行指定应用程序,可以有效检测出该指定应用程序在运行过程中是否会执行敏感行为,从而提高了对应用程序行为分析的准确性。
步骤109、在行为报告中记录该敏感行为的行为信息以及该处理策略。
当监控到敏感行为时,该行为分析应用程序可以在行为报告中记录该敏感行为的行为信息以及对应的处理策略。其中,该敏感行为的行为信息具体可以包括该行为的名称,以及该行为所操作的具体参数。当然,除了记录敏感行为,该行为分析应用程序也可以对该指定应用程序在运行过程中所执行的其他非敏感行为进行记录。
需要说明的是,在实际应用中,该行为分析应用程序的进程与该指定应用程序的进程为两个相互独立的进程,在监测到敏感行为时,该行为分析应用程序可以通过进程间的通信,获取并记录该敏感行为的行为信息。
步骤110、显示该指定应用程序的行为报告。
进一步的,该行为分析应用程序还可以在程序界面中显示该指定应用程序的行为报告,以便及时提醒用户该指定应用程序运行过程中可能执行的敏感行为。示例的,图3-5是本发明实施例提供的一种显示行为报告的界面示意图,假设指定应用程序为“C游戏-新破解”,则如图3-5所示,该行为报告中可以包括“C游戏-新破解”运行过程中所执行的敏感行为的行为信息,例如发送短信和隐藏图标等,以及对于每个敏感行为,该行为分析应用程序所执行的处理策略,例如“已拦截”。
此外,行为分析应用程序中还可以存储有所有已分析过的应用程序的行为报告,并可以提供如图3-6所示的行为报告列表,该列表中可以显示有每个应用程序的行为报告中所记录的敏感行为以及非敏感行为的个数。例如从图3-6中可以看出,应用程序“C游戏-新破解”在运行过程中执行了5条危险行为,应用程序“聊天”在运行过程中执行了40条行为,且该40条行为均为非敏感行为。当用户需要查看某个应用程序的行为报告中的具体内容时,可以在图3-6所示的列表中点击对应的应用程序的图标。例如,当用户点击应用程序“C游戏-新破解”的图标时,行为分析应用程序即可显示如图3-5所示的行为报告。
需要说明的是,在本发明实施例中,该行为分析应用程序还可以对该指定应用程序所执行的敏感行为进行分类,比如参考图3-5,可以将该敏感行为划分为危险行为和隐私行为。其中危险行为可以是指会对用户信息或者终端操作系统造成危险的行为,例如可以包括锁屏、发送短信和拨打电话等;隐私行为可以是指读取用户隐私信息的行为,例如读取短信或者读取通话记录等。相应的,该行为分析应用程序在显示该行为报告时,也可以针对每种类型的敏感行为进行分类显示。
还需要说明的是,在本发明实施例中,该行为分析应用程序还可以在虚拟运行环境中同时运行多个应用程序,并同时对该多个应用程序的行为进行监控和分析。参考图3-7,用户可以在行为分析应用程序的进程列表中查看该虚拟运行环境中当前正在运行的应用程序,并可以通过单击操作点击“结束”图标,结束某个应用程序的进程,即控制某个应用程序结束运行。
以终端中安装的行为分析应用程序为“AA盒子”为例,参考图3-8,本发明实施例提供的应用程序的分析方法可总结归纳为下述几个步骤:
(a)盒子启动后,启动虚拟服务模块。该虚拟服务模块启动后可以劫持与模拟终端操作系统中的核心服务。
(b)用户选择应用体检或者文件体检。当检测到应用程序的安装包为可能包含病毒数据的可疑安装包时,对该应用程序提供动态运行入口,也即是,在显示界面中显示用于指示对该应用程序进行行为分析的提示信息。
(c)动态运行指定应用程序。该动态运行的过程具体可以包括下述步骤(d)至步骤(h)。
(d)动态运行模块通过进程间通信,为指定应用程序提供初始化环境。
从图3-8中可以看出,该行为分析应用程序“AA盒子”的进程与该指定应用程序的进程为两个相互独立的进程。在动态运行该指定应用程序之前,动态运行模块需要通过进程间通信,对运行环境进行初始化。
(e)动态运行模块加载指定应用程序,以便虚拟安装该指定应用程序。
(f)动态运行模块为指定应用程序创建沙箱,以创建用于运行该指定应用程序的虚拟运行环境。
(g)动态运行模块为该指定应用程序创建进程。
(h)指定应用程序启动。
(i)行为监控模块判断当前安卓系统的版本,选择针对不同虚拟机的监控算法。
(j)行为监控检测到指定应用程序的敏感行为,请求相应的处理策略。
(k)记录或拦截指定应用程序的敏感行为,形成应用行为报告并提醒用户。
综上所述,本发明实施例提供了一种应用程序的分析方法,终端在分析应用程序的行为时,是在终端中的虚拟运行环境中运行该应用程序的,因此不会对终端的功能和用户信息的安全造成影响。并且通过在终端本地虚拟运行该应用程序,可以全面的检测出该应用程序中的敏感行为,有效提高了该分析方法的准确率。此外,该分析方法可以直接在终端本地执行,有效简化了用户操作,提高了分析效率。
需要说明的是,本发明实施例提供的应用程序的分析方法的步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减。任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
图4-1是本发明实施例提供的一种应用程序的分析装置的结构示意图,该装置可以部署于图1所示的终端中,参考图4-1,该装置可以包括:
创建模块201,用于当获取到针对指定应用程序的行为分析指令时,在终端中为该指定应用程序创建虚拟运行环境。
监控模块202,用于在该虚拟运行环境中运行该指定应用程序,并在该指定应用程序运行的过程中,监控该指定应用程序的行为。
记录模块203,用于当监测到敏感行为时,在行为报告中记录该敏感行为的行为信息。
在另一个实施例中,参考图4-2,该装置还可以包括:
第一获取模块204,用于获取针对该指定应用程序的检测指令。
第二获取模块205,用于根据该检测指令,获取该指定应用程序的安装包。
检测模块206,用于按照预设的病毒检测规则,检测该安装包是否为可疑安装包。
显示模块207,用于当该安装包为可疑安装包时,显示提示信息,该提示信息用于提示对该指定应用程序进行行为分析。
其中,该创建模块201具体可以用于:
根据该终端中操作系统的核心服务,初始化运行环境;在初始化后的运行环境创建沙箱,作为该指定应用程序的虚拟运行环境。
该监控模块202具体可以用于:
确定与该终端中操作系统的类型对应的监控算法;并根据该监控算法,对该指定应用程序的行为进行监控。
该记录模块203,具体可以用于:
当监测到该指定应用程序执行的行为属于预设敏感行为库中的行为时,确定监测到敏感行为;并在行为报告中记录该敏感行为的行为信息。
在另一个实施例中,如图4-2所示,该装置还可以包括:
确定模块208,用于在监测到敏感行为时,确定与该敏感行为对应的处理策略。
处理模块209,用于执行该处理策略,该处理策略包括:拦截敏感行为或者向该指定应用程序返回虚拟数据。
该记录模块203,还可以用于在该行为报告中记录该处理策略。
综上所述,本发明提供了一种应用程序的分析装置,终端在分析应用程序的行为时,是在终端中的虚拟运行环境中运行该应用程序的,因此不会对终端的功能和用户信息的安全造成影响。并且通过在终端本地虚拟运行该应用程序,可以全面的检测出该应用程序中的敏感行为,有效提高了该分析方法的准确率。此外,该分析方法可以直接在终端本地执行,有效简化了用户操作,提高了分析效率。
需要说明的是:上述实施例提供的应用程序的分析装置在分析应用程序的行为时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的应用程序的分析装置与应用程序的分析方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例提供了一种终端,该终端包括处理器和存储器,该存储器中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行如图2所示的应用程序的分析方法,来实现上述虚拟装置实施例中各个模块的功能。
本发明实施例提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集合或指令集,该指令、该程序、该代码结合或该指令集由处理器加载并执行以实现如图2所示的应用程序的分析方法,来实现上述虚拟装置实施例中各个模块的功能。
图5是本发明实施例提供的一种终端的结构示意图。上述实施例中的应用程序的分析装置可以部署在该终端中。参见图5,终端500可以包括通信单元510、包括有一个或一个以上计算机可读存储介质的存储器520、输入单元530、显示单元540、传感器550、音频电路560、无线通信单元570、包括有一个或者一个以上处理核心的处理器580、以及电源590等部件。本领域技术人员可以理解,图5中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
通信单元510可用于收发信息或通话过程中,信号的接收和发送,该通信单元510可以为RF(Radio Frequency,射频)电路、路由器、调制解调器、等网络通信设备。特别地,当通信单元510为RF电路时,将基站的下行信息接收后,交由一个或者一个以上处理器580处理;另外,将涉及上行的数据发送给基站。通常,作为通信单元的RF电路包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low NoiseAmplifier,低噪声放大器)、双工器等。此外,通信单元510还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System ofMobile communication,全球移动通讯系统)、GPRS(GeneralPacket Radio Service,通用分组无线服务)、CDMA(Code Division MultipleAccess,码分多址)、WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)、LTE(Long TermEvolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。存储器520可用于存储软件程序以及模块,处理器580通过运行存储在存储器520的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端500的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器520还可以包括存储器控制器,以提供处理器580和输入单元530对存储器520的访问。
输入单元530可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。优选地,输入单元530可包括触敏表面531以及其他输入设备532。触敏表面531,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面531上或在触敏表面531附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面531可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器580,并能接收处理器580发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面531。除了触敏表面531,输入单元530还可以包括其他输入设备532。优选地,其他输入设备532可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元540可用于显示由用户输入的信息或提供给用户的信息以及终端500的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元540可包括显示面板541,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板541。进一步的,触敏表面531可覆盖显示面板541,当触敏表面531检测到在其上或附近的触摸操作后,传送给处理器580以确定触摸事件的类型,随后处理器580根据触摸事件的类型在显示面板541上提供相应的视觉输出。虽然在图5中,触敏表面531与显示面板541是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面531与显示面板541集成而实现输入和输出功能。
终端500还可包括至少一种传感器550,比如光传感器、运动传感器以及其他传感器。光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板541的亮度,接近传感器可在终端500移动到耳边时,关闭显示面板541和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端500还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路560、扬声器561,传声器562可提供用户与终端500之间的音频接口。音频电路560可将接收到的音频数据转换后的电信号,传输到扬声器561,由扬声器561转换为声音信号输出;另一方面,传声器562将收集的声音信号转换为电信号,由音频电路560接收后转换为音频数据,再将音频数据输出处理器580处理后,经通信单元510以发送给比如另一终端,或者将音频数据输出至存储器520以便进一步处理。音频电路560还可能包括耳塞插孔,以提供外设耳机与终端500的通信。
为了实现无线通信,该终端上可以配置有无线通信单元570,该无线通信单元570可以为WIFI模块。WIFI属于短距离无线传输技术,终端500通过无线通信单元570可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图中示出了无线通信单元570,但是可以理解的是,其并不属于终端500的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器580是终端500的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器520内的软件程序和/或模块,以及调用存储在存储器520内的数据,执行终端500的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器580可包括一个或多个处理核心;优选的,处理器580可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器580中。
终端500还包括给各个部件供电的电源590(比如电池),优选的,电源可以通过电源管理系统与处理器580逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源560还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端500还可以包括摄像头、蓝牙模块等,在此不再赘述。
在本实施例中,终端还包括有一个或者一个以上的程序,这一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行,所述一个或者一个以上程序包含用于执行本发明实施例提供的上述应用程序的分析方法的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种应用程序的分析方法,其特征在于,所述方法包括:
当获取到针对指定应用程序的行为分析指令时,在终端中为所述指定应用程序创建虚拟运行环境;
在所述虚拟运行环境中运行所述指定应用程序,并在所述指定应用程序运行的过程中,监控所述指定应用程序的行为;
当监测到敏感行为时,在行为报告中记录所述敏感行为的行为信息。
2.根据权利要求1所述的方法,其特征在于,在终端中为所述指定应用程序创建虚拟运行环境之前,所述方法还包括:
获取针对所述指定应用程序的检测指令;
根据所述检测指令,获取所述指定应用程序的安装包;
按照预设的病毒检测规则,检测所述安装包是否为可疑安装包;
当所述安装包为可疑安装包时,显示提示信息,所述提示信息用于提示对所述指定应用程序进行行为分析。
3.根据权利要求1所述的方法,其特征在于,在终端中为所述指定应用程序创建虚拟运行环境,包括:
根据所述终端中操作系统的核心服务,初始化运行环境;
在初始化后的运行环境中创建沙箱,作为所述指定应用程序的虚拟运行环境。
4.根据权利要求1所述的方法,其特征在于,所述在所述指定应用程序运行的过程中,监控所述应用程序的行为,包括:
确定与所述终端中操作系统的类型对应的监控算法;
根据所述监控算法,对所述指定应用程序的行为进行监控。
5.根据权利要求1所述的方法,其特征在于,当监测到敏感行为时,在行为报告中记录所述敏感行为的行为信息,包括:
当监测到所述指定应用程序执行的行为属于预设敏感行为库中的行为时,确定监测到敏感行为;
在行为报告中记录所述敏感行为的行为信息。
6.根据权利要求1至5任一所述的方法,其特征在于,当监测到敏感行为时,所述方法还包括:
确定与所述敏感行为对应的处理策略;
执行所述处理策略,所述处理策略包括:拦截敏感行为或者向所述指定应用程序返回虚拟数据;
在所述行为报告中记录所述处理策略。
7.根据权利要求1至5任一所述的方法,其特征在于,当获取到针对指定应用程序的行为分析指令时,所述方法还包括:
解析所述指定应用程序的安装包;
加载所述指定应用程序的安装包。
8.一种终端,其特征在于,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
当获取到针对指定应用程序的行为分析指令时,在所述终端中为所述指定应用程序创建虚拟运行环境;
在所述虚拟运行环境中运行所述指定应用程序,并在所述指定应用程序运行的过程中,监控所述指定应用程序的行为;
当监测到敏感行为时,在行为报告中记录所述敏感行为的行为信息。
9.根据权利要求8所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
获取针对所述指定应用程序的检测指令;
根据所述检测指令,获取所述指定应用程序的安装包;
按照预设的病毒检测规则,检测所述安装包是否为可疑安装包;
当所述安装包为可疑安装包时,显示提示信息,所述提示信息用于提示对所述指定应用程序进行行为分析。
10.根据权利要求8所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
根据所述终端中操作系统的核心服务,初始化运行环境;
在初始化后的运行环境中创建沙箱,作为所述指定应用程序的虚拟运行环境。
11.根据权利要求8所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
确定与所述终端中操作系统的类型对应的监控算法;
根据所述监控算法,对所述指定应用程序的行为进行监控。
12.根据权利要求8所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
当监测到所述指定应用程序执行的行为属于预设敏感行为库中的行为时,确定监测到敏感行为;
在行为报告中记录所述敏感行为的行为信息。
13.根据权利要求8至11任一所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
确定与所述敏感行为对应的处理策略;
执行所述处理策略,所述处理策略包括:拦截敏感行为或者向所述指定应用程序返回虚拟数据;
在所述行为报告中记录所述处理策略。
14.根据权利要求8至11任一所述的终端,其特征在于,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行如下操作:
解析所述指定应用程序的安装包;
加载所述指定应用程序的安装包。
15.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至7任一所述的应用程序的分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710393049.1A CN108932429B (zh) | 2017-05-27 | 2017-05-27 | 应用程序的分析方法、终端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710393049.1A CN108932429B (zh) | 2017-05-27 | 2017-05-27 | 应用程序的分析方法、终端及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108932429A true CN108932429A (zh) | 2018-12-04 |
CN108932429B CN108932429B (zh) | 2023-02-03 |
Family
ID=64448302
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710393049.1A Active CN108932429B (zh) | 2017-05-27 | 2017-05-27 | 应用程序的分析方法、终端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108932429B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109614797A (zh) * | 2018-12-14 | 2019-04-12 | 北京车和家信息技术有限公司 | 车载信息娱乐系统的锁屏勒索软件查杀方法、装置及设备 |
CN110888781A (zh) * | 2019-11-21 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 一种应用卡顿检测方法及检测装置 |
CN111880987A (zh) * | 2020-07-09 | 2020-11-03 | 青岛海尔科技有限公司 | 应用程序的动态监测方法、装置、存储介质以及电子装置 |
CN112035872A (zh) * | 2020-08-12 | 2020-12-04 | 博泰车联网(南京)有限公司 | 一种应用管理方法、终端及计算机存储介质 |
CN112052454A (zh) * | 2020-10-12 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 应用的病毒查杀方法、装置、设备及计算机存储介质 |
CN112486815A (zh) * | 2020-11-26 | 2021-03-12 | 北京指掌易科技有限公司 | 一种应用程序的分析方法、装置、服务器及存储介质 |
CN112966257A (zh) * | 2021-05-18 | 2021-06-15 | 腾讯科技(深圳)有限公司 | 一种应用程序的授权方法及装置 |
CN113641996A (zh) * | 2021-05-26 | 2021-11-12 | 荣耀终端有限公司 | 检测方法、图形界面及相关装置 |
CN113656251A (zh) * | 2021-08-20 | 2021-11-16 | 中金金融认证中心有限公司 | 监控应用程序行为的方法及其相关产品 |
CN113835959A (zh) * | 2021-09-22 | 2021-12-24 | 阿波罗智联(北京)科技有限公司 | 数据监控方法、装置、设备、存储介质及程序产品 |
CN114035960A (zh) * | 2021-11-16 | 2022-02-11 | 京东方科技集团股份有限公司 | 边缘计算设备、交互方法、装置、终端设备及存储介质 |
CN114356788A (zh) * | 2022-03-21 | 2022-04-15 | 大鲲智联(成都)科技有限公司 | 基于用户信息的应用程序检测方法、装置、设备和介质 |
CN116760620A (zh) * | 2023-07-10 | 2023-09-15 | 苏州恒臻星科技有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138731A1 (en) * | 2003-11-26 | 2009-05-28 | International Business Machines Corporation | Tamper-Resistant Trusted JAVA Virtual Machine And Method Of Using The Same |
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
CN103930898A (zh) * | 2011-11-15 | 2014-07-16 | 独立行政法人科学技术振兴机构 | 程序分析/验证服务提供系统及其控制方法、控制程序、用于使计算机发挥功能的控制程序、程序分析/验证装置、程序分析/验证工具管理装置 |
CN104134034A (zh) * | 2013-06-13 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 控制应用运行的方法和装置 |
WO2014206295A1 (en) * | 2013-06-25 | 2014-12-31 | Tencent Technology (Shenzhen) Company Limited | Method, device and computer-readable storage medium for monitoring uninstallation event in operation platform |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
CN105120460A (zh) * | 2015-07-17 | 2015-12-02 | 成都布林特信息技术有限公司 | 一种移动应用数据处理方法 |
CN105160251A (zh) * | 2015-07-06 | 2015-12-16 | 国家计算机网络与信息安全管理中心 | 一种apk应用软件行为的分析方法及装置 |
CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
CN106709335A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
-
2017
- 2017-05-27 CN CN201710393049.1A patent/CN108932429B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138731A1 (en) * | 2003-11-26 | 2009-05-28 | International Business Machines Corporation | Tamper-Resistant Trusted JAVA Virtual Machine And Method Of Using The Same |
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN103930898A (zh) * | 2011-11-15 | 2014-07-16 | 独立行政法人科学技术振兴机构 | 程序分析/验证服务提供系统及其控制方法、控制程序、用于使计算机发挥功能的控制程序、程序分析/验证装置、程序分析/验证工具管理装置 |
CN102938040A (zh) * | 2012-09-29 | 2013-02-20 | 中兴通讯股份有限公司 | Android恶意应用程序检测方法、系统及设备 |
CN104134034A (zh) * | 2013-06-13 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 控制应用运行的方法和装置 |
WO2014206295A1 (en) * | 2013-06-25 | 2014-12-31 | Tencent Technology (Shenzhen) Company Limited | Method, device and computer-readable storage medium for monitoring uninstallation event in operation platform |
CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN104537309A (zh) * | 2015-01-23 | 2015-04-22 | 北京奇虎科技有限公司 | 应用程序漏洞检测方法、装置及服务器 |
CN105160251A (zh) * | 2015-07-06 | 2015-12-16 | 国家计算机网络与信息安全管理中心 | 一种apk应用软件行为的分析方法及装置 |
CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
CN105120460A (zh) * | 2015-07-17 | 2015-12-02 | 成都布林特信息技术有限公司 | 一种移动应用数据处理方法 |
CN106709335A (zh) * | 2015-11-17 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
CN106650452A (zh) * | 2016-12-30 | 2017-05-10 | 北京工业大学 | 一种Android系统内置应用漏洞挖掘方法 |
Non-Patent Citations (1)
Title |
---|
何小东 等: "《网络安全概论》", 31 August 2014 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109614797A (zh) * | 2018-12-14 | 2019-04-12 | 北京车和家信息技术有限公司 | 车载信息娱乐系统的锁屏勒索软件查杀方法、装置及设备 |
CN110888781B (zh) * | 2019-11-21 | 2021-11-16 | 腾讯科技(深圳)有限公司 | 一种应用卡顿检测方法及检测装置 |
CN110888781A (zh) * | 2019-11-21 | 2020-03-17 | 腾讯科技(深圳)有限公司 | 一种应用卡顿检测方法及检测装置 |
CN111880987A (zh) * | 2020-07-09 | 2020-11-03 | 青岛海尔科技有限公司 | 应用程序的动态监测方法、装置、存储介质以及电子装置 |
CN112035872A (zh) * | 2020-08-12 | 2020-12-04 | 博泰车联网(南京)有限公司 | 一种应用管理方法、终端及计算机存储介质 |
CN112052454A (zh) * | 2020-10-12 | 2020-12-08 | 腾讯科技(深圳)有限公司 | 应用的病毒查杀方法、装置、设备及计算机存储介质 |
CN112486815A (zh) * | 2020-11-26 | 2021-03-12 | 北京指掌易科技有限公司 | 一种应用程序的分析方法、装置、服务器及存储介质 |
CN112486815B (zh) * | 2020-11-26 | 2024-03-22 | 北京指掌易科技有限公司 | 一种应用程序的分析方法、装置、服务器及存储介质 |
CN112966257A (zh) * | 2021-05-18 | 2021-06-15 | 腾讯科技(深圳)有限公司 | 一种应用程序的授权方法及装置 |
CN112966257B (zh) * | 2021-05-18 | 2022-02-08 | 腾讯科技(深圳)有限公司 | 一种应用程序的授权方法及装置 |
CN113641996A (zh) * | 2021-05-26 | 2021-11-12 | 荣耀终端有限公司 | 检测方法、图形界面及相关装置 |
CN113656251A (zh) * | 2021-08-20 | 2021-11-16 | 中金金融认证中心有限公司 | 监控应用程序行为的方法及其相关产品 |
CN113835959A (zh) * | 2021-09-22 | 2021-12-24 | 阿波罗智联(北京)科技有限公司 | 数据监控方法、装置、设备、存储介质及程序产品 |
CN114035960A (zh) * | 2021-11-16 | 2022-02-11 | 京东方科技集团股份有限公司 | 边缘计算设备、交互方法、装置、终端设备及存储介质 |
CN114356788A (zh) * | 2022-03-21 | 2022-04-15 | 大鲲智联(成都)科技有限公司 | 基于用户信息的应用程序检测方法、装置、设备和介质 |
CN116760620A (zh) * | 2023-07-10 | 2023-09-15 | 苏州恒臻星科技有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
CN116760620B (zh) * | 2023-07-10 | 2024-03-26 | 释空(上海)品牌策划有限公司 | 一种工业控制系统的网络风险预警及管控系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108932429B (zh) | 2023-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108932429A (zh) | 应用程序的分析方法、终端及存储介质 | |
US10198573B2 (en) | Method, device and computer storage medium for controlling the running of an application | |
CN107357725B (zh) | 应用测试方法及装置 | |
CN107133498B (zh) | 一种隐私应用管理方法和装置及移动终端 | |
CN105278937B (zh) | 一种显示弹出框消息的方法及装置 | |
US9584476B2 (en) | Safety protection method, firewall, terminal device and computer-readable storage medium | |
CN106598584B (zh) | 一种处理资源文件的方法、装置和系统 | |
CN106709346B (zh) | 文件处理方法及装置 | |
CN107038358B (zh) | 一种自启动处理方法和装置及移动终端 | |
CN104424431B (zh) | 一种重置虚拟机用户登陆密码的方法及装置 | |
CN106709347B (zh) | 应用运行的方法及装置 | |
CN106709282B (zh) | 资源文件解密方法及装置 | |
CN106534093B (zh) | 一种终端数据的处理方法、装置及系统 | |
CN106529312B (zh) | 一种移动终端的权限控制方法、装置及移动终端 | |
CN104965722B (zh) | 一种显示信息的方法及装置 | |
CN108920220B (zh) | 一种函数调用的方法、装置及终端 | |
CN109992965B (zh) | 进程处理方法和装置、电子设备、计算机可读存储介质 | |
WO2018214748A1 (zh) | 应用界面的显示方法、装置、终端及存储介质 | |
CN109687974A (zh) | Apk验证方法、装置、移动终端及可读存储介质 | |
CN108604281A (zh) | 数据处理的方法及其终端 | |
CN106789866B (zh) | 一种检测恶意网址的方法及装置 | |
CN108090345A (zh) | linux系统外部命令执行方法及装置 | |
CN105279433B (zh) | 一种应用程序的防护方法及装置 | |
CN108984265B (zh) | 检测虚拟机环境的方法及装置 | |
CN106709342B (zh) | 恶意程序检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |