CN111104671B - 应用的标识确定方法和应用的检测方法 - Google Patents

Abstract

本发明公开了一种应用的标识确定方法和应用的检测方法。其中，该方法包括：从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；至少依据所述结构信息确定所述目标应用的标识信息；基于所述标识信息确定所述目标应用的类型，并依据所述类型确定对所述目标应用进行的操作。本发明解决了由于恶意软件使用了加固和/或混淆后造成的恶意软件难以被识别和分类的技术问题。

Description

应用的标识确定方法和应用的检测方法

技术领域

本发明涉及计算机领域，具体而言，涉及一种应用的标识确定方法和应用的检测方法。

背景技术

随着智能系统的发展，相关技术中通过常规的APK特征类型，如包名、证书、文件摘要值、类名等,在早期可以很好地对Android恶意软件进行分类,但现在越来越多恶意软件都使用了混淆和/或加固技术,常规的特征都可以很容易被随机生成,无法表达某一类恶意软件.恶意软件可能通过随机生成的证书进行重签名,因此证书的召回率也低。也即在Android恶意软件使用了加固和/或混淆后,常规的特征在APK被加固或混淆后会变化,无法再关联起来，从而导致在Android系统中恶意软件难以被分类。

针对目前操作系统中恶意软件难以被识别和分类的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种应用的标识确定方法和应用的检测方法，以至少解决由于恶意软件使用了加固和/或混淆后造成的恶意软件难以被识别和分类的技术问题。

根据本发明实施例的一个方面，提供了一种应用的标识确定方法，包括：从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；至少依据所述结构信息确定所述目标应用的标识信息；基于所述标识信息确定所述目标应用的类型，并依据所述类型确定对所述目标应用进行的操作。

根据本发明的另一个方面，提供了一种应用的标识确定方法，包括：从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；从所述全局信息描述文件中提取所述全局信息描述文件的指定信息和/或权限信息；其中，所述指定信息包括以下至少之一：所述目标应用所在操作系统定义的常量和第三方SDK中的常量；基于所述指定信息和/或所述权限信息确定所述目标应用的标识。

根据本发明的再一个方面，提供了一种应用的检测方法，包括：启动病毒查杀软件；通过所述病毒查杀软件从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；至少依据所述结构信息确定所述目标应用的标识信息；确定与所述标识信息对应的类型，并将该类型作为所述目标应用的类型；在所述类型为指定类型时，清除所述目标应用。

根据本发明的再一个方面，提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述应用的标识确定方法。

根据本发明的再一个方面，提供了一种存储介质，一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述应用的标识确定方法。

根据本发明的再一个方面，提供了一种存储介质，一种系统，包括：处理器；以及存储器，与所述处理器连接，用于为所述处理器提供处理以下处理步骤的指令：从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；至少依据所述结构信息确定所述目标应用的标识信息；基于所述标识信息确定所述目标应用的类型，并依据所述类型确定对所述目标应用进行的操作。

在本发明实施例中，根据全局信息描述文件的结构信息确定目标应用的标识信息，由于该目标信息不会被恶意的加固或混淆，因此根据该标识信息能够对恶意应用进行分类，进而可以清除恶意应用，保证系统的安全运行，进而解决了由于恶意软件使用了加固和/或混淆后造成的恶意软件难以被识别和分类的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了一种用于实现应用的标识确定方法的计算机终端(或移动设备)的硬件结构框图；

图2是根据本发明实施例的应用的标识确定方法的流程图一；

图3是根据本发明实施例的应用的标识确定方法的流程图二；

图4是根据本发明实施例的应用的检测方法的流程图；

图5是根据本发明实施例的应用的标识确定装置的结构示意图；

图6是根据本发明实施例的应用的标识确定装置的可选结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

Android(安卓):一款源码开放的移动智能终端操作系统,基于Linux内核,由谷歌开发；

APP:Application的缩写,即应用程序；

恶意软件:Malware,执行非用户预期行为的APP；

APK:AndroidPackage的缩写,即Android APP的安装包,本质上是一个ZIP压缩包；

XML:可扩展标记语言(Extensible Markup Language)

AndroidManifest.xml:APK中的一个二进制XML文件,包含APP的描述和配置信息；

(应用)加固:通过一定的技术手段将APP中原始可执行代码加密隐藏；

(代码)混淆:Obfuscation,将计算机程序转换为语义等同形式的过程,所述语义等同形式更难以被人类和/或分析工具理解并由此阻止静态分析；

(消息)摘要/哈希/散列:MessageDigest/HASH,把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来；

MD5(Message Digest Algorithm 5):消息摘要算法第五版,一种被广泛使用的摘要算法。

实施例1

根据本发明实施例，还提供了一种应用的标识确定方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现应用的标识确定方法的计算机终端(或移动设备)的硬件结构框图。如图1所示，计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的()方法对应的程序指令/数据存储装置，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图1所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图1仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。

在上述运行环境下，本申请提供了如图2所示的应用的标识确定方法。图2是根据本发明实施例的应用的标识确定方法的流程图一，该方法的步骤包括：

步骤S201，从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

需要说明的是，本实施例中涉及到的全局信息描述文件包括：Manifest.xml文件。

此外，在本实施例的可选实施方式中，如果目标应用是安卓Android系统中的应用，则该应用的安装文件为APK，进而该全局信息描述文件在Android系统中为XML文件，该XML文件用于描述该目标应用，例如描述属性和配置信息。

步骤S202，从全局信息描述文件中提取全局信息描述文件的结构信息；

需要说明的是，对于用于描述目标应用的全局信息描述文件其自身是具有相应的结构，该结构用于指示该文件中的节点与节点之间，节点与信息之间，以及信息与信息之间的内在的逻辑关系。例如，如果该该全局信息描述文件是Android系统中为XML文件，则对于XML文件是具有相应的树结构，该树结构为对于XML文件中的元素包括根元素和子元素，该根元素为所有其他元素的父元素。

步骤S203，至少依据结构信息确定目标应用的标识信息；

步骤S204，基于标识信息确定目标应用的类型，并依据类型确定对目标应用进行的操作。

其中，目标应用的类型包括合法应用和恶意应用，因此，对于上述步骤S204，在具体应用场景中可以为：在基于标识信息识别目标应用为恶意软件的情况下，清除该恶意应用软件；在根据标识识别为合法软件的情况，允许该目标应用运行。

需要说明的是，对于上述步骤S203，在本实施例中至少可以通过如下可选实施方式来实现：

可选实施方式1

在本实施例中的全局信息描述文件包括可扩展标记语言文件(XML)的情况下，该步骤S203中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S11，遍历可扩展标记语言文件对应的树结构，获取树结构中遍历的各个节点的标签；

步骤S12，将各个节点的标签进行拼接，得到字符串；

步骤S13，对字符串进行哈希运算，得到字符串的哈希值，并将字符串的哈希值作为目标应用的标识信息。

对于上述步骤S11至步骤S13，在具体应用场景中为遍历与XML文件对应的树结构，将经过的节点的标签，在本实施例中可选为节点的名称，拼接起来得到相应的字符串，对该字符串采用哈希运行得到哈希值，并将该哈希值作为目标应用的标识。需要说明的是，如果该实施方式的应用场景为安卓(Android)系统的情况下，需要对Android系统的中的APK文件进行反编译得到相应的XML文件，即AndroidManifest.xml。

可选实施方式2

该步骤S203中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S21，获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：目标应用所在操作系统定义的常量和第三方SDK中的常量；

步骤S22，依据指定信息和结构信息确定目标应用的标识信息。

可见，在可选实施方式中确定该标识信息的依据是获取全局信息描述文件中的指定信息和结构信息，而该指定信息可以是目标应用所在操作系统定义的常量和第三方软件开发工具包SDK中的常量，在具体应用场景中该常量可以是Manifest.xml文件中非包名或类名的字符串，也就是说，可以由常量和结构信息的组合来确定该标识信息。

因此，对于上述步骤S22中的依据指定信息和结构信息确定目标应用的标识信息方式，进一步在本实施例的可选实施方式中可以包括：

步骤S22-1，将指定信息和结构信息进行组合，得到第一组合信息；

步骤S22-2，确定第一组合信息的哈希值，并将第一组合信息的哈希值作为目标应用的标识信息。

可见，通过上述步骤S22-1和步骤S22-2，将指定信息中的常量与该结构信息进行组合得到该第一组合信息，进而确定该第一组合信息的哈希值，并将该哈希值作为目标应用的标识信息。由于常量是不变化的量，因此，通过常量与结构信息的组合得到的标识信息，不会被恶意的加固或混淆。

可选实施方式3

该步骤S203中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S31，获取全局信息描述文件中的权限信息；

步骤S32，依据权限信息和结构信息确定目标应用的标识信息。

需要说明的是，由于全局信息描述文件的权限信息是安全级别非常高的信息，因此，与结构信息组合之后确定的标识信息也是不会被恶意的加固或混淆，进而能够很好的对恶意应用进行分类。

也就是说，对于上述步骤S32在可选实施方式中可以是：将权限信息和结构信息进行组合，得到第二组合信息；确定第二组合信息的哈希值，并将第二组合信息的哈希值作为目标应用的标识信息。

即将权限信息与该结构信息进行组合得到该第二组合信息，进而确定该第二组合信息的哈希值，并将该哈希值作为目标应用的标识信息。由于权权限信息的安全级别很高，因此，通过权限信息与结构信息的组合得到的标识信息，不会被恶意的加固或混淆。

在本实施例的另一个可选实施方式中，在本实施例的步骤S203至少依据结构信息确定目标应用的标识信息之后，本实施例的方法还包括：

步骤S204，将目标应用的标识信息与分类集中的标识信息进行匹配；

步骤S205，在分类集中存在与目标应用的标识信息匹配的标识信息时，确定分类集对应的类型为目标应用的类型。

结合上述步骤S201至步骤S205可知，由于该标识信息是根据全局信息描述文件的结构信息(该结构信息可以是XML树结构中的节点标识)，或结构信息与指定信息(该指定信息为目标应用所在操作系统定义的常量和第三方SDK中的常量)的组合，或者结构信息与全局信息描述文件的权限信息组合确定的，因此本实施例中涉及到的标识信息是不会被恶意的加固或混淆，因此根据该标识信息确定的目标程序的类型，进而能够很好的对恶意应用进行分类，解决了相关技术中

下面结合本实施例的具体实施方式对本实施例进行举例说明；

在本具体实施例中通过对APK指纹(对应上述实施例中的标识信息)来对Android恶意软件进行分类。在本具体实施方式中使用AndroidManifest.xml的结构信息进行指纹的计算,而非使用整个AndroidManifest.xml的摘要,也非整个APK的摘要。

本具体实施方式的步骤包括：

步骤S1，APK分类流程；

其中，首先计算APK的指纹；如果指纹已经被分类,直接返回分类结果,结束,否则，通知人工将此指纹进行分类,返回结果未知,结束；

需要说明的是，对于上述分类方式，可以为其他分类方法,例如机器自动关联等,该分类方式的目的在于关联用的指纹的生成逻辑；

步骤S2，反编译APK得到其中的AndroidManifest.xml；

其中，在具体应用场景中,该过程可利用apktoo或者AXMLPrinter等工具来完成,目的是将APK中的二进制的AndroidManifest.xml转成标准的XML文档；

需要说明的是，在步骤中也可以不反编译AndroidManifest.xml,而是直接读取二进制的AndroidManifest.xml文件,只要能抽象出AndroidManifest.xml的结构信息即可；

步骤S3，以深度优先方式遍历XML树,把经过的节点的名称拼接在一起成为新串，并计算新串的散列值；

其中，在具体应用场景中,可使用MD5散列算法,其他散列算法也包含本本申请的保护范围之内；

需要说明的是，拼接过程可以加上常量字符串,或者AndroidManifest.xml中的其他非包名或类名的字符串；也就是说可以由常量与该节点的名称进行组合之后得到新的字符串。

步骤S4，将该散列值作为APK的指纹。

通过本具体实施例方式的上述步骤，由于APK中的AndroidManifest.xml在APK执行前就需要被Android系统解析,所以AndroidManifest.xml不能被加固,采用上述方式不会被加固影响；此外，会被混淆的类名和包名不会出现在AndroidManifest.xml的结构信息中,因此混淆不会影响本具体实施方式的结果；签名或重签名完全不会修改AndroidManifest.xml,所以也对本具体实施方式无影响；也就是说，通过本具体实施方式生成的指纹,在加固或混淆或签名前后不会改变,鲁棒性强。

实施例2

本实施例提供了一种应用的标识确定方法，图3是根据本发明实施例的应用的标识确定方法的流程图二，如图3所示，该方法的步骤包括：

步骤S301，从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

步骤S302，从全局信息描述文件中提取全局信息描述文件的指定信息和/或权限信息；其中，指定信息包括以下至少之一：目标应用所在操作系统定义的常量和第三方SDK中的常量；

步骤S303，基于指定信息和/或权限信息确定目标应用的标识。

其中，对于上述基于指定信息和/或权限信息确定目标应用的标识的方式，在本实施例中可以是：

方式一：在只基于指定信息确定应用的标识信息的情况下，该方法可以是：根据该指定信息，例如，该指定信息为目标应用所在操作系统定义的常量和第三方SDK中的常量，得到对应的字符串；对字符串进行哈希运算，得到字符串的哈希值，并将字符串的哈希值作为目标应用的标识信息

方式二：在只基于权限信息确定应用的标识信息的情况下，该方法可以是：根据该权限信息得到对应的字符串；对字符串进行哈希运算，得到字符串的哈希值，并将字符串的哈希值作为目标应用的标识信息；

方式三：在根据指定信息和权限信息确定应用的标识信息的情况下，将该指定信息和权限信息进行组合，确定该组合信息的哈希值，并将该组合信息的哈希值作为目标应用的标识信息。

可见，通过上述步骤S301至步骤S302，将指定信息中的常量和/或权限信息进行组合得到组合信息，进而确定该组合信息的哈希值，并将该哈希值作为目标应用的标识信息。由于常量是不变化的量以及权限信息的安全级别非常高，因此，通过常量和/或权限信息的得到的标识信息，不会被恶意的加固或混淆。

实施例3

本实施例提供了一种应用的分类方法，图4是根据本发明实施例的应用的检测方法的流程图，如图4所示，该方法的步骤包括：

步骤S401，启动病毒查杀软件；

步骤S402，通过该病毒查杀软件从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

需要说明的是，本实施例中涉及到的全局信息描述文件包括：Manifest.xml文件。

此外，在本实施例的可选实施方式中，如果目标应用是安卓Android系统中的应用，则该应用的安装文件为APK，进而该全局信息描述文件在Android系统中为XML文件，该XML文件用于描述该目标应用，例如描述属性和配置信息。

步骤S403，从全局信息描述文件中提取全局信息描述文件的结构信息；

需要说明的是，对于用于描述目标应用的全局信息描述文件其自身是具有相应的结构，该结构用于指示该文件中的节点与节点之间，节点与信息之间，以及信息与信息之间的内在的逻辑关系。例如，如果该该全局信息描述文件是Android系统中为XML文件，则对于XML文件是具有相应的树结构，该树结构为对于XML文件中的元素包括根元素和子元素，该根元素为所有其他元素的父元素。

步骤S404，至少依据结构信息确定目标应用的标识信息；

步骤S405，在类型为指定类型时，清除目标应用。

其中，该指定类型为恶意软件类型，因此，对于该类型的应用需要被清除。

需要说明的是，对于上述步骤S303，在本实施例中至少可以通过如下可选实施方式来实现：

可选实施方式1

在本实施例中的全局信息描述文件包括可扩展标记语言文件(XML)的情况下，该步骤S303中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S11，遍历可扩展标记语言文件对应的树结构，获取树结构中遍历的各个节点的标签；

步骤S12，将各个节点的标签进行拼接，得到字符串；

步骤S13，对字符串进行哈希运算，得到字符串的哈希值，并将字符串的哈希值作为目标应用的标识信息。

对于上述步骤S11至步骤S13，在具体应用场景中为遍历与XML文件对应的树结构，将经过的节点的标签，在本实施例中可选为节点的名称，拼接起来得到相应的字符串，对该字符串采用哈希运行得到哈希值，并将该哈希值作为目标应用的标识。需要说明的是，如果该实施方式的应用场景为安卓(Android)系统的情况下，需要对Android系统的中的APK文件进行反编译得到相应的XML文件，即AndroidManifest.xml。

可选实施方式2

该步骤S303中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S21，获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：目标应用所在操作系统定义的常量和第三方SDK中的常量；

步骤S22，依据指定信息和结构信息确定目标应用的标识信息。

可见，在可选实施方式中确定该标识信息的依据是获取全局信息描述文件中的指定信息和结构信息，而该指定信息可以是目标应用所在操作系统定义的常量和第三方软件开发工具包SDK中的常量，在具体应用场景中该常量可以是Manifest.xml文件中非包名或类名的字符串，也就是说，可以由常量和结构信息的组合来确定该标识信息。

因此，对于上述步骤S22中的依据指定信息和结构信息确定目标应用的标识信息方式，进一步在本实施例的可选实施方式中可以包括：

步骤S22-1，将指定信息和结构信息进行组合，得到第一组合信息；

步骤S22-2，确定第一组合信息的哈希值，并将第一组合信息的哈希值作为目标应用的标识信息。

可见，通过上述步骤S22-1和步骤S22-2，将指定信息中的常量与该结构信息进行组合得到该第一组合信息，进而确定该第一组合信息的哈希值，并将该哈希值作为目标应用的标识信息。由于常量是不变化的量，因此，通过常量与结构信息的组合得到的标识信息，不会被恶意的加固或混淆。

可选实施方式3

该步骤S303中至少依据结构信息确定目标应用的标识信息的方式，可以通过如下方法步骤来实现：

步骤S31，获取全局信息描述文件中的权限信息；

步骤S32，依据权限信息和结构信息确定目标应用的标识信息。

需要说明的是，由于全局信息描述文件的权限信息是安全级别非常高的信息，因此，与结构信息组合之后确定的标识信息也是不会被被恶意的加固或混淆，进而能够很好的对恶意应用进行分类。

也就是说，对于上述步骤S32在可选实施方式中可以是：将权限信息和结构信息进行组合，得到第二组合信息；确定第二组合信息的哈希值，并将第二组合信息的哈希值作为目标应用的标识信息。

即将权限信息与该结构信息进行组合得到该第二组合信息，进而确定该第二组合信息的哈希值，并将该哈希值作为目标应用的标识信息。由于权权限信息的安全级别很高，因此，通过权限信息与结构信息的组合得到的标识信息，不会被恶意的加固或混淆。

步骤S404，确定与标识信息对应的类型，并将该类型作为目标应用的类型。

结合上述步骤S401至步骤S404可知，由于该标识信息是根据全局信息描述文件的结构信息(该结构信息可以是XML树结构中的节点标识)，或结构信息与指定信息(该指定信息为目标应用所在操作系统定义的常量和第三方SDK中的常量)的组合，或者结构信息与全局信息描述文件的权限信息组合确定的，因此本实施例中涉及到的标识信息是不会被恶意的加固或混淆，因此根据该标识信息确定的目标程序的类型，进而能够很好的对恶意应用进行分类。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例4

根据本发明实施例，还提供了一种用于实施上述应用的标识确定方法的应用的标识确定装置，图5是根据本发明实施例的应用的标识确定装置的结构示意图，如图5所示，该装置500包括：第一提取模块52，用于从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；第二提取模块54，与第一提取模块52耦合连接，用于从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；第一确定模块56，与第二提取模块54耦合连接，用于至少依据所述结构信息确定所述目标应用的标识信息；第二确定模块58，与第一确定模块56耦合连接，用于基于标识信息确定所述目标应用的类型，并依据类型确定对目标应用进行的操作。

可选地，在所述全局信息描述文件包括：可扩展标记语言文件；该第一确定模块56可以包括：第一获取单元，用于遍历所述可扩展标记语言文件对应的树结构，获取所述树结构中遍历的各个节点的标签；拼接单元，与第一获取单元耦合连接，用于将所述各个节点的标签进行拼接，得到字符串；运算单元，与拼接单元耦合连接，用于对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识信息。

可选地，该第一确定模块56还可以包括：第二获取单元，用于获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：所述目标应用所在操作系统定义的常量和第三方SDK中的常量；第一确定单元，与第二获取单元耦合连接，用于依据所述指定信息和所述结构信息确定所述目标应用的标识信息。

可选地，该第一确定单元还用于，将所述指定信息和所述结构信息进行组合，得到第一组合信息；确定所述第一组合信息的哈希值，并将所述第一组合信息的哈希值作为所述目标应用的标识信息。

可选地，该第一确定模块56还可以包括：第三获取单元，用于获取所述全局信息描述文件中的权限信息；第二确定单元，与第三获取单元耦合连接，用于依据所述权限信息和所述结构信息确定所述目标应用的标识信息。

可选地，该第二确定单元还用于，将权限信息和结构信息进行组合，得到第二组合信息；并确定第二组合信息的哈希值，并将第二组合信息的哈希值作为目标应用的标识信息。

图6是根据本发明实施例的应用的标识确定装置的可选结构示意图，如图6所示，该装置包括：匹配模块62，与第一确定模块56耦合连接，在至少依据结构信息确定目标应用的标识信息之后将目标应用的标识信息与分类集中的标识信息进行匹配；第三确定模块64，与匹配模块62耦合连接，用于在分类集中存在与目标应用的标识信息匹配的标识信息时，确定分类集对应的类型为目标应用的类型。

此处需要说明的是，上述第一提取模块52、第二提取模块54和第一确定模块56对应于实施例1中的步骤S201至步骤S203，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。

实施例5

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的应用的标识确定方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：

步骤S1，从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

步骤S2，从全局信息描述文件中提取全局信息描述文件的结构信息；

步骤S3，至少依据结构信息确定目标应用的标识信息；

步骤S4，基于标识信息确定目标应用的类型，并依据类型确定对目标应用进行的操作。

可选的，上述存储介质还可以执行如下步骤的程序代码：获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：目标应用所在操作系统定义的常量和第三方SDK中的常量；依据指定信息和结构信息确定目标应用的标识信息。

可选的，上述存储介质还可以执行如下步骤的程序代码：将指定信息和结构信息进行组合，得到第一组合信息；确定第一组合信息的哈希值，并将第一组合信息的哈希值作为目标应用的标识信息。

可选的，上述存储介质还可以执行如下步骤的程序代码：获取全局信息描述文件中的权限信息；依据权限信息和结构信息确定目标应用的标识信息。。

可选的，上述存储介质还可以执行如下步骤的程序代码：将权限信息和结构信息进行组合，得到第二组合信息；确定第二组合信息的哈希值，并将第二组合信息的哈希值作为目标应用的标识信息。

也就是说，本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(Random Access Memory，RAM)、磁盘或光盘等。

此外，本实施例还提供了一种处理器，该处理器可以是应用于在计算机终端中

在本实施例中，上述处理器可以执行应用程序的应用的标识确定方法中以下步骤的程序代码：

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：

步骤S1，从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

步骤S2，从全局信息描述文件中提取全局信息描述文件的结构信息；

步骤S3，至少依据结构信息确定目标应用的标识信息。

可选的，上述处理器还可以执行如下步骤的程序代码：遍历可扩展标记语言文件对应的树结构，获取树结构中遍历的各个节点的标签；将各个节点的标签进行拼接，得到字符串；对字符串进行哈希运算，得到字符串的哈希值，并将字符串的哈希值作为目标应用的标识信息。

可选的，上述处理器还可以执行如下步骤的程序代码：获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：目标应用所在操作系统定义的常量和第三方SDK中的常量；依据指定信息和结构信息确定目标应用的标识信息。

可选的，上述处理器还可以执行如下步骤的程序代码：将指定信息和结构信息进行组合，得到第一组合信息；确定第一组合信息的哈希值，并将第一组合信息的哈希值作为目标应用的标识信息。

可选的，上述处理器还可以执行如下步骤的程序代码：获取全局信息描述文件中的权限信息；依据权限信息和结构信息确定目标应用的标识信息。。

可选的，上述处理器还可以执行如下步骤的程序代码：将权限信息和结构信息进行组合，得到第二组合信息；确定第二组合信息的哈希值，并将第二组合信息的哈希值作为目标应用的标识信息。

基于上述处理器，本实施例还提供了一种系统，包括：处理器；以及存储器，与处理器连接，用于为处理器提供处理以下处理步骤的指令：

步骤S1，启动病毒查杀软件；

步骤S2，通过该病毒查杀软件从目标应用的安装文件中提取目标应用的全局信息描述文件，该全局信息描述文件用于描述目标应用；

步骤S3，从全局信息描述文件中提取全局信息描述文件的结构信息；

步骤S4，至少依据结构信息确定目标应用的标识信息；

步骤S5，在类型为指定类型时，清除目标应用。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种应用的标识确定方法，其特征在于，包括：

从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用，其中，所述全局信息描述文件包括：可扩展标记语言文件；

从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；

至少依据所述结构信息确定所述目标应用的标识信息，包括：遍历所述可扩展标记语言文件对应的树结构，获取所述树结构中遍历的各个节点的标签；将所述各个节点的标签进行拼接，得到字符串；对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识信息；

基于所述标识信息确定所述目标应用的类型，并依据所述类型确定对所述目标应用进行的操作。

2.根据权利要求1所述的方法，其特征在于，至少依据所述结构信息确定所述目标应用的标识信息，包括：

获取全局信息描述文件中的指定信息，该指定信息包括以下至少之一：所述目标应用所在操作系统定义的常量和第三方SDK中的常量；

依据所述指定信息和所述结构信息确定所述目标应用的标识信息。

3.根据权利要求2所述的方法，其特征在于，依据所述指定信息和所述结构信息确定所述目标应用的标识信息，包括：

将所述指定信息和所述结构信息进行组合，得到第一组合信息；

确定所述第一组合信息的哈希值，并将所述第一组合信息的哈希值作为所述目标应用的标识信息。

4.根据权利要求1所述的方法，其特征在于，至少依据所述结构信息确定所述目标应用的标识信息，包括：

获取所述全局信息描述文件中的权限信息；

依据所述权限信息和所述结构信息确定所述目标应用的标识信息。

5.根据权利要求4所述的方法，其特征在于，依据所述权限信息和所述结构信息确定所述目标应用的标识信息，包括：

将所述权限信息和所述结构信息进行组合，得到第二组合信息；

确定所述第二组合信息的哈希值，并将所述第二组合信息的哈希值作为所述目标应用的标识信息。

6.根据权利要求1所述的方法，其特征在于，至少依据所述结构信息确定所述目标应用的标识信息之后，所述方法还包括：

将所述目标应用的标识信息与分类集中的标识信息进行匹配；

在所述分类集中存在与所述目标应用的标识信息匹配的标识信息时，确定所述分类集对应的类型为所述目标应用的类型。

7.根据权利要求1至6中任意一项所述的方法，其特征在于，所述全局信息描述文件包括：Manifest.xml文件。

8.一种应用的标识确定方法，其特征在于，包括：

从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用；

从所述全局信息描述文件中提取所述全局信息描述文件的指定信息和/或权限信息；其中，所述指定信息包括以下至少之一：所述目标应用所在操作系统定义的常量和第三方SDK中的常量；

基于所述指定信息和/或所述权限信息确定所述目标应用的标识，其中，在基于所述指定信息确定所述目标应用的标识时，基于所述指定信息得到对应的字符串；对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识；在基于所述权限信息确定所述目标应用的标识时，根据所述权限信息得到对应的字符串；对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识；在基于所述指定信息和所述权限信息确定应用的标识时，组合所述指定信息和所述权限信息得到组合信息，确定所述组合信息的哈希值，并将所述组合信息的哈希值作为所述目标应用的标识。

9.一种应用的检测方法，其特征在于，包括：

启动病毒查杀软件；

通过所述病毒查杀软件从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用，其中，所述全局信息描述文件包括：可扩展标记语言文件；

从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；

至少依据所述结构信息确定所述目标应用的标识信息，包括：遍历所述可扩展标记语言文件对应的树结构，获取所述树结构中遍历的各个节点的标签；将所述各个节点的标签进行拼接，得到字符串；对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识信息；

确定与所述标识信息对应的类型，并将该类型作为所述目标应用的类型；

在所述类型为指定类型时，清除所述目标应用。

10.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至7中任意一项所述的应用的标识确定方法。

11.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至7中任意一项所述的应用的标识确定方法。

12.一种应用的标识确定系统，其特征在于，包括：

处理器；以及

存储器，与所述处理器连接，用于为所述处理器提供处理以下处理步骤的指令：

从目标应用的安装文件中提取所述目标应用的全局信息描述文件，该全局信息描述文件用于描述所述目标应用，其中，所述全局信息描述文件包括：可扩展标记语言文件；

从所述全局信息描述文件中提取所述全局信息描述文件的结构信息；

至少依据所述结构信息确定所述目标应用的标识信息，包括：遍历所述可扩展标记语言文件对应的树结构，获取所述树结构中遍历的各个节点的标签；将所述各个节点的标签进行拼接，得到字符串；对所述字符串进行哈希运算，得到所述字符串的哈希值，并将所述字符串的哈希值作为所述目标应用的标识信息；

基于所述标识信息确定所述目标应用的类型，并依据所述类型确定对所述目标应用进行的操作。

Images