CN112307466A - 一种应用程序检测方法、装置、电子设备和存储介质 - Google Patents
一种应用程序检测方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112307466A CN112307466A CN202011197413.5A CN202011197413A CN112307466A CN 112307466 A CN112307466 A CN 112307466A CN 202011197413 A CN202011197413 A CN 202011197413A CN 112307466 A CN112307466 A CN 112307466A
- Authority
- CN
- China
- Prior art keywords
- application
- application program
- malicious
- installation
- system characteristics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本公开涉及一种应用程序检测方法、装置、电子设备和存储介质。其中,应用程序检测方法包括:获取已安装应用程序的系统特征,其中,所述系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;当所述系统特征满足预设恶意应用特征条件时,确定所述系统特征对应的已安装应用程序为恶意应用程序。本公开实施例基于已安装应用程序的系统特征来检测已安装应用程序是否为恶意应用程序,提高了检测结果的准确性和检测效率。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种应用程序检测方法、装置、电子设备和存储介质。
背景技术
随着通信技术的发展,移动终端,如智能手机、平板电脑等设备的应用也越来越为普遍。但是,由于安卓系统的开放性和碎片化,也带来了一些信息安全的问题。
通常在对例如智能手机的应用程序进行恶意软件的分析时,是对应用的程序代码(即apk文件)进行分析,提取有安全风险的函数/方法调用、内容以及软件行为的关联数据。然而,这种对应用执行静态分析的方法能够分析出的恶意威胁数据较为有限,且检测效率较低。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种应用程序检测方法、装置、电子设备和存储介质。
本公开提供了一种应用程序检测方法,包括:
获取已安装应用程序的系统特征,其中,所述系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;
当所述系统特征满足预设恶意应用特征条件时,确定所述系统特征对应的已安装应用程序为恶意应用程序。
可选的,获取已安装应用程序的应用安装来源,包括:
获取所述已安装应用程序的安装信息;
基于所述安装信息确定所述应用安装来源;
获取已安装应用程序的应用包名匹配结果,包括:
向一个或多个正规应用市场发送所述已安装应用程序的包名查询请求;
接收所述正规应用市场响应于所述包名查询请求返回的查询结果,其中,所述查询结果为所述应用包名匹配结果。
可选的,所述应用安装时机包括应用安装时的屏幕状态和安装时间,所述屏幕状态包括亮屏状态或灭屏状态,所述安装时间包括白天、晚上或凌晨。
可选的,所述系统特征满足预设恶意应用特征条件,包括以下一种或多种:
所述应用安装来源不具有安装权限或安装功能,或所述应用安装来源未知;
所述已安装应用程序的图标未在桌面显示;
所述已安装应用程序在灭屏状态和/或凌晨安装;
所述已安装应用程序的最后更新时间与安装时间相同;
所述已安装应用程序的包名在正规应用市场匹配失败。
可选的,在确定所述系统特征对应的已安装应用程序为恶意应用程序之后,还包括:
卸载所述恶意应用程序。
可选的,还包括:
上报所述恶意应用程序的标识信息,其中,所述标识信息包括包名、版本号和安装来源中的一种或多种;
在卸载所述恶意应用程序之后,还包括:
在新的应用程序安装成功后,将所述新的应用程序的标识信息,与上报的所述标识信息进行对比;
当所述新的应用程序的标识信息与上报的所述标识信息相同时,卸载所述新的应用程序。
可选的,在卸载所述恶意应用程序之前,还包括:
判断所述恶意应用程序是否为病毒应用程序;
当所述恶意应用程序为病毒应用程序时,执行所述卸载所述恶意应用程序的操作;
当所述恶意应用程序为非病毒应用程序时,向用户发送卸载提示信息,其中,所述卸载提示信息包括确认卸载信息和取消卸载信息;
如果接收到所述确认卸载信息,则执行所述卸载所述恶意应用程序的操作;如果接收到所述取消卸载信息,则取消所述卸载所述恶意应用程序的操作。
本公开提供了一种应用程序检测装置,包括:
特征获取模块,用于获取已安装应用程序的相关系统特征,其中,所述相关系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;
应用确定模块,用于当所述相关系统特征满足预设恶意应用系统特征的条件时,确定所述相关系统特征对应的已安装应用程序为恶意应用程序。
本公开提供了一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行本公开实施例提供的应用程序检测方法的步骤。
本公开提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开实施例提供的应用程序检测方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例通过获取已安装应用程序的系统特征,如应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种,无需针对apk应用进行分析,只需判断应用程序的系统特征是否满足预设恶意应用特征条件,即可检测出已安装应用程序是否为恶意应用程序,提高了检测结果的准确性和检测效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的应用程序检测方法的流程图;
图2为本公开实施例提供的另一种应用程序检测方法的流程图;
图3为本公开实施例提供的应用程序检测装置的结构框图;
图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1为本公开实施例提供的应用程序检测方法的流程图。该应用程序检测方法适用于检测已安装的应用程序是否为恶意应用程序的情况,可应用于安卓平台的病毒应用程序的检测,可以由应用程序检测装置执行,该装置可以采用软件和/或硬件实现,一般可集成在电子设备中。本实施例提供的应用程序检测方法可由移动终端(包括手机、电脑和可穿戴智能设备等)执行,在一些实施例中,该应用程序检测方法具体可由移动终端中安装的管理应用程序(如手机管家)执行。具体的,如图1所示,本实施例提供的应用程序检测方法包括:
S110、获取已安装应用程序的系统特征。
其中,系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种。
从移动终端(如手机)安装了恶意应用程序的实际问题中,发明人发现恶意应用程序与正常应用程序在部分系统特征上存在明显的区别。例如,安卓系统中拥用安装权限的应用程序一般是应用商店、安装器和一些系统应用,而恶意应用程序的安装来源是没有安装权限或安装功能的应用程序,如设置和系统操作界面等。又如,应用程序安装后会在桌面显示对应的应用图标,而为了不引起用户的注意,恶意应用程序一般在安装后不会显示应用图标。再如,用户在移动终端上主动安装应用程序的时机会在亮屏状态下以及用户活动时间(如8点至22点)内,而为了避免用户发现,恶意应用程序一般会在灭屏状态下或凌晨进行安装。还如,正常应用程序安装后大多会有更新的版本,而恶意应用程序安装后很少有更新版本。此外,恶意应用程序的包名在正规应用市场匹配不到,正规应用市场是经过安全认证的可提供软件应用下载服务的电子平台,如手机自带的应用市场或应用商店。因此,本公开实施例基于上述已安装应用程序的系统特征进行恶意应用程序的检测。
S120、当系统特征满足预设恶意应用特征条件时,确定系统特征对应的已安装应用程序为恶意应用程序。
其中,恶意应用程序为强制安装的应用程序,通常包括经非法网站、非法链接或非法应用下载的病毒应用程序或捆绑的一个或多个非病毒应用程序。在S110的基础上,本步骤根据恶意应用程序的有别于正常应用程序的系统特征,预先设置恶意应用特征条件,即预设恶意应用特征条件,将获取到的已安装应用程序的系统特征与预设恶意应用特征条件进行比较,当系统特征满足预设恶意应用特征条件时,确定系统特征对应的已安装应用程序为恶意应用程序。
上述技术方案中,应用安装时机可包括应用安装时的屏幕状态和安装时间,屏幕状态包括亮屏状态或灭屏状态,安装时间包括白天、晚上或凌晨。其中,白天是指8点至18点的时间段,晚上是指18点至24点的时间段,凌晨是指24点至6点的时间段。
在一些实施例中,当应用安装来源不具有安装权限或安装功能,或应用安装来源未知时,判定系统特征满足预设恶意应用特征条件。其中,安装来源不具有安装权限或安装功能,是指安装来源的应用程序本身及其相关插件均不具有安装权限或安装功能。
在一些实施例中,当已安装应用程序的图标未在桌面显示时,判定系统特征满足预设恶意应用特征条件。
在一些实施例中,当已安装应用程序在灭屏状态和/或凌晨安装时,判定系统特征满足预设恶意应用特征条件。
在一些实施例中,当已安装应用程序的最后更新时间与安装时间相同时,判定系统特征满足预设恶意应用特征条件。其中,已安装应用程序的最后更新时间与安装时间相同,表示已安装应用程序在安装后没有更新版本。
在一些实施例中,当已安装应用程序的包名在正规应用市场匹配失败时,判定系统特征满足预设恶意应用特征条件。
另外,在一些实施例中,为提高恶意应用程序检测的准确性,当满足应用安装来源不具有安装权限或安装功能,或应用安装来源未知、已安装应用程序的图标未在桌面显示、已安装应用程序在灭屏状态和/或凌晨安装、已安装应用程序的最后更新时间与安装时间相同以及已安装应用程序的包名在正规应用市场匹配失败中的多种情况时,判定系统特征满足预设恶意应用特征条件。
本实施例通过获取已安装应用程序的系统特征,如应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种,无需针对apk应用进行分析,只需判断应用程序的系统特征是否满足预设恶意应用特征条件,即可检测出已安装应用程序是否为恶意应用程序,提高了检测结果的准确性和检测效率。
上述体统特征中,应用安装来源和应用包名匹配结果分别与恶意应用程序具有较强的相关性,即基于安装来源和/或应用包名匹配结果检测恶意应用程序,检测结果更为准确。因此,本公开实施例可主要基于安装来源和/或应用包名匹配结果检测恶意应用程序,由此既保证了检测结果的准确性,又保证了检测的高效性。
在一些实施例中,当系统特征包括应用安装来源时,获取已安装应用程序的应用安装来源,包括:获取已安装应用程序的安装信息;基于安装信息确定应用安装来源。其中,安装信息可包括应用程序的安装来源、安装路径、名称、大小和版本信息等。因此,基于安装信息可直接确定应用安装来源,从而提高检测效率。
在一些实施例中,当系统特征包括应用包名匹配结果时,获取已安装应用程序的应用包名匹配结果,包括:向一个或多个正规应用市场发送已安装应用程序的包名查询请求;接收正规应用市场响应于包名查询请求返回的查询结果,其中,查询结果为应用包名匹配结果。示例性的,用户可将已安装应用程序的应用包名输入到移动终端中已有的应用市场的搜寻框中,在点击搜寻或确定按钮后,即向正规应用市场发送已安装应用程序的包名查询请求,正规应用市场响应于包名查询请求输出查询结果,此时,移动终端可获取到该查询结果。进一步的,为提高查询效率,可向正规应用市场自动发送已安装应用程序的包名查询请求,正规应用市场对各应用程序的包名进行自动查询并返回查询结果。例如,移动终端可逐一或同时将各已安装应用程序的包名查询请求发送至云端,云端基于一个或多个正规应用市场查询已安装应用程序的包名并返回查询结果。
可选的,在确定系统特征对应的已安装应用程序为恶意应用程序之后,还包括:卸载恶意应用程序。
可选的,还包括:上报恶意应用程序的标识信息;
在卸载恶意应用程序之后,还包括:在新的应用程序安装成功后,将新的应用程序的标识信息,与上报的标识信息进行对比;当新的应用程序的标识信息与上报的标识信息相同时,卸载新的应用程序。
其中,上报恶意应用程序的标识信息在步骤确定系统特征对应的已安装应用程序为恶意应用程序之后,具体可在卸载恶意应用程序之前,也可在卸载恶意应用程序之后。
由此,通过卸载恶意应用程序,可防止恶意应用程序对用户带来损失。同时,后续基于上报的恶意应用程序的标识信息,对新的应用程序进行检测,进一步提高了应用程序是否为恶意应用程序的检测效率。
相应的,基于上述技术方案,在一些实施例中,如图2所示,应用程序检测方法包括:
S210、获取已安装应用程序的系统特征。
S220、当系统特征满足预设恶意应用特征条件时,确定系统特征对应的已安装应用程序为恶意应用程序。
S230、卸载恶意应用程序。
S240、上报恶意应用程序的标识信息。
其中,标识信息包括包名、版本号和安装来源中的一种或多种。
S250、在新的应用程序安装成功后,将新的应用程序的标识信息,与上报的标识信息进行对比。
示例性的,在新的应用程序安装成功后,获取新的应用程序的包名、版本号和安装来源中的一种或多种,新的应用程序的包名、版本号和安装来源中的一种或多种与上报的标识信息进行对比。
S260、当新的应用程序的标识信息与上报的标识信息相同时,卸载新的应用程序。
示例性的,当新的应用程序的包名、版本号和安装来源中的一种与上报的标识信息相同时,即判定新的应用程序为恶意应用程序,卸载该新的应用程序。另外,当新的应用程序的标识信息与上报的标识信息不同,即新的应用程序的包名、版本号和安装来源中的任一种均与上报的标识信息不同时,不执行任何操作。
在一些实施例中,在上述S230之前,即在卸载恶意应用程序之前,还包括:
判断恶意应用程序是否为病毒应用程序;当恶意应用程序为病毒应用程序时,执行卸载恶意应用程序的操作;当恶意应用程序为非病毒应用程序时,向用户发送卸载提示信息,其中,卸载提示信息包括确认卸载信息和取消卸载信息;如果接收到确认卸载信息,则执行卸载恶意应用程序的操作;如果接收到取消卸载信息,则取消卸载恶意应用程序的操作。
考虑到一些恶意应用程序并不携带病毒,如捆绑安装的应用程序(非病毒应用程序),对移动终端以及客户隐私不会造成影响,而且其中有些应用程序可能是用户想要安装的,如常用视频应用程序和直播应用程序等。因此,本公开实施例对于非病毒的恶意应用程序,在卸载恶意应用程序之前会询问用户是否需要卸载,以使用户根据需求选择卸载恶意应用程序。另外,判断恶意应用程序是否为病毒应用程序可包括:基于预设应用黑名单判断恶意应用程序是否为病毒应用程序,其中,预设应用黑名单包括一个或多个病毒应用程序的标识信息,且标识信息包括应用包名、签名md5、应用版本号和apk文件md5等。具体的,将恶意应用程序的标识信息与预设应用黑名单中的一个或多个病毒应用程序的标识信息进行比较,当恶意应用程序的标识信息与一个或多个病毒应用程序的标识信息中的一个相同时,确定恶意应用程序为病毒应用程序。
本公开实施例还提供了一种应用程序检测装置,图3为本公开实施例提供的应用程序检测装置的结构框图。如图3所示,该应用程序检测装置包括:
特征获取模块31,用于获取已安装应用程序的相关系统特征,其中,相关系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;
应用确定模块32,用于当相关系统特征满足预设恶意应用系统特征的条件时,确定相关系统特征对应的已安装应用程序为恶意应用程序。
可选的,上述特征获取模块31可包括安装来源获取单元和/或包名匹配结果获取单元,其中,安装来源获取单元用于获取已安装应用程序的应用安装来源,包名匹配结果获取单元用于获取已安装应用程序的应用包名匹配结果。
可选的,安装来源获取单元包括:
安装信息获取子单元,用于获取所述已安装应用程序的安装信息;
安装来源确定子单元,用于基于所述安装信息确定所述应用安装来源。
包名匹配结果获取单元包括:
查询请求发送子单元,用于向一个或多个正规应用市场发送所述已安装应用程序的包名查询请求;
包名匹配结果接收子单元,用于接收所述正规应用市场响应于所述包名查询请求返回的查询结果,其中,所述查询结果为所述应用包名匹配结果。
可选的,所述应用安装时机包括应用安装时的屏幕状态和安装时间,所述屏幕状态包括亮屏状态或灭屏状态,所述安装时间包括白天、晚上或凌晨。
可选的,所述系统特征满足预设恶意应用特征条件,包括以下一种或多种:
所述应用安装来源不具有安装权限或安装功能,或所述应用安装来源未知;
所述已安装应用程序的图标未在桌面显示;
所述已安装应用程序在灭屏状态和/或凌晨安装;
所述已安装应用程序的最后更新时间与安装时间相同;
所述已安装应用程序的包名在正规应用市场匹配失败。
可选的,应用程序检测装置还包括:
应用程序卸载模块,用于在确定所述系统特征对应的已安装应用程序为恶意应用程序之后,卸载所述恶意应用程序。
可选的,应用程序检测装置还包括:
标识信息上报模块,用于上报所述恶意应用程序的标识信息,其中,所述标识信息包括包名、版本号和安装来源中的一种或多种;
标识信息对比模块,用于在卸载所述恶意应用程序之后,在新的应用程序安装成功后,将所述新的应用程序的标识信息,与上报的所述标识信息进行对比;
应用程序卸载模块还用于:当所述新的应用程序的标识信息与上报的所述标识信息相同时,卸载所述新的应用程序。
可选的,应用程序检测装置还包括:
病毒判断模块,用于在卸载所述恶意应用程序之前,判断所述恶意应用程序是否为病毒应用程序;
卸载执行模块,用于当所述恶意应用程序为病毒应用程序时,执行所述卸载所述恶意应用程序的操作;
提示信息发送模块,用于当所述恶意应用程序为非病毒应用程序时,向用户发送卸载提示信息,其中,所述卸载提示信息包括确认卸载信息和取消卸载信息;
卸载执行模块还用于:如果接收到所述确认卸载信息,则执行所述卸载所述恶意应用程序的操作;如果接收到所述取消卸载信息,则取消所述卸载所述恶意应用程序的操作。
本公开实施例所提供的应用程序检测装置可执行本发明任意实施例所提供的应用程序检测方法,具备执行方法相应的功能模块和有益效果。
本公开提供了一种电子设备,电子设备包括:处理器;用于存储处理器可执行指令的存储器;处理器,用于从存储器中读取可执行指令,并执行指令以实现本公开提供的应用程序检测方法。
图4为本公开实施例提供的一种电子设备的结构示意图。如图4所示,电子设备400包括一个或多个处理器401和存储器402。
处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备400中的其他组件以执行期望的功能。
存储器402可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行所述程序指令,以实现上文所述的本公开的实施例的应用程序检测方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置403还可以包括例如键盘、鼠标等等。
该输出装置404可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置404可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图4中仅示出了该电子设备400中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备400还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的应用程序检测方法。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的应用程序检测方法。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种应用程序检测方法,其特征在于,包括:
获取已安装应用程序的系统特征,其中,所述系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;
当所述系统特征满足预设恶意应用特征条件时,确定所述系统特征对应的已安装应用程序为恶意应用程序。
2.根据权利要求1所述的应用程序检测方法,其特征在于,获取已安装应用程序的应用安装来源,包括:
获取所述已安装应用程序的安装信息;
基于所述安装信息确定所述应用安装来源;
获取已安装应用程序的应用包名匹配结果,包括:
向一个或多个正规应用市场发送所述已安装应用程序的包名查询请求;
接收所述正规应用市场响应于所述包名查询请求返回的查询结果,其中,所述查询结果为所述应用包名匹配结果。
3.根据权利要求1所述的应用程序检测方法,其特征在于,所述应用安装时机包括应用安装时的屏幕状态和安装时间,所述屏幕状态包括亮屏状态或灭屏状态,所述安装时间包括白天、晚上或凌晨。
4.根据权利要求3所述的应用程序检测方法,其特征在于,所述系统特征满足预设恶意应用特征条件,包括以下一种或多种:
所述应用安装来源不具有安装权限或安装功能,或所述应用安装来源未知;
所述已安装应用程序的图标未在桌面显示;
所述已安装应用程序在灭屏状态和/或凌晨安装;
所述已安装应用程序的最后更新时间与安装时间相同;
所述已安装应用程序的包名在正规应用市场匹配失败。
5.根据权利要求1所述的应用程序检测方法,其特征在于,在确定所述系统特征对应的已安装应用程序为恶意应用程序之后,还包括:
卸载所述恶意应用程序。
6.根据权利要求5所述的应用程序检测方法,其特征在于,还包括:
上报所述恶意应用程序的标识信息,其中,所述标识信息包括包名、版本号和安装来源中的一种或多种;
在卸载所述恶意应用程序之后,还包括:
在新的应用程序安装成功后,将所述新的应用程序的标识信息,与上报的所述标识信息进行对比;
当所述新的应用程序的标识信息与上报的所述标识信息相同时,卸载所述新的应用程序。
7.根据权利要求5所述的应用程序检测方法,其特征在于,在卸载所述恶意应用程序之前,还包括:
判断所述恶意应用程序是否为病毒应用程序;
当所述恶意应用程序为病毒应用程序时,执行所述卸载所述恶意应用程序的操作;
当所述恶意应用程序为非病毒应用程序时,向用户发送卸载提示信息,其中,所述卸载提示信息包括确认卸载信息和取消卸载信息;
如果接收到所述确认卸载信息,则执行所述卸载所述恶意应用程序的操作;如果接收到所述取消卸载信息,则取消所述卸载所述恶意应用程序的操作。
8.一种应用程序检测装置,其特征在于,包括:
特征获取模块,用于获取已安装应用程序的相关系统特征,其中,所述相关系统特征包括应用安装来源、应用图标显示状态、应用安装时机、应用更新状态和应用包名匹配结果中的一种或多种;
应用确定模块,用于当所述相关系统特征满足预设恶意应用系统特征的条件时,确定所述相关系统特征对应的已安装应用程序为恶意应用程序。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7任一项所述应用程序检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1~7任一项所述应用程序检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011197413.5A CN112307466A (zh) | 2020-10-30 | 2020-10-30 | 一种应用程序检测方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011197413.5A CN112307466A (zh) | 2020-10-30 | 2020-10-30 | 一种应用程序检测方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112307466A true CN112307466A (zh) | 2021-02-02 |
Family
ID=74333504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011197413.5A Pending CN112307466A (zh) | 2020-10-30 | 2020-10-30 | 一种应用程序检测方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112307466A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116048544A (zh) * | 2022-08-24 | 2023-05-02 | 荣耀终端有限公司 | 一种弹窗广告的处理方法、电子设备及可读存储介质 |
-
2020
- 2020-10-30 CN CN202011197413.5A patent/CN112307466A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116048544A (zh) * | 2022-08-24 | 2023-05-02 | 荣耀终端有限公司 | 一种弹窗广告的处理方法、电子设备及可读存储介质 |
| CN116048544B (zh) * | 2022-08-24 | 2023-11-07 | 荣耀终端有限公司 | 一种弹窗广告的处理方法、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3506139B1 (en) | Malware detection in event loops | |
| US10552610B1 (en) | Adaptive virtual machine snapshot update framework for malware behavioral analysis | |
| US9584612B2 (en) | Systems and methods for pushing applications | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US7926111B2 (en) | Determination of related entities | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US8627469B1 (en) | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications | |
| US10481964B2 (en) | Monitoring activity of software development kits using stack trace analysis | |
| US10027704B2 (en) | Malicious program finding and killing device, method and server based on cloud security | |
| WO2019072008A1 (zh) | 小程序的安全扫描方法、装置以及电子设备 | |
| WO2013037528A1 (en) | Malware scanning | |
| US8966632B1 (en) | In-the-cloud sandbox for inspecting mobile applications for malicious content | |
| US20120102569A1 (en) | Computer system analysis method and apparatus | |
| US9071639B2 (en) | Unauthorized application detection system and method | |
| US20170351507A1 (en) | Silent upgrade of software with dependencies | |
| WO2017084451A1 (zh) | 识别恶意软件的方法和装置 | |
| CN109117153B (zh) | 应用程序的处理方法、装置、终端和存储介质 | |
| CN109492399B (zh) | 风险文件检测方法、装置及计算机设备 | |
| CN110737887B (zh) | 恶意代码检测方法、装置、电子设备及存储介质 | |
| CN106302531B (zh) | 安全防护方法、装置及终端设备 | |
| CN111597553A (zh) | 病毒查杀中的进程处理方法、装置、设备及存储介质 | |
| CN103500114A (zh) | 一种应用程序的安装方法及装置 | |
| CN112307466A (zh) | 一种应用程序检测方法、装置、电子设备和存储介质 | |
| CN114139161A (zh) | 一种批量检测漏洞的方法、装置、电子设备及介质 | |
| EP3574428B1 (en) | Safe data access through any data channel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |