專利名稱:一種檢測方法����、裝置及電子設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域��,特別涉及一種檢測方法����、裝置及電子設(shè)備。
背景技術(shù):
目前����,執(zhí)行查殺惡意應(yīng)用的方法通常是,掃描可執(zhí)行文件里面是否有惡意應(yīng)用庫特征中的特定編碼如特定的ニ進(jìn)制串或哈希值��。該方法既適用于計(jì)算機(jī)����,也適用于智能手機(jī)等設(shè)備。但是��,該方法查殺速度很慢�,而且非常消耗CPU資源,耗電大����,不節(jié)能。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種檢測方法����、裝置及電子設(shè)備,以解決檢測過程消耗CPU資源大��,耗電大��,不節(jié)能的問題����。本發(fā)明提供了一種檢測方法�,應(yīng)用于電子設(shè)備�����,所述方法包括接收檢測命令�;依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第一特征值,從第二特征庫讀取至少ー個(gè)第二特征值�;將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較,檢測是否存在匹配的第一特征值和第二 特征值��,獲得檢測結(jié)果��;當(dāng)所述檢測結(jié)果表明存在匹配吋����,輸出檢測結(jié)果;其中��,所述第一特征庫是應(yīng)用特征庫�,所述第一特征值是應(yīng)用特征值;所述第二特征庫是惡意應(yīng)用特征庫�,所述第二特征值是惡意應(yīng)用特征值;或者�,所述第一特征庫是惡意應(yīng)用特征庫,所述第一特征值是惡意應(yīng)用特征值;所述第二特征庫是應(yīng)用特征庫�,所述第二特征值是應(yīng)用特征值��。其中��,在接收檢測命令之前���,所述方法還包括所述電子設(shè)備在安裝或更新第一應(yīng)用時(shí)��,計(jì)算所安裝或更新應(yīng)用的特征值�;將計(jì)算出的特征值作為第一特征值��,存儲在第一特征庫內(nèi)���;其中�,所述第一特征庫是應(yīng)用特征庫��。其中���,當(dāng)電子設(shè)備安裝或更新第一應(yīng)用�����,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后��,所述方法還包括觸發(fā)檢測命令��,檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配��,獲得檢測結(jié)果���;其中����,所述第二特征庫是惡意應(yīng)用特征庫����,所述第二特征值是惡意應(yīng)用特征值;當(dāng)所述檢測結(jié)果表明存在匹配時(shí)�,輸出檢測結(jié)果。其中���,所述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值���;所述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值。
其中����,當(dāng)應(yīng)用程序本身的特征值與應(yīng)用程序本身的惡意應(yīng)用特征值相匹配時(shí)����,確認(rèn)所述應(yīng)用程序本身的特征值所對應(yīng)的應(yīng)用為惡意應(yīng)用�。其中����,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配吋,確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第一類應(yīng)用���。其中��,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�,且所述開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用產(chǎn)生過安全事件��,則確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第二類應(yīng)用��。其中��,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�����,若所述開發(fā)者簽名證書的特征值與系統(tǒng)缺省簽名證書的特征值相同,則發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第三類應(yīng)用��。本發(fā)明實(shí)施例還提供了一種檢測裝置�,應(yīng)用于電子設(shè)備,所述裝置包括接收單元�����,用于接收檢測命令�;讀取單元,用于依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第一特征值�,從第ニ特征庫讀取至少ー個(gè)第二特征值;對比單元��,用于將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較���,檢測是否存在匹配的第一特征值和第二特征值�����,獲得檢測結(jié)果����;
輸出單元�����,用于當(dāng)所述檢測結(jié)果表明存在匹配吋,輸出檢測結(jié)果���;其中�����,所述第一特征庫是應(yīng)用特征庫�����,所述第一特征值是應(yīng)用特征值;所述第二特征庫是惡意應(yīng)用特征庫�����,所述第二特征值是惡意應(yīng)用特征值���;或者��,所述第一特征庫是惡意應(yīng)用特征庫���,所述第一特征值是惡意應(yīng)用特征值�����;所述第二特征庫是應(yīng)用特征庫�����,所述第二特征值是應(yīng)用特征值�����。其中��,所述裝置還包括計(jì)算單元��,用于在接收檢測命令之前�,所述電子設(shè)備在安裝或更新第一應(yīng)用吋����,計(jì)算所安裝或更新應(yīng)用的特征值;存儲單元�����,用于將計(jì)算出的特征值作為第一特征值���,存儲在第一特征庫內(nèi)���;其中����,所述第一特征庫是應(yīng)用特征庫����。 其中,所述裝置還包括觸發(fā)單元�,用于當(dāng)電子設(shè)備安裝或更新第一應(yīng)用,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后�����,觸發(fā)檢測命令����;所述對比単元�����,還用于檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配����,獲得檢測結(jié)果���;其中,所述第二特征庫是惡意應(yīng)用特征庫�,所述第二特征值是惡意應(yīng)用特征值;所述輸出単元�,還用于當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果����。其中,所述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值����;所述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值。本發(fā)明實(shí)施例還提供了ー種電子設(shè)備����,所述電子設(shè)備包括存儲單元,用于存儲第一特征庫和第二特征庫����;處理單元,用于接收檢測命令;依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第ー特征值�,從第二特征庫讀取至少ー個(gè)第二特征值;將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較�����,檢測是否存在匹配的第一特征值和第二特征值��,獲得檢測結(jié)果���;當(dāng)所述檢測結(jié)果表明存在匹配吋���,輸出檢測結(jié)果;其中���,所述第一特征庫是應(yīng)用特征庫���,所述第一特征值是應(yīng)用特征值;所述第二特征庫是惡意應(yīng)用特征庫��,所述第二特征值是惡意應(yīng)用特征值�;或者�����,所述第一特征庫是惡意應(yīng)用特征庫,所述第一特征值是惡意應(yīng)用特征值�;所述第二特征庫是應(yīng)用特征庫,所述第二特征值是應(yīng)用特征值��。其中��,所述處理単元����,還用于在接收檢測命令之前,在安裝或更新第一應(yīng)用時(shí)�����,計(jì)算所安裝或更新應(yīng)用的特征值����;將計(jì)算出的特征值作為第一特征值,存儲在第一特征庫內(nèi)�;其中,所述第一特征庫是應(yīng)用特征庫����。其中,所述處理単元,還用于當(dāng)安裝第一應(yīng)用�,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后,觸發(fā)檢測命令����;檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配,獲得檢測結(jié)果�����;其中�,所述第二特征庫是惡意應(yīng)用特征庫,所述第二特征值是惡意應(yīng)用特征值����;當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果�。應(yīng)用本發(fā)明實(shí)施例提供的方法、裝置及電子設(shè)備��,在進(jìn)行全盤殺毒時(shí)��,直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較����,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算,極大地提高了檢測速度���,節(jié)省了 CPU的資源�����,從而也更加節(jié)能����。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。圖1是根據(jù)本發(fā)明實(shí)施例的一種檢測方法流程圖;圖2是本發(fā)明實(shí)施例所提供的一具體實(shí)施例的流程圖�����;圖3是根據(jù)本發(fā)明實(shí)施例的一種檢測裝置邏輯結(jié)構(gòu)示意圖�����;圖4是根據(jù)本發(fā)明實(shí)施例的ー種電子設(shè)備的邏輯結(jié)構(gòu)示意圖���。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例����?�;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍��。為了更好的說明本發(fā)明��,下面先對幾個(gè)概念做簡單介紹應(yīng)用���,在本文中指能運(yùn)行的應(yīng)用程序�,其可能是未被嵌入惡意功能的安全應(yīng)用��,也可能是被嵌入惡意功能的惡意應(yīng)用��。應(yīng)用特征值���,通過對應(yīng)用進(jìn)行計(jì)算而獲得的ー個(gè)值��,例如�����,可以是哈希值����、ニ進(jìn)制編碼值等等;惡意應(yīng)用�����,在本文中指被感染病毒或惡意功能的應(yīng)用程序�,即包括病毒或惡意功能的非正常的應(yīng)用程序。病毒包括對設(shè)備軟件/硬件造成損壞的代碼����。惡意功能包括數(shù)據(jù)竊取功能和費(fèi)用竊取功能,數(shù)據(jù)竊取包括對下列數(shù)據(jù)比如隱私數(shù)據(jù)(用戶數(shù)據(jù)如短信����,郵件,聊天記錄�����,帳號密碼等���,地理位置數(shù)據(jù)�����,操作記錄等)的竊?�?���;費(fèi)用竊取包括����,無需用戶參與的,以造成費(fèi)用損失的短信息發(fā)送��,網(wǎng)絡(luò)訪問���,撥打電話等��。惡意應(yīng)用特征值�,通過對惡意應(yīng)用進(jìn)行計(jì)算而獲得的一個(gè)值��,例如���,可以是哈希值���、ニ進(jìn)制編碼值等等�����。參見圖1���,其是根據(jù)本發(fā)明實(shí)施例的一種檢測方法流程圖,應(yīng)用于電子設(shè)備�����,所述電子設(shè)備包括至少ー個(gè)應(yīng)用���、應(yīng)用特征值集合和惡意應(yīng)用特征值集合���,所述應(yīng)用特征數(shù)據(jù)集合中包括所述至少一個(gè)應(yīng)用中的至少ー個(gè)應(yīng)用的應(yīng)用特征值,所述惡意應(yīng)用特征值集合包括至少ー個(gè)惡意應(yīng)用特征值�����,圖1所示流程具體包括步驟101��,接收檢測命令;步驟102�����,依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第一特征值�,從第二特征庫讀取至少ー個(gè)第二特征值;步驟103����,將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較,檢測是否存在匹配的第一特征值和第二特征值�����,獲得檢測結(jié)果���;步驟104,當(dāng)所述檢測結(jié)果表明存在匹配吋��,輸出檢測結(jié)果���;
其中���,所述第一特征庫是應(yīng)用特征庫,所述第一特征值是應(yīng)用特征值;所述第二特征庫是惡意應(yīng)用特征庫����, 所述第二特征值是惡意應(yīng)用特征值;或者����,所述第一特征庫是惡意應(yīng)用特征庫,所述第一特征值是惡意應(yīng)用特征值��;所述第二特征庫是應(yīng)用特征庫��,所述第二特征值是應(yīng)用特征值����。也就是說,在使用圖1所示方法吋��,即可以使用每個(gè)應(yīng)用特征值依次和所有的惡意應(yīng)用特征值進(jìn)行比較�,也可以使用每個(gè)惡意應(yīng)用特征值依次與所有的應(yīng)用特征值比較。需要說明的是���,當(dāng)所述檢測結(jié)果表明存在匹配吋�,輸出檢測結(jié)果中可以包括與應(yīng)用特征值對應(yīng)的應(yīng)用名稱列表�����,以表示該列表中的應(yīng)用可能是惡意應(yīng)用或有風(fēng)險(xiǎn)的應(yīng)用;當(dāng)所述檢測結(jié)果表明不存在匹配時(shí)��,也可以輸出檢測結(jié)果���,該檢測結(jié)果表明不存在惡意應(yīng)用或有風(fēng)險(xiǎn)的應(yīng)用�����。需要說明的是���,在接收檢測命令之前,圖1所示流程還可以包括所述電子設(shè)備在安裝或更新第一應(yīng)用時(shí)�����,計(jì)算所安裝或更新應(yīng)用的特征值�����;將計(jì)算出的特征值作為第一特征值����,存儲在第一特征庫內(nèi);其中����,所述第一特征庫是應(yīng)用特征庫。也就是說��,在接收檢測命令之前��,在安裝或更新某個(gè)應(yīng)用吋�����,就計(jì)算所安裝或更新應(yīng)用的特征值�����,并且��,將所計(jì)算出的特征值保存至應(yīng)用特征庫內(nèi)���。需要說明的是���,當(dāng)電子設(shè)備安裝或更新第一應(yīng)用,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后���,圖1所示流程還可以包括觸發(fā)檢測命令�����,檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配�����,獲得檢測結(jié)果���;其中���,所述第二特征庫是惡意應(yīng)用特征庫,所述第二特征值是惡意應(yīng)用特征值��;當(dāng)所述檢測結(jié)果表明存在匹配時(shí)���,輸出檢測結(jié)果����。也就是說��,在某個(gè)應(yīng)用被安裝或更新且并計(jì)算出該應(yīng)用的應(yīng)用特征值后��,可以立即對該應(yīng)用進(jìn)行一次檢測�����,以保證所安裝或更新的應(yīng)用是安全的�。與前面類似的,當(dāng)所述檢測結(jié)果表明存在匹配吋���,輸出檢測結(jié)果中可以包括剛安裝的應(yīng)用名稱�,以表示該應(yīng)用可能是惡意應(yīng)用或有風(fēng)險(xiǎn)的應(yīng)用����;當(dāng)所述檢測結(jié)果表明不存在匹配時(shí),也可以輸出檢測結(jié)果�����,該檢測結(jié)果表明所安裝的應(yīng)用不是惡意應(yīng)用或有風(fēng)險(xiǎn)的應(yīng)用�����。需要說明的是����,當(dāng)所述檢測結(jié)果表明存在匹配吋�����,還可以包括根據(jù)接收到的指令(如來自用戶的指令或系統(tǒng)自動(dòng)產(chǎn)生的指令)卸載與惡意應(yīng)用特征值相匹配的應(yīng)用特征值所對應(yīng)的應(yīng)用��,具體的操作可以是在安裝或更新第一應(yīng)用時(shí)����,計(jì)算所安裝或更新應(yīng)用的特征值后����,記錄與該特征值對應(yīng)的應(yīng)用名稱和安裝位置如路徑;當(dāng)所述檢測結(jié)果表明存在匹配時(shí)���,根據(jù)接收到的指令�,依據(jù)所記錄的安裝位置和應(yīng)用名稱��,卸載與惡意應(yīng)用特征值相匹配的應(yīng)用特征值所對應(yīng)的應(yīng)用�。這樣,可以避免由于該惡意應(yīng)用的運(yùn)行所帯來的損失����。需要說明的是,所述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值��;所述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值�����。這樣��,當(dāng)應(yīng)用程序本身的特征值與應(yīng)用程序本身的惡意應(yīng)用特征值相匹配時(shí)�����,確認(rèn)所述應(yīng)用程序本身的特征值所對應(yīng)的應(yīng)用為惡意應(yīng)用��。當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)���,確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的 應(yīng)用是第一類應(yīng)用���。其中,該第一類應(yīng)用是指中風(fēng)險(xiǎn)應(yīng)用����,如疑似惡意應(yīng)用。當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�,且所述開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用產(chǎn)生過安全事件,則確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第二類應(yīng)用�。其中����,該第二類應(yīng)用是指高風(fēng)險(xiǎn)應(yīng)用���,如疑似且有風(fēng)險(xiǎn)的惡意應(yīng)用��。當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�,若所述開發(fā)者簽名證書的特征值與系統(tǒng)缺省簽名證書的特征值相同�,則發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第三類應(yīng)用。其中���,該第三類應(yīng)用是指低風(fēng)險(xiǎn)應(yīng)用���,如可能有風(fēng)險(xiǎn)的應(yīng)用。當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�����,若所述開發(fā)者簽名證書的特征值與系統(tǒng)缺省簽名證書的特征值相同���,且所述開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用產(chǎn)生過安全事件���,則確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第ニ類應(yīng)用��。其中�����,該第二類應(yīng)用是指高風(fēng)險(xiǎn)應(yīng)用,如疑似且有風(fēng)險(xiǎn)的惡意應(yīng)用����。也就是說,第二類應(yīng)用的風(fēng)險(xiǎn)高于第一類應(yīng)用的風(fēng)險(xiǎn)�,而第一類應(yīng)用的風(fēng)險(xiǎn)又高于第三類應(yīng)用的風(fēng)險(xiǎn)。上述安全事件可以通過日志獲得���,且上述安全事件包括訪問通訊錄�����,偷窺隱私數(shù)據(jù)����、消耗資源���、消耗資費(fèi)等事件����。也就是說,所有與安全相關(guān)的事件都可作為記錄�����。當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)可見����,應(yīng)用本發(fā)明實(shí)施例提供的方法,在進(jìn)行全盤殺毒時(shí)�,直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算�,極大地提高了檢測速度,節(jié)省了 CPU的資源��,從而也更加節(jié)能��。通過實(shí)踐比較可知��,隨著待檢測應(yīng)用的數(shù)量的増加����,應(yīng)用本發(fā)明實(shí)施例提供的方法��,檢測時(shí)間始終保持在5秒左右����,而使其他查殺工具�����,在檢測同樣多的應(yīng)用數(shù)量時(shí)����,檢測時(shí)間是本發(fā)明方法的幾倍左右�����。如果應(yīng)用的數(shù)量達(dá)到100個(gè)或更多����,則使用其他查殺工具所需要的時(shí)間要遠(yuǎn)遠(yuǎn)大于本發(fā)明方法所需時(shí)間的10倍以上。下面結(jié)合一具體實(shí)例對本發(fā)明再做詳細(xì)說明��。參見圖2�����,其是本發(fā)明實(shí)施例所提供一具體實(shí)施例的流程圖。本例中�,包括A、B兩個(gè)特征庫�����,其中A特征庫是應(yīng)用特征庫���,B特征庫是惡意應(yīng)用特征庫�,且���,應(yīng)用特征庫內(nèi)存儲的每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和應(yīng)用程序本身的特征值�����;惡意應(yīng)用特征庫內(nèi)存儲的每個(gè)惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和應(yīng)用程序本身的惡意應(yīng)用特征值���。例如,開發(fā)者簽名證書的特征值可以為應(yīng)用簽名證書的哈希值(HASH)����,應(yīng)用程序本身的特征值可以為APK的HASH,相應(yīng)的���,開發(fā)者簽名證書的惡意應(yīng)用特征值可以為惡意應(yīng)用簽名證書的哈希值(HASH)��,應(yīng)用程序本身的惡意應(yīng)用特征值可以為惡意APK的 HASH���。需要說明的是�����,由于惡意應(yīng)用的作者即開發(fā)者簽名證書的特征值的數(shù)目遠(yuǎn)遠(yuǎn)小于惡意應(yīng)用即應(yīng)用程序本身的特征值的數(shù)目���,因此,本實(shí)施例中��,先匹配開發(fā)者簽名證書的特征值���,若匹配上,則確認(rèn)可能是惡意應(yīng)用��,再利用應(yīng)用程序本身的特征值進(jìn)行匹配��,或利用其他信息進(jìn)行風(fēng)險(xiǎn)分級��;若未匹配上����,可以直接確認(rèn)其不是惡意應(yīng)用��。圖2所述流程具體包括00)每當(dāng)捕獲到應(yīng)用安裝或更新時(shí)��,就計(jì)算所安裝或更新應(yīng)用的應(yīng)用特征值�;將計(jì)算出的應(yīng)用特征值存儲到應(yīng)用特征庫內(nèi)�。01)在需要進(jìn)行檢測時(shí),對比開發(fā)者簽名證書的特征值是否與開發(fā)者簽名證書的惡意應(yīng)用特征值相同���,若相同����,則執(zhí)行步驟02)����,否則執(zhí)行步驟09);02)判斷所述開發(fā)者簽名證書的特征值是否為系統(tǒng)缺省簽名證書的特征值�����,若是��,則執(zhí)行步驟03)����,否則執(zhí)行步驟04)�����;03)檢測該應(yīng)用是否觸發(fā)安全事件����,若是����,則執(zhí)行步驟06),否則執(zhí)行步驟09)��;04)對比應(yīng)用程序本身的特征值和應(yīng)用程序本身的惡意應(yīng)用特征值是否相同���,若相同����,則執(zhí)行步驟05);否則執(zhí)行步驟06)�;05)確認(rèn)該應(yīng)用中存在惡意應(yīng)用�,然后執(zhí)行步驟09);;06)確認(rèn)該應(yīng)用為可能有風(fēng)險(xiǎn)的應(yīng)用����,然后執(zhí)行步驟09)��;07)檢測該應(yīng)用是否觸發(fā)安全事件�����,若是���,則執(zhí)行步驟08),否則執(zhí)行步驟09)�;08)確認(rèn)該應(yīng)用為第二類應(yīng)用即疑似有風(fēng)險(xiǎn)的惡意應(yīng)用,然后執(zhí)行步驟09)��;09)判斷是否全部對比完畢����,若是,則結(jié)束�,否則執(zhí)行步驟10);10)獲取下一應(yīng)用的應(yīng)用特征值����,然后執(zhí)行步驟01)。應(yīng)用本發(fā)明實(shí)施例提供的方法����,在進(jìn)行全盤殺毒時(shí)��,直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較�����,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算��,極大地提高了檢測速度��,節(jié)省了 CPU的資源����,從而也更加節(jié)能���。本發(fā)明實(shí)施例還提供了 一種檢測裝置����,應(yīng)用于電子設(shè)備���,參見圖3,所述裝置包括接收單元301���,用于接收檢測命令��;讀取單元302�,用于依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第一特征值,從第二特征庫讀取至少ー個(gè)第二特征值��;對比單元303�,用于將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較,檢測是否存在匹配的第一特征值和第二特征值�����,獲得檢測結(jié)果��;輸出單元304����,用于當(dāng)所述檢測結(jié)果表明存在匹配吋,輸出檢測結(jié)果���;其中�����,所述第一特征庫是應(yīng)用特征庫��,所述第一特征值是應(yīng)用特征值���;所述第二特征庫是惡意應(yīng)用特征庫�,所述第二特征值是惡意應(yīng)用特征值���;或者�����,所述第一特征庫是惡意應(yīng)用特征庫����,所述第一特征值是惡意應(yīng)用特征值���;所述第二特征庫是應(yīng)用特征庫���,所述第二特征值是應(yīng)用特征值。其中��,圖3所示裝置還可以包括計(jì)算單元(圖未示)����,用于在接收檢測命令之前���,所述電子設(shè)備在安裝或更新第一應(yīng)用時(shí)��,計(jì)算所安裝或更新應(yīng)用的特征值���;存儲單元(圖未示)��,用于將計(jì)算出的特征值作為第一特征值����,存儲在第一特征庫內(nèi)�����;其中�,所述第一特征庫是應(yīng)用特征庫。其中����,圖3所示裝置還可以包括觸發(fā)單元(圖未示),用于當(dāng)電子設(shè)備安裝或更新第一應(yīng)用��,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后,觸發(fā)檢測命令����;所述對比単元,還用于檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配��,獲得檢測結(jié)果��;其中���,所述第二特征庫是惡意應(yīng)用特征庫�����,所述第二特征值是惡意應(yīng)用特征值��;所述輸出単元����,還用于當(dāng)所述檢測結(jié)果表明存在匹配時(shí)�����,輸出檢測結(jié)果����。上述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值�;上述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值����。應(yīng)用本發(fā)明實(shí)施例提供的裝置�����,在進(jìn)行全盤殺毒時(shí)���,直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較�����,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算���,極大地提高了檢測速度,節(jié)省了 CPU的資源���,從而也更加節(jié)能�����。本發(fā)明實(shí)施例還提供了一種電子設(shè)備��,參見圖4�����,所述電子設(shè)備包括存儲單元401��,用于存儲第一特征庫和第二特征庫����;處理單元402,用于接收檢測命令���;依據(jù)所述檢測命令從第一特征庫讀取至少ー個(gè)第一特征值�����,從第二特征庫讀取至少ー個(gè)第二特征值�����;將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較�,檢測是否存在匹配的第一特征值和第二特征值�����,獲得檢測結(jié)果;當(dāng)所述檢測結(jié)果表明存在匹配吋�,輸出檢測結(jié)果;其中�,所述第一特征庫是應(yīng)用特征庫,所述第一特征值是應(yīng)用特征值�;所述第二特征庫是惡意應(yīng)用特征庫,所述第二特征值是惡意應(yīng)用特征值�;或者���,所述第一特征庫是惡意應(yīng)用特征庫��,所述第一特征值是惡意應(yīng)用特征值����;所述第二特征庫是應(yīng)用特征庫��,所述第二特征值是應(yīng)用特征值���。上述處理單元402���,還用于在接收檢測命令之前�����,在安裝或更新第一應(yīng)用吋�,計(jì)算所安裝或更新應(yīng)用的特征值�;將計(jì)算出的特征值作為第一特征值,存儲在第一特征庫內(nèi)��;其中���,所述第一特征庫是應(yīng)用特征庫��。上述處理單元402����,還用于當(dāng)安裝第一應(yīng)用�����,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后�,觸發(fā)檢測命令;檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配�����,獲得檢測結(jié)果;其中�����,所述第二特征庫是惡意應(yīng)用特征庫�����,所述第二特征值是惡意應(yīng)用特征值�;當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果�。應(yīng)用本發(fā)明實(shí)施例提供的電子設(shè)備,在進(jìn)行全盤殺毒時(shí)��,直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較�,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算�����,極大地提高了檢測速度��,節(jié)省了 CPU的資源���,從而也更加節(jié)能�����。對于裝置和電子設(shè)備實(shí)施例而言����,由于其基本相似于方法實(shí)施例,所以描述的比較簡單�,相關(guān)之處參見方法實(shí)施例的部分說明即可。需要說明的是��,在本文中�����,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將ー個(gè)實(shí)體或者操作與另ー個(gè)實(shí)體或操作區(qū)分開來��,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序����。而且,術(shù)語“包括”���、“包含”或者其任何其他變體意在涵蓋非排他性的包含���,從而使得包括一系列要素的過程�、方法�、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素���,或者是還包括為這種過程�、方法���、物品或者設(shè)備
所固有的要素��。在沒有更多限制的情況下��,由語句“包括ー個(gè)......”限定的要素�,并不排
除在包括所述要素的過程���、方法����、物品或者設(shè)備中還存在另外的相同要素����。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲于計(jì)算機(jī)可讀取存儲介質(zhì)中����,這里所稱得的存儲介質(zhì),如R0M/RAM��、磁碟���、光盤等�。以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍����。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換�、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種檢測方法,應(yīng)用于電子設(shè)備�����,其特征在于,所述方法包括 接收檢測命令���; 依據(jù)所述檢測命令從第一特征庫讀取至少一個(gè)第一特征值�����,從第二特征庫讀取至少一個(gè)第二特征值�����; 將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較�����,檢測是否存在匹配的第一特征值和第二特征值��,獲得檢測結(jié)果���; 當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果���; 其中����,所述第一特征庫是應(yīng)用特征庫���,所述第一特征值是應(yīng)用特征值��;所述第二特征庫是惡意應(yīng)用特征庫��,所述第二特征值是惡意應(yīng)用特征值�;或者����,所述第一特征庫是惡意應(yīng)用特征庫,所述第一特征值是惡意應(yīng)用特征值�;所述第二特征庫是應(yīng)用特征庫,所述第二特征值是應(yīng)用特征值�����。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,在接收檢測命令之前���,所述方法還包括 所述電子設(shè)備在安裝或更新第一應(yīng)用時(shí)���,計(jì)算所安裝或更新應(yīng)用的特征值����; 將計(jì)算出的特征值作為第一特征值�,存儲在第一特征庫內(nèi);其中���,所述第一特征庫是應(yīng)用特征庫����。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于�,當(dāng)電子設(shè)備安裝或更新第一應(yīng)用�����,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后�,所述方法還包括 觸發(fā)檢測命令,檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配��,獲得檢測結(jié)果�;其中�����,所述第二特征庫是惡意應(yīng)用特征庫,所述第二特征值是惡意應(yīng)用特征值�����; 當(dāng)所述檢測結(jié)果表明存在匹配時(shí)�����,輸出檢測結(jié)果����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于�����, 所述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值���; 所述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值���。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于����, 當(dāng)應(yīng)用程序本身的特征值與應(yīng)用程序本身的惡意應(yīng)用特征值相匹配時(shí)��,確認(rèn)所述應(yīng)用程序本身的特征值所對應(yīng)的應(yīng)用為惡意應(yīng)用�����。
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)�����,確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第一類應(yīng)用��。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)����,且所述開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用產(chǎn)生過安全事件,則確認(rèn)開發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第二類應(yīng)用。
8.根據(jù)權(quán)利要求6所述的方法�����,其特征在于���,當(dāng)開發(fā)者簽名證書的特征值與開發(fā)者簽名證書的惡意應(yīng)用特征值相匹配時(shí)��,若所述開發(fā)者簽名證書的特征值與系統(tǒng)缺省簽名證書的特征值相同,則發(fā)者簽名證書的特征值所對應(yīng)的應(yīng)用是第三類應(yīng)用�����。
9.一種檢測裝置��,應(yīng)用于電子設(shè)備���,其特征在于�,所述裝置包括 接收單元�����,用于接收檢測命令����;讀取單元��,用于依據(jù)所述檢測命令從第一特征庫讀取至少一個(gè)第一特征值�,從第二特征庫讀取至少一個(gè)第二特征值���; 對比單元��,用于將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較�,檢測是否存在匹配的第一特征值和第二特征值�,獲得檢測結(jié)果; 輸出單元����,用于當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果�����; 其中����,所述第一特征庫是應(yīng)用特征庫,所述第一特征值是應(yīng)用特征值���;所述第二特征庫是惡意應(yīng)用特征庫����,所述第二特征值是惡意應(yīng)用特征值;或者����,所述第一特征庫是惡意應(yīng)用特征庫,所述第一特征值是惡意應(yīng)用特征值���;所述第二特征庫是應(yīng)用特征庫����,所述第二特征值是應(yīng)用特征值�。
10.根據(jù)權(quán)利要求9所述的裝置���,其特征在于�,所述裝置還包括 計(jì)算單元����,用于在接收檢測命令之前,所述電子設(shè)備在安裝或更新第一應(yīng)用時(shí)��,計(jì)算所安裝或更新應(yīng)用的特征值; 存儲單元�,用于將計(jì)算出的特征值作為第一特征值,存儲在第一特征庫內(nèi)�����;其中���,所述第一特征庫是應(yīng)用特征庫�。
11.根據(jù)權(quán)利要求10所述的裝置�����,其特征在于����,所述裝置還包括 觸發(fā)單元,用于當(dāng)電子設(shè)備安裝或更新第一應(yīng)用����,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后,觸發(fā)檢測命令�; 所述對比單元,還用于檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配�,獲得檢測結(jié)果�����;其中��,所述第二特征庫是惡意應(yīng)用特征庫�,所述第二特征值是惡意應(yīng)用特征值���; 所述輸出單元�,還用于當(dāng)所述檢測結(jié)果表明存在匹配時(shí)��,輸出檢測結(jié)果���。
12.根據(jù)權(quán)利要求9所述的裝置�����,其特征在于, 所述每個(gè)應(yīng)用特征值包括開發(fā)者簽名證書的特征值和/或應(yīng)用程序本身的特征值�����;所述惡意應(yīng)用特征值包括開發(fā)者簽名證書的惡意應(yīng)用特征值和/或應(yīng)用程序本身的惡意應(yīng)用特征值��。
13.—種電子設(shè)備,其特征在于,所述電子設(shè)備包括 存儲單元,用于存儲第一特征庫和第二特征庫����; 處理單元,用于接收檢測命令���;依據(jù)所述檢測命令從第一特征庫讀取至少一個(gè)第一特征值����,從第二特征庫讀取至少一個(gè)第二特征值�;將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較,檢測是否存在匹配的第一特征值和第二特征值�����,獲得檢測結(jié)果�;當(dāng)所述檢測結(jié)果表明存在匹配時(shí),輸出檢測結(jié)果��; 其中�����,所述第一特征庫是應(yīng)用特征庫��,所述第一特征值是應(yīng)用特征值;所述第二特征庫是惡意應(yīng)用特征庫���,所述第二特征值是惡意應(yīng)用特征值�����;或者�,所述第一特征庫是惡意應(yīng)用特征庫�,所述第一特征值是惡意應(yīng)用特征值;所述第二特征庫是應(yīng)用特征庫����,所述第二特征值是應(yīng)用特征值。
14.根據(jù)權(quán)利要求13所述的電子設(shè)備���,其特征在于���, 所述處理單元,還用于在接收檢測命令之前�����,在安裝或更新第一應(yīng)用時(shí)��,計(jì)算所安裝或更新應(yīng)用的特征值���;將計(jì)算出的特征值作為第一特征值�����,存儲在第一特征庫內(nèi)����;其中�����,所述第一特征庫是應(yīng)用特征庫�����。
15.根據(jù)權(quán)利要求13所述的電子設(shè)備����,其特征在于, 所述處理單元����,還用于當(dāng)安裝第一應(yīng)用���,并針對所安裝或更新的應(yīng)用計(jì)算出特征值后,觸發(fā)檢測命令�;檢測對所安裝或更新的第一應(yīng)用計(jì)算出特征值與第二特征庫內(nèi)的所有第二特征值是否匹配,獲得檢測結(jié)果���;其中����,所述第二特征庫是惡意應(yīng)用特征庫�����,所述第二特征值是惡意應(yīng)用特征值���;當(dāng)所述檢測結(jié)果表明存在匹配時(shí)���,輸出檢測結(jié)果。
全文摘要
本發(fā)明公開了一種檢測方法�����、裝置及電子設(shè)備,所述方法包括接收檢測命令��;依據(jù)所述檢測命令從第一特征庫讀取至少一個(gè)第一特征值����,從第二特征庫讀取至少一個(gè)第二特征值�����;將每個(gè)第一特征值依次與第二特征庫中的所有第二特征值進(jìn)行比較�,檢測是否存在匹配的第一特征值和第二特征值,獲得檢測結(jié)果�����;當(dāng)所述檢測結(jié)果表明存在匹配時(shí)��,輸出檢測結(jié)果�����。應(yīng)用本發(fā)明�����,在進(jìn)行全盤殺毒時(shí),直接使用已存儲的特征庫內(nèi)的值進(jìn)行比較��,無需對每個(gè)應(yīng)用進(jìn)行逐一計(jì)算����,極大地提高了檢測速度,節(jié)省了CPU的資源�����,從而也更加節(jié)能�。
文檔編號G06F21/57GK103034810SQ20111029434
公開日2013年4月10日 申請日期2011年9月29日 優(yōu)先權(quán)日2011年9月29日
發(fā)明者劉永鋒, 阮景春 申請人:聯(lián)想(北京)有限公司