专利名称:应用程序安装包解压过程的检测方法与装置、客户端设备的制作方法
技术领域:
本发明涉 及计算机安全领域,特别涉及一种应用程序安装包解压过程的检测方法与装置、客户端设备。
背景技术:
应用程序安装包通常为一个压缩文件,该压缩文件中通常可以包括资源文件、配置文件以及可执行文件等等。现有技术中,为了检测应用程序的安装包是否为流氓软件或者病毒,需要对应用程序的安装包进行解压,获取到完整的可执行文件。然后在内存中对完整可执行文件进行反编译分析,提取出特征信息;并将提取出的特征信息与预设的病毒特征库中的病毒样本所包含的特征信息进行比对,从而检测出该应用程序安装包是否为流氓程序或者病毒文件。在实现本发明的过程中,发明人发现现有技术至少存在以下问题现有技术中,当需要对应用程序的安装包进行检测时,需要先对应用程序的安装包进行解压缩得到完整的可执行文件,然后在内存中对得到的完整的可执行文件进行反编译分析提取特征信息,当可执行文件较大,完整的可执行文件放在内存中,会占用大量的内存,而且提取特征信息的过程较为耗时,因此现有技术的检测应用程序安装包是否为病毒或者流氓软件的方案检测效率较低。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种应用程序安装包解压过程的检测方法与装置、客户端设备。所述技术方案如下一方面,提供了一种应用程序安装包解压过程的检测方法,所述方法包括对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流饭软件。可选地,如上所述的方法中,所述病毒样本包括偏移地址和病毒特征码。 可选地,如上所述的方法中,根据病毒特征库中的病毒样本对所述解压缩数据进行检测,包括从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据;比对所述检测数据与所述病毒特征码;当所述检测数据与所述病毒特征码一致,确定所述解压缩数据中包括所述病毒样本。可选地,如上所述的方法中,从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据之前,所述方法还包括判断所述解压缩数据中以所述偏移地址作为起点之后的数据的长度是否大于等于所述病毒特征码长度;若否,从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据,包括从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的所述检测数据;其中所述起始偏移地址为所述偏移地址,所述结束偏移地址为所述偏移地址加所述病毒特 征码长度的偏移地址。可选地,如上所述的方法中,所述方法还包括重复进行不大于一阈值的数据的解压缩和检测,若确定所述应用程序安装包为病毒文件或者流氓软件,则停止解压。可选地,如上所述的方法中,所述方法还包括重复进行不大于一阈值的数据的解压缩和检测,直到所述应用程序解压完毕。另一方面,提供了一种应用程序安装包解压过程的检测装置,所述装置包括解压缩模块,用于对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;检测模块,用于根据病毒特征库中的病毒样本对所述解压缩数据进行检测;确定模块,用于当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流饭软件。可选地,如上所述的装置中,所述病毒样本包括偏移地址和病毒特征码。可选地,如上所述的装置中,所述检测模块,包括获取单元,用于从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据;比对单元,用于比对所述检测数据与所述病毒特征码;确定单元,用于当所述检测数据与所述病毒特征码一致,确定所述解压缩数据中包括所述病毒样本。可选地,如上所述的装置中,还包括判断模块;所述判断模块,用于在所述获取单元从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据之前,判断所述解压缩数据中以所述偏移地址作为起点之后的数据的长度是否大于等于所述病毒特征码长度;所述获取单元,还用于当所述判断模块判断出所述解压缩数据中以所述偏移地址作为起点之后的数据的长度小于所述病毒特征码长度时,从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的所述检测数据;其中所述起始偏移地址为所述偏移地址,所述结束偏移地址为所述偏移地址加所述病毒特征码长度的偏移地址。可选地,如上所述的装置中,所述解压缩模块和所述检测模块,还分别用于重复进行不大于一阈值的数据的解压缩和检测,若所述确定模块确定所述应用程序安装包为病毒文件或者流氓软件,则所述解压缩模块停止解压。可选地,如上所述的装置中,所述解压缩模块和所述检测模块,还分别用于重复进行不大于一阈值的数据的解压缩和检测,直到所述应用程序解压完毕。再一方面,提供了一种客户端设备,在所述客户端设备上设置有如上任一所述的应用程序安装包解压过程的检测装置。可选地,如上所述的客户端设备中,所述客户端设备为移动终端或者固定终端。本发明实施例的应用程序安装包解压过程的检测方法与装置、客户端设备,通过对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;并根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。与现有技术相比,本发明实施例的技术方案中,通过对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且本发明实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明实施例一提供的应用程序安装包解压过程的检测方法的流程图。图2为本发明实施例二提供的应用程序安装包解压过程的检测方法的流程图。图3为本发明实施例三提供的应用程序安装包解压过程的检测装置的结构示意图。图4为本发明实施例四提供的应用程序安装包解压过程的检测装置的结构示意图。图5为本发明实施例五提供的客户端设备的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。实施例一图I为本发明实施例一提供的应用程序安装包解压过程的检测方法的流程图。如图I所示,本实施例的应用程序安装包解压过程的检测方法执行主体为应用程序安装包解压过程的检测装置,例如该应用程序安装包解压过程的检测装置可以设置在客户端设备上。如图I所示,本实施例的应用程序安装包解压过程的检测方法,具体可以包括如下步骤100、对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;101、根据病毒特征库中的病毒样本对解压缩数据进行检测;
102、当解压缩数据中包括病毒样本时,确定应用程序安装包为病毒文件或者流氓软件。本实施例的应用程序安装包可以为各种系统下的应用程序安装包,例如可以为windows系统的应用程序安装包,还可以为Android系统的应用程序安装包。例如具体可以为Android系统的应用程序安装包可以称为apk文件。当应用程序安装包为apk文件,对应的可执行文件为dex文件。本实施例的应用程序安装包还可以为ios系统的应用程序安装包。本实施例中阈值根据实际需求设置,例如为了减少实施例时占用的内存空间,可以设置阈值为很小的几十K,另外,阈值也可以根据所解压的应用程序安装包的大小进行确定。本实施例的技术方案中,每次仅对应用程序安装包中大于等于阈值的数据进行解压缩,且直接根据病毒特征库中的病毒样本对解压缩数据进行检测。由于每次仅解压缩大于等于阈值的数据,可以通过反复解压缩操作,实现对整个应用程序安装包进行解压缩,并对每次解压缩之后,都根据病毒特征库中的病毒样本对解压缩数据进行检测,当所有应用程序安 装包解压缩完毕之后,并检测得到解压缩数据中包括病毒样本时,确定应用程序安装包为病毒文件或者流氓软件。当检测得到解压缩数据中未包括病毒样本时,确定应用程序安装包为病毒文件或者流氓软件。此处的解压缩数据不限制为一次解压缩的数据,可以是多次解压缩的解压缩数据。本实施例的应用程序安装包解压过程的检测方法,通过对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据;并根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。与现有技术相比,本实施例的技术方案中,通过对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且本实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。可选地,在上述图I所示实施例的技术方案的基础上,病毒特征库中的病毒样本包括偏移地址和病毒特征码。例如,一个病毒样本中可以包括一个偏移地址和该偏移地址对应的病毒特征码,即偏移地址和病毒特征码之间为对应关系。一个病毒样本中也可以包括多个偏移地址和多个偏移地址中每个偏移地址对应的病毒特征码,即包括多对偏移地址和病毒特征码之间的对应关系。病毒特征库中的各个病毒样本之间可以具有相同的偏移地址,还可以具有多个不同的偏移地址。其中,偏移地址是指文件在内存或缓存中的各数据的地址。偏移地址从文件的第一个字节开始计数,起始值为O。病毒特征码是一段用于比对的数据,该数据具有指定长度。如果某个文件以该偏移地址为起点的指定长度的数据与该病毒特征码相同,则认为该文件是病毒文件。例如,病毒样本的偏移地址可以为66,也即是定位被扫描文件中00000066h这个地址,本领域技术人员可以获知,该定位可通过文件指针实现,当一个文件打开并保存在缓存中时,文件指针指向文件的起始地址OOOOOOOOh。需要说明的是,此处所举的病毒样本的偏移地址仅是为了说明获取方法的一个示意,并不限制病毒样本的实际组成。其中当病毒样本中包括多对偏移地址和病毒特征码时,此时对应的解压缩数据包括病毒样本具体可以指得是,在解压缩数据中包括每个偏移地址对应的病毒特征码。而且此处的解压缩数据也不限制为解压一次大于等于阈值的数据得到的解压缩数据,还可以指的依次分别解压多个大小等于阈值的数据得到的多个解压缩数据。进一步可选地,在上述图I所示实施例的技术方案的基础上,其中步骤101 “根据病毒特征库中的病毒样本对所述解压缩数据进行检测”,具体可以包括如下步骤
(I)从解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据;(2)比对检测数据与病毒特征码;当检测数据与病毒特征码一致,执行(3);否则当检测数据与病毒特征码不一致,执行(4);(3)确定解压缩数据中包括病毒样本;(4)确定解压缩数据中未包括病毒样本。进一步可选地,上述实施例中的步骤(1)“从解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据”之前,还可以包括判断解压缩数据中以偏移地址作为起点之后的数据的长度是否大于等于病毒特征码长度;并确定解压缩数据中以偏移地址作为起点之后的数据的长度大于等于病毒特征码长度。例如当阈值为30k,病毒样本中包括偏移地址32,长度为IOk的病毒特征码A和以及偏移地址为45,长度为15k的病毒特征码B。由于阈值为30k,第一次按照阈值对应用程序安装包进行解压缩时得到30k的数据,假设对应的偏移地址为0-30,第一次解压缩之后,解压缩数据中未包含病毒样本中的偏移地址,不进行检测。第二次按照阈值对应用程序安装包进行解压缩时,也得到30k的数据,对应的偏移地址31-60,此时解压缩数据中包含病毒样本中的偏移地址32和45,此时从第二次解压缩得到的解压缩数据中获取以偏移地址32作为起点、长度等于病毒特征码长度10K的检测数据1,和以偏移地址45作为起点、长度等于病毒特征码长度15K的检测数据2 ;并分别将检测数据I和病毒特征码A,检测数据2和病毒特征码B进行比对,当检测数据I和病毒特征码A —致,且检测数据2和病毒特征码B—致,确定解压缩数据中包括病毒样本,确定应用程序安装包为病毒文件或者流氓软件。否则当检测数据I和病毒特征码A不一致或者检测数据2和病毒特征码B不一致,确定解压缩数据中未包括病毒样本,确定应用程序安装包不是病毒文件,也不是流氓软件。进一步可选地,当解压缩数据中以偏移地址作为起点之后的数据的长度小于病毒特征码长度时,上述步骤(I)从解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据”,具体可以包括从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据;其中起始偏移地址为病毒特征库中的病毒样本中的偏移地址,结束偏移地址为病毒特征库中的病毒样本中的偏移地址加病毒特征码长度的偏移地址。例如当阈值为30k,病毒样本中包括偏移地址32,长度为IOk的病毒特征码A,以及偏移地址为58,长度为20k的病毒特征码B。由于阈值为30k,第一次按照阈值对应用程序安装包进行解压缩时得到30k的数据,假设对应的偏移地址为0-30,第一次解压缩之后,解压缩数据中未包含病毒样本中的偏移地址,不进行检测。第二次按照阈值对应用程序安装包进行解压缩时,得到也得到30k的数据,对应的偏移地址31-60,此时解压缩数据中包含病毒样本中的偏移地址32,此时从第二次解压缩得到的解压缩数据中获取以偏移地址32作为起点、长度等于病毒特征码长度IOK的检测数据1,另外,本次解压缩得到的解压缩数据中也包括偏移地址58,但是需要选取以偏移地址58为起点,长度等于20k的检测数据
2.,而本次解压缩数据,偏移地址58之后的数据长度仅包括2k小于要选取的检测数据2的长度20,此时可以先取偏移地址58-60的2k的数据暂存在内存中;然后再进行第三次解压缩,第3次解压缩也可以得到30k的数据,对应的偏移地址为61-90,此时可以继续获取偏移地址为61到(58+20=78)的18K的数据。此时即对应地需要从起始偏移地址58到结束偏移地址之间的所有偏移地址对应的两个解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据;其中起始偏移地址为病毒特征库中的病毒样本中的偏移地址58,结束偏移地址78为病毒特征库中的病毒样本中的偏移地址58加病毒特征码长度20的偏移地址。上述是以从起始偏移地址到结束偏移地址之间的所有偏移地址对应的两个解压缩数据中获取检测数据为例,实际应用中,当病毒特征码的长度足够长的时候,也可以从更 多个解压缩数据中获取检测数据。采用上述方式,可以从解压缩数据中获取以偏移地址32为起点长度为IOk的检测数据1,并从两个连续的解压缩数据中获取以偏移地址58为起点长度为20k的检测数据2。并分别将检测数据I和病毒特征码A,检测数据2和病毒特征码B进行比对,同理当检测数据I和病毒特征码A —致,且检测数据2和病毒特征码B —致,确定解压缩数据中包括病毒样本,确定应用程序安装包为病毒文件或者流氓软件。否则当检测数据I和病毒特征码A不一致或者检测数据2和病毒特征码B不一致,确定解压缩数据中未包括病毒样本,确定应用程序安装包不是病毒文件,也不是流氓软件。上述实施例中是以一个病毒样本为例来说明本实施例的技术方案,实际应用中需要对应用程序安装包的每个解压缩数据和病毒特征库中的每个病毒样本进行对比,只要解压缩数据中包括一个病毒样本,该应用程序安装包即为病毒文件或者流氓程序。具体地,可以重复执行上述图I所示实施例中的步骤100-102,以重复进行不大于一阈值的数据的解压缩和检测,若确定应用程序安装包为病毒文件或者流氓软件,则停止解压。该方案应用于当未对应用程序安装包解压完毕即判断出该应用程序安装包为病毒文件或者流氓软件的情况,此时可以停止后续解压,减少不必要的解压处理。或者,还可以执行上述图I所示实施例中的步骤100-102,以重复进行不大于一阈值的数据的解压缩和检测,直到应用程序解压完毕。该方案应用于在重复对应用程序安装包进行解压缩和检测的过程中,均未检测确定该应用程序安装包为病毒文件或者流氓软件的情况,此时需要对应用程序安装包解压完毕,检测每一个解压得到的解压数据,以保证检测质量。可选地,在上述图I所示实施例的技术方案的基础上,其中步骤100 “对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据”之前,上述实施例的应用程序安装包解压过程的检测方法还包括如下步骤(a)判断应用程序安装包中未解压数据的大小是否大于等于阈值;若应用程序安装包中的未解压数据的大小大于等于阈值,执行步骤(b);进一步可选地,若应用程序安装包中的未解压数据的大小小于所述阈值,执行步骤(C);(b)从应用程序安装包中的未解压数据中读取大小等于阈值的数据;进一步可选地,执行步骤(d);(c)读取应用程序安装包中的未解压数据;进一步可选地,执行步骤(e);(d)对应用程序安装包中大小等于阈值的数据进行解压缩。该步骤(d)可以看作是上述实施例中的步骤100 “对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据”的一种具体实现方式。(e)对应用程序安装包中大小小于指定大小的未解压数据进 行解压缩。该步骤(e)也可以看作是上述实施例中的步骤100 “对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据”的另一种具体实现方式。上述实施例的应用程序安装包解压过程的检测方法,与现有技术相比,上述实施例的技术方案中,通过对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且上述实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。实施例二图2为本发明实施例二提供的应用程序安装包解压过程的检测方法的流程图。如图2所示,本实施例的应用程序安装包解压过程的检测方法在上述实施例的基础上,结合其应用场景,进一步详细地介绍本发明的技术方案,同理,本实施例的应用程序安装包解压过程的检测方法的执行主体仍然为一应用程序安装包解压过程的检测装置。如图2所示,本实施例的应用程序安装包解压过程的检测方法,具体可以包括如下步骤200、判断应用程序安装包中未解压数据的大小是否大于等于一阈值;若大于等于,执行步骤201,否则若小于,执行步骤203 ;其中阈值为预设大小,为了减少内存占用,阈值可以设置的较小,这样应用程序安装包通常情况下应该大于该阈值。此时可以不执行该步骤200,可以直接执行步骤201。但是为了防止也有较小的应用程序安装包漏掉检测,优选地从步骤200开始。201、从应用程序安装包的未解压数据中读取大小等于阈值的数据至内存;执行步骤 202 ;202、在内存中对应用程序安装包中大小等于阈值的数据进行解压缩,得到解压缩数据;执行步骤205 ;203、读取应用程序安装包中的未解压数据至内存;执行步骤204 ;204、在内存中对应用程序安装包中大小小于阈值的未解压数据进行解压缩,得到解压缩数据;执行步骤205 ;205、判断解压缩数据中是否包括病毒样本中以偏移地址为起点,长度等于病毒特征码长度的检测数据,若包括,执行步骤206,若未包括,执行步骤208 ;206、从解压缩数据中获取以偏移地址为起点,长度等于病毒特征码长度的检测数据,执行步骤207 ;
207、比对检测数据与病毒特征库的病毒样本中的病毒特征码是否一致,并记录比对结果;执行步骤208 ;208、判断应用程序安装包是否解压缩完毕,当解压缩完毕,执行步骤209 ;否则当未解压缩完毕,执行步骤200;209、判断应用程序安装包的所有解压缩数据中是否包括一病毒样本,当包括时,执行步骤210 ;否则当未包括时,执行步骤211 ;具体地判断应用程序安装包的所有解压缩数据中是否包括一病毒样本,具体可以根据207中每一次记录的比对结果,当所有压缩数据中包括某一病毒样本所包括的所有病毒特征码时,确定应用程序安装包的各解压缩数据中包括该病毒样本,否则当所有压缩数据中未包括某一病毒样本所包括的所有病毒特征码时,确定应用程序安装包的各解压缩数据中未包括该病毒样本。210、确定该应用程序安装包为病毒文件或者流氓软件。 211、确定该应用程序安装包不是病毒文件,也不是流氓软件。可选地,在步骤205判断解压缩数据中是否包括病毒样本中以偏移地址为起点,长度等于病毒特征码长度的检测数据之后,若未包括,还可以进一步判断当前的该解压缩数据中是否包括病毒样本中以偏移地址为起点,长度小于病毒特征码长度的检测数据。由于解压缩数据时按照阈值来解压缩的,所以可能造成要获取的检测数据分成了两段,前半部分在当前的解压缩数据中,后半部分在紧接着的另一段还未解压的解压缩数据中,此时可以先从解压缩数据中获取检测数据的前半部分检测数据,并根据前半部分检测数据长度、以及病毒样本中的偏移地址和对应的病毒特征码的长度,计算后半部分检测数据的起始偏移地址以及后半部分检测数据的长度。然后继续按照阈值对应用程序安装包进行解压缩,并根据计算得到的后半部分检测数据的起始偏移地址以及后半部分检测数据的长度,获取后半部分检测数据。然后将获取的前半部分检测数据和后半部分检测数据合并得到整体的检测数据;并按照207进行比对,在此不再赘述。需要说明的是,当病毒特征码的长度足够长的时候,还有可能需要从连续的多个解压缩数据中获取完整的检测数据,在此不再
举例。本实施例的应用程序安装包解压过程的检测方法,与现有技术相比,上述实施例的技术方案中,通过对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且上述实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。实施例三图3为本发明实施例三提供的应用程序安装包解压过程的检测装置的结构示意图。如图3所示,本实施例的应用程序安装包解压过程的检测装置,具体可以包括解压缩模块10、检测模块11和确定模块12。其中解压缩模块10用于对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;检测模块11与解压缩模块10连接,检测模块11用于根据病毒特征库中的病毒样本对解压缩模块10得到的解压缩数据进行检测;确定模块12与检测模块11连接,确定模12块用于当检测模块11检测到解压缩数据中包括病毒样本时,确定应用程序安装包为病毒文件或者流饭软件。本实施例的应用程序安装包解压过程的检测装置,通过采用上述模块实现应用程序安装包解压过程的检测与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
本实施例的应用程序安装包解压过程的检测装置,通过采用上述模块对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;并根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。与现有技术相比,本实施例的技术方案中,通过对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且本实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。实施例四图4为本发明实施例四提供的应用程序安装包解压过程的检测装置的结构示意图。如图4所示,本实施例的应用程序安装包解压过程的检测装置,在上述图3所示实施例的基础上,还可以包括如下技术方案。本实施例的应用程序安装包解压过程的检测装置中病毒样本包括偏移地址和病毒特征码。可选地,本实施例的应用程序安装包解压过程的检测装置中检测模块11具体可以包括获取单元111、比对单元112和确定单元113。其中获取单元111与解压缩模块10连接,用于从解压缩模块10解压缩得到的解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据;比对单元112与获取单元111连接,比对单元112用于比对获取单元111获取的检测数据与病毒特征码;确定单元113与比对单元112连接,确定单元113用于当比对单元112比对得到检测数据与病毒特征码一致,确定解压缩数据中包括所述病毒样本;否则当比对单元112比对得到检测数据与所述病毒特征码不一致,确定解压缩数据中未包括病毒样本。确定模块12具体与确定单元113连接,确定模12块用于当确定单元113确定解压缩数据中包括病毒样本时,确定应用程序安装包为病毒文件或者流氓软件。进一步可选地,本实施例的应用程序安装包解压过程的检测装置中还包括判断模块13。判断模块13与解压缩模块10连接,判断模块13用于在获取单元111从解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据之前,判断解压缩模块10得到的解压缩数据中以偏移地址作为起点之后的数据的长度是否大于等于病毒特征码长度;确定模块12还与判断模块13连接,确定模块12还用于根据判断模块13的判断结果,确定解压缩数据中以偏移地址作为起点之后的数据的长度大于等于病毒特征码长度。获取单元111还与确定模块12连接,获取单元111用于在确定模块12确定解压缩数据中以偏移地址作为起点之后的数据的长度大于等于病毒特征码长度之后,从解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据。进一步可选地,本实施例的应用程序安装包解压过程的检测装置中获取单元111还与判断模块13连接,获取单元111还用于当判断模块13判断出解压缩数据中以偏移地址作为起点之后的数据的长度小于病毒特征码长度时,从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个解压缩数据中获取以偏移地址作为起点、长度等于病毒特征码长度的检测数据;其中起始偏移地址为偏移地址,结束偏移地址为偏移地址加病毒特征码长度的偏移地址。进一步可选地,本实施例的应用程序安装包解压过程的检测装置中,解压缩模块10和检测模块11还分别用于重复进行不大于一阈值的数据的解压缩和检测,若确定模块12确定应用程序安装包为病毒文件或者流氓软件,则解压缩模块10停止解压。
进一步可选地,本实施例的应用程序安装包解压过程的检测装置中,解压缩模块10和检测模块11还分别用于重复进行不大于一阈值的数据的解压缩和检测,直到应用程序解压完毕。例如,具体地,本实施例的应用程序安装包解压过程的检测装置中还可以包括读取模块14。其中判断模块13还用于在解压缩模块10对应用程序安装包中不大于阈值的数据进行解压缩之前,判断应用程序安装包中未解压数据的大小是否大于等于阈值;读取模块14与判断模块13连接,读取模块14用于若判断模块13确定应用程序安装包中的未解压数据的大小大于等于阈值,从应用程序安装包中的未解压数据中读取大小等于阈值的数据;解压缩模块10与读取模块14连接,解压缩模块10具体用于对读取模块14读取的应用程序安装包中大小等于阈值的数据进行解压缩,获取到解压缩数据。进一步可选地,在上述技术方案的基础上,本实施例的应用程序安装包解压过程的检测装置读取模块14还用于若判断模块13确定应用程序安装包中的未解压数据的大小小于阈值,读取应用程序安装包中的未解压数据;解压缩模块10具体用于对读取模块14读取的应用程序安装包中大小小于阈值的未解压数据进行解压缩,获取到解压缩数据。图4所示实施例的应用程序安装包解压过程的检测装置,以包括上述所有可选技术方案为例描述本发明的技术方案,实际应用中,上述所有可选技术方案可以采用任何可结合的方式构成本发明实施例的可选技术方案,在此不再--举例。本实施例的应用程序安装包解压过程的检测装置,通过采用上述模块实现应用程序安装包解压过程的检测与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。本实施例的应用程序安装包解压过程的检测装置,通过采用上述模块的技术方案,与现有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且本实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。
实施例五图5为本发明实施例五提供的客户端设备的结构示意图。如图5所示,本实施例的客户端设备20上还设置有应用程序安装包解压过程的检测装置30。具体地,本实施例的客户端设备中的应用程序安装包解压过程的检测装置30具体可以采用上述图3或者图4所示的应用程序安装包解压过程的检测装置,具体可以采用上述图I或者图2所示实施例的方法来实现。可选地,本实施例的客户端设备具体可以为移动终端或者固定终端。本实施例的客户端设备,通过采用上述应用程序安装包解压过程的检测装置,能够对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据;并根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。与现有技术相比,本实施例的技术方案中,通过对应用程序安装包中不大于阈值的数据进行解压缩,获取到解压缩数据,与现 有技术中通过获取应用程序的安装包解压缩后得到的完整的可执行文件,并对完整的可执行文件进行反编译提取应用程序的安装包的特征信息相比,可以有效地节省内存;而且本实施例的技术方案,仅需要并根据病毒特征库中的病毒样本对解压缩数据进行检测;并确定应用程序安装包为病毒文件或者流氓软件,从而可以有效地缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。需要说明的是上述实施例提供的应用程序安装包解压过程的检测装置在应用程序安装包检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的应用程序安装包解压过程的检测装置与应用程序安装包解压过程的检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种应用程序安装包解压过程的检测方法,其特征在于,所述方法包括 对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据; 根据病毒特征库中的病毒样本对所述解压缩数据进行检测; 当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。
2.根据权利要求I所述的方法,其特征在于,所述病毒样本包括偏移地址和病毒特征码。
3.根据权利要求2所述的方法,其特征在于,根据病毒特征库中的病毒样本对所述解压缩数据进行检测,包括 从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据; 比对所述检测数据与所述病毒特征码; 当所述检测数据与所述病毒特征码一致,确定所述解压缩数据中包括所述病毒样本。
4.根据权利要求3所述的方法,其特征在干,从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据之前,所述方法还包括 判断所述解压缩数据中以所述偏移地址作为起点之后的数据的长度是否大于等于所述病毒特征码长度; 若否,从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据,包括 从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的所述检测数据;其中所述起始偏移地址为所述偏移地址,所述结束偏移地址为所述偏移地址加所述病毒特征码长度的偏移地址。
5.根据权利要求1-4任一所述的方法,其特征在于,重复进行不大于一阈值的数据的解压缩和检测,若确定所述应用程序安装包为病毒文件或者流氓软件,则停止解压。
6.根据权利要求1-4任一所述的方法,其特征在于,重复进行不大于一阈值的数据的解压缩和检测,直到所述应用程序解压完毕。
7.一种应用程序安装包解压过程的检测装置,其特征在于,所述装置包括 解压缩模块,用于对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据; 检测模块,用于根据病毒特征库中的病毒样本对所述解压缩数据进行检测; 确定模块,用于当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流饭软件。
8.根据权利要求7所述的装置,其特征在干,所述病毒样本包括偏移地址和病毒特征码。
9.根据权利要求8所述的装置,其特征在于,包括 获取单元,用于从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据; 比对单元,用于比对所述检测数据与所述病毒特征码;确定单元,用于当所述检测数据与所述病毒特征码一致,确定所述解压缩数据中包括所述病毒样本。
10.根据权利要求9所述的装置,其特征在于,还包括判断模块; 所述判断模块,用于在所述获取単元从所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的检测数据之前,判断所述解压缩数据中以所述偏移地址作为起点之后的数据的长度是否大于等于所述病毒特征码长度; 所述获取単元,还用于当所述判断模块判断出所述解压缩数据中以所述偏移地址作为起点之后的数据的长度小于所述病毒特征码长度时,从起始偏移地址到结束偏移地址之间的所有偏移地址对应的至少两个所述解压缩数据中获取以所述偏移地址作为起点、长度等于所述病毒特征码长度的所述检测数据;其中所述起始偏移地址为所述偏移地址,所述结束偏移地址为所述偏移地址加所述病毒特征码长度的偏移地址。
11.根据权利要求10所述的装置,其特征在于,所述解压缩模块和所述检测模块,还分别用于重复进行不大于一阈值的数据的解压缩和检测,若所述确定模块确定所述应用程序安装包为病毒文件或者流氓软件,则所述解压缩模块停止解压。
12.根据权利要求10所述的装置,其特征在于,所述解压缩模块和所述检测模块,还分别用于重复进行不大于一阈值的数据的解压缩和检测,直到所述应用程序解压完毕。
13.一种客户端设备,其特征在于,在所述客户端设备上设置有如上权利要求7-12任一所述的应用程序安装包解压过程的检测装置。
14.根据权利要求13所述的客户端设备,其特征在于,所述客户端设备为移动终端或者固定終端。
全文摘要
本发明公开了一种应用程序安装包解压过程的检测方法与装置、客户端设备。属于安全技术领域。所述方法包括对应用程序安装包中不大于一阈值的数据进行解压缩,获取到解压缩数据;根据病毒特征库中的病毒样本对所述解压缩数据进行检测;当所述解压缩数据中包括所述病毒样本时,确定所述应用程序安装包为病毒文件或者流氓软件。本发明的技术方案,可以有效地节省内存;缩短检测时间,提高确定应用程序安装包是否为病毒文件或者流氓软件的检测效率。
文档编号G06F21/00GK102799826SQ20121025036
公开日2012年11月28日 申请日期2012年7月19日 优先权日2012年7月19日
发明者李伟, 韩景维 申请人:腾讯科技(深圳)有限公司