根據應用程序聲明特征識別惡意應用程序的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種根據應用程序聲明特征識別惡意應用程序的方法和裝置�����,涉及計算機【技術領域】�,該方法通過獲取應用程序的安裝包中的清單文件����,統(tǒng)計清單文件中記錄的第一清單文件特征���,根據應用程序的第一清單文件特征確定該應用程序是否為惡意應用程序����,該種識別方法,根據惡意程序會在清單文件中聲明其不應具有的特征進行惡意應用程序的識別�,解決用戶在不知情的情況下安裝具有高權限的惡意應用程序的問題,識別時運算量小�,速度快。
【專利說明】根據應用程序聲明特征識別惡意應用程序的方法和裝置
【技術領域】
[0001] 本發(fā)明涉及計算機【技術領域】�����,具體涉及一種根據應用程序聲明特征識別惡意應用 程序的方法和裝置���。
【背景技術】
[0002] 目前�����,手機��、平板電腦等移動終端應用越來越廣�����。Android是一種基于開源協(xié)議的 移動終端操作系統(tǒng)�����,經過多年的發(fā)展��,它已經相當成熟并可提供諸多功能�����。
[0003] 在Android發(fā)展的過程中�����,針對Android的惡意程序也越來越多�����。目前��,對于惡意 程序的識別方法主要通過提取應用程序的可執(zhí)行代碼特征�����,再通過殺毒引擎進行識別����,但 是仍然難免存在漏網之魚��。
[0004] 為了提高用戶的安全性,Android也提供了一些安全保護機制����。例如,規(guī)定應用程 序需要在其安裝包中聲明其需要使用操作系統(tǒng)中哪些權限�����、需要使用操作系統(tǒng)中的哪些服 務����,并交給用戶確認。但是一般的用戶在安裝應用程序時�����,可能不會認真核對����,且對于一般 的用戶來說,也難以理解這些聲明信息���。
[0005] 而惡意的應用程序�����,也會利用這一機制��,在操作系統(tǒng)中要求較高的權限��,進而執(zhí)行 一些惡意行為��。例如����,有些惡意應用程序,其功能與發(fā)送短信無關��,卻會在操作系統(tǒng)中要求 發(fā)送短信的權限�����,進而發(fā)現(xiàn)一些扣費短信�,導致用戶損失。
[0006] 而在目前階段����,并不存在針對這一類惡意應用程序的識別方法。
【發(fā)明內容】
[0007] 鑒于上述問題�,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上 述問題的一種根據應用程序聲明特征識別惡意應用程序的方法和相應地裝置�����。
[0008] 依據本發(fā)明的一個方面���,提供了一種根據應用程序聲明特征識別惡意應用程序的 方法�,包括:
[0009] 獲取應用程序的安裝包中的清單文件;
[0010] 統(tǒng)計所述清單文件中記錄的第一清單文件特征��;
[0011] 根據所述應用程序的第一清單文件特征確定所述應用程序是否為惡意應用程序�。
[0012] 可選地,所述清單文件為manifest文件�;
[0013] 所述第一清單文件特征包括如下特征的至少一種:
[0014] 包名、權限特征����、服務特征、activity特征�、provider特征、版本號����、receiver特 征。
[0015] 可選地��,所述應用程序聲明的權限特征包括所述應用程序聲明的權限以及權限數(shù) 量;
[0016] 所述應用程序聲明的服務特征包括所述應用程序聲明的服務以及服務數(shù)量�;
[0017] 所述activity特征包括所述應用程序聲明的activity名稱和activity數(shù)量;
[0018] 所述provider特征包括provider名稱和provider數(shù)量��;
[0019] 所述receiver特征包括receiver名稱和數(shù)量�。
[0020] 可選地,所述統(tǒng)計所述清單文件中記錄的第一清單文件特征�����,包括:
[0021] 在所述manifest文件的第一字段處獲取所述應用程序聲明的包名�;
[0022] 在所述manifest文件的第二字段處獲取所述應用程序聲明的權限,并統(tǒng)計權限 數(shù)量�;
[0023] 在所述manifest文件的第三字段處獲取所述應用程序聲明的服務,并統(tǒng)計服務 數(shù)量�����;
[0024] 在所述manifest文件的第四字段處獲取所述應用程序聲明的activity名稱�����,并 統(tǒng)計activity數(shù)量���;
[0025] 在所述manifest文件的第五字段處獲取所述應用程序聲明的provider名稱���,并 統(tǒng)計provider數(shù)量�����;
[0026] 在所述manifest文件的第六字段處獲取所述應用程序聲明的receiver名稱����,并 統(tǒng)計receiver數(shù)量����;
[0027] 在所述manifest文件的第七字段處獲取所述應用程序聲明的版本號�����;
[0028] 其中���,所述第一字段為〈package〉�����,所述第二字段為〈uses-permission>��,所述第 三字段為〈service〉,所述第四字段為〈activity〉,所述第五字段為〈provider〉,所述第六 字段為〈receiver〉�����,所述第七字段為〈version〉��。
[0029] 可選地����,所述根據所述應用程序的第一清單文件特征確定所述應用程序是否為惡 意應用程序,包括:
[0030] 在預置的特征庫中查找與所述應用程序聲明的包名對應的二清單文件特征的范 圍���,并判斷所述應用程序聲明的第一清單文件特征是否與所述第二清單文件特征匹配���;
[0031] 當所述應用程序聲明的第一清單文件特征與所述第二清單文件特征匹配時,判定 所述應用程序為惡意應用程序��;
[0032] 當所述應用程序聲明的第一清單文件特征與所述第二清單文件特征不匹配時�����,判 定所述應用程序為非惡意程序�����。
[0033] 可選地,所述根據所述應用程序的第一清單文件特征確定所述應用程序是否為惡 意應用程序�,包括:
[0034] 通過在本地預置的安全識別庫中查詢是否存在與所述第一清單文件特征相匹配 的記錄確定所述應用程序是否為惡意應用程序。
[0035] 可選地��,確定所述應用程序是否為惡意應用程序之后��,所述方法還包括:
[0036] 提示用戶所述應用程序為惡意應用程序�,并禁止用戶進行安裝;
[0037] 或�����,
[0038] 清除所述應用程序����。
[0039] 依據本發(fā)明的一個方面�����,還提供了一種根據應用程序聲明特征識別惡意應用程序 的裝置��,包括:
[0040] 文件獲取模塊��,適于獲取應用程序的安裝包中的清單文件��;
[0041] 信息統(tǒng)計模塊,適于統(tǒng)計所述清單文件中記錄的第一清單文件特征�;
[0042] 識別模塊,適于根據所述應用程序的第一清單文件特征確定所述應用程序是否為 惡意應用程序���。
[0043] 可選地���,所述清單文件為manifest文件;
[0044] 所述第一清單文件特征包括如下特征的至少一種:
[0045] 包名����、權限特征、服務特征���、activity特征�、provider特征��、版本號�、receiver特 征。
[0046] 可選地�,所述應用程序聲明的權限特征包括所述應用程序聲明的權限以及權限數(shù) 量;
[0047] 所述應用程序聲明的服務特征包括所述應用程序聲明的服務以及服務數(shù)量����;
[0048] 所述activity特征包括所述應用程序聲明的activity名稱和activity數(shù)量�;
[0049] 所述provider特征包括provider名稱和provider數(shù)量�����;
[0050] 所述receiver特征包括receiver名稱和數(shù)量��。
[0051] 可選地���,所述信息統(tǒng)計模塊��,包括:
[0052] 第一統(tǒng)計單元����,適于在所述manifest文件的第一字段處獲取所述應用程序聲明 的包名���;
[0053] 第二統(tǒng)計單元�����,適于在所述manifest文件的第二字段處獲取所述應用程序聲明 的權限,并統(tǒng)計權限數(shù)量�;
[0054] 第三統(tǒng)計單元,適于在所述manifest文件的第三字段處獲取所述應用程序聲明 的服務�����,并統(tǒng)計服務數(shù)量;
[0055] 第四統(tǒng)計單元�����,適于在所述manifest文件的第四字段處獲取所述應用程序聲明 的activity名稱����,并統(tǒng)計activity數(shù)量;
[0056] 第五統(tǒng)計單元��,適于在所述manifest文件的第五字段處獲取所述應用程序聲明 的provider名稱���,并統(tǒng)計provider數(shù)量����;
[0057] 第六統(tǒng)計單元����,適于在所述manifest文件的第六字段處獲取所述應用程序聲明 的receiver名稱,并統(tǒng)計receiver數(shù)量����;
[0058] 第七統(tǒng)計單元�����,適于在所述manifest文件的第七字段處獲取所述應用程序聲明 的版本號�����;
[0059] 其中��,所述第一字段為〈package〉���,所述第二字段為〈uses-permission>,所述第 三字段為〈service〉,所述第四字段為〈activity〉,所述第五字段為〈provider〉,所述第六 字段為〈receiver〉���,所述第七字段為〈version〉���。
[0060] 可選地,所述識別模塊���,包括:
[0061] 識別單元����,適于在預置的特征庫中查找與所述應用程序聲明的包名對應的二清單 文件特征的范圍���,并判斷所述應用程序聲明的第一清單文件特征是否與所述第二清單文件 特征匹配�����;
[0062] 第一判定單元����,適于當所述應用程序聲明的第一清單文件特征與所述第二清單文 件特征匹配時�,判定所述應用程序為惡意應用程序;
[0063] 第二判定單元�,適于當所述應用程序聲明的第一清單文件特征與所述第二清單文 件特征不匹配時,判定所述應用程序為非惡意程序���。
[0064] 可選地���,所述識別模塊還具體適于按照如下方式根據所述應用程序的第一清單文 件特征確定所述應用程序是否為惡意應用程序:
[0065] 通過在本地預置的安全識別庫中查詢是否存在與所述第一清單文件特征相匹配 的記錄確定所述應用程序是否為惡意應用程序。
[0066] 可選地����,所述裝置還包括:
[0067] 查殺模塊,適于提示用戶所述應用程序為惡意應用程序����,并禁止用戶進行安裝���;
[0068] 或,
[0069] 清除所述應用程序���。
[0070] 本發(fā)明提供了一種根據應用程序聲明特征識別惡意應用程序的方法和裝置��,通過 獲取應用程序的安裝包中的清單文件��,統(tǒng)計清單文件中記錄的第一清單文件特征��,根據應 用程序的第一清單文件特征確定該應用程序是否為惡意應用程序�����,該種識別方法�,根據惡 意程序會在清單文件中聲明其不應具有的特征進行惡意應用程序的識別����,解決用戶在不知 情的情況下安裝具有高權限的惡意應用程序的問題,識別時運算量小���,速度快���。
[0071] 上述說明僅是本發(fā)明技術方案的概述����,為了能夠更清楚了解本發(fā)明的技術手段��, 而可依照說明書的內容予以實施���,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠 更明顯易懂����,以下特舉本發(fā)明的【具體實施方式】。
[0072] 根據下文結合附圖對本發(fā)明具體實施例的詳細描述�,本領域技術人員將會更加明 了本發(fā)明的上述以及其他目的、優(yōu)點和特征�。
【專利附圖】
【附圖說明】
[0073] 通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領域普通 技術人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實施方式的目的�����,而并不認為是對本發(fā)明 的限制����。而且在整個附圖中��,用相同的參考符號表示相同的部件��。在附圖中:
[0074] 圖1是本發(fā)明一個實施例提供的一種根據應用程序聲明特征識別惡意應用程序 的方法流程圖�����;
[0075] 圖2是本發(fā)明一個實施例提供的一種根據應用程序聲明特征識別惡意應用程序 的具體方法流程圖���;
[0076] 圖3是本發(fā)明一個實施例提供的一種根據應用程序聲明特征識別惡意應用程序 的裝置結構框圖。
【具體實施方式】
[0077] 下面將參照附圖更詳細地描述本公開的示例性實施例���。雖然附圖中顯示了本公開 的示例性實施例���,然而應當理解,可以以各種形式實現(xiàn)本公開而不應該被這里闡述的實施 例所限制�����。相反����,提供這些實施例是為了能夠透徹地理解本公開�,并且能夠將本公開的范圍 完整的傳達給本領域的技術人員��。
[0078] 實施例一
[0079] 本發(fā)明實施例提供了一種根據應用程序聲明特征識別惡意應用程序的方法����。其可 以通過對在終端設備上安裝的惡意程序查殺工具進行改進來實現(xiàn)����。例如,本實施例中的終 端設備可以為PC (Personal Computer���,個人計算機)�,手機���,平板��、手持電腦等用戶移動終端 設備���。
[0080] 圖1是本實施例提供的一種根據應用程序聲明特征識別惡意應用程序的方法流 程圖。該方法具體包括步驟S102至步驟S106�。
[0081] S102 :獲取應用程序的安裝包中的清單文件。
[0082] S104 :統(tǒng)計清單文件中記錄的第一清單文件特征。
[0083] S106:根據上述應用程序的第一清單文件特征確定該應用程序是否為惡意應用程 序�����。
[0084] 本發(fā)明提供了一種根據應用程序聲明特征識別惡意應用程序的方法���,通過獲取應 用程序的安裝包中的清單文件���,統(tǒng)計清單文件中記錄的第一清單文件特征,根據應用程序 的第一清單文件特征確定該應用程序是否為惡意應用程序����,該種識別方法,根據惡意程序 會在清單文件中聲明其不應具有的特征進行惡意應用程序的識別��,解決用戶在不知情的情 況下安裝具有高權限的惡意應用程序的問題��,識別時運算量小����,速度快。
[0085] 實施例二
[0086] 本實施例為上述實施例一的一種具體應用場景����,通過本實施例�,能夠更加清楚�、具 體地闡述本發(fā)明所提供的方法。
[0087] 本實施例所提供的惡意應用程序的識別方法��,可通過在移動終端中安裝的惡意程 序查殺軟件實現(xiàn)�����。通過惡意查殺軟件對移動終端下載��、即將安裝或已經安裝的應用程序進 行識別���,以提高移動終端的安全性。
[0088] 同時��,還可以結合AVE引擎�����、AVM引擎����、云查殺引擎、機器學習引擎等對手機上已經 安裝的應用程序進行掃描�����。
[0089] 可以通過多個殺毒引擎進行病毒檢測,驅動多個病毒引擎聯(lián)合進行病毒檢測��; 將opcode序列與多個病毒引擎的病毒庫文件中的記錄進行匹配����,如果匹配成功則判斷 opcode序列包含病毒,多個病毒引擎包括:AVE引擎���、AVM引擎����、云查殺引擎����、機器學習引擎 等等。
[0090] 病毒引擎可以包括:服務端和客戶端�,例如,云查殺引擎等等包括服務器端查殺工 具和客戶端查殺工具�����。服務端通過將opcode序列與病毒庫文件中的記錄匹配進行病毒檢 測�����,將病毒檢測結果下發(fā)到客戶端,并提供修復方案�,修復方案包括:文件類型、與文件類型 對應的查殺方法等等��,客戶端可以根據修復方案進行查殺病毒�。客戶端可以安裝在手機���、 PC�、PAD等上�,通過手機端等上的客戶端查殺引擎,或者是手機端等上的應用分發(fā)平臺等工 具��,為用戶提供可靠的移動互聯(lián)網安全服務�����。
[0091] 圖2是本發(fā)明一個實施例提供的一種根據應用程序聲明特征識別惡意應用程序 的方法流程圖��,該方法包括步驟S201至S207��。
[0092] 在步驟S201中�����,當檢測到預設事件發(fā)生時�����,觸發(fā)對于預設應用程序的惡意程序查 殺操作��。
[0093] 其中����,上述預設事件可以包括,但不限于:
[0094] 當惡意程序查殺軟件的查殺功能或者掃描功能被觸發(fā)時����。
[0095] 例如,可以是用戶手動激活惡意程序查殺軟件的查殺功能���,希望對移動終端中的 惡意應用程序進行查殺或掃描時�,開始執(zhí)行本發(fā)明所提供的惡意程序的識別方法���。
[0096] 或者�����,預設事件還可以是:當移動終端下載某一個應用程序的安裝包完成時����。
[0097] 例如,惡意程序查殺軟件可以設置為�,當檢測到有任意文件下載完成時,均對其進 行惡意程序的掃描���,以保證移動終端的操作系統(tǒng)的安全性����。
[0098] 又或者���,預設事件還可以是:當操作系統(tǒng)中發(fā)生異常時����,觸發(fā)對于惡意程序的查殺 操作����。
[0099] 例如����,當用戶的移動終端中頻繁的出現(xiàn)廣告彈窗或聯(lián)系人信息被惡意讀取��,則說 明操作系統(tǒng)中有惡意程序產生了惡意行為�,對用戶造成困擾��,這時需要觸發(fā)惡意程序查殺 工具的查殺功能�。
[0100] 其中,對于識別應用程序是否為惡意應用程序���,觸發(fā)的可以為對一個特定應用程 序的識別�,也可以是對多個應用程序的識別��。對于每個應用程序的識別方式相同����,本實施例 以對其中任意一個應用程序進行識別的操作。
[0101] 在查殺操作被觸發(fā)后��,即開始執(zhí)行惡意應用程序的識別操作��,執(zhí)行步驟S202,按照 應用程序的安裝包的壓縮格式對該安裝包進行解壓���。
[0102] 需要說明的是��,在安卓操作系統(tǒng)中�,對于應用程序的管理均是以apk的形式,在 apk中包含該應用程序的全部信息�,下面對apk進行說明:
[0103] 在本發(fā)明的實施例中,安裝包會包括如下信息:應用程序的安裝包的包名���、版本 號��、開發(fā)者簽名�����、An droid組件receiver的特征�����,Android組件service的特征���,provider特 征,Android組件activity的特征���,可執(zhí)行文件中的指令或字符串�����,安裝包目錄下各文件的 MD5值���,其中,所述可執(zhí)行文件包括Dex文件�����,和/或����,ELF文件;所述Dex文件包括classes, dex文件�,擴展名為.jar的文件,以及�,Dex格式的文件。
[0104] 其中�,在本實施例中,第一清單文件特征可以包括上述特征中的:
[0105] 安裝包的包名��、版本號���、Android組件receiver的特征��,Android組件service的 特征�����,provider特征�,Android組件activity的特征。
[0106] 1)安裝包的包名
[0107] Android操作系統(tǒng)通過APK的包名(package name)對各個安裝的APK進行管理���。 "包名"源自于Java的package的概念�����,按照Java的package的命名風格��,例如某個An droid 安裝包的包名是com. qihoo360. mobiIesafe�����。Android系統(tǒng)要求每個應用程序都聲明一個 唯一的安裝包的包名����。如果要安裝的APK的包名和當前手機上某個已有的應用程序的安裝 包的包名重復了�,那么Android系統(tǒng)會拒絕安裝。Android平臺下的山寨應用程序也需要聲 明一個包名�����,因此,包名就可以作為識別山寨應用程序的一個特征��。
[0108] 2)開發(fā)者簽名
[0109] 出于安全性的目的�����,Android系統(tǒng)要求每個APK都要包含開發(fā)者簽名(digital signature)�。Android系統(tǒng)在安裝APK文件的時候會檢查APK內部各文件的開發(fā)者簽名是 否與其預先設定的開發(fā)者簽名一致��,如果不一致���,或者沒有開發(fā)者簽名�,則認為文件已被篡 改��,拒絕該APK的安裝和運行�。Android平臺下的山寨應用程序也不例外,所以APK文件的 開發(fā)者簽名也可以作為識別山寨應用程序的一個特征�����。
[0110] 上述應用程序的開發(fā)者簽名���,也可稱為代碼簽名��,是在應用程序上附加一個防偽 和防篡改的開發(fā)者簽名來保護應用程序不被惡意修改���。如果已安裝的應用程序的開發(fā)者簽 名與應用程序的官方的開發(fā)者簽名不一致�,則可以認為已安裝的應用程序可能被惡意修改 過����,該應用程序是山寨應用程序。在提取開發(fā)者簽名時��,對于安卓應用而言���,可以從程序安 裝包中的元信息(META-INF)目錄下提取����,META-INF目錄用于存儲包和擴展的配置數(shù)據����,例 如安全性信息和版本信息,其中開發(fā)者簽名就存儲于此�����。META-INF目錄如下表所示:
[0111]
【權利要求】
1. 一種根據應用程序聲明特征識別惡意應用程序的方法��,包括: 獲取應用程序的安裝包中的清單文件; 統(tǒng)計所述清單文件中記錄的第一清單文件特征�����; 根據所述應用程序的第一清單文件特征確定所述應用程序是否為惡意應用程序��。
2. 根據權利要求1所述的方法�,其中, 所述清單文件為manifest文件�; 所述第一清單文件特征包括如下特征的至少一種: 包名����、權限特征、服務特征����、activity特征、provider特征�、版本號、receiver特征�。
3. 根據權利要求2所述的方法,其中�����,所述應用程序聲明的權限特征包括所述應用程 序聲明的權限W及權限數(shù)量; 所述應用程序聲明的服務特征包括所述應用程序聲明的服務W及服務數(shù)量����; 所述activity特征包括所述應用程序聲明的activity名稱和activity數(shù)量; 所述provider特征包括provider名稱和provider數(shù)量����; 所述receiver特征包括receiver名稱和數(shù)量。
4. 根據權利要求3所述的方法���,其中���,所述統(tǒng)計所述清單文件中記錄的第一清單文件 特征,包括: 在所述manifest文件的第一字段處獲取所述應用程序聲明的包名����; 在所述manifest文件的第二字段處獲取所述應用程序聲明的權限,并統(tǒng)計權限數(shù)量�; 在所述manifest文件的第H字段處獲取所述應用程序聲明的服務,并統(tǒng)計服務數(shù)量��; 在所述manifest文件的第四字段處獲取所述應用程序聲明的activity名稱�,并統(tǒng)計 activity 數(shù)量; 在所述manifest文件的第五字段處獲取所述應用程序聲明的provider名稱���,并統(tǒng)計 provider 數(shù)量���; 在所述manifest文件的第六字段處獲取所述應用程序聲明的receiver名稱��,并統(tǒng)計 receiver 數(shù)量����; 在所述manifest文件的第走字段處獲取所述應用程序聲明的版本號��; 其中����,所述第一字段為〈package〉�,所述第二字段為<uses-permission〉,所述第H字 段為〈service〉���,所述第四字段為〈activity〉�,所述第五字段為〈provider〉�,所述第六字段 為〈receiver〉,所述第走字段為〈version〉。
5. 根據權利要求4所述的方法��,其中�����,所述根據所述應用程序的第一清單文件特征確 定所述應用程序是否為惡意應用程序,包括: 在預置的特征庫中查找與所述應用程序聲明的包名對應的二清單文件特征的范圍����,并 判斷所述應用程序聲明的第一清單文件特征是否與所述第二清單文件特征匹配; 當所述應用程序聲明的第一清單文件特征與所述第二清單文件特征匹配時��,判定所述 應用程序為惡意應用程序���; 當所述應用程序聲明的第一清單文件特征與所述第二清單文件特征不匹配時�,判定所 述應用程序為非惡意程序����。
6. -種根據應用程序聲明特征識別惡意應用程序的裝置,包括: 文件獲取模塊�,適于獲取應用程序的安裝包中的清單文件; 信息統(tǒng)計模塊�����,適于統(tǒng)計所述清單文件中記錄的第一清單文件特征���; 識別模塊�,適于根據所述應用程序的第一清單文件特征確定所述應用程序是否為惡意 應用程序。
7. 根據權利要求6所述的裝置�,其中, 所述清單文件為manifest文件����; 所述第一清單文件特征包括如下特征的至少一種: 包名、權限特征�、服務特征、activity特征���、provider特征�、版本號����、receiver特征。
8. 根據權利要求7所述的裝置�����,其中��,所述應用程序聲明的權限特征包括所述應用程 序聲明的權限W及權限數(shù)量�����; 所述應用程序聲明的服務特征包括所述應用程序聲明的服務W及服務數(shù)量���; 所述activity特征包括所述應用程序聲明的activity名稱和activity數(shù)量�����; 所述provider特征包括provider名稱和provider數(shù)量���; 所述receiver特征包括receiver名稱和數(shù)量。
9. 根據權利要求8所述的裝置���,其中���,所述信息統(tǒng)計模塊,包括: 第一統(tǒng)計單元����,適于在所述manifest文件的第一字段處獲取所述應用程序聲明的包 名; 第二統(tǒng)計單元��,適于在所述manifest文件的第二字段處獲取所述應用程序聲明的權 限�,并統(tǒng)計權限數(shù)量; 第H統(tǒng)計單元,適于在所述manifest文件的第H字段處獲取所述應用程序聲明的服 務��,并統(tǒng)計服務數(shù)量�����; 第四統(tǒng)計單元����,適于在所述manifest文件的第四字段處獲取所述應用程序聲明的 activity名稱,并統(tǒng)計activity數(shù)量�����; 第五統(tǒng)計單元��,適于在所述manifest文件的第五字段處獲取所述應用程序聲明的 provider名稱�����,并統(tǒng)計provider數(shù)量����; 第六統(tǒng)計單元�,適于在所述manifest文件的第六字段處獲取所述應用程序聲明的 receiver名稱,并統(tǒng)計receiver數(shù)量; 第走統(tǒng)計單元���,適于在所述manifest文件的第走字段處獲取所述應用程序聲明的版 本號����; 其中��,所述第一字段為〈package〉����,所述第二字段為<uses-permission〉,所述第H字 段為〈service〉��,所述第四字段為〈activity〉���,所述第五字段為〈provider〉����,所述第六字段 為〈receiver〉,所述第走字段為〈version〉�����。
10. 根據權利要求9所述的裝置�,其中�����,所述識別模塊����,包括: 識別單元����,適于在預置的特征庫中查找與所述應用程序聲明的包名對應的二清單文件 特征的范圍,并判斷所述應用程序聲明的第一清單文件特征是否與所述第二清單文件特征 匹配�����; 第一判定單元�����,適于當所述應用程序聲明的第一清單文件特征與所述第二清單文件特 征匹配時�����,判定所述應用程序為惡意應用程序�����; 第二判定單元,適于當所述應用程序聲明的第一清單文件特征與所述第二清單文件特 征不匹配時����,判定所述應用程序為非惡意程序���。
【文檔編號】G06F21/56GK104462971SQ201410788239
【公開日】2015年3月25日 申請日期:2014年12月17日 優(yōu)先權日:2014年12月17日
【發(fā)明者】程文坤 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司