可疑病毒应用上传的方法和装置的制造方法
[0053]在本实施例的一些可选实现方式中,终端设备可以在检测到用户的卸载可疑病毒应用的操作时,将可疑病毒应用上传。在另一些可选实现方式中,终端设备可以是通过按流量付费的网络与服务器交互的移动终端,上传可疑病毒应用需要耗费流量;也可以是配置较低的终端,上传可疑病毒应用会占用终端数据处理资源导致终端反应变慢;还可以是网络带宽较低的终端,上传可疑病毒应用会占用网络资源导致终端其他接入网络的应用(如视频播放应用)数据上传或下载不流畅,等等。此时,终端设备也可以根据用户的意愿,在检测到用户允许将可疑病毒应用上传的操作时,将可疑病毒应用上传。可选地,预定操作也可以是包括卸载可疑病毒应用的操作与允许将可疑病毒应用上传的操作的组合操作,则终端设备在检测到该组合操作后将可疑病毒应用上传。
[0054]在本实施例的一些可选实现方式中,每段可疑病毒特征码具有根据预设的命名规则命名的可疑病毒特征名。此时,终端设备在步骤203之前,可以首先获取与可疑病毒应用匹配的可疑病毒特征码的可疑病毒特征名;接着将可疑病毒特征名上传,以供接收端(例如为杀毒类应用提供支持的后台服务器)将可疑病毒特征名与特征名列表相匹配,并发送特征名列表是否包括可疑病毒特征名的响应信息。如果该响应信息为特征名列表包括可疑病毒特征名,则终端设备不再执行步骤203、步骤204,如果该响应信息为特征名列表不包括可疑病毒特征名,则终端设备接着执行步骤203、步骤204。
[0055]其中,可疑病毒特征码可以通过各种命名方式命名,以确保每段可疑病毒特征码有且仅有一个可疑病毒特征名与其对应。例如,可疑病毒特征码可以按照以下方式命名:对病毒应用A具有的多个病毒特征,对应的病毒特征码分别命名为:病毒应用A.特征a、病毒应用A.特征b、病毒应用A.特征c......。
[0056]在本实施例的一些可选实现方式中,终端设备上传的可疑病毒应用的接收端可以将超过预设个数的用户选择上传或删除的可疑病毒应用确定为病毒应用,也可以将超过预设删除比率阈值或上传比率阈值的可疑病毒应用确定为病毒应用。其中,删除比率或上传比率的计算方法为:终端应用被确定为可疑病毒应用之后被删除或被上传的次数/该终端应用被确定为可以病毒应用的总次数。
[0057]作为一个应用场景的示例,图3示出了本申请上述实施例的可疑病毒应用上传的方法,应用于运行杀毒类应用的终端设备的一个流程300。如图3所示,在步骤301中,终端设备可以根据病毒特征库对安装于其上的终端应用进行病毒扫描或查杀,其中,病毒特征库可以由终端设备预先从为杀毒类应用提供支持的后台服务器获取,病毒特征库可以包含多段可疑病毒特征码;接着,在步骤302中,如果扫描到可疑病毒应用,例如是包含与病毒特征库中任一段可疑病毒特征码的相似度高于相似度阈值的代码的终端应用,终端设备可以以弹窗等形式询问用户是否处理(如删除或卸载)可疑病毒应用,如果用户不处理可疑病毒应用,则如步骤306所示,结束可疑病毒应用上传的流程,如果用户处理可疑病毒应用,则终端设备可以接着执行步骤303 ;在步骤303中,终端设备可以向后台服务器发送查询请求,查询是否需要采集可疑病毒应用所匹配的可以病毒特征码的可疑病毒应用样本,若需要,继续步骤304,否则,执行步骤306,结束流程300 ;在步骤304中,终端设备可以通过弹窗等形式询问用户是否同意上传可疑病毒应用,若是,执行步骤305,上传可疑病毒应用至后台服务器,否则,执行步骤306,结束流程300。这里,用户的预定操作为同意上传可疑病毒应用,或者处理可疑病毒应用与同意上传可疑病毒应用的组合。
[0058]本实施例的可疑病毒应用上传的方法,通过询问用户是否处理可疑病毒应用,结合了使用终端设备的用户的判断,从而可以从终端设备获取可以病毒特征码的可疑病毒应用样本,进而使后台服务器的可以病毒特征码更加丰富和准确。因此,本申请上述实施例的可疑应用上传的方法可以提高检测可疑病毒应用的有效性。
[0059]接下来请参考图4,其示出了可疑病毒特征码获取的方法的一个实施例的流程400。为了便于理解,本实施例中,结合该可疑病毒特征码获取的方法应用于为杀毒类应用提供支持的后台服务器(例如图1所示的服务器104)中来说明。该流程400包括以下步骤:
[0060]步骤401,获取终端上传的可疑病毒应用。
[0061 ] 在本实施例中,后台服务器可以从终端设备或终端设备的本地服务器获取可疑病毒应用。在这里,后台服务器可以首先向终端设备或终端设备的本地服务器发送至少一段可疑病毒特征码,可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码,然后,终端设备可以根据从本地服务器或后台服务器获取的该至少一段可疑病毒特征码,将安装于其上的终端应用的代码与该至少一段可疑病毒特征码进行匹配,如果在终端应用的代码中,匹配到与任一段可疑病毒特征码的相似度高于相似度阈值的一段代码,将该终端应用确定为可疑病毒应用,之后,终端设备可以响应于用户的预定操作,将可疑病毒应用上传。其中,终端设备可以直接将可疑病毒应用上传至后台服务器,也可以先将可疑病毒应用保存至本地,并按预设周期发送给后台服务器,还可以通过本地服务器汇集多个终端设备上传的可疑病毒应用按预设数量或周期上传至后台服务器,本申请对此不做限定。
[0062]在本实施例的一些可选实现方式中,后台服务器可以先对可疑病毒特征码进行判断,对于已上传过预定次数(如I次)的可疑病毒应用样本的病毒特征码,不需要再重复上传可疑病毒应用。例如,后台服务器向终端设备或终端设备的本地服务器发送的至少一段可疑病毒特征码中,每段可疑病毒特征码可以通过预设的命名方式进行命名,如病毒应用A.特征a。终端设备在上传可疑病毒应用前可以先将与可疑病毒应用匹配的病毒特征码对应的可疑病毒特征名上传至后台服务器。后台服务器具有用于记录已获取可疑病毒应用样本的病毒特征码的可疑病毒特征名的特征名列表,后台服务器可以将终端设备上传的可疑病毒特征名与特征名列表相匹配,如果特征名列表已经记录了终端设备上传的可疑病毒特征名,则说明该可疑病毒特征名对应的病毒特征码已经获取了相应的可疑病毒应用样本,终端设备无需再上传检测到的可疑病毒应用,反之,如果特征名列表没有记录终端设备上传的可疑病毒特征名,则说明该可疑病毒特征名对应的病毒特征码还没有获取相应的可疑病毒应用样本,终端设备可以检测用户的预定操作,进而确定是否上传检测到的可疑病毒应用。可选地,响应于接收到终端上传的可疑病毒应用,后台服务器可以将可疑病毒特征名加入特征名列表中,以免其他终端设备重复上传该可疑病毒特征名对应的可疑病毒特征码的病毒应用样本。
[0063]步骤402,对可疑病毒应用进行反编译,获取可疑病毒应用的源代码。
[0064]在本实施例中,后台服务器可以采取各种手段对从终端设备或终端设备的本地服务器获取的可疑病毒应用进行反编译,以得到可疑病毒应用的源代码。
[0065]其中,反编译是计算机软件反向工程(Reverse engineering),也称为计算机应用还原工程,是通过对应用的目标程序(例如可执行文件的汇编语言码)进行逆向分析等研究工作,以推导出应用所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,甚至推导出应用的全部或部分源代码。反编译过程可以通过人工进行,也可以通过现在已知或未来开发的反编译软件(例如VB相关的反编译软件“VB反编译精灵”、C++相关的反编译软件“eXeScope”等等)进行,本申请对此不做限定。
[0066]步骤403,从上述源代码获取体现病毒特征的代码作为可疑病毒特征码。
[0067]在本实施例中,后台服务器接着可以从经过反编译的可疑病毒应用的源代码中获取体现病毒特征的代码作为可疑病毒特征码。这里,病毒特征例如可以包括破坏终端功能或数据(如删除终端内存数据)、获取终端数据(如读取终端的通讯录数据)或者恶意传播(如主动向终端的通讯录中的联系人发送恶意信息)等。可疑病毒应用可能包括一个或多个病毒特征,体现某一病毒特征的代码可以作为一段可疑病毒特征码,例如读取终端的通讯录数据的代码。在一些实现中,可疑病毒特征码可以是由源代码转换成的二进制代码。
[0068]本实
文档序号 :
【 9471857 】
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除