可疑病毒应用上传的方法和装置的制造方法
[0069]请参考图5,为了更清楚地理解本发明,图5示出了使用图2给出的实施例的方法的终端设备501和使用图4给出的实施例的方法的后台服务器502的交互流程500。
[0070]首先,通过步骤5001,后台服务器502可以将已知的可疑病毒特征码提供给终端设备501。后台服务器502可以按周期或者有可疑病毒特征码的更新时向终端设备501提供更新后的可疑病毒特征码,后台服务器502向终端设备501提供可疑病毒特征码可以通过多种形式,例如病毒特征库的形式。终端设备501可以储存后台服务器502提供的可疑病毒特征码。接着,通过步骤5002、步骤5003,终端设备获取至少一段可疑病毒特征码,并将可疑病毒特征码与安装于终端设备501的终端应用进行匹配,并将与任一段可以病毒特征码的相似度大于相似度阈值的终端应用确定为可疑病毒应用。然后,通过步骤5004,终端设备501检测用户的预定操作(例如允许将可疑病毒应用上传的操作)。响应于检测到预定操作,在步骤5005中,终端设备501将可疑病毒应用上传至后台服务器502。之后,通过步骤5006、步骤5007、步骤5008,后台服务器502获取可疑病毒应用,对可疑病毒应用进行反编译,获取可疑病毒应用的全部或部分源代码,并从源代码获取体现病毒特征的代码作为可疑病毒特征码。在后台服务器502获取可疑病毒特征码之后,可以通过步骤5001更新向终端设备501发送的可疑病毒特征码,例如更新病毒特征库。其中,上述更新的操作可以在获取新的可疑病毒特征码时执行,也可以按周期执行,还可以在获取的新的可疑病毒特征码达到预设数量时执行,本申请对此不做限定。
[0071 ] 在一些实现中,在步骤5003和步骤5004之间,还可以包括步骤50031、步骤50032和步骤50033,查询是否需要上传可疑病毒应用样本,确定需要上传可疑病毒应用样本后,在执行步骤5004。具体地,在步骤50031中,终端设备501向后台服务器502发送可疑病毒应用所匹配的可疑病毒特征码的查询请求,例如通过可疑病毒特征码的特征名进行查询。接着,在步骤50032中,后台服务器502通过查询特征名列表,判断可疑病毒特征码的特征名是否包含在特征名列表中,若是,则确定需要采集可疑病毒应用样本。于是,后台服务器502向终端设备501发送需要采集可疑病毒应用样本的响应信息。之后,终端设备501根据该响应信息执行步骤5004,检测用户的预定操作。通过步骤50031、步骤50032和步骤50033,可以避免对一个可疑病毒特征码重复采集可疑病毒应用样本。
[0072]请进一步参考图6,其示出了根据本申请的一个实施例的可疑病毒应用上传的装置600。如图6所示,可疑病毒应用上传的装置600包括:获取单元601、确定单元602、检测单元603和上传单元604。其中,获取单元601可以配置用于获取至少一段可疑病毒特征码,其中,可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码;确定单元602可以配置用于将终端应用的代码与可疑病毒特征码进行匹配,如果终端应用包含与至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将终端应用确定为可疑病毒应用;检测单元603可以配置用于检测用户对可疑病毒应用的预定操作;上传单元604可以配置用于响应于预定操作,将可疑病毒应用上传。
[0073]可疑病毒应用上传的装置600中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文结合图2所描述的针对可疑病毒应用上传的方法描述的操作和特征同样适用于可疑病毒应用上传的装置600及其中包含的单元,在此不再赘述。
[0074]请进一步参考图7,其示出了根据本申请的一个实施例的可疑病毒特征码获取的装置700。如图7所示,可疑病毒特征码获取的装置700包括:样本获取单元701、反编译单元702和特征码获取单元703。其中,样本获取单元701可以配置用于获取终端上传的可疑病毒应用;反编译单元702可以配置用于对可疑病毒应用进行反编译,获取可疑病毒应用的源代码;特征码获取单元703配置用于从源代码获取体现病毒特征的代码作为可疑病毒特征码。其中,可疑病毒应用可以由包括可疑病毒应用上传的装置(如图6所示的装置600)的终端通过以下步骤确定:获取至少一段可疑病毒特征码;将终端应用的代码与至少一段可疑病毒特征码进行匹配,如果终端应用包含与至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将终端应用确定为可疑病毒应用。
[0075]可疑病毒特征码获取的装置700中记载的诸单元与参考图4描述的方法中的各个步骤相对应。由此,上文结合图4所描述的针对可疑病毒特征码获取的方法描述的操作和特征同样适用于可疑病毒特征码获取的装置700及其中包含的单元,在此不再赘述。
[0076]本领域技术人员可以理解,上述可疑病毒应用上传的装置600和可疑病毒特征码获取的装置700还包括一些其他公知结构,例如处理器、存储器等,为了不必要地模糊本公开的实施例,这些公知的结构在图6、图7中未示出。
[0077]另外,本申请还提供了一种检测可疑病毒应用的系统,可以包括终端设备和后台服务器。其中,终端设备可以包括图6示出的可疑病毒应用上传的装置600,后台服务器可以包括图7示出的可疑病毒特征码获取的装置700。该系统的架构形式可参考图1示出的示例型架构100。其中,在本申请的检测可疑病毒应用的系统的实施例中,可疑病毒应用上传的装置600可以适用于架构100中的终端设备101、102,可疑病毒特征码获取的装置700可以适用于架构100中的服务器104,在此不再赘述。
[0078]下面参考图8,其示出了适于用来实现本申请实施例的各装置的计算机系统800的结构示意图。
[0079]如图8所示,计算机系统800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM) 802中的程序或者从存储部分808加载到随机访问存储器(RAM) 803中的程序而执行各种适当的动作和处理。在RAM 803中,还存储有系统800操作所需的各种程序和数据。CPU 80KROM 802以及RAM 803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
[0080]以下部件连接至I/O接口 805:包括键盘、鼠标等的输入部分806 ;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807 ;包括硬盘等的存储部分808 ;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口 805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
[0081]特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。
[0082]本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元,确定单元,检测单元和上传单元。其中,这些模块的名称
文档序号 :
【 9471857 】
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除