外部提取式移動終端惡意代碼檢測裝置及方法
【專利摘要】本發(fā)明提供了一種外部提取式移動終端惡意代碼檢測裝置及方法,移動終端設備通過USB數(shù)據(jù)線與所述裝置連接����,當移動終端設備開啟USB調試選項時�����,所述裝置向移動終端設備中安裝文件提取程序�,用于獲取移動終端設備中的應用程序�,并發(fā)送給所述裝置;所述裝置對獲取到的應用程序進行病毒檢測�����,如果發(fā)現(xiàn)病毒�,則顯示病毒信息并提示用戶選擇是否清除病毒��,如果用戶選擇清除病毒�����,則所述裝置卸載移動終端設備中的相應應用程序�����。通過本發(fā)明的裝置及方法��,能夠提取移動終端設備中的應用程序,將移動終端設備中的程序提取到本發(fā)明裝置中進行掃描�,掃描獨立于移動終端設備的系統(tǒng)運行,且所述裝置系統(tǒng)全封閉�����,能夠保證所提取應用程序的安全性�。
【專利說明】外部提取式移動終端惡意代碼檢測裝置及方法
【技術領域】
[0001]本發(fā)明涉及移動終端惡意代碼檢測技術,特別涉及一種外部提取式移動終端惡意代碼檢測裝置及方法�。
【背景技術】
[0002]隨著Android系統(tǒng)等智能手機平臺的興起,移動終端的惡意代碼逐漸成為信息安全領域的又一重大威脅���。目前��,Android中的惡意代碼數(shù)量正呈現(xiàn)出爆炸式增長的趨勢����。從傳播途徑來看��,絕大部分惡意代碼通過軟件下載站�、非官方市場、手機論壇等渠道傳播�����。越來越多的智能手機使用者被惡意程序開發(fā)者盯上,通過釣魚網(wǎng)站�����、植入手機木馬����、盜取手機用戶網(wǎng)銀、非法監(jiān)視監(jiān)聽�����、泄露用戶隱私等方式危害著手機使用者��。
[0003]目前主流手機殺毒軟件主要形式為在安裝運行于手機系統(tǒng)中����,這樣的殺毒軟件具有以下問題:
受制于手機內存的限制不能將完整的病毒庫存儲于手機內��,殺毒需要通過聯(lián)網(wǎng)進行��,占用手機數(shù)據(jù)流量��;
一些殺毒軟件運用自身的特權,回同時上傳用戶信息等數(shù)據(jù)�����,對用戶的隱私安全造成很大威脅����;
當操作系統(tǒng)先于殺毒軟件被感染后,殺毒軟件無法保證自身可完全安裝����,無法保證掃描的準確性;
手機內運行的殺毒軟件會耗費大量的電量��,降低手機的續(xù)航時間���。
【發(fā)明內容】
[0004]本發(fā)明提供了一種外部提取時移動終端惡意代碼檢測裝置及方法�����,通過將移動終端內的安裝包文件提取到外部封閉裝置中進行檢測��,使檢測獨立于移動終端系統(tǒng)運行�,保證檢測效果及效率的同時降低對移動終端資源的占用����。
[0005]一種外部提取式移動終端惡意代碼檢測裝置���,包括:
監(jiān)控模塊,用于監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接所述裝置�����;
判斷模塊����,判斷所述移動終端設備是否已開啟USB調試模式,如果是���,則執(zhí)行安裝模塊����,否則執(zhí)行USB調試配置模塊��;
USB調試配置模塊��,生成USB調試配置信息��;
安裝模塊����,向所述移動終端設備發(fā)送應用提取程序;
獲取模塊�����,用于獲取應用提取程序返回的在移動終端設備中提取的安裝包程序��;
檢測模塊����,對獲取模塊獲取到的安裝包程序進行惡意代碼檢測,判斷所述安裝包程序是否存在惡意代碼���,如果是���,則生成惡意代碼信息并提示用戶選擇是否清除惡意代碼,進入處理模塊�;否則結束檢測并生成檢測結果報告;
處理模塊�,用于在檢測模塊判斷所述安裝包程序存在惡意代碼時,獲取用戶選擇信息��,若用戶選擇信息為清除惡意代碼��,則卸載所述惡意代碼在移動終端設備中對應的安裝包程序,否則結束檢測并生成檢測結果報告���;
顯示模塊����,用于顯示USB調試配置信息�����、惡意代碼信息�����、提示用戶選擇是否清除惡意代碼信息及檢測結果報告���。
[0006]所述的裝置中���,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接。
[0007]所述的裝置中��,所述判斷模塊判斷移動終端設備是否已開啟USB調試模式為:判斷Adb命令的返回結果����,若返回結果為Device�,則移動終端設備已開啟USB調試模式��,若返回結果為unknown��,則移動終〗而設備未開啟USB調試I旲式�。
[0008]所述的裝置中�����,所述對獲取模塊獲取到的安裝包程序進行惡意代碼檢測�,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息、權限信息�,并與惡意代碼木馬特征庫中的特征進行匹配,若匹配成功��,則所述安裝包程序存在惡意代碼��,否則不存在惡意代碼�。
[0009]所述的裝置中,所述應用提取程序在結束檢測后自動清除��。
[0010]一種外部提取式移動終端惡意代碼檢測方法��,包括:
a.監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接到外部提取式移動終端惡意代碼檢測裝置�;
b.判斷所述移動終端設備是否已開啟USB調試模式����,如果是���,則執(zhí)行步驟d����,否則執(zhí)行步驟c ����;
c.生成USB調試配置信息;
d.向所述移動終端設備發(fā)送應用提取程序���;應用提取程序在移動終端內運行�����,遍歷并獲取移動終端內的所有安裝包程序的路徑���,并最終將安裝包程序通過USB數(shù)據(jù)線傳回到所述裝置中;
e.獲取應用提取程序返回的在所述移動終端設備中提取的安裝包程序�;
f.對獲取到的安裝包程序進行惡意代碼檢測,判斷所述安裝包程序是否存在惡意代碼,如果是�����,則生成惡意代碼信息并提示用戶選擇是否清除惡意代碼���,執(zhí)行步驟g ;否則結束檢測并生成檢測結果報告��;
g.獲取用戶選擇信息,若用戶選擇信息為清除惡意代碼����,則卸載所述惡意代碼在移動終端設備中對應的安裝包程序,否則結束檢測并生成檢測結果報告��。
[0011]所述的方法中����,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接。
[0012]所述的方法中��,所述判斷移動終端設備是否已開啟USB調試模式為:判斷Adb命令的返回結果����,若返回結果為Device,則移動終端設備已開啟USB調試模式��,若返回結果為unknown,則移動終端設備未開啟USB調試模式。
[0013]所述的方法中�,所述對獲取到的安裝包程序進行惡意代碼檢測,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息��、權限信息��,并與惡意代碼木馬特征庫中的特征進行匹配����,若匹配成功,則所述安裝包程序存在惡意代碼���,否則不存在惡意代碼���。
[0014]所述的方法中,所述應用提取程序在結束檢測后自動清除����。
[0015]本發(fā)明裝置及方法具有如下優(yōu)勢:所述裝置為全封閉系統(tǒng),不與網(wǎng)絡關聯(lián)�����,能夠保證裝置內及所檢測移動終端設備的數(shù)據(jù)安全;對移動終端設備中惡意代碼的檢測不依賴于移動終端系統(tǒng)�����,避免由于 移動終端系統(tǒng)被感染惡意代碼導致無法徹底清除惡意代碼����;在檢測過程中不消耗手機電量,增加手機續(xù)航時間��;所述裝置的硬件資源高于移動終端設備��,因此檢測及清除惡意代碼的速度更快��,效率更高�;只需要對所述裝置中的惡意代碼木馬特征庫進行更新維護�����,不占用移動終端設備的數(shù)據(jù)流量及資源�����;向移動終端設備發(fā)送的應用提取程序���,在完成檢測后能夠自動清除�,不在移動終端中安裝或保存任何軟件。
[0016]本發(fā)明提供了一種外部提取式移動終端惡意代碼檢測裝置及方法�,移動終端設備通過USB數(shù)據(jù)線與所述裝置連接,當移動終端設備開啟USB調試選項時�,所述裝置向移動終端設備中安裝文件提取程序,用于獲取移動終端設備中的應用程序�����,并發(fā)送給所述裝置�����;所述裝置對獲取到的應用程序進行病毒檢測����,如果發(fā)現(xiàn)病毒,則顯示病毒信息并提示用戶選擇是否清除病毒����,如果用戶選擇清除病毒,則所述裝置卸載移動終端設備中的相應應用程序��。通過本發(fā)明的裝置及方法���,能夠提取移動終端設備中的應用程序�����,將移動終端設備中的程序提取到本發(fā)明裝置中進行掃描���,掃描獨立于移動終端設備的系統(tǒng)運行�,且所述裝置系統(tǒng)全封閉�,能夠保證所提取應用程序的安全性。
【專利附圖】
【附圖說明】
[0017]為了更清楚地說明本發(fā)明或現(xiàn)有技術中的技術方案����,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領域普通技術人員來講�����,在不付出創(chuàng)造性勞動的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。
[0018]圖1為一種外部提取式移動終端惡意代碼檢測裝置結構示意圖;
圖2為一種外部提取式移動終端惡意代碼檢測方法流程圖�����。
【具體實施方式】
[0019]為了使本【技術領域】的人員更好地理解本發(fā)明實施例中的技術方案���,并使本發(fā)明的上述目的�、特征和優(yōu)點能夠更加明顯易懂���,下面結合附圖對本發(fā)明中技術方案作進一步詳細的說明��。
[0020]本發(fā)明提供了一種外部提取時移動終端惡意代碼檢測裝置及方法����,通過將移動終端內的安裝包文件提取到外部封閉裝置中進行檢測����,使檢測獨立于移動終端系統(tǒng)運行,保證檢測效果及效率的同時降低對移動終端資源的占用����。
[0021]一種外部提取式移動終端惡意代碼檢測裝置,如圖1所示�����,包括:
監(jiān)控模塊101,用于監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接所述裝置���;
判斷模塊102���,判斷所述移動終端設備是否已開啟USB調試模式,如果是�����,則執(zhí)行安裝模塊�,否則執(zhí)行USB調試配置模塊;
USB調試配置模塊103��,生成USB調試配置信息�;
安裝模塊104,向所述移動終端設備發(fā)送應用提取程序����;
獲取模塊105���,用于獲取應用提取程序返回的在移動終端設備中提取的安裝包程序��;
檢測模塊106��,對獲取模塊獲取到的安裝包程序進行惡意代碼檢測�,判斷所述安裝包程序是否存在惡意代碼,如果是���,則生成惡意代碼信息并提示用戶選擇是否清除惡意代碼�,進入處理模塊���;否則結束檢測并生成檢測結果報告�;
處理模塊107���,用于在檢測模塊判斷所述安裝包程序存在惡意代碼時�����,獲取用戶選擇信息��,若用戶選擇信息為清除惡意代碼�,則卸載所述惡意代碼在移動終端設備中對應的安裝包程序���,否則結束檢測并生成檢測結果報告����;
顯示模塊108,用于顯示USB調試配置信息�����、惡意代碼信息�����、提示用戶選擇是否清除惡意代碼信息及檢測結果報告����。
[0022]所述的顯示模塊還能夠根據(jù)檢測過程,顯示所述裝置的多個工作狀態(tài)��,如設備的連接狀態(tài)�����、數(shù)據(jù)的傳送狀態(tài)����、檢測狀態(tài)及惡意代碼信息等。
[0023]所述的裝置中�,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接。
[0024]所述的裝置中����,所述判斷模塊判斷移動終端設備是否已開啟USB調試模式為:判斷Adb命令的返回結果,若返回結果為Device�,則移動終端設備已開啟USB調試模式,若返回結果為unknown��,則移動終〗而設備未開啟USB調試I旲式��。
[0025]所述的裝置中�����,所述對獲取模塊獲取到的安裝包程序進行惡意代碼檢測��,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息�、權限信息,并與惡意代碼木馬特征庫中的特征進行匹配��,若匹配成功��,則所述安裝包程序存在惡意代碼���,否則不存在惡意代碼����。
[0026]所述的裝置中,所述應用提取程序在結束檢測后自動清除���。
[0027]一種外部提取式移動終端惡意代碼檢測方法��,如圖2所示�����,包括: 5201:監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接到外部提取式移動終端惡意代碼檢測裝置���;
5202:判斷所述移動終端設備是否已開啟USB調試模式,如果是�����,則執(zhí)行S204��,否則執(zhí)行 S203 �����;
5203:生成USB調試配置信息;所述USB調試配置信息用于引導用戶開啟移動終端設備的USB調試選項����,例如提示用戶進入手機設置-應用程序-開發(fā)者選項-USB調試選項,開啟USB調試���;
5204:向所述移動終端設備發(fā)送應用提取程序;應用提取程序在移動終端內運行�����,遍歷并獲取移動終端內的所有安裝包程序的路徑���,并最終將安裝包程序通過USB數(shù)據(jù)線傳回到所述裝置中����;所述的安裝包程序例如Android系統(tǒng)中的apk文件�����;
5205:獲取應用提取程序返回的在所述移動終端設備中提取的安裝包程序�����;
5206:對獲取到的安裝包程序進行惡意代碼檢測,判斷所述安裝包程序是否存在惡意代碼����,如果是,則執(zhí)行S207��,否則結束檢測并生成檢測結果報告����;
5207:生成惡意代碼信息并提示用戶選擇是否清除惡意代碼;若用戶選擇信息為清除惡意代碼�����,則執(zhí)行S208�,否則結束檢測并生成檢測結果報告;
5208:卸載所述惡意代碼在移動終端設備中對應的安裝包程序���。
[0028]所述的方法中����,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接�����。
[0029]所述的方法中,所述判斷移動終端設備是否已開啟USB調試模式為:判斷Adb命令的返回結果�����,若返回結果為Device��,則移動終端設備已開啟USB調試模式����,若返回結果為unknown,則移動終端設備未開啟USB調試模式���。
[0030]所述的方法中��,所述對獲取到的安裝包程序進行惡意代碼檢測����,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息���、權限信息����,并與惡意代碼木馬特征庫中的特征進行匹配�,若匹配成功��,則所述安裝包程序存在惡意代碼�����,否則不存在惡意代碼���。
[0031]所述的方法中,所述應用提取程序在結束檢測后自動清除����。
[0032]本發(fā)明裝置及方法具有如下優(yōu)勢:所述裝置為全封閉系統(tǒng),不與網(wǎng)絡關聯(lián)�,能夠保證裝置內及所檢測移動終端設備的數(shù)據(jù)安全;對移動終端設備中惡意代碼的檢測不依賴于移動終端系統(tǒng)�,避免由于移動終端系統(tǒng)被感染惡意代碼導致無法徹底清除惡意代碼;在檢測過程中不消耗手機電量��,增加手機續(xù)航時間���;所述裝置的硬件資源高于移動終端設備�,因此檢測及清除惡意代碼的速度更快�����,效率更高;只需要對所述裝置中的惡意代碼木馬特征庫進行更新維護����,不占用移動終端設備的數(shù)據(jù)流量及資源;向移動終端設備發(fā)送的應用提取程序��,在完成檢測后能夠自動清除�����,不在移動終端中安裝或保存任何軟件����。
[0033]本發(fā)明提供了一種外部提取式移動終端惡意代碼檢測裝置及方法��,移動終端設備通過USB數(shù)據(jù)線與所述裝置連接��,當移動終端設備開啟USB調試選項時����,所述裝置向移動終端設備中安裝文件提取程序,用于獲取移動終端設備中的應用程序��,并發(fā)送給所述裝置��;所述裝置對獲取到的應用程序進行病毒檢測,如果發(fā)現(xiàn)病毒��,則顯示病毒信息并提示用戶選擇是否清除病毒�����,如果用戶選擇清除病毒�����,則所述裝置卸載移動終端設備中的相應應用程序��。通過本發(fā)明的裝置及方法���,能夠提取移動終端設備中的應用程序�,將移動終端設備中的程序提取到本發(fā)明裝置中進行掃描��,掃描獨立于移動終端設備的系統(tǒng)運行�����,且所述裝置系統(tǒng)全封閉�,能夠保證所提取應用程序的安全性。
[0034]通過以上的實施方式的描述可知�,本領域的技術人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)���。本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可�,每個實施例重點說明的都是與其他實施例的不同之處。尤其����,對于系統(tǒng)實施例而言,由于其基本相似于方法實施例����,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可�����。
[0035]雖然通過實施例描繪了本發(fā)明�,本領域普通技術人員知道���,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神�,希望所附的權利要求包括這些變形和變化而不脫離本發(fā)明的精神��。
【權利要求】
1.一種外部提取式移動終端惡意代碼檢測裝置���,其特征在于�,所述裝置包括: 監(jiān)控模塊,用于監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接所述裝置����; 判斷模塊,判斷所述移動終端設備是否已開啟USB調試模式�,如果是,則執(zhí)行安裝模塊���,否則執(zhí)行USB調試配置模塊���; USB調試配置模塊,生成USB調試配置信息�����; 安裝模塊���,向所述移動終端設備發(fā)送應用提取程序�����; 獲取模塊��,用于獲取應用提取程序返回的在移動終端設備中提取的安裝包程序�; 檢測模塊,對獲取模塊獲取到的安裝包程序進行惡意代碼檢測����,判斷所述安裝包程序是否存在惡意代碼,如果是���,則生成惡意代碼信息并提示用戶選擇是否清除惡意代碼��,進入處理模塊�����;否則結束檢測并生成檢測結果報告�; 處理模塊�,用于在檢測模塊判斷所述安裝包程序存在惡意代碼時,獲取用戶選擇信息��,若用戶選擇信息為清除惡意代碼���,則卸載所述惡意代碼在移動終端設備中對應的安裝包程序,否則結束檢測并生成檢測結果報告; 顯示模塊����,用于顯示USB調試配置信息、惡意代碼信息����、提示用戶選擇是否清除惡意代碼信息及檢測結果報告。
2.如權利要求1所述的裝置�����,其特征在于����,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接。
3.如權利要求1所述的裝置����,其特征在于,所述判斷模塊判斷移動終端設備是否已開啟USB調試t旲式為:判斷Adb命令的返回結果���,右返回結果為Device�����,則移動終纟而設備已開啟USB調試模式��,若返回結果為unknown�����,則移動終端設備未開啟USB調試模式����。
4.如權利要求1所述的裝置,其特征在于�,所述對獲取模塊獲取到的安裝包程序進行惡意代碼檢測,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息��、權限信息�����,并與惡意代碼木馬特征庫中的特征進行匹配�,若匹配成功,則所述安裝包程序存在惡意代碼����,否則不存在惡意代碼。
5.如權利要求1所述的裝置�,其特征在于��,所述應用提取程序在結束檢測后自動清除。
6.一種外部提取式移動終端惡意代碼檢測方法��,其特征在于�,包括: a.監(jiān)控并識別帶有安卓系統(tǒng)的移動終端設備連接到外部提取式移動終端惡意代碼檢測裝置; b.判斷所述移動終端設備是否已開啟USB調試模式���,如果是���,則執(zhí)行步驟d,否則執(zhí)行步驟c �; c.生成USB調試配置信息; d.向所述移動終端設備發(fā)送應用提取程序���; e.獲取應用提取程序返回的在所述移動終端設備中提取的安裝包程序�; f.對獲取到的安裝包程序進行惡意代碼檢測����,判斷所述安裝包程序是否存在惡意代碼,如果是���,則生成惡意代碼信息并提示用戶選擇是否清除惡意代碼���,執(zhí)行步驟g ;否則結束檢測并生成檢測結果報告����; g.獲取用戶選擇信息����,若用戶選擇信息為清除惡意代碼,則卸載所述惡意代碼在移動終端設備中對應的安裝包程序����,否則結束檢測并生成檢測結果報告。
7.如權利要求6所述的方法�,其特征在于,所述移動終端設備通過USB數(shù)據(jù)線與所述裝置連接�。
8.如權利要求6所述的方法,其特征在于�,所述判斷移動終端設備是否已開啟USB調試豐旲式為:判斷Adb命令的返回結果,右返回結果為Device���,則移動終纟而設備已開啟USB調試豐旲式�����,右返回結果為unknown��,則移動終〗而設備未開啟USB調試|旲式���。
9.如權利要求6所述的方法���,其特征在于��,所述對獲取到的安裝包程序進行惡意代碼檢測�����,判斷所述安裝包程序是否存在惡意代碼為:至少獲取所述安裝包程序的行為信息����、權限信息,并與惡意代碼木馬特征庫中的特征進行匹配�,若匹配成功,則所述安裝包程序存在惡意代碼�����,否則不存在惡意代碼�����。
10.如權利要求6所述的方法,其特征在于����,所述應用提取程序在結束檢測后自動清除。
【文檔編號】G06F21/56GK103902900SQ201310159807
【公開日】2014年7月2日 申請日期:2013年5月3日 優(yōu)先權日:2013年5月3日
【發(fā)明者】徐翰隆, 關墨辰, 孫洪偉, 龐齊, 朱清湃, 張大捷 申請人:哈爾濱安天科技股份有限公司