[发明专利]一种基于插件加载的android恶意代码检测系统及方法

说明书

技术领域

本发明涉及移动终端恶意代码检测领域，特别涉及一种基于插件加载的android恶意代码检测系统及方法。

背景技术

现有Android手机上的反病毒软件，通常都采用升级病毒库的方式来进行恶意代码检测和识别能力的提升，并提供对新出现的恶意代码进行检测和处理的能力。

从现有的Android手机上的反病毒软件本身在进行升级时和扩展恶意代码检测功能时，有如下的几种方法：一、通过更新病毒库来达到相应的效果；二、通过重新更新和安装apk来实现反病毒模块的更新和达到相应的效果。上述的两种升级方法，方法一无法对恶意代码检测模块和程序本身进行有效的更新和扩展，而方法二则需要消耗极高的代价，需要对整个安全应用程序进行更新和再次安装来达到更新的效果。

发明内容

本发明提供了一种基于插件加载的android恶意代码检测系统及方法，通过调用插件，来进行恶意代码的检测，能够及时对恶意代码检测能力进行扩展，解决了现有需要更新整个应用程序才能够扩展检测能力的问题。

一种基于插件加载的android恶意代码检测系统，包括：插件升级服务器和移动终端恶意代码检测模块；

所述插件升级服务器包括：

存储模块，用于存储恶意代码检测插件库；

通信模块，用于获取移动终端恶意代码检测模块的更新请求，并返回插件更新包的URL；

插件生成模块，用户判断更新请求中的版本号与最新版本号是否相同，如果是则结束更新，否则根据版本差异，生成插件更新包；

移动终端恶意代码检测模块包括：

更新模块，用于向插件升级服务器发送更新请求，并判断是否收到插件更新包获取的URL，如果是，获取插件更新包，否则直接执行检测模块；

检测模块，用于遍历本地插件缓存文件夹获取所有插件；根据插件类型，选择插件调用接口，调用插件进行恶意代码检测。

所述的系统中，所述恶意代码插件库中至少包括：插件版本号、插件名、插件文件存储地址和插件类型。

所述的系统中，所述的插件为dex格式文件。

所述的系统中，所述的插件类型至少包括检测型和专杀处置型。

一种基于插件加载的android恶意代码检测方法，适用于上述系统，包括：

插件升级服务器存储恶意代码检测插件库，并获取更新请求，判断更新请求中的版本号与最新版本号是否相同，如果是，则结束更新，否则生成插件更新包，并返回插件更新包获取的URL；

移动终端恶意代码检测模块向插件升级服务器发送更新请求，并判断是否收到插件更新包获取的URL，如果是，获取插件更新包，并遍历本地插件缓存文件夹获取所有插件，否则直接遍历本地插件缓存文件夹获取所有插件；

根据插件类型，选择插件调用接口，调用插件进行恶意代码检测。

所述的方法中，所述恶意代码检测插件库中至少包括：插件版本号、插件名、插件文件存储地址和插件类型。

所述的方法中，所述的插件为dex格式文件。

所述的方法中，所述的插件类型至少包括检测型和专杀处置型。

一种基于插件加载的android恶意代码检测方法，适用于上述系统中的移动终端恶意代码检测模块，包括：

移动终端恶意代码检测模块向插件升级服务器发送更新请求；

判断是否收到插件更新包获取的URL，如果是，获取插件更新包，并遍历本地插件缓存文件夹获取所有插件，否则直接遍历本地插件缓存文件夹获取所有插件；

根据插件类型，选择插件调用接口，调用插件进行恶意代码检测。

所述的方法中，所述的插件为dex格式文件。

所述的方法中，所述的插件类型至少包括检测型和专杀处置型。

本发明的方法利用了android平台上的dexclassloader的功能，可以实现对dex文件进行加载，并导出其中定义的类和函数来达到调用非APK中的第三方dex函数的功能，因此本发明的系统及方法，通过dex插件调用，实现了在恶意代码检测过程中，对恶意代码检测能力的扩展和更新。不仅实现了灵活和低成本的反病毒检测能力的扩展，还可以通过检测插件，实现细粒度的病毒检测和专杀功能。