[发明专利]一种移动终端上的恶意软件检测方法、装置和系统

权利要求书

1.一种移动终端上的恶意软件检测方法，其特征在于，包括：

获取需要检测的软件的安装包；

对所述安装包进行解压，得到解压后安装包；

对所述解压后安装包进行检测，得到第一检测结果；

发送所述解压后安装包给云端系统；

接收云端系统返回的第二检测结果，所述第二检测结果为云端系统对所述解压后安装包进行恶意软件检测所得到的结果；

若所述第一检测结果和/或第二检测结果指示所述解压后安装包中存在异常，则确定所述需要检测的软件为恶意软件。

2.根据权利要求1所述的方法，其特征在于，所述对所述解压后安装包进行检测，得到第一检测结果，包括：

对所述解压后安装包进行启发式扫描，得到第一扫描结果；

对所述解压后安装包中的特征码进行二进制扫描，得到第二扫描结果；

对所述解压后安装包进行权限文件扫描，得到第三扫描结果；

若所述第一扫描结果、第二扫描结果和/或第三扫描结果指示所述解压后安装包中存在异常，则在第一检测结果中指示所述解压后安装包中存在异常。

3.根据权利要求2所述的方法，其特征在于，所述对所述解压后安装包进行启发式扫描，得到第一扫描结果，包括：

分别对所述解压后安装包的安装根目录、资源文件和基础依赖库进行扫描，得到第一扫描结果。

4.根据权利要求3所述的方法，其特征在于，所述分别对所述解压后安装包的安装根目录、资源文件和基础依赖库进行扫描，得到第一扫描结果，包括：

对所述解压后安装包中的安装根目录进行扫描，若所述安装根目录中不存在预置常规文件，或所述安装根目录中存在异常文件且所述异常文件是可执行文件，则在第一扫描结果中指示所述解压后安装包中存在异常；

对所述解压后安装包中的资源文件进行扫描，若存在除预置文件类型之外的其他文件，则在第一扫描结果中指示所述解压后安装包中存在异常；

对所述解压后安装包中的基础依赖库进行扫描，若存在除预置文件类型之外的其他文件或文件格式不符合预置规范，则在第一扫描结果中指示所述解压后安装包中存在异常。

5.根据权利要求2所述的方法，其特征在于，所述对所述解压后安装包中的特征码进行二进制扫描，得到第二扫描结果，包括：

对所述解压后安装包中的特征码进行二进制扫描，若存在于预置病毒样本相似的特征码，则在第二扫描结果中指示所述解压后安装包中存在异常。

6.根据权利要求2所述的方法，其特征在于，所述对所述解压后安装包进行权限文件扫描，得到第三扫描结果，包括：

对所述解压后安装包进行权限文件扫描，若存在危险的权限组合，则在第三扫描结果中指示所述解压后安装包中存在异常。

7.根据权利要求2所述的方法，其特征在于，所述云端系统对所述解压后安装包进行恶意软件检测，包括：

云端系统对所述解压后安装包中的权限文件进行分析，得到分析结果；

云端系统将所述解压后安装包中的可执行文件中的代码与预置的样本文件中的代码进行相似性比较，得到第一比较结果；

云端系统将所述解压后安装包中的可执行文件的应用程序接口调用树与预置的样本文件中的应用程序接口调用树进行相似性比较，得到第二比较结果；

若所述分析结果、第一比较结果和/或第二比较结果指示所述解压后安装包中存在异常，则在第二检测结果中指示所述解压后安装包中存在异常。

8.根据权利要求7所述的方法，其特征在于，所述云端系统对所述解压后安装包中的权限文件进行分析，得到分析结果，包括：

云端系统确定所述解压后安装包中的权限文件中的数据包名称与预置数据库中的病毒包名称相同或相似时，在分析结果中指示所述解压后安装包中存在异常；

云端系统确定所述解压后安装包请求的权限组合数量高于所述需要检测的软件所属类型的权限组合数量时，在分析结果中指示所述解压后安装包中存在异常；

云端系统确定所述解压后安装包中的权限文件中的签名和与预置数据库中的病毒的签名相同或相似时，在分析结果中指示所述解压后安装包中存在异常。