行為��,使用戶可以卸載軟件以減小損失����。
[0092]例如,客戶端中安裝有安卓市場V2�����、手機營業(yè)廳V1.1和安卓伴侶V1.3,手機營業(yè)廳V1.1中設(shè)置的檢測模塊將用戶客戶端中安裝的安卓市場V2����、手機營業(yè)廳V1.1和安卓伴侶V1.3的軟件信息和對應(yīng)的第二識別標識傳遞到MM商店;MM商店通過檢測模塊獲取安卓市場V2��、手機營業(yè)廳V1.1和安卓伴侶V1.3的軟件行為�����,當(dāng)發(fā)現(xiàn)客戶端中安裝的軟件會私自上傳用戶的通訊錄時�����,則麗商店根據(jù)得到的安卓市場V2�����、手機營業(yè)廳V1.1和安卓伴侶V1.3的第二識別標識�����,與預(yù)先存儲的軟件的第一識別標識進行比對�,發(fā)現(xiàn)安卓市場V2和手機營業(yè)廳V1.1的第二識別標識與預(yù)先存儲的軟件的第一識別標識相對應(yīng)��,然后根據(jù)安卓市場V2和手機營業(yè)廳V1.1的軟件信息對這兩個軟件進行惡意行為掃描,發(fā)現(xiàn)安卓市場V2通過在線更新的方式在用戶客戶端中安裝會私自上傳用戶通訊錄的安卓伴侶V1.3���。因此����,MM商店在第一時間下線安卓市場V2并通知用戶安裝的安卓市場V2和安卓伴侶V1.3存在惡意行為�����,讓用戶卸載軟件以避免損失��。
[0093]現(xiàn)有的在線網(wǎng)站或者移動商城只能在用戶說明某些上線的軟件具有惡意行為時�,才會要求用戶上傳軟件并進行惡意行為檢測,不能在第一時間發(fā)現(xiàn)軟件的惡意行為并作出反應(yīng)��。
[0094]在本實施例中�����,軟件在線檢測方法還包括:
[0095]對所述客戶端中所安裝的軟件進行監(jiān)控�����;
[0096]將客戶端所安裝軟件的軟件信息發(fā)送至服務(wù)器��,交由服務(wù)器判定客戶端所安裝軟件是否存在惡意行為;
[0097]將客戶端所安裝軟件的軟件信息和對應(yīng)的第二識別標識發(fā)送至服務(wù)器�����;
[0098]接收所述服務(wù)器發(fā)送的檢測結(jié)果�。
[0099]通過上述的操作,可以對軟件的行為進行實時監(jiān)控����,當(dāng)軟件在運行的過程中出現(xiàn)惡意行為時,可以在第一時間發(fā)現(xiàn)軟件的惡意行為并找出存在惡意行為的軟件��,具有反應(yīng)迅速和處理及時的特點����。
[0100]進一步地�����,所述當(dāng)發(fā)現(xiàn)所述客戶端所安裝的軟件出現(xiàn)惡意行為時���,將所述客戶端中所安裝軟件的第二識別標識和對應(yīng)的軟件信息發(fā)送到服務(wù)器包括:
[0101]計算所述客戶端所安裝軟件的第二識別標識�����;
[0102]獲取所述客戶端的軟件信息����;
[0103]將所安裝軟件的第二識別標識和對應(yīng)的軟件信息發(fā)送到服務(wù)器。
[0104]可選的�,計算所述客戶端所安裝軟件的第二識別標識的方式與服務(wù)器在將軟件上線前計算軟件的第一識別標示的過程一致,計算方式簡單���,可以非?��?焖俚牡玫接脩艨蛻舳酥邪惭b軟件的第二識別標識。
[0105]對軟件在線檢測方法的又一實施例如圖2所示�,所述方法包括如下步驟:
[0106]步驟200.應(yīng)用開發(fā)者在開發(fā)好應(yīng)用B并準備上傳至MM商城時,MM商城通過基于特征值的掃描和基于啟發(fā)式掃描對應(yīng)用B進行安全掃描�;由于應(yīng)用B中的在線更新行為本身并不屬于惡意行為,在線更新后的惡意應(yīng)用的惡意行為又未能在自動基于啟發(fā)式掃描中觸發(fā)��,于是應(yīng)用B通過了該掃描���;
[0107]步驟201.MM商城按照一定的算法和策略計算出該應(yīng)用的第一識別標識并存入MM商城應(yīng)用庫中(同一款應(yīng)用的不同版本認定為不同應(yīng)用����,具有不同的第一識別標識)��;
[0108]步驟202.MM商城向應(yīng)用B內(nèi)植入軟件行為檢測模塊,然后將應(yīng)用B上線�����;
[0109]步驟203.應(yīng)用B被用戶下載并安裝使用����,應(yīng)用B通過在線方式在用戶的客戶端中安裝應(yīng)用b,應(yīng)用b會私自上傳用戶的通訊錄�,泄露用戶隱私;
[0110]步驟204.軟件行為檢測模塊獲取客戶端中安裝的應(yīng)用A��、B�����、b的軟件信息��,計算出應(yīng)用A��、B���、b的第二識別標識,并將應(yīng)用A���、B�����、b的軟件信息和對應(yīng)的第二識別標識上傳至服務(wù)器的惡意性分析引擎���;
[0111]步驟205.惡意性分析引擎先通過比對該用戶所有應(yīng)用的第二識別標識和服務(wù)器上存儲的第一識別標識���,判定該手機用戶中有從MM商城中下載的應(yīng)用;
[0112]步驟206.在麗商城的基于特征庫掃描引擎對應(yīng)用A�、B、b的軟件信息進行掃描��,發(fā)現(xiàn)應(yīng)用b有上傳用戶通訊錄的惡意行為�����,則掃描后可判定應(yīng)用A或B通過某種方式帶來了惡意代碼��;
[0113]步驟207.MM商城應(yīng)用庫則將應(yīng)用B放入基于動態(tài)啟發(fā)式掃描引擎中進行掃描��;
[0114]步驟208.掃描出應(yīng)用B通過在線更新的方式帶來了惡意應(yīng)用b���。
[0115]基于上述描述��,本實施例提供的對軟件在線檢測方法�,通過為所存儲的軟件設(shè)置唯一的識別標識,可以在軟件出問題時����,可以及時的找出有問題的軟件,很好的解決了同一軟件不同版本不好分辯的問題�;在軟件出現(xiàn)惡意行為時,獲取客戶端中安裝的軟件的識別標識����,然后比對客戶端中安裝的軟件和服務(wù)器中存儲軟件的唯一識別標識,可以對在安裝后以在線更新的方式產(chǎn)生惡意行為的軟件進行檢測���,并能夠及時檢測出服務(wù)器中存在惡意行為的軟件���,為服務(wù)器不能及時對所有軟件進行上線前的惡意性檢測在第一時間進行補救;再者�,服務(wù)器在第一時間將存在惡意行為的軟件下線,同時通知客戶端說明軟件存在惡意行為��,使客戶端可以卸載該軟件�,以將存在惡意行為的軟件給客戶端帶來的損失減到最小�,方便用戶對客戶端的使用��,避免了客戶端因存在惡意行為的軟件而在使用中存在不必要的麻煩的缺陷���。
[0116]圖3為對軟件在線檢測裝置的實施例結(jié)構(gòu)示意圖,如圖3所示����,所述裝置包括:
[0117]掃描模塊10,用于對上線前的軟件進行惡意行為掃描�;
[0118]第一處理模塊20,用于若軟件通過掃描����,獲得軟件的用于表示軟件身份的第一識別標識;
[0119]存儲模塊30����,用于在所述服務(wù)器上存儲所述軟件和所述軟件對應(yīng)的所述第一識別標識;
[0120]識別模塊40�,用于當(dāng)軟件出現(xiàn)惡意行為時,所述服務(wù)器根據(jù)所述第一識別標識識別存在惡意行為的軟件�。
[0121]進一步地,所述第一處理模塊20具體用于:
[0122]為上線的軟件分配服務(wù)器標識��、開發(fā)商標識和軟件標識;
[0123]對軟件進行MD5加密��,得到MD5值�����;
[0124]對所述服務(wù)器標識����、所述開發(fā)商標識、所述軟件標識和所述MD5值進行哈希運算��,得到軟件的所述第一識別標識����。
[0125]進一步地,所述裝置還包括:
[0126]第一獲取模塊���,用于獲取所述客戶端的軟件下載指令���,向所述客戶端傳輸所述下載指令中指定的軟件;
[0127]接收模塊����,用于接收客戶端所安裝軟件的軟件信息和對應(yīng)的第二識別標識�;
[0128]第二獲取模塊��,用于獲取客戶端所安裝軟件的軟件行為��,判定軟件行為是否存在惡意行為��,得到一判定結(jié)果�����;
[0129]比對模塊�,用于當(dāng)所述判定結(jié)果指示客戶端所安裝的軟件存在惡意行為時��,將所述第二識別標識與預(yù)先存儲的所述第一識別標識進行比對����,找出與所述第二識別標識相同的所述第一識別標識對應(yīng)的軟件;
[0130]第一檢測模塊���,用于將所有標識對應(yīng)的軟件進行惡意行為檢測���,找出具備在線更新惡意代碼功能的軟件;
[0131]第二處理模塊���,用于從所述服務(wù)器下線所述具備在線更新惡意代碼功能的軟件���,并向所述客戶端發(fā)送檢測結(jié)果����。
[0132]可選地�����,所述裝置還包括:
[0133]第二檢測模塊�����,用于對所述客戶端中所安裝的軟件進行監(jiān)控���;
[0134]第一發(fā)送模塊���,用于將客戶端所安裝軟件的軟件行為發(fā)送至服務(wù)器,交由服務(wù)器判定客戶端所安裝軟件是否存在惡意行為����;
[0135]第二發(fā)送模塊,用于將客戶端所安裝軟件的軟件信息和對應(yīng)的第二識別標識發(fā)送至服務(wù)器�;
[0136]第二接收模塊���,用于接收所述服務(wù)器發(fā)送的檢測結(jié)果。
[0137]可選地���,所述第二發(fā)送模塊具體包括:
[0138]計算所述客戶端所安裝軟件的第二識別標識�����;
[0139]獲取所述客戶端中所安裝軟件的軟件信息;
[0140]將所安裝軟件的第二識別標識和對應(yīng)的軟件信息發(fā)送到服務(wù)器��。
[0141]通過以下實施例對軟件在線檢測裝置作進一步描述���。
[0142]軟件在線檢測裝置的又一實施例的示意圖如圖4所示���,所述裝置用于服務(wù)器,包括:
[0143]第一掃描模塊50�,用于在軟件上線前,對軟件進行惡意行為掃描�;用于客戶端上傳軟件行為特征惡意性掃描;
[0144]第二掃描模塊60���,在服務(wù)器上用于匹配了軟件身份標識的軟件的深度掃描�,模擬在線環(huán)境,檢測在線行為�,判定有無在線更新惡意代碼等潛在惡意行為;
[0145]第三處理模塊70��,用于若軟件通過掃描���,獲得軟件的用于表示軟件身份的第一識別標識���;
[0146]存儲模塊80,用于在所述服務(wù)器上存儲所述軟件和所述軟件對應(yīng)的所述第一識別標識�。
[0147]進一步地,所述處理模塊70具體用于:
[0148]為上線的軟件分配服務(wù)器標識����、開發(fā)商標識和軟件標識;
[0149]對軟件進行MD5加密����,得到MD5值;