[发明专利]检测移动终端中是否存在恶意软件的方法和移动终端

权利要求书

1.一种检测移动终端中是否存在恶意软件的方法，包括：

检测所述移动终端的缓存中是否存在记录上次收集信息的时间戳的文件，所述时间戳为应用程序的特征信息的入库时间；

根据检测结果收集所述移动终端中已安装软件的信息，具体为，若缓存中不存在记录上次收集信息的时间戳的文件，则对所述移动终端中所有已安装软件进行全量扫描以收集信息；若缓存中存在记录上次收集信息的时间戳的文件，则根据缓存中所述文件记录的上次全量扫描时间戳和上次增量扫描时间戳与当前时间戳收集所述移动终端中已安装软件的信息；

将所收集的信息发送至服务器进行检测，根据检测结果将已安装软件划分为安全、危险、谨慎和木马四个安全级别；

其中所述服务器预设有非恶意软件的信息，以用于与所收集的信息进行比较。

2.如权利要求1所述的方法，其中根据缓存中所述文件记录的上次全量扫描时间戳和上次增量扫描时间戳与当前时间戳收集所述移动终端中已安装软件的信息包括：

比较缓存中所述文件记录的上次全量扫描时间戳与当前时间戳；以及

根据比较结果收集所述移动终端中已安装软件的信息。

3.如权利要求2所述的方法，其中根据比较结果收集所述移动终端中已安装软件的信息包括：

若当前时间戳晚于缓存中所述文件记录的上次全量扫描时间戳超过预定的第一阈值，则对所述移动终端中所有已安装软件进行扫描以收集信息；以及

若当前时间戳晚于缓存中所述文件记录的上次全量扫描时间戳未超过预定的第一阈值，则根据缓存中所述文件记录的上次增量扫描时间戳与当前时间戳收集所述移动终端中已安装软件的信息。

4.如权利要求3所述的方法，其中根据缓存中所述文件记录的上次增量扫描时间戳与当前时间戳收集所述移动终端中已安装软件的信息包括：

若当前时间戳晚于缓存中所述文件记录的上次增量扫描时间戳超过预定的第二阈值，则对所述移动终端中已安装软件的信息进行增量扫描以收集信息。

5.如权利要求4所述的方法，其中对所述移动终端中已安装软件的信息进行增量扫描以收集信息包括：

将所述移动终端中所有已安装软件的时间戳与缓存中所述文件记录的上次增量扫描时间戳进行比较；以及

收集所述移动终端中时间戳晚于缓存中所述文件记录的上次增量扫描时间戳的已安装软件的信息。

6.如权利要求1-5中任一项所述的方法，其中每个已安装软件的信息包括软件的五元组信息。

7.如权利要求6所述的方法，其中所述软件的五元组信息包括：app包名、app版本号、app版本名、app文件中META-INF/CERT.RSA的SHA1值以及app文件中AndroidManifest.xml的SHA1值。

8.如权利要求7所述的方法，其中根据检测结果收集所述移动终端中已安装软件的信息包括：

获取所述移动终端中已安装软件的app包名；

根据所述app包名确定已安装软件的安装文件存储路径；

根据已安装软件的安装文件存储路径，获取并解压已安装软件的安装文件；以及

根据已解压的文件获取app版本号、app版本名、app文件中META-INF/CERT.RSA的SHA1值以及app文件中AndroidManifest.xml的SHA1值。

9.一种移动终端，包括：

检测单元，用于检测所述移动终端的缓存中是否存在记录上次收集信息的时间戳的文件，所述时间戳为应用程序的特征信息的入库时间；

收集单元，用于根据所述检测单元的检测结果收集所述移动终端中已安装软件的信息，具体为若所述检测单元检测到所述缓存中不存在记录上次收集信息的时间戳的文件，则所述收集单元对所述移动终端中所有已安装软件进行全量扫描以收集信息，若所述检测单元检测到所述缓存中存在记录上次收集信息的时间戳的文件，则所述收集单元根据所述缓存中所述文件记录的上次全量扫描时间戳和上次增量扫描时间戳与当前时间戳收集所述移动终端中已安装软件的信息；

发送单元，用于将所收集的信息发送至服务器进行检测，根据检测结果将已安装软件划分为安全、危险、谨慎和木马四个安全级别；

其中所述服务器预设有非恶意软件的信息，以用于与所收集的信息进行比较。