【

具体实施方式

】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

以下，对本发明中的部分用语进行解释说明，以便与本领域技术人员理解。

短信应用：系统自带的短信收发应用。

彩信：多媒体信息服务，能够传递功能全面的内容和信息，这些信息包括文字、图像、声音、数据等各种多媒体格式的信息。

文件头：文件头是直接位于文件中的一段数据,是文件的一部分，一般都在开头，其中包含了文件类型的信息。

文件扩展名(Filename Extension)：也称为文件的后缀名，是操作系统用来标记文件类型的一种机制。

另外，需要理解的是，在本发明实施例的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。“多个”的含义是两个或两个以上。

通讯网络中，用户能通过一个终端可以接收来自网络的信息，所述用户可能将重要信息存储在所述终端中。接收的信息可能由另一个终端发送。发送端可能由不法分子利用的终端，发送的信息可能是危险文件，所述危险文件可能具有窃取用户终端的数据的功能，也可能破坏用户的终端的数据，也可能具有其他损害用户的风险。如图1，不法分子通过网络将危险文件发送给用户的终端，从而窃取用户的隐私，如密码等重要信息。

对于终端用户，接收的一条信息可以是一个或多个文件，也可以是一个带有文本和附件的信息，或带有图片和附件的信息；其中，附件可以是一个，也可以是多个。而所接收到的文件或附件中的任何一个，都可能是危险文件。

通常，危险文件的文件类型是确定的，从文件头的信息可以得出对目标文件的文件类型的判断。本发明实施例提供一种文件识别方法，应用于电子终端设备，接收文件信息，所述文件信息包括目标文件以及标识文件属性的文件头信息，根据所述文件头信息识别所述接收到的目标文件是否为危险文件。

若一条信息，如彩信、邮件，带有附件，若根据附件的文件头判断附件为是危险文件，判断这条信息为不安全信息。例如文件头显示此附件是可执行文件，很容易被设备直接运行。

本发明实施例提供的文件识别方法流程图如图2：

S201收到信息；

S202分析文件头的信息所表示的文件类型；

S203判断所述文件头的信息是否表示危险的文件类型：若否，执行步骤S204；若是，执行步骤S205；

S204正常接收；

S205确定该信息为不安全信息。

上述流程利用文件头的信息，该信息易于接收、提取，根据文件头判断使识别危险文件简便高效。

以匹配的方式判断文件头的信息是一种具体的易于实现的方法。在一种可能的设计中，根据所述文件头信息识别所述接收到的目标文件是否为危险文件，包括：将所述文件头信息和预先存储的危险文件的文件头信息进行匹配，若匹配到，则判断所述目标文件为危险文件。

预先存储的危险文件的文件头可以集合在一个库里。于是，在一种可能的设计中，所述文件识别方法还包括危险文件类型库；所述危险文件类型库预先存储有危险文件的文件头信息；所述处理模块用于将所述文件头信息和预先存储的危险文件的文件头信息进行匹配，若匹配到，则所述处理模块判断所述目标文件为危险文件。

例如对于安卓系统，所述危险文件类型库包括bak文件，因为bak文件容易被系统检测并直接运行。因为软件更新迭代，危险文件类型库可能需要随系统更新，因为当系统更新后，相应的危险的文件类型可能会变化，例如更新前是bak文件，更新后是另一种文件。所以在一种实施例中，危险文件类型库有更新的功能。

通常，文件的文件扩展名也与文件类型有关，可以作为一种重要的判断方法。虽然危险文件的文件类型是确定的，文件扩展名易于被不法分子篡改，而改动后的文件扩展名难以辨识出文件类型。而文件头不易被改动，所以判断所述文件头信息所表示的文件类型是否和所述文件扩展名所表示的文件类型一致，可以简便高效地识别出被篡改的文件。

于是，在一种可能的设计中，所述文件信息还包括文件扩展名，所述根据所述文件头信息识别所述接收到的目标文件是否为危险文件，包括：判断所述文件头信息所表示的文件类型是否和所述文件扩展名所表示的文件类型一致，若不一致，则判断所述目标文件为危险文件。对于带有多个附件的信息，逐个检查收到每个附件的文件头是否与所述附件的文件扩展名一致。

如果所述文件头是否和所述文件或附件的文件扩展名不一致，说明所述文件或附件的文件扩展名是修改过的，很可能是危险文件。例如，一个文件的文件头显示出该文件是可被系统识别运行的文件，如apk，而该文件的文件扩展名是其他文件扩展名，如png，jpg等看似无害的文件类型。当用户主动或被动地把所述文件的文件扩展名更改后，所述文件被系统运行，将带来风险。

一种本发明实施例的流程图如图3：

S301收到信息；

S302分析文件头的信息所表示的文件类型；

S303分析文件的文件扩展名所表示的文件类型；

S304判断所述文件头所表示的文件类型和文件的文件扩展名所表示的文件类型是否一致：若否，执行步骤S305；若是，执行步骤S306；

S305正常接收；

S306确定该信息为不安全信息。

图3所示流程核心是比较文件头和文件扩展名。虽然文件的文件扩展名容易被改动，但其文件头不易被改动，所以判断所述文件头信息所表示的文件类型是否和所述文件扩展名所表示的文件类型一致，可以简便高效地识别出被篡改的文件。本发明实施例可以准确判定所述接收文件或附件的文件风险性，并且工作量小，并且算法复杂度小。不涉及底层芯片及模组的修改，可适配各种智能设备。

判断出危险文件之后，还需有一定的措施降低风险，例如提醒用户。用户收到有危险文件的信息的提示，与收到普通信息的提示不同，在一种可能的设计中，所述电子终端设备预先开启提示危险文件的功能，所述方法还包括：当判断到所述目标文件为危险文件时，则采用以下一种或多种的组合进行提示：音频提示、文字消息提示、视频提示、震动提示。用户可以在电子终端设备预先开启提示危险文件的功能，一旦收到危险文件会有所提示。用户可以在电子终端设备预先关闭提示危险文件的功能，一旦收到危险文件不会提示，没有打扰，而直接对危险文件进行处理，比如会直接进入垃圾箱，或永久删除。

文字消息提示可以有很多种，可以是系统默认一种，也可以由用户进一步自行设置。例如对于安卓手机，可以由通知栏提示、弹出对话框提示、应用画面中直接标记显示。于是，在一种可能的设计中，所述文字消息提示包括以下一种或多种的组合：所述电子终端设备的通知栏中提示接收到危险文件、通过对话框提示接收到危险文件、通过所述电子终端设备的应用程序(Application,APP)发送接收到危险文件提示。

对于接收到的垃圾信息或者危险信息，可以放置到垃圾箱，以与正常信息分开。于是，在一种可能的设计中，所述电子终端设备设置有用于存储危险文件的垃圾箱，可以具有预先开启提示危险文件的功能，所述方法还包括：当判断到所述目标文件为危险文件时，则拦截所述目标文件且将所述拦截的目标文件放入所述垃圾箱。

所述预先开启提示危险文件的功能不是必需的，在没有该功能的情况下，系统默认收到危险文件不会提示，没有打扰，而直接对危险文件进行处理，比如会直接放入垃圾箱，或永久删除。于是，在一种可能的设计中，所述电子终端设备设置有用于存储危险文件的垃圾箱，所述方法还包括：当判断到所述目标文件为危险文件时，则拦截所述目标文件且将所述拦截的目标文件放入所述垃圾箱或拦截后删除所述目标文件。

可以理解的，当危险文件进入垃圾箱后，用户若需要查看垃圾箱中的文件，用户在不了解危险文件的情况下，将其恢复可能造成危险，因此应该给予用户提醒。在一种可能的设计中，所述将所述拦截的目标文件放入所述垃圾箱之后，所述方法还包括：接收到在所述垃圾箱中所述目标文件查看指令，则采用以下一种或多种的组合进行提示：所述电子终端设备的通知栏中提示接收到危险文件、通过对话框提示接收到危险文件、通过所述电子终端设备的应用程序发送接收到危险文件提示。

对于垃圾信息的处理，用户可以有不同的设置。比如直接拦截、不拦截、警告。所述直接拦截可以是永久删除，或者是放入垃圾箱。所述垃圾箱可以是接收信息的应用程序的垃圾箱或者系统安全应用的垃圾箱，用户可以在垃圾箱中恢复到应用中显示。所述不拦截可以是完全像正常信息一样接收。所述警告，可以是接收信息的同时有一个特殊的警告，同时允许用户查看信息内容。

于是，在一种可能的设计中，所述文件识别方法有设置的功能，所述设置包括拦截开关的设置。拦截开关的设置包括以下2种或3种组合：不拦截、直接拦截、警告。比如，所述设置包括不拦截、直接拦截；或所述设置包括不拦截、警告；或所述设置包括直接拦截、警告；或所述设置包括直接拦截、不拦截、警告。

不同领域中可以有不同的设置组合，有的领域中设置无需垃圾箱，有的领域中设置需要垃圾箱；比如直接拦截方式是放入垃圾箱的设置需要垃圾箱，而直接拦截方式是永久删除的设置不需要垃圾箱。例如对于短信彩信领域，这种不安全文件大概率是恶意伪装的、人为改造的文件扩展名的文件，所以可以直接永久删除处理而无需垃圾箱。对于邮箱领域，邮件中的附件出现的这种不安全文件可能是为了加密等特殊原因而修改的文件头或文件扩展名，所以永久删除是不合理的处理方式，而可以放入垃圾箱供用户找回，甚至可以作为正常文件接收。

对于直接拦截、不拦截、警告的设置，确认接收到不安全信息后的示例性的流程图如图4：

S401确定该信息为不安全信息；

S402判断拦截开关的设置：若不拦截，执行步骤S403；若拦截，执行步骤S404；若警告，执行步骤S405；

S403信息正常接收；

S404信息进入垃圾箱；

S405显示该信息为不安全信息。

图4所示流程可以应用在应用程序框架层。同时，可以让应用程序层参与。在一种可能的设计中，所述文件识别方法是通过应用程序框架层执行的。例如对于安卓系统，应用在Frameworks层原有的彩信接收流程中。由于工作量小，并且算法复杂度小，所述方法很容易在Framworks层实现。

本发明实施例的方法也可由一个应用程序代替应用框架层实现，在一种实施例中，由一个应用程序用于执行上述方法中的任意一种。相当于所述文件识别方法应用在应用程序层，不直接涉及应用程序框架层等更基础层次的修改，更好地适配各种智能设备。所述APP可以设置开机自动运行或自启动，用户无需主动打开即可一直运行。由于工作量小，并且算法复杂度小，占用存储空间和运行内存小，便于长期运行。

在一种短信应用的实施例中，用户的短信应用收到一条彩信，若彩信含有危险文件，在短信应用显示彩信的同时，采取警告措施来警告用户彩信存在风险。警告措施可以由系统默认，也可以由用户进一步设置，诸如通知栏提示，Dialog提示或者短信应用中直接在当前信息会话中提示。

本示例的流程图如图5，其中，S501-S508是在Frameworks执行，S509-S511是在应用程序执行：

S501 Frameworks收到彩信；

S502文件头标志是否与文件扩展名一致；若是，执行步骤S503；若否，执行步骤S504；

S503彩信内容发往短信应用，执行步骤S509；

S504伪装彩信用户拦截开关设置；若是拦截，执行步骤S511；若是不拦截，执行步骤S503；若是警告，执行步骤S505；

S505伪装彩信用户警告开关设置；若是通知栏提示风险，执行步骤S506；若是Dialog弹框提示风险，执行步骤S507；若是信短信应用中警告，执行步骤S508；

S506通知栏提示将收到风险彩信，执行步骤S509；

S507 Dialog弹框提示将收到风险彩信，执行步骤S509；

S508警示信息与彩信内容一同发往短信应用，执行步骤S510；

S509短信应用显示彩信内容，流程结束；

S510短信应用显示彩信内容和警告消息，流程结束；

S511信息进入垃圾箱，流程结束。

若信息进入垃圾箱后，用户点击查看，用户还可能想知道为什么一条信息会标记为不安全信息，于是，在一种可能的设计中，用户查看所述不安全信息时，向用户提供不安全的原因。示例如图6，当用户在垃圾箱中点开不安全信息，弹出Dialog提示：“此信息包含不安全文件”，并有按钮“查看原因”、“退出”、“恢复到收件箱”。当用户在垃圾箱中点击“查看原因”，显示“附件的文件头的信息所表示的文件类型与其文件扩展名不一致，可能是伪装文件如病毒，能通过修改文件的文件扩展名等方式运行，造成数据泄露或破坏”。

图5所示流程也可以仅由应用程序层参与。在一种可能的设计中，所述文件识别方法是通过应用程序本身执行的，例如短信应用、邮箱APP。不直接涉及应用程序框架层等更基础层次的修改，更好地适配各种智能设备。

本发明的实施例可以应用于接收信息的电子设备中，比如计算机、平板电脑、笔记本、智能手机，该电子设备可以但不限于包括中央处理器、存储介质等元件。

本发明实施例的应用领域包括但不限定于：短信彩信领域、电子邮件领域、社交APP领域或是其他类型的信息通讯领域。本发明实施例在应用于信息通讯领域时，可以但不限于应用于信息拦截、信息警告提醒。

一种实施例中，一种电子终端设备实现本发明的文件识别方法，所述设备包括接收模块，用于接收文件信息，所述文件信息包括目标文件以及标识文件属性的文件头信息；处理模块，用于根据所述文件头信息识别所述接收到的目标文件是否为危险文件。一种结构示例如图7，接收模块M101与处理模块M102相连接。

以匹配的方式判断文件头的信息是一种易于实现的方法。将所述文件头信息和预先存储的危险文件的文件头信息进行匹配，若匹配到，则判断所述目标文件为危险文件。预先存储的危险文件的文件头可以集合在一个库里，由存储模块实现。在一种可能的设计中，所述设备还包括存储模块，所述存储模块包括危险文件类型库，所述危险文件类型库预先存储有危险文件的文件头信息；所述处理模块具体用于将所述文件头信息和预先存储的危险文件的文件头信息进行匹配，若匹配到，则所述处理模块判断所述目标文件为危险文件。一种结构示例如图7，存储模块M103与处理模块M102相连接。

文件的文件扩展名也与文件类型有关，可以作为一种重要的判断方法，由处理模块实现。于是，在一种可能的设计中，所述接收模块用于接收的文件信息包括所述目标文件的文件扩展名，所述处理模块具体用于判断所述文件头信息所表示的文件类型是否和所述文件扩展名所表示的文件类型一致，若不一致，则所述处理模块判断所述目标文件为危险文件。

判断出危险文件之后，还需有一定的措施降低风险，例如提醒用户。用户收到有危险文件的信息的提示，与收到普通信息的提示不同。在一种可能的设计中，用户可以设置收到危险文件的提示由设置模块实现，于是所述设备还包括设置模块，一种结构示例如图7，设置模块M104与处理模块M102相连接。所述设置模块用于设置是否开启提示危险文件的功能；当所述处理模块判断所述目标文件为危险文件时，则所述处理模块还用于，发出采用以下一种或多种的组合进行提示的指令：音频提示、文字消息提示、视频提示、震动提示。提示可以包括以下一种或多种的组合：所述电子终端设备的通知栏中提示接收到危险文件、通过对话框提示接收到危险文件、通过所述电子终端设备的应用程序发送接收到危险文件提示。

对于接收到的垃圾信息或者危险信息，可以放置到垃圾箱，以与正常信息分开。于是，在一种可能的设计中，所述存储模块还包括垃圾箱，当所述处理模块还用于判断到所述目标文件为危险文件时，则拦截所述目标文件且将所述拦截的目标文件放入所述垃圾箱或拦截后删除所述目标文件。

用户可能需要查看垃圾箱中的文件。当危险文件进入垃圾箱后，用户在不了解危险文件的情况下，将文件恢复，可能造成危险，因此应该给予用户提醒。于是，在一种可能的设计中，所述处理模块还用于接收到在所述存储模块的垃圾箱中的所述目标文件的查看指令时，发出采用以下一种或多种的组合进行提示的指令：所述电子终端设备的通知栏中提示接收到危险文件、通过对话框提示接收到危险文件、通过所述电子终端设备的应用程序发送接收到危险文件提示。

在一种实施例中，一种计算机存储介质用于实现本发明实施例的文件识别方法，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行本发明提供的方法。

在一种实施例中，一种电子设备用于实现本发明实施例的文件识别方法，该装置包括处理器和存储器，所述存储器用于存储软件程序，所述处理器用于读取所述存储器中存储的软件程序并实现本发明提供的方法。该终端可以是移动终端、计算机等等。

示例性地，图8示出了电子设备100的结构示意图。

电子设备100可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，电池模块140，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，显示屏194，以及用户标识模块(subscriberidentification module，SIM)卡接口195等。其中传感器模块180可以包括触摸传感器等。

可以理解的是，本发明实施例示意的结构并不构成对电子设备100的具体限定。在本发明另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

在一些实施例中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，通用输入输出(general-purpose input/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serialbus，USB)接口等。

I2C接口是一种双向同步串行总线，包括一根串行数据线(serial data line，SDA)和一根串行时钟线(derail clock line，SCL)。在一些实施例中，处理器110可以包含多组I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K，充电器等。例如：处理器110可以通过I2C接口耦合触摸传感器180K，使处理器110与触摸传感器180K通过I2C总线接口通信，实现电子设备100的触摸功能。

I2S接口可以用于音频通信。在一些实施例中，处理器110可以包含多组I2S总线。处理器110可以通过I2S总线与音频模块170耦合，实现处理器110与音频模块170之间的通信。在一些实施例中，音频模块170可以通过I2S接口向无线通信模块160传递音频信号，实现通过蓝牙耳机接听消息的功能。

GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号，也可被配置为数据信号。在一些实施例中，GPIO接口可以用于连接处理器110与摄像头193，显示屏194，无线通信模块160，音频模块170，传感器模块180等。GPIO接口还可以被配置为I2C接口，I2S接口，UART接口，MIPI接口等。

USB接口130是符合USB标准规范的接口，具体可以是Mini USB接口，Micro USB接口，USB Type C接口等。USB接口130可以用于连接充电器为电子设备100充电，也可以用于电子设备100与外围设备之间传输数据。

可以理解的是，本发明实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对电子设备100的结构限定。在本发明另一些实施例中，电子设备100也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

电池模块140用于提供电源、从充电器接收充电输入。

电子设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。

移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks，WLAN)如无线保真(wireless fidelity，Wi-Fi)网络，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备100的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(codedivision multiple access，CDMA)，宽带码分多址(wideband code division multipleaccess，WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidounavigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellitesystem，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。在一些实施例中，电子设备100可以包括1个或N个显示屏194，N为大于1的正整数。

电子设备100的软件系统可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构。本发明实施例以分层架构的Android系统为例，示例性说明电子设备100的软件结构。

电子设备100的软件系统可以采用分层架构，事件驱动架构，微核架构，微服务架构，或云架构。本发明实施例以分层架构的Android系统为例，示例性说明电子设备100的软件结构。

图9是本发明实施例的电子设备100的软件结构框图。

分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。

应用程序层可以包括一系列应用程序包。

如图9所示，应用程序包可以包括短信，通话，邮箱，WLAN，蓝牙，社交app，浏览器，文件内管理器，设置等应用程序。

应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图9所示，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器等。

窗口管理器用于管理窗口程序；窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问；所述数据可以包括视频，图像，音频，拨打和接听的电话，电话簿等。视图系统包括可视控件，例如显示文字的控件，显示图片的控件等；视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的，例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。电话管理器用于提供电子设备100的通信功能，例如通话状态的管理，包括接通，挂断等。资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，视频文件等。

通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，电子设备振动，指示灯闪烁等。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块，例如：表面1管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库，2D图形引擎等。

表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D图层的融合。媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如:MP3，AAC，PNG等。三维图形处理库用于实现图像渲染，图层处理等。2D图形引擎是2D绘图的绘图引擎。内核层是硬件和软件之间的层。内核层至少包含显示驱动，音频驱动。

下面结合示例性的一种不安全信息识别场景，说明电子设备100软件以及硬件的工作流程。

携带危险文件的信息通过移动通信模块150接收，处理器110通过本发明提供的方法识别判断该信息为不安全信息，存储到内部存储器121中的垃圾箱部分。当用户触摸单击操作,该单击操作所对应的控件为垃圾箱中该条不安全信息图标的控件。触摸传感器180K接收到触摸操作，相应的硬件中断被发给内核层。内核层将触摸操作加工成原始输入事件，包括触摸坐标，触摸操作的时间戳等信息。原始输入事件被存储在内核层。应用程序框架层从内核层获取原始输入事件，识别该输入事件所对应的控件。相应的硬件中断被显示驱动，显示屏194显示信息并弹出dialog对话框：“此信息包含不安全文件[查看原因][退出][恢复到收件箱]”。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。在本说明书所提供的几个实施例中，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

在本说明书各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本说明书各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本发明是参照根据本发明实施例的方法、设备、系统、和计算机程序产品的流程图和/或方框图未描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

以上所述，以上实施例仅用以说明本发明实施例的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。