惡意程序的檢測(cè)方法、裝置和客戶端的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)終端安全領(lǐng)域，尤其涉及一種惡意程序的檢測(cè)方法、裝置和客戶端。
【背景技術(shù)】
[0002]隨著安卓Android等操作系統(tǒng)成為移動(dòng)互聯(lián)網(wǎng)的主流操作系統(tǒng)，針對(duì)安卓操作系統(tǒng)的惡意程序呈大幅增長(zhǎng)趨勢(shì)。因此，在這種背景下，需要通過(guò)惡意程序分析方法，對(duì)惡意程序的危害行為進(jìn)行快速有效的識(shí)別。目前，惡意程序的分析方法主要有靜態(tài)分析方法和動(dòng)態(tài)分析方法兩種，其中，動(dòng)態(tài)行為分析方法是根據(jù)程序的特征判斷其是否可疑，因此具有可以檢測(cè)特征碼未知的程序的特點(diǎn)，是目前國(guó)內(nèi)外反病毒安全領(lǐng)域的研究熱點(diǎn)。
[0003]在實(shí)現(xiàn)本發(fā)明過(guò)程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問(wèn)題:目前動(dòng)態(tài)分析方法不能識(shí)別假冒成某種功能軟件的惡意程序，例如，一種惡意程序假冒成某個(gè)功能軟件，誘惑用戶進(jìn)行點(diǎn)擊但其實(shí)并無(wú)實(shí)際功能，用戶點(diǎn)擊后會(huì)下載圖片或者誘導(dǎo)用戶繼續(xù)點(diǎn)擊，極可能會(huì)像惡意SP (Service Provider,服務(wù)提供商)發(fā)送訂購(gòu)短信,消耗用戶的資費(fèi)而用戶很難發(fā)覺(jué)?，F(xiàn)有的動(dòng)態(tài)分析方法不能對(duì)這類惡意程序的危害行為進(jìn)行快速有效地識(shí)別，并且沒(méi)有阻斷和清除這類惡意程序的依據(jù)，導(dǎo)致對(duì)惡意程序?qū)τ脩舻奈：薮蟆?br>
【發(fā)明內(nèi)容】

[0004]本發(fā)明實(shí)施例旨在至少解決上述技術(shù)問(wèn)題之一。
[0005]為此，本發(fā)明實(shí)施例的第一個(gè)目的在于提出一種惡意程序的檢測(cè)方法。該方法實(shí)現(xiàn)了對(duì)待測(cè)程序是否包含危害行為進(jìn)行快速有效地識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0006]本發(fā)明實(shí)施例的第二個(gè)目的在于提出一種惡意程序的檢測(cè)裝置。
[0007]本發(fā)明實(shí)施例的第三個(gè)目的在于提出一種客戶端。
[0008]為了實(shí)現(xiàn)上述目的，本發(fā)明第一方面實(shí)施例的惡意程序的檢測(cè)方法，包括以下步驟:獲取待測(cè)程序的操作界面；提取所述操作界面中的控件對(duì)象，并根據(jù)預(yù)設(shè)的操作策略對(duì)所述控件對(duì)象進(jìn)行觸發(fā)；以及獲取觸發(fā)所述控件對(duì)象之后所述待測(cè)程序的行為信息，并根據(jù)所述行為信息對(duì)所述待測(cè)程序進(jìn)行惡意程序檢測(cè)。
[0009]根據(jù)本發(fā)明實(shí)施例的惡意程序的檢測(cè)方法，通過(guò)模擬運(yùn)行待測(cè)程序，并在模擬運(yùn)行待測(cè)程序過(guò)程中對(duì)觸發(fā)控件對(duì)象后的行為信息抓取和記錄，并根據(jù)行為信息判斷待測(cè)程序是否為惡意程序。由此，實(shí)現(xiàn)了對(duì)待測(cè)程序是否包含危害行為進(jìn)行快速有效地識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0010]為了實(shí)現(xiàn)上述目的，本發(fā)明第二方面實(shí)施例的惡意程序的檢測(cè)裝置，包括:第一獲取模塊，用于獲取待測(cè)程序的操作界面；提取模塊，用于提取所述操作界面中的控件對(duì)象；觸發(fā)模塊，用于根據(jù)預(yù)設(shè)的操作策略對(duì)所述控件對(duì)象進(jìn)行觸發(fā)；第二獲取模塊，用于獲取觸發(fā)所述控件對(duì)象之后所述待測(cè)程序的行為信息；以及檢測(cè)模塊，用于根據(jù)所述行為信息對(duì)所述待測(cè)程序進(jìn)行惡意程序檢測(cè)。
[0011]根據(jù)本發(fā)明實(shí)施例的惡意程序的檢測(cè)裝置，通過(guò)模擬運(yùn)行待測(cè)程序，并在模擬運(yùn)行待測(cè)程序過(guò)程中對(duì)觸發(fā)控件對(duì)象后的行為信息抓取和記錄，并根據(jù)行為信息判斷待測(cè)程序是否為惡意程序。由此，實(shí)現(xiàn)了對(duì)待測(cè)程序是否包含危害行為進(jìn)行快速有效地識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0012]為了實(shí)現(xiàn)上述目的，本發(fā)明第三方面實(shí)施例的客戶端，包括:屏幕，處理器和電路板；所述屏幕安置在所述外殼上，所述電路板安置在所述外殼圍成的空間內(nèi)部，所述處理器設(shè)置在所述電路板上；所述處理器用于處理數(shù)據(jù)，并具體用于:獲取待測(cè)程序的操作界面；提取所述操作界面中的控件對(duì)象，并根據(jù)預(yù)設(shè)的操作策略對(duì)所述控件對(duì)象進(jìn)行觸發(fā)；以及獲取觸發(fā)所述控件對(duì)象之后所述待測(cè)程序的行為信息，并根據(jù)所述行為信息對(duì)所述待測(cè)程序進(jìn)行惡意程序檢測(cè)。
[0013]根據(jù)本發(fā)明實(shí)施例的客戶端，通過(guò)模擬運(yùn)行待測(cè)程序，并在模擬運(yùn)行待測(cè)程序過(guò)程中對(duì)觸發(fā)控件對(duì)象后的行為信息抓取和記錄，并根據(jù)行為信息判斷待測(cè)程序是否為惡意程序。由此，實(shí)現(xiàn)了對(duì)待測(cè)程序是否包含危害行為進(jìn)行快速有效地識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0014]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過(guò)本發(fā)明的實(shí)踐了解到。
【附圖說(shuō)明】
[0015]本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中，
[0016]圖1為根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意程序的檢測(cè)方法的流程圖；
[0017]圖2為根據(jù)本發(fā)明另一個(gè)實(shí)施例的惡意程序的檢測(cè)方法的流程圖；
[0018]圖3為根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖；
[0019]圖4為根據(jù)本發(fā)明一個(gè)具體實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖；
[0020]圖5為根據(jù)本發(fā)明另一個(gè)具體實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖；以及
[0021]圖6為根據(jù)本發(fā)明又一個(gè)具體實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0022]下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過(guò)參考附圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。相反，本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書(shū)的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。
[0023]在本發(fā)明的描述中，需要理解的是，術(shù)語(yǔ)“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對(duì)重要性。在本發(fā)明的描述中，需要說(shuō)明的是，除非另有明確的規(guī)定和限定，術(shù)語(yǔ)“相連”、“連接”應(yīng)做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機(jī)械連接，也可以是電連接；可以是直接相連，也可以通過(guò)中間媒介間接相連。對(duì)于本領(lǐng)域的普通技術(shù)人員而言，可以具體情況理解上述術(shù)語(yǔ)在本發(fā)明中的具體含義。此外，在本發(fā)明的描述中，除非另有說(shuō)明，“多個(gè)”的含義是兩個(gè)或兩個(gè)以上。
[0024]流程圖中或在此以其他方式描述的任何過(guò)程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過(guò)程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來(lái)執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。
[0025]需要說(shuō)明的是，本發(fā)明的實(shí)施例優(yōu)選適用于移動(dòng)設(shè)備，例如，安卓操作系統(tǒng)(Android系統(tǒng)是一種基于Linux的自由及開(kāi)放源代碼的操作系統(tǒng))、10S操作系統(tǒng)(10S是由蘋(píng)果公司開(kāi)發(fā)的手持設(shè)備操作系統(tǒng))、Windows Phone操作系統(tǒng)(Windows Phone是微軟公司發(fā)布的一款手機(jī)操作系統(tǒng))的移動(dòng)設(shè)備，當(dāng)然也適用于個(gè)人計(jì)算機(jī)以及其他智能移動(dòng)設(shè)備，本發(fā)明對(duì)此不作限定。
[0026]下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的惡意程序的檢測(cè)方法、裝置和客戶端。
[0027]目前，動(dòng)態(tài)檢測(cè)方法不能識(shí)別假冒成某種功能軟件的惡意程序。如果在待測(cè)程序運(yùn)行時(shí)，通過(guò)對(duì)待測(cè)程序的操作界面進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)操作界面上包含關(guān)鍵字信息的控件對(duì)象進(jìn)行點(diǎn)擊觸發(fā)，并記錄點(diǎn)擊觸發(fā)后待測(cè)程序的相關(guān)行為信息，作為待測(cè)程序的動(dòng)態(tài)行為特征，并在控件對(duì)象觸發(fā)操作結(jié)束后，通過(guò)堆?；厮?，將觸發(fā)的控件對(duì)象與觸發(fā)后的相關(guān)行為信息進(jìn)行關(guān)聯(lián)。由此，可對(duì)惡意程序的危害行為進(jìn)行快速有效地識(shí)別，對(duì)惡意程序的阻斷和清除提供有利的依據(jù)，為此本發(fā)明提出了一種惡意程序的檢測(cè)方法。
[0028]圖1為根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意程序的檢測(cè)方法的流程圖。如圖1所示，惡意程序的檢測(cè)方法包括以下步驟。
[0029]S101，獲取待測(cè)程序的操作界面。
[0030]在本發(fā)明的一個(gè)實(shí)施例中，在虛擬的環(huán)境中加載并運(yùn)行待測(cè)程序。其中，待測(cè)程序可為疑似惡意程序的程序。
[0031]S102，提取操作界面中的控件對(duì)象，并根據(jù)預(yù)設(shè)的操作策略對(duì)控件對(duì)象進(jìn)行觸發(fā)。
[0032]在本發(fā)明的一個(gè)實(shí)施例中，獲取控件對(duì)象對(duì)應(yīng)的應(yīng)用程序編程接口 API(Applicat1n Programming Interface),并通過(guò)API獲取控件對(duì)象對(duì)應(yīng)的關(guān)鍵字信息。具體地，監(jiān)測(cè)運(yùn)行中的待測(cè)程序的操作界面，以獲取操作界面中的控件對(duì)象，并監(jiān)測(cè)待測(cè)程序調(diào)用的控件對(duì)象相關(guān)的應(yīng)用程序編程接口 API，以獲取所有控件對(duì)象中顯示給用戶的關(guān)鍵字信息，其中，關(guān)鍵字信息可為例如“繼續(xù)”、“下載”、“退出”、“取消”等。
[0033]在本發(fā)明的一個(gè)實(shí)施例中，對(duì)關(guān)鍵字信息進(jìn)行分析以獲取控件對(duì)象對(duì)應(yīng)的控件信息，以根據(jù)控件信息和預(yù)設(shè)的操作策略對(duì)控件對(duì)象進(jìn)行觸發(fā)。其中，