一種處理惡意程序的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及信息安全技術(shù)領(lǐng)域���,尤其設(shè)及一種處理惡意程序的方法及裝置��。
【背景技術(shù)】
[0002] Android是一種基于Linux的自由及開放源代碼的操作系統(tǒng)��,主要應(yīng)用于移動(dòng)設(shè) 備����,例如:智能手機(jī)和平板電腦���。目前���,基于Android系統(tǒng)已經(jīng)開發(fā)出上百萬款A(yù)pp (Application program,應(yīng)用程序),涵蓋人們生活中的各個(gè)方面��。
[0003] 由于An化oid的開源性W及An化oid生態(tài)圈的不完善等特點(diǎn)�,導(dǎo)致An化oid系統(tǒng)容 易受到惡意程序的攻擊,所WAmlroid的安全防護(hù)�、W及性能優(yōu)化備受業(yè)界關(guān)注。現(xiàn)有的安 全類App(即:用于保證系統(tǒng)安全并對(duì)系統(tǒng)進(jìn)行優(yōu)化的App)��,通過對(duì)移動(dòng)終端中的文件進(jìn)行 掃描���,在發(fā)現(xiàn)惡意程序后�����,即對(duì)惡意程序進(jìn)行卸載�,從而達(dá)到保護(hù)移動(dòng)終端系統(tǒng)安全的目 的。
[0004] 但是�����,一些頑固型的惡意程序植入在Andorid系統(tǒng)內(nèi)部�����,即使安全類App獲得了 ROOT權(quán)限(即:超級(jí)用戶權(quán)限)��,也無法對(duì)其進(jìn)行有效地卸載�。例如,一些惡意程序存在母體 程序����,且該母體程序隱藏得很深,一般很難發(fā)現(xiàn)�,在將該惡意程序卸載后,母體程序會(huì)借機(jī) 重新恢復(fù)該惡意程序����,由于運(yùn)種惡意程序具有"死而復(fù)生"的特點(diǎn),所W又被形象地稱為"不 死木馬"���。再例如�����,一些惡意程序會(huì)對(duì)Andorid系統(tǒng)的某些系統(tǒng)文件進(jìn)行修改�,使得該惡意程 序具有只讀權(quán)限����,運(yùn)時(shí),安全類App也無法對(duì)其進(jìn)行有效卸載��。再例如���,一些惡意程序會(huì)感染 Andorid系統(tǒng)中的一些關(guān)鍵文件�����,在將運(yùn)類惡意程序卸載后�����,會(huì)損壞系統(tǒng)文件���,導(dǎo)致系統(tǒng)出 問題����,甚至導(dǎo)致系統(tǒng)無法啟動(dòng)�。通常,對(duì)于頑固型惡意程序的優(yōu)選處理方案是進(jìn)行隔離��,在 進(jìn)行隔離前�,若該惡意程序處于運(yùn)行狀態(tài),則必須先結(jié)束惡意程序的進(jìn)程才能對(duì)其進(jìn)行隔 離����。
[0005] 在Android 5. 〇W下的版本中,提供有一特定接口���,通過調(diào)用 八���。1:;[¥�����;[171曰]1曰邑61'.邑611?11]1]1�����;[]1邑4口口口1'0。6 3 3函數(shù)來訪問該特定接口���,即可獲得一 RunningApprocessInfo 對(duì)象,該 RunningApprocessInfo 對(duì)象提供有一進(jìn)程列表����,安全類 App 可W基于該進(jìn)程列表找到并結(jié)束惡意程序的進(jìn)程。但是在AmlroidS.O版本中�,不再提供該 特定接口,安全類App無法基于該特定接口獲得進(jìn)程列表����,也就無法結(jié)束正在運(yùn)行的惡意程 序的進(jìn)程,也就無法對(duì)該惡意程序進(jìn)行隔離����,運(yùn)給用戶的信息安全帶來了極大的威脅。
[0006] 綜上所述���,在Amlroid 5.0版本中�����,存在無法獲得進(jìn)程列表導(dǎo)致無法對(duì)惡意程序進(jìn) 行隔離的技術(shù)問題�。
【發(fā)明內(nèi)容】
[0007] 鑒于上述問題,提出了本發(fā)明W便提供一種克服上述問題或者至少部分地解決上 述問題的處理惡意程序的方法及裝置�。
[000引本發(fā)明的一個(gè)方面,提供了一種處理惡意程序的方法�,包括:
[0009]對(duì)移動(dòng)終端中的文件進(jìn)行掃描,查找出至少一個(gè)惡意程序��;
[0010] 對(duì)所述惡意程序進(jìn)行清除�����;
[0011] 若清除失敗��,則基于進(jìn)程查看命令���,獲得一進(jìn)程列表����;
[0012] 基于所述進(jìn)程列表�����,找到所述惡意程序的進(jìn)程���,并結(jié)束所述惡意程序的進(jìn)程���;
[0013] 對(duì)所述惡意程序進(jìn)行隔離�����。
[0014] 優(yōu)選地�����,所述對(duì)所述惡意程序進(jìn)行清除,包括:
[0015] 對(duì)所述惡意程序進(jìn)行卸載�。
[0016] 優(yōu)選地,所述對(duì)所述惡意程序進(jìn)行卸載���,包括:
[0017] 向服務(wù)器發(fā)送用于詢問所述惡意程序是否可W卸載的詢問信息��;
[0018] 接收所述服務(wù)器反饋的詢問答復(fù)�����;
[0019] 若所述詢問答復(fù)表示所述惡意程序可W卸載�,則卸載所述惡意程序��。
[0020] 優(yōu)選地,所述基于進(jìn)程查看命令�,獲取一進(jìn)程列表,包括:
[0021] 執(zhí)行進(jìn)程查看命令�,并獲取所述進(jìn)程查看命令的輸出結(jié)果;
[0022] 基于一過濾規(guī)則���,對(duì)所述輸出結(jié)果中的全部進(jìn)程信息進(jìn)行過濾���;
[0023] 對(duì)過濾后的每條進(jìn)程信息進(jìn)行解析,獲得所述過濾后的每條進(jìn)程信息包含的全部 字段�����;
[0024] 從所述過濾后的每條進(jìn)程信息包含的全部字段中提取預(yù)設(shè)字段�;
[0025] 基于所述過濾后的每條進(jìn)程信息中的所述預(yù)設(shè)字段,構(gòu)造所述進(jìn)程列表�����。
[00%] 優(yōu)選地��,所述進(jìn)程查看命令為PS命令��。
[0027] 優(yōu)選地����,所述預(yù)設(shè)字段��,包括:
[0028] 進(jìn)程名稱�、進(jìn)程用戶�����、進(jìn)程ID����、用戶ID、進(jìn)程使用的包名列表��、進(jìn)程重要性信息�。
[0029] 優(yōu)選地����,所述對(duì)惡意程序進(jìn)行隔離,包括:
[0030] 將所述惡意程序添加到隔離沙箱內(nèi)��,并通過所述隔離沙箱禁止所述惡意程序的核 屯��、組件�。
[0031] 優(yōu)選地��,所述對(duì)所述惡意程序進(jìn)行隔離之后���,還包括:
[0032] 隱藏所述惡意程序的啟動(dòng)圖標(biāo)。
[0033] 優(yōu)選地�����,所述對(duì)所述惡意程序進(jìn)行隔離之后��,還包括:
[0034] 輸出一表示所述惡意程序已被離的信息�。
[0035] 優(yōu)選地,所述對(duì)所述惡意程序進(jìn)行隔離之后�,還包括:
[0036] 獲取用戶的一預(yù)設(shè)操作;
[0037] 基于所述預(yù)設(shè)操作�����,取消對(duì)所述惡意程序的隔離����,并將所述惡意程序添加進(jìn)白名 單中.
[0038] 其中,在所述惡意程序添加進(jìn)白名單中后���,若再次對(duì)所述移動(dòng)終端中的文件進(jìn)行 掃描����,則跳過所述惡意程序。
[0039] 優(yōu)選地���,所述對(duì)所述惡意程序進(jìn)行隔離之后��,還包括:
[0040] 對(duì)所述惡意程序進(jìn)行監(jiān)控�����;
[0041] 若發(fā)現(xiàn)有可疑程序向所述惡意程序發(fā)送了用于啟動(dòng)所述惡意程序的啟動(dòng)命令�,貝U 攔截所述啟動(dòng)命令���;
[0042] 獲取所述可疑程序的相關(guān)信息��;
[0043] 將所述可疑程序的相關(guān)信息發(fā)送給服務(wù)器。
[0044] 優(yōu)選地�,所述將所述可疑程序的相關(guān)信息發(fā)送給服務(wù)器之后,還包括:
[0045] 從所述服務(wù)器獲取針對(duì)所述可疑程序的處理方式�;
[0046] 基于所述處理方式,對(duì)所述可疑程序進(jìn)行處理����。
[0047] 本發(fā)明的另一個(gè)方面�����,提供了一種處理惡意程序的裝置��,包括:
[0048] 掃描模塊�,用于對(duì)移動(dòng)終端中的文件進(jìn)行掃描����,查找出至少一個(gè)惡意程序;
[0049] 清除模塊���,用于對(duì)所述惡意程序進(jìn)行清除�����;
[0050] 獲得模塊���,用于若清除失敗,則基于進(jìn)程查看命令���,獲得一進(jìn)程列表�����;
[0051] 查找模塊�,用于基于所述進(jìn)程列表,找到所述惡意程序的進(jìn)程�,并結(jié)束所述惡意程 序的進(jìn)程;
[0052] 隔離模塊���,用于對(duì)所述惡意程序進(jìn)行隔離��。
[0053] 優(yōu)選地���,所述清除模塊,具體用于:
[0054] 對(duì)所述惡意程序進(jìn)行卸載����。
[0055] 優(yōu)選地,所述清除模塊��,具體用于:
[0056] 向服務(wù)器發(fā)送用于詢問所述惡意程序是否可W卸載的詢問信息;接收所述服務(wù)器 反饋的詢問答復(fù);若所述詢問答復(fù)表示所述惡意程序可W卸載��,則卸載所述惡意程序�。
[0057] 優(yōu)選地�����,所述獲得模塊,包括:
[0058] 執(zhí)行子模塊��,用于執(zhí)行進(jìn)程查看命令��,并獲取所述進(jìn)程查看命令的輸出結(jié)果���;
[0059] 過濾子模塊�����,用于基于一過濾規(guī)則��,對(duì)所述輸出結(jié)果中的全部進(jìn)程信息進(jìn)行過濾�;
[0060] 解析子模塊�,用于對(duì)過濾后的每條進(jìn)程信息進(jìn)行解析,獲得所述過濾后的每條進(jìn) 程信息包含的全部字段���;
[0061] 提取子模塊��,用于從所述過濾后的每條進(jìn)程信息包含的全部字段中提取預(yù)設(shè)字 段����;
[0062] 構(gòu)造子模塊,用于基于所述過濾后的每條進(jìn)程信息中的所述預(yù)設(shè)字段�����,構(gòu)造所述 進(jìn)程列表����。
[0063] 優(yōu)選地,所述進(jìn)程查看命令為PS命令�����。
[0064] 優(yōu)選地���,所述預(yù)設(shè)字段��,包括:
[0065] 進(jìn)程名稱����、進(jìn)程用戶�����、進(jìn)程ID�����、用戶ID���、進(jìn)程使用的包名列表��、進(jìn)程重要性信息��。
[0066] 優(yōu)選地��,所述隔離模塊���,具體用于:
[0067] 將所述惡意程序添加到隔離沙箱內(nèi),并通過所述隔離沙箱禁止所述惡意程序的核 屯�、組件。
[0068] 優(yōu)選地���,所述的處理惡意程序的裝置�����,還包括:
[0069] 隱藏模塊�,用于所述對(duì)所述惡意程序進(jìn)行隔離之后�����,隱藏所述惡意程序的啟動(dòng)圖 標(biāo)。
[0070] 優(yōu)選地���,所述的處理惡意程序的裝置�����,還包括:
[0071] 輸出模塊�,用于所述對(duì)所述惡意程序進(jìn)行隔離之后�,輸出一表示所述惡意程序已 被離的信息。
[0072] 優(yōu)選地����,所述的處理惡意程序的裝置,還包括:
[0073] 第一獲取模塊��,用于所述對(duì)所述惡意程序進(jìn)行隔離之后�����,獲取用戶的一預(yù)設(shè)操作�;
[0074] 添加模塊,用于基于所述預(yù)設(shè)操作�,取消對(duì)所述惡意程序的隔離�,并將所述惡意程 序添加進(jìn)白名單中���;
[0075] 其中�,在所述惡意程序添加進(jìn)白名單中后�����,若再次對(duì)所述移動(dòng)終端中的文件進(jìn)行 掃描���,則跳過所述惡意程序。
[0076] 優(yōu)選地�����,所述的處理惡意程序的裝置�,還包括:
[0077] 監(jiān)控模塊,用于所述對(duì)所述惡意程序進(jìn)行隔離之后�����,對(duì)所述惡意程序進(jìn)行監(jiān)控�����;
[0078] 攔截模塊,用于若發(fā)現(xiàn)有可疑程序向所述惡意程序發(fā)送了用于啟動(dòng)所述惡意程序 的啟動(dòng)命令����,則攔截所述啟動(dòng)命令;
[0079] 第二獲取模塊�����,用于獲取所述可疑程序的相關(guān)信息�;
[0080] 發(fā)送模塊,用于將所述可疑程序的相關(guān)信息發(fā)送給服務(wù)器��。
[0081] 優(yōu)選地���,所述的處理惡意程序的裝置���,還包括:
[0082] 第Ξ獲取模塊,用于所述將所述可疑程序的相關(guān)信息發(fā)送給服務(wù)器之后��,從所述 服務(wù)器獲取針對(duì)所述可疑程序的處理方式���;
[0083] 處理模塊�,用于基于所述處理方式,對(duì)所述可疑程序進(jìn)行處理�����。
[0084] 本發(fā)