一种恶意捆绑软件的处理方法和装置与流程

本发明涉及移动通信技术领域，尤指一种恶意捆绑软件的处理方法和装置。

背景技术：

目前，随着智能手机的普及，智能手机的功能也越来越多，从早期的电话、短信功能，再到后来的娱乐、影音功能，发展到现在的游戏、支付功能。但是，随着智能手机的使用的范围越来越广，各种恶意软件也越来越多，比如窃取用户隐私，盗取用户账号等。这些恶意软件的一个共同特征就是大多伪装为正版软件，然后在其中捆绑恶意软件，从而达到窃取用户信息的目的。

现有技术中，一般捆绑软件是通过安装的方法来进行运行的，这样可以通过检测软件安装时是否启动了新的安装进程来防范恶意软件。

但是，现在的捆绑软件进化为不需要安装，绕开了检测过程，无法及时发现是否有安装恶意软件，对用户的信息安全构成了隐患。

技术实现要素：

为了解决上述技术问题，本发明提供了一种恶意捆绑软件的处理方法和装置，通过检测捆绑软件动态加载模块的状态，获取该动态加载模块的特征信息，将其与预定特征库中的特征信息进行匹配后，来判断是否为恶意软件，使得可以及时发现恶意软件，从而保护了用户的信息安全。

第一方面，本发明实施例提供一种恶意捆绑软件的处理方法，该方法包括：

监控系统中软件的进程，获取所述进程启动的次数；

确定所述进程为第一次启动时，追踪所述软件动态加载的状态；

确定所述软件申请动态加载模块时，获取所述动态加载模块的特征信息；

将所获取的特征信息与预定特征库中的特征信息进行匹配，根据所匹配的结果处理所述软件。

第二方面，本发明实施例提供一种恶意捆绑软件的处理装置，该装置包括：监控模块、第一确定模块、第二确定模块和处理模块；

所述监控模块，用于监控系统中软件的进程，获取所述进程启动的次数；

所述第一确定模块，用于确定所述进程为第一次启动时，追踪所述软件动态加载的状态；

所述第二确定模块，用于确定所述软件申请动态加载模块时，获取所述动态加载模块的特征信息；

所述处理模块，用于将所获取的特征信息与预定特征库中的特征信息进行匹配，根据所匹配的结果处理所述软件。

本发明实施例提供的一种恶意捆绑软件的处理方法和装置，包括：监控模块、第一确定模块、第二确定模块和处理模块，通过在捆绑软件首次启动进程时检测该软件动态加载模块的状态，获取该动态加载模块的特征信息，将其与预定特征库中的特征信息进行匹配后，根据匹配的结果来判断是否为恶意软件，使得无论是通过安装捆绑还是通过动态加载方式捆绑的恶意软件都可以及时发现，从而保护了用户的信息安全。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明提供的恶意捆绑软件的处理方法实施例一的流程示意图；

图2为本发明提供的恶意捆绑软件的处理方法实施例二的流程示意图；

图3为本发明提供的恶意捆绑软件的处理装置实施例一的结构示意图；

图4为本发明提供的恶意捆绑软件的处理装置实施例二的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例涉及的方法可以应用于可以需要安装应用程序的终端或者平台，例如可以是智能手机、平板电脑、手持机、计算机、服务器等，但并不以此为限。

本发明实施例涉及的方法，旨在解决现有技术中现在的捆绑软件进化为不需要安装绕开了检测过程，无法及时发现是否有安装恶意软件，对用户的信息安全构成了隐患的技术问题。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明提供的恶意捆绑软件的处理方法实施例一的流程示意图。本实施例涉及的是实现识别恶意捆绑软件以及处理的具体过程。如图1所示，该方法包括：

S101、监控系统中软件的进程，获取所述进程启动的次数。

具体的，该待监控系统中的软件可以为恶意捆绑软件，或者已经被卸载的即未运行的软件，当软件进程启动时，系统会实时记录该软件进程启动的时间，从而可以获取调用待监控软件进程启动的次数，其中进程包括用安装包进行安装的进程、运行的进程、资源申请的进程等，但并不以此为限。

S102、确定所述进程为第一次启动时，追踪所述软件动态加载的状态。

具体的，确定所述软件的进程为第一次启动时，即该软件是首次在系统中安装或者运行，此时需要追踪所述软件是否有进行动态加载的过程，如果该软件进行了动态加载，则在启动进程后，获取系统中的资源搭建其安装或者运行的环境，并将申请的动态加载模块放入系统的存储空间内。

S103、确定所述软件申请动态加载模块时，获取所述动态加载模块的特征信息；

具体的，若确定该软件申请了动态加载模块，即需要系统提供其安装或者运行的资源，并将申请动态加载模块放入系统的存储空间内，从而可以获取该动态加载模块的特征信息，该特征信息可以帮助系统更好的识别哪个是恶意捆绑软件。

S104、将所获取的特征信息与预定特征库中的特征信息进行匹配，根据所匹配的结果处理所述软件。

具体的，将所获取的特征信息与预定的特征库中的特征信息去匹配，该特征库中集合有识别多种捆绑恶意软件所有的特征信息，从而便于准确的识别出恶意捆绑的软件，并提示用户对该恶意捆绑软件进行处理，或者不是恶意捆绑软件时，可以使得该软件继续正常运行。

本发明实施例提供的一种恶意捆绑软件的处理方法，该方法通过在捆绑软件首次启动进程时检测该软件动态加载模块的状态，获取该动态加载模块的特征信息，将其与预定特征库中的特征信息进行匹配后，根据匹配的结果来判断是否为恶意软件，使得无论是通过安装捆绑还是通过动态加载方式捆绑的恶意软件都可以及时发现，从而保护了用户的信息安全。

进一步地，在上述实施例的基础上，在上述步骤101之后，还包括：确定所述进程为非第一次启动时，进入正常运行进程。

具体的，在确定所述进程为非第一次启动时，因为其第一次运行的时候已经通过了检测，为了提供系统的运行效率，则不再检测，直接进入正常的运行进程。

可选的，在上述实施例的基础上，上述步骤102之后，还包括：确定所述软件没有申请动态加载模块时，进入正常运行进程。

具体的，软件进入启动进程后，没有申请动态加载模块，而是直接处理任务，可以判断出该软件已经通过了检测，为了提供系统的运行效率，则不再检测，直接进入正常的运行进程。

进一步地，在上述实施例的基础上，上述特征信息包括：数据包名、类目名或者签名信息。

具体的，在申请动态加载模块后，获取所述动态加载模块的特征信息，该特征信息包括数据包名、类目名或者签名信息等标志性信息，从而可以快速的识别出是否有恶意的捆绑软件。

进一步地，在上述实施例的基础上，所述特征库包括：系统或/和远程服务器中预设的特征库。

具体的，获取到动态加载模块的特征信息，将其与预定特征库中的特征信息相匹配，该特征库包括系统中预设的特征库或者是远程服务器中预设的特征库或者是系统中和服务器中预设的特征库，这样以便更准确地识别恶意的捆绑软件。

下面用一个具体例子说明本发明实施例，图2为本发明提供的恶意捆绑软件的处理方法实施例二的流程示意图，如图2所示，该实施例的方法如下：

(1)在系统中监控软件的启动流程。

(2)判断当前软件是否是第一次启动，如果是，则进一步转步骤(3)；如果否，则进行正常启动流程。

(3)判断当前软件是否有执行动态加载的情况，如果是，则进一步转步骤(4)；如果否，则进行正常启动流程。

(4)若当前软件申请了动态加载模块，则获取动态加载模块的特征信息，比如数据包名、类名或者签名信息等标志性信息。

(5)用已经获取的动态加载模块的特征信息，在本地特征库中进行匹配，如果是匹配成功，则为恶意软件，提示用户并做相应处理；如果匹配不成功，则进一步转步骤(6)。

(6)用已经获取的动态加载模块的特征信息，在远程服务器上进行匹配，如果匹配成功，则当前软件为恶意软件，提示用户并做相应处理；如果匹配不成功，则当前软件是正常软件，执行正常启动流程。

上述实施例通过首先对捆绑软件运行的进程进行监控，当发现是进程第一次启动运行时，则监控其是否有动态加载模块的请求，如果是，则进一步的获取被动态加载模块的特征信息，比如数据包名、类名或者签名信息等，然后通过获取的特征信息，先与本地的特征库匹配，再与远程服务器中的特征库进行匹配，通过匹配后发现是恶意软件，则提示用户，该应用是恶意应用，并做相应处理，从而使得可以及时检测到是否有安装恶意软件，保护用户的信息安全。

进一步地，图3为本发明提供的恶意捆绑软件的处理装置实施例一的结构示意图，如图3所示，该装置包括：监控模块10、第一确定模块20、第二确定模块30和处理模块40；

所述监控模块10，用于监控系统中软件的进程，获取所述进程启动的次数；

所述第一确定模块20，用于确定所述进程为第一次启动时，追踪所述软件动态加载的状态；

所述第二确定模块30，用于确定所述软件申请动态加载模块时，获取所述动态加载模块的特征信息；

所述处理模块40，用于将所获取的特征信息与预定特征库中的特征信息进行匹配，根据所匹配的结果处理所述软件。

本发明实施例提供的一种恶意捆绑软件的处理装置，包括：监控模块、第一确定模块、第二确定模块和处理模块，在捆绑软件首次启动进程时检测该软件动态加载模块的状态，获取该动态加载模块的特征信息，将其与预定特征库中的特征信息进行匹配后，根据匹配的结果来判断是否为恶意软件，使得无论是通过安装捆绑还是通过动态加载方式捆绑的恶意软件都可以及时发现，从而保护了用户的信息安全。

进一步地，图4为本发明提供的恶意捆绑软件的处理装置实施例二的结构示意图，如图4所示，在上述实施例的基础上，所述装置还包括：运行模块50；

所述运行模块50，用于在第一确定模块确定所述进程为非第一次启动 时，进入正常运行进程。

本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。

可选的，在上述实施例的基础上，所述装置还包括：运行模块50；

所述运行模块50，用于在第二确定模块确定所述软件没有申请动态加载模块时，进入正常运行进程。

本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。

进一步地，在上述实施例的基础上，所述特征信息包括：数据包名、类目名或者签名信息。

本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。

进一步地，在上述实施例的基础上，所述特征库包括：系统或/和远程服务器中预设的特征库。

本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。