恶意程序的检测方法、装置和客户端的制作方法
【技术领域】
[0001]本发明涉及移动终端安全领域,尤其涉及一种恶意程序的检测方法、装置和客户端。
【背景技术】
[0002]随着安卓Android等操作系统成为移动互联网的主流操作系统,针对安卓操作系统的恶意程序呈大幅增长趋势。因此,在这种背景下,需要通过恶意程序分析方法,对恶意程序的危害行为进行快速有效的识别。目前,恶意程序的分析方法主要有静态分析方法和动态分析方法两种,其中,动态行为分析方法是根据程序的特征判断其是否可疑,因此具有可以检测特征码未知的程序的特点,是目前国内外反病毒安全领域的研究热点。
[0003]在实现本发明过程中,发明人发现现有技术至少存在以下问题:目前动态分析方法不能识别假冒成某种功能软件的恶意程序,例如,一种恶意程序假冒成某个功能软件,诱惑用户进行点击但其实并无实际功能,用户点击后会下载图片或者诱导用户继续点击,极可能会像恶意SP (Service Provider,服务提供商)发送订购短信,消耗用户的资费而用户很难发觉。现有的动态分析方法不能对这类恶意程序的危害行为进行快速有效地识别,并且没有阻断和清除这类恶意程序的依据,导致对恶意程序对用户的危害巨大。
【发明内容】
[0004]本发明实施例旨在至少解决上述技术问题之一。
[0005]为此,本发明实施例的第一个目的在于提出一种恶意程序的检测方法。该方法实现了对待测程序是否包含危害行为进行快速有效地识别,同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0006]本发明实施例的第二个目的在于提出一种恶意程序的检测装置。
[0007]本发明实施例的第三个目的在于提出一种客户端。
[0008]为了实现上述目的,本发明第一方面实施例的恶意程序的检测方法,包括以下步骤:获取待测程序的操作界面;提取所述操作界面中的控件对象,并根据预设的操作策略对所述控件对象进行触发;以及获取触发所述控件对象之后所述待测程序的行为信息,并根据所述行为信息对所述待测程序进行恶意程序检测。
[0009]根据本发明实施例的恶意程序的检测方法,通过模拟运行待测程序,并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录,并根据行为信息判断待测程序是否为恶意程序。由此,实现了对待测程序是否包含危害行为进行快速有效地识别,同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0010]为了实现上述目的,本发明第二方面实施例的恶意程序的检测装置,包括:第一获取模块,用于获取待测程序的操作界面;提取模块,用于提取所述操作界面中的控件对象;触发模块,用于根据预设的操作策略对所述控件对象进行触发;第二获取模块,用于获取触发所述控件对象之后所述待测程序的行为信息;以及检测模块,用于根据所述行为信息对所述待测程序进行恶意程序检测。
[0011]根据本发明实施例的恶意程序的检测装置,通过模拟运行待测程序,并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录,并根据行为信息判断待测程序是否为恶意程序。由此,实现了对待测程序是否包含危害行为进行快速有效地识别,同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0012]为了实现上述目的,本发明第三方面实施例的客户端,包括:屏幕,处理器和电路板;所述屏幕安置在所述外壳上,所述电路板安置在所述外壳围成的空间内部,所述处理器设置在所述电路板上;所述处理器用于处理数据,并具体用于:获取待测程序的操作界面;提取所述操作界面中的控件对象,并根据预设的操作策略对所述控件对象进行触发;以及获取触发所述控件对象之后所述待测程序的行为信息,并根据所述行为信息对所述待测程序进行恶意程序检测。
[0013]根据本发明实施例的客户端,通过模拟运行待测程序,并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录,并根据行为信息判断待测程序是否为恶意程序。由此,实现了对待测程序是否包含危害行为进行快速有效地识别,同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0014]本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
【附图说明】
[0015]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
[0016]图1为根据本发明一个实施例的恶意程序的检测方法的流程图;
[0017]图2为根据本发明另一个实施例的恶意程序的检测方法的流程图;
[0018]图3为根据本发明一个实施例的恶意程序的检测装置的结构示意图;
[0019]图4为根据本发明一个具体实施例的恶意程序的检测装置的结构示意图;
[0020]图5为根据本发明另一个具体实施例的恶意程序的检测装置的结构示意图;以及
[0021]图6为根据本发明又一个具体实施例的恶意程序的检测装置的结构示意图。
【具体实施方式】
[0022]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0023]在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
[0024]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
[0025]需要说明的是,本发明的实施例优选适用于移动设备,例如,安卓操作系统(Android系统是一种基于Linux的自由及开放源代码的操作系统)、10S操作系统(10S是由苹果公司开发的手持设备操作系统)、Windows Phone操作系统(Windows Phone是微软公司发布的一款手机操作系统)的移动设备,当然也适用于个人计算机以及其他智能移动设备,本发明对此不作限定。
[0026]下面参考附图描述根据本发明实施例的恶意程序的检测方法、装置和客户端。
[0027]目前,动态检测方法不能识别假冒成某种功能软件的恶意程序。如果在待测程序运行时,通过对待测程序的操作界面进行实时监控,对操作界面上包含关键字信息的控件对象进行点击触发,并记录点击触发后待测程序的相关行为信息,作为待测程序的动态行为特征,并在控件对象触发操作结束后,通过堆栈回溯,将触发的控件对象与触发后的相关行为信息进行关联。由此,可对恶意程序的危害行为进行快速有效地识别,对恶意程序的阻断和清除提供有利的依据,为此本发明提出了一种恶意程序的检测方法。
[0028]图1为根据本发明一个实施例的恶意程序的检测方法的流程图。如图1所示,恶意程序的检测方法包括以下步骤。
[0029]S101,获取待测程序的操作界面。
[0030]在本发明的一个实施例中,在虚拟的环境中加载并运行待测程序。其中,待测程序可为疑似恶意程序的程序。
[0031]S102,提取操作界面中的控件对象,并根据预设的操作策略对控件对象进行触发。
[0032]在本发明的一个实施例中,获取控件对象对应的应用程序编程接口 API(Applicat1n Programming Interface),并通过API获取控件对象对应的关键字信息。具体地,监测运行中的待测程序的操作界面,以获取操作界面中的控件对象,并监测待测程序调用的控件对象相关的应用程序编程接口 API,以获取所有控件对象中显示给用户的关键字信息,其中,关键字信息可为例如“继续”、“下载”、“退出”、“取消”等。
[0033]在本发明的一个实施例中,对关键字信息进行分析以获取控件对象对应的控件信息,以根据控件信息和预设的操作策略对控件对象进行触发。其中,