的操作界面中动态生成的控件对象。如果监测到操作界面中生成的控件对象,则提取操作界面中的控件对象,然后获取触发下一步的操作界面的控件对象之后待测程序的行为信息,并加入行为信息集合,如果未监测到操作界面中生成的控件对象,则继续步骤S103’。
[0096]应理解,如果监测到触发后的操作界面中存在新的控件对象,则循环重复步骤S102’和S103’,直到触发后的操作界面中不存在新的控件对象为止。
[0097]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0098]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
【主权项】
1.一种恶意程序的检测方法,其特征在于,包括以下步骤: 获取待测程序的操作界面; 提取所述操作界面中的控件对象,并根据预设的操作策略对所述控件对象进行触发;以及 获取触发所述控件对象之后所述待测程序的行为信息,并根据所述行为信息对所述待测程序进行恶意程序检测。
2.如权利要求1所述的方法,其特征在于,在所述获取触发控件对象之后所述待测程序的行为信息之后,还包括: 将所述行为信息加入行为信息集合,并生成所述被触发的控件对象与所述行为信息的关联记录。
3.如权利要求2所述的方法,其特征在于,所述根据行为信息对所述待测程序进行检测具体包括: 将所述行为信息集合在预设的恶意行为信息库中进行匹配;以及 如果在恶意行为信息库中匹配到所述行为信息,则判断所述待测程序为恶意程序。
4.如权利要求3所述的方法,其特征在于,在所述根据预设的操作策略对所述控件对象进行触发之后,还包括: 获取所述待测程序下一步的操作界面,并提取所述下一步的操作界面的控件对象;获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息,并加入所述行为信息集合。
5.如权利要求1所述的方法,其特征在于,所述根据预设的操作策略对所述控件对象进行触发具体包括: 获取所述控件对象对应的应用程序编程接口 API ; 通过所述API获取所述控件对象对应的关键字信息; 对所述关键字信息进行分析以获取所述控件对象对应的控件信息,以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发。
6.如权利要求1所述的方法,其特征在于,所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。
7.如权利要求1所述的方法,其特征在于,在所述获取触发所述控件对象之后所述待测程序的行为信息,并加入行为信息集合之后,还包括: 通过堆栈回朔获取所述被触发的控件对象与所述行为信息的关联记录。
8.—种恶意程序的检测装置,其特征在于,包括: 第一获取模块,用于获取待测程序的操作界面; 提取模块,用于提取所述操作界面中的控件对象; 触发模块,用于根据预设的操作策略对所述控件对象进行触发; 第二获取模块,用于获取触发所述控件对象之后所述待测程序的行为信息;以及 检测模块,用于根据所述行为信息对所述待测程序进行恶意程序检测。
9.如权利要求8所述的恶意程序的检测装置,其特征在于,还包括: 添加模块,用于将所述行为信息加入行为信息集合,并生成所述被触发的控件对象与所述行为信息的关联记录。
10.如权利要求9所述的恶意程序的检测装置,其特征在于,所述检测模块包括: 匹配单元,用于将所述行为信息集合在预设的恶意行为信息库中进行匹配;以及 判断单元,用于在恶意行为信息库中匹配到所述行为信息时,判断所述待测程序为恶意程序。
11.如权利要求10所述的恶意程序的检测装置,其特征在于,所述第一获取模块还用于获取所述待测程序下一步的操作界面,并提取所述下一步的操作界面的控件对象;第二获取模块还用于获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息,并加入所述行为信息集合。
12.如权利要求8所述的恶意程序的检测装置,其特征在于,所述触发模块包括: 第一获取单元,用于获取所述控件对象对应的应用程序编程接口 API ; 第二获取单元,用于通过所述API获取所述控件对象对应的关键字信息; 分析与触发单元,用于对所述关键字信息进行分析以获取所述控件对象对应的控件信息,以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发。
13.如权利要求8所述的恶意程序的检测装置,其特征在于,所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。
14.如权利要求8所述的恶意程序的检测装置,其特征在于,还包括: 第三获取模块,用于通过堆栈回朔获取所述被触发的控件对象与所述行为信息的关联记录。
15.一种客户端,其特征在于,包括:屏幕,处理器和电路板; 所述屏幕安置在所述外壳上,所述电路板安置在所述外壳围成的空间内部,所述处理器设置在所述电路板上; 所述处理器用于处理数据,并具体用于: 获取待测程序的操作界面; 提取所述操作界面中的控件对象,并根据预设的操作策略对所述控件对象进行触发;以及 获取触发所述控件对象之后所述待测程序的行为信息,并根据所述行为信息对所述待测程序进行恶意程序检测。
16.如权利要求15所述的客户端,其特征在于,在所述获取触发控件对象之后所述待测程序的行为信息之后,所述处理器还用于: 将所述行为信息加入行为信息集合,并生成所述被触发的控件对象与所述行为信息的关联记录。
17.如权利要求16所述的客户端,其特征在于,所述根据行为信息对所述待测程序进行检测具体包括: 将所述行为信息集合在预设的恶意行为信息库中进行匹配;以及 如果在恶意行为信息库中匹配到所述行为信息,则判断所述待测程序为恶意程序。
18.如权利要求17所述的客户端,其特征在于,在所述根据预设的操作策略对所述控件对象进行触发之后,所述处理器还用于: 获取所述待测程序下一步的操作界面,并提取所述下一步的操作界面的控件对象; 获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息,并加入所述行为信息集合。
19.如权利要求15所述的客户端,其特征在于,所述根据预设的操作策略对所述控件对象进行触发具体包括: 获取所述控件对象对应的应用程序编程接口 API ; 通过所述API获取所述控件对象对应的关键字信息; 对所述关键字信息进行分析以获取所述控件对象对应的控件信息,以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发。
20.如权利要求15所述的客户端,其特征在于,所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。
21.如权利要求15所述的客户端,其特征在于,在所述获取触发所述控件对象之后所述待测程序的行为信息,并加入行为信息集合之后,所述处理器还用于: 通过堆栈回朔获取所述被触发的控件对象与所述行为信息的关联记录。
【专利摘要】本发明提出一种恶意程序的检测方法、装置和客户端。其中该方法包括以下步骤:获取待测程序的操作界面;提取操作界面中的控件对象,并根据预设的操作策略对控件对象进行触发;以及获取触发控件对象之后待测程序的行为信息,并根据行为信息对待测程序进行恶意程序检测。根据本发明实施例方法,实现了对待测程序是否包含危害行为进行快速有效地识别,同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
【IPC分类】G06F21-00, G06F9-45
【公开号】CN104598287
【申请号】CN201310526994
【发明人】林坚明, 张楠, 陈勇
【申请人】贝壳网际(北京)安全技术有限公司, 北京金山网络科技有限公司
【公开日】2015年5月6日
【申请日】2013年10月30日