识别应用程序是否是恶意程序的制作方法
【技术领域】
[0001] 本发明涉及识别应用程序是否属于恶意程序。
【背景技术】
[0002] 网络钓鱼攻击通常由伪装成电子通信中的可信实体的恶意方实施。启动网络钓鱼 攻击一个典型方式,是在用户的处理系统中安装恶意应用程序。恶意应用程序,可以通过即 时消息、电子邮件传送到处理系统,或通过用户访问的恶意网站或受感染的网站传送到处 理系统。例如,某通信可能被发送给用户,这种通信可能声称是来自流行的社交网站、拍卖 网站、金融机构、在线支付处理器、信息技术管理员,等等。这样的通信会提供一个指向恶意 的统一资源定位器(URL)的超链接,向用户指引该URL,用户则可能相信选择该URL是安全 的。
[0003] 在被请求加载URL时,Web浏览器可能允许让恶意应用程序安装在处理URL访问请 求的web浏览器外部的用户的处理系统(例如移动设备)上。这可以通过触发一个该URL 所标识的隐式意图(implicit Intent)而完成。这就使恶意应用程序能对用与浏览器的图 形界面(⑶I)基本相同的图形界面发出的URL请求作出响应。真正的浏览器和恶意应用程 序之间的过渡平滑,无辜的用户因此很可能察觉不到这种过渡。例如,恶意程序可以伪装成 用户的银行网站。用户于是可能向恶意应用程序输入帐户的详细资料,诸如用户名和密码, 恶意应用程序可以保留这些信息。然后,恶意用户就可以用这些的详细信息来访问用户的 帐户。
[0004] 因此,现有技术需要解决上述问题。
【发明内容】
[0005] 说明书中公开的一个或多个实施例涉及对恶意应用程序的识别。
[0006] 一方面,本发明提供一种用于识别第一应用程序是否是恶意程序的方法,该方法 包括:检测第一应用程序正在被提供用于在处理系统上安装;通过由处理器执行的静态分 析扫描第一应用程序,以确定第一应用程序的用户界面布局是否疑似处理系统上安装的第 二应用程序的用户界面布局;当第一应用程序的用户界面布局疑似处理系统上安装的第二 应用程序的用户界面布局时,产生指示第一应用程序是恶意程序的警报。
[0007] 另一方面,本发明提供一种用于识别第一应用程序是否是恶意程序的系统,包含: 处理器,被配置用于启动包含以下的可执行的操作:检测第一应用程序正在被提供用于在 处理系统上安装;通过由处理器执行的静态分析扫描第一应用程序,以确定第一应用程序 的用户界面布局是否疑似处理系统上安装的第二应用程序的用户界面布局;当第一应用程 序的用户界面布局疑似处理系统上安装的第二应用程序的用户界面布局时,产生指示第一 应用程序是恶意程序的警报。
[0008] 另一方面,本发明提供一种用于识别第一应用程序是否是恶意程序的计算机程序 产品,包含:处理电路可读的、且存储由处理电路执行的、用于实施本发明方法步骤的指令 的计算机可读存储介质。
[0009]另一方面,本发明提供一种计算机可读存储介质上储存的、可加载到数字计算的 内存中的计算机程序,包含软件代码部分,用于当所述计算机程序在计算机上运行时,执行 本发明方法的步骤
[0010] 一个实施例可以包括一种识别第一应用程序是否是恶意程序的方法。该方法可以 包括检测第一应用程序正在被提供用于在处理系统上安装。该方法也可以包括通过由处理 器执行的静态分析扫描第一应用程序,以确定第一应用程序的用户界面布局是否疑似处理 系统上安装的第二应用程序的用户界面布局。该方法还可以包括当第一应用程序的用户界 面布局疑似处理系统上安装的第二应用程序的用户界面布局时,产生指示第一应用程序是 恶意程序的警报。
[0011] 另一个实施例可以包括一种识别第一应用程序是否是恶意程序的方法。该方法可 以包括检测第一应用程序正在被提供用于在处理系统上安装。该方法也可以包括通过由处 理器执行的静态分析扫描第一应用程序,以确定第一应用程序的用户界面布局是否疑似处 理系统上安装的第二应用程序的用户界面布局。该方法还可以包括响应于静态分析不能确 定第一应用程序的用户界面布局是否疑似第二应用的用户界面布局,在第一应用程序被处 理系统执行期间,执行对第一应用程序的运行时分析,运行时分析包括确定第一应用程序 的用户界面布局是否疑似第二应用的用户界面布局,并且响应于运行时分析指示第一应用 程序的用户界面布局疑似第二应用的用户界面布局,产生指示第一应用程序是恶意程序的 警报。
[0012] 另一个实施例可以包括一种包含被配置用于启动可执行的操作的处理器的处理 系统。可执行的操作可以包括检测第一应用程序正在被提供用于在处理系统上安装。可执 行的操作也可以包括通过由处理器执行的静态分析扫描第一应用程序,以确定第一应用程 序的用户界面布局是否疑似处理系统上安装的第二应用程序的用户界面布局。可执行的操 作还可以包括当第一应用程序的用户界面布局疑似处理系统上安装的第二应用程序的用 户界面布局时,产生指示第一应用程序是恶意程序的警报。
[0013] 另一个实施例可包括用于识别第一应用程序是否是恶意程序的计算机程序产品。 该计算机程序产品包含存储了程序代码的计算机可读存储介质,程序代码被执行时,配置 一个处理器来执行可执行的操作。可执行的操作可以包括检测第一应用程序正在被提供用 于在处理系统上安装。可执行的操作也可以包括通过由处理器执行的静态分析扫描第一应 用程序,以确定第一应用程序的用户界面布局是否疑似处理系统上安装的第二应用程序的 用户界面布局。可执行的操作还可以包括当第一应用程序的用户界面布局疑似处理系统上 安装的第二应用程序的用户界面布局时,产生指示第一应用程序是恶意程序的警报
【附图说明】
[0014] 现在将仅仅通过举例,参照下面的附图中例示的优选实施例,说明本发明。附图 中:
[0015] 图1是表示按照本发明一个优选实施例、在其中验证一个应用程序的处理系统的 框图;
[0016] 图2是表示按照本发明一个优选实施例、验证一个应用程序的处理系统的框图;
[0017] 图3是表示按照本发明一个优选实施例、识别一个第一应用是否是恶意应用程序 的方法的一个流程图;
[0018] 图4是表示按照本发明一个优选实施例、识别一个第一应用程序是否是恶意应用 程序的方法的另一个流程图。
【具体实施方式】
[0019] 所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算 机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、 完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方 式,这里可以统称为"电路"、"模块"或"系统"。此外,在一些实施例中,本发明的各个方面 还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介 质上具有一例如储存一计算机可读的程序代码。
[0020] 可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算 机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是一一但不限 于一一电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计 算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连 接、便携式计算机盘、硬盘驱动器(HDD)、固态驱动器(SSD)、随机存取存储器(RAM)、只读 存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器 (⑶-ROM)、数字多功能光盘(DVD)、光存储器件、磁存储器件、或者上述的任意合适的组合。 在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被 指令执行系统、装置或者器件使用或者与其结合使用。
[0021] 计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号, 其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括一一但 不限于一一电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是 计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者 传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0022] 计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括一一但不限 于一一无线、有线、光缆、RF等等,或者上述的任意合适的组合。
[0023] 可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算 机程序代码,所述程序设计语言包括面向对象的程序设计语言一诸如Java、Smalltalk、C++ 等,还包括常规的过程式程序设计语言一诸如"C"语言或类似的程序设计语言。程序代码可 以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、 部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算