等;一般随所述应用程序启动由所述操作系统生成一文件列表,其中记录有所述应用程序启动后自动加载在所述操作系统中的文件、变量数据的信息和/或所述应用程序启动后关联引用的操作系统内及应用程序的动态链接库文件的信息,比如所处位置、类型等等;
[0072]步骤S205,静态保护模块检测所述应用程序是否合法,如果合法,则执行步骤S207,如果不合法,则执行步骤S206 ;
[0073]检测所述应用程序是否合法时需要检测的对象包括:该应用程序本身以及应用程序所使用的除数据文件(数据文件包括图片文件、音效文件等等)外的其它文件,其他文件包括但不限于所述应用程序使用的动态链接库、驱动程序;所述动态链接库包括:应用程序自身的动态链接库和系统的动态链接库;静态保护模块通过读取所述文件得到其中记载的文件、变量数据和/或链接库文件的信息,并据此找到检测的对象并进行检测;
[0074]在实际操作中,静态保护模块使用本地查杀的方式进行合法甄别,到本地数据库中读取白色特征码库,根据所述应用程序的一个或一组特征码以及所述应用程序所使用的动态链接库文件的一个或一组特征码在所述白色特征码库中进行遍历,如果命中,则说明所述应用程序是合法的,执行步骤S207 ;如果没有命中,则说明未命中的部分(一般是文件)不安全,所述应用程序是不合法的,执行步骤S206 ;白色特征码库中保存的是合法的应用程序的特征码;
[0075]或者,在实际操作中,静态保护模块使用另一种本地查杀的方式进行合法甄别,到本地数据库中读取黑色特征码库,根据所述应用程序的一个或一组特征码以及所述应用程序所使用的动态链接库文件的一个或一组特征码在所述黑色特征码库中进行遍历,如果未命中,则说明所述应用程序合法,执行步骤S207 ;如果命中,说明未命中的部分(一般是文件)不安全,所述应用程序不合法,执行步骤S206 ;黑色特征码库中保存的是不合法的应用程序的特征码;
[0076]或者,对于以上两种方式是基于本地数据库的黑/白色特征码库,除此以外静态保护模块还可以使用云查杀的方式进行合法甄别,静态保护模块将所述应用程序的一个或一组特征码以及所述应用程序所使用的动态链接库文件的一个或一组特征码分别上报至云端服务器,由云端服务器在其数据库内的黑/白色特征码库依据以上两种方式进行查询,如果所述应用程序是合法的,执行步骤S207 ;如果所述应用程序是不合法的,执行步骤S206 ;
[0077]需要说明的是,对于以上本地查杀方式和云查杀方式,优先使用白色特征码库方式;除上述本地查杀方式和云查杀方式外,还可以使用其它查杀方式,本发明并不限于此,本发明的构思并不因查杀方式的改变而受影响,其他一切符合本发明构想的查杀方式都可应用于本发明;
[0078]步骤S206,判定所述应用程序不合法,静态保护模块停止所述应用程序的运行并进行修复,重新启动所述修复后的应用程序,执行步骤S205 ;
[0079]在实际操作中,静态保护模块可以根据应用程序的不安全的文件的特征标识,通过访问本地服务器或上报云端服务器的备份文件库获取安全的相应文件对所述不安全的文件进行替换,从而修复所述应用程序为安全的版本,执行步骤S205 ;
[0080]或者,静态保护模块可以直接对所述不合法的应用程序进行卸载,根据不合法的应用程序的特征标识,通过访问本地服务器或上报云端服务器的备份文件库获取安全的应用程序安装文件对所述不安全的应用程序进行重新安装,执行步骤S205 ;
[0081]步骤S207,判定所述应用程序合法,静态保护模块保持所述应用程序的运行;此时,开启动态防护,执行步骤S208 ;
[0082]步骤S208,动态防护模块实时监控所述应用程序的运行;
[0083]动态防护模块通过读取所述文件列表找到其中记录的所述应用程序启动后自动加载在所述操作系统中的文件、变量数据的信息和/或所述应用程序启动后关联引用的操作系统内及应用程序的动态链接库文件的信息,比如所处位置、类型等等,并对这些文件、变量数据和/或链接库文件进行监控。
[0084]此时如果有外部应用程序对所述应用程序发生行为,例如对这些文件、变量数据和/或链接库文件进行访问或者调用,此时动态防护模块检测到所述行为;
[0085]步骤S209,动态防护模块判定所述外部应用程序和/或所述行为,如果为不安全的行为或者不合法的外部应用程序,则执行步骤S210,如果为安全的行为或者合法的外部应用程序,则返回执行步骤S208 ;
[0086]动态防护模块可以依据所述行为的一个或一组行为特征到云端服务器或者本地数据库的白色行为特征库中进行遍历,如果命中,则说明所述行为安全、做出所述行为的所述外部应用程序合法,放行所述外部应用程序执行所述行为,并返回执行步骤S208 ;如果没有命中,则说明所述行为不安全、做出所述行为的所述外部应用程序不合法,执行步骤S210 ;白色行为特征库中保存的是合法的行为特征;
[0087]动态防护模块还可以依据所述行为的一个或一组行为特征到云端服务器或者本地数据库的黑色行为特征库中进行遍历,如果没有命中,则说明所述行为安全、做出所述行为的所述外部应用程序合法,放行所述外部应用程序执行所述行为,并返回执行步骤S208 ;如果命中,则说明所述行为不安全、做出所述行为的所述外部应用程序不合法,执行步骤S210 ;黑色行为特征库中保存的是不合法的行为特征;
[0088]动态防护模块还可以依据做出所述行为的外部应用程序的一个或一组特征码到云端服务器或者本地数据库的白色特征码库中进行遍历,如果命中,则说明做出所述行为的外部应用程序合法,放行所述外部应用程序执行所述行为,并返回执行步骤S208 ;如果没有命中,则说明做出所述行为的外部应用程序不合法,执行步骤S210;白色特征码库中保存的是合法的应用程序的特征码;
[0089]动态防护模块还可以依据做出所述行为的外部应用程序的一个或一组特征码到云端服务器或者本地数据库的黑色特征码库中进行遍历,如果没有命中,则说明做出所述行为的外部应用程序合法,放行所述外部应用程序执行所述行为,并返回执行步骤S208 ;如果命中,则说明做出所述行为的外部应用程序不合法,执行步骤S210;黑色特征码库中保存的是不合法的应用程序的特征码;
[0090]需要说明的是,对于以上方式,优先使用白色行为特征库/白色特征码库;除上述本地查杀方式和云查杀方式外,还可以使用其它查杀方式,本发明并不限于此,本发明的构思并不因查杀方式的改变而受影响,其他一切符合本发明构想的查杀方式都可应用于本发明;
[0091]步骤S210,拦截所述外部应用程序对所述应用程序的行为。
[0092]动态防护模块拦截的行为包括但不限于以下之一或多个的组合:应用程序被其他未知或恶意程序注入、侦听并记录击键信息、读取相应的内存信息、修改程序运行状态、侦听网络数据包。
[0093]如图4所示,为本发明第三实施例的装置结构示意图,包括:静态保护模块2、动态防护模块1、云端服务器3或本地数据库4 ;
[0094]静态保护模块2,监测安装在电脑上的应用程序启动情况,检测指定的该应用程序本身,使操作系统免收恶意程序的侵害,具体来说,用于监测到一应用程序启动,通过访问所述本地数据库4或者上报云端服务器3以识别其为指定的应用程序,暂停所述应用程序启动并通过访问所述本地数据库4或者上报云端服务器3对所述应用程序进行检测,检测到所述应用程序不合法时,修复后再进行检测;检测到所述应用程序合法时,放行所述应用程序启动;还可以用于在监测到一应用程序启动,通过访问所述本地数据库4或者上报云端服务器3以识别其为指定的应用程序,检测到所述应用程序已启动后通过访问所述本地数据库4或者上报云端服务器3对所述应用程序进行检测,检测到所述应用程序不合法,停止所述应用程序的运行并修复后进行再次检测;如果检测到所述应用程序合法,保持所述应用程序运行;
[0095]动态防护模块1,在应用程序启动后用于监控所述应用程序的运行,在发现外部应用程序(可能安装在电脑上,也可能是处于网络另一端的其他电脑上)对所述应用程序的行为时,根据云端服务器3或本地数据库4判断所述行为和/或所述外部应用程序的合法性,所述行为不安全和/或所述外部应用程序不合法时拦截所述行为;拦截的所述行为至少包括以下之一或多个的组合:被不合法的外部应用程序注入、侦听并记录击键信息、读取相应的内存信息、修改所述应用程序运行状态、侦听网络数据包;
[0096]云端服务器3和/或本地数据库4,用于存储需要保护或者不需要保护的应用程序的列表(包括:程序列表)、应用程序/行为和应用程序所使用的动态链接库文件的黑/白名单(包括:黑/白色特征码库、黑\白色行为特征库)、修复不合法的应用程序使用的备份文件库。
[0097]如图5所示,为本发明实施例的静态保护模块的结构示意图,具体包括:监测单元21、识别单元22、检测单元23和修复单元24,其中,
[0098]监测单元21,用于监测安装在电脑上的应用程序启动情况,在监测到有应用程序启动时,通知所述识别单元22 ;
[0099]识别单元22,用于通过云端服务器3或本地数据库4识别所述应用程序,放行不需要保护的应用程序,识别所述应用程序为指定的应用程序时通知所述检测单元23 ;
[0100]检测单元23,用于暂停需要保护的应用程序的启动,通过云端服务器3或本地数据库4检测所述应用程序,所述应用程序合法时放行其启动,所述应