一种用户终端中恶意软件的识别方法、装置及用户终端的制作方法
【技术领域】
[0001]本发明涉及软件技术领域,尤其涉及一种用户终端中恶意软件的识别方法、装置及用户终端。
【背景技术】
[0002]目前在用户终端中可安装多种类型的软件,其中,某一些软件在进行推广时,可捆绑至其他软件中,即当用户终端在运行捆绑软件时,该捆绑软件可自动或提示用户安装推广软件,从而使得推广软件能够获得更多的客户端,提升了推广软件的应用度。然而,进行推广的软件包括合理推广软件以及恶意推广软件。其中,恶意推广软件会对用户及系统运行产生影响和危害,包括病毒、蠕虫、木马、后门程序、密码盗窃程序等。通常捆绑软件未经用户同意进行安装推广软件,或通过不正当引导,诱导用户安装推广软件的软件可被定义为流氓软件,其中,流氓软件也为恶意软件中的一种,流氓软件所推广的软件中包含恶意推广软件的概率大,对用户终端系统会造成危害。通常我们在识别出恶意推广软件时,对其进行推广的流氓软件往往正在运行,如不及时对该流氓软件进行识别并拦截,会导致该流氓软件继续推广其他恶意软件,对用户终端系统造成更大的危害。
【发明内容】
[0003]本发明实施例提供了一种用户终端中恶意软件的识别方法、装置及用户终端。采用本发明实施例,可在程序运行的过程中,识别对其他恶意软件进行推送的软件为恶意软件,从而可有效的保护用户终端系统,避免恶意软件对终端系统造成危害。
[0004]本发明实施例在第一方面提供了一种用户终端中恶意软件的识别方法,该方法可包括:
[0005]监测第一软件的运行进程;
[0006]当监测到在所述第一软件的运行进程中开启第二软件的安装进程,判断所述第二软件是否为恶意软件;
[0007]若判断出所述第二软件为恶意软件,判断所述第一软件的运行进程中开启所述第二软件的安装进程的行为是否合理;
[0008]若判断出所述第一软件的运行进程中开启所述第二软件的安装进程的行为不合理,则识别所述第一软件为恶意软件。
[0009]作为可选的实施例,所述判断所述第二软件是否为恶意软件,包括:
[0010]判断所述第二软件的安装包文件是否为恶意文件;
[0011]若判断的结果为是,则确定所述第二软件为恶意软件。
[0012]作为可选的实施例,所述判断所述第二软件的安装包文件是否为恶意文件,包括:
[0013]向服务器发送查询请求,其中,所述查询请求包括所述第二软件的安装包文件的文件特征,用于查询服务器预存的恶意文件库中是否包含所述第二软件的安装包文件的文件特征;
[0014]接收服务器反馈的请求响应,其中,所述请求响应中包括服务器针对所述第二软件的安装包文件的文件特征的查询结果;
[0015]根据所述请求响应中包含的查询结果,判断所述第二软件的安装包文件是否为恶意文件。
[0016]作为可选的实施例,所述判断所述第一软件的运行进程中开启所述第二软件的安装进程的行为是否合理,包括:
[0017]获取在所述第一软件的运行进程中对用户的提示安装信息;
[0018]判断所述提示安装信息中是否包含关于所述第二软件的安装提示;
[0019]若判断的结果为否,确定所述第一软件开启所述第二软件的安装进程的行为不合理。
[0020]作为可选的实施例,所述关于第二软件的安装提示至少包括第二软件的软件信息、第二软件的安装环境、和/或第二软件的应用功能。
[0021]作为可选的实施例,在所述识别所述第一软件为恶意软件之后,所述方法还包括:
[0022]将所述第一软件的程序包文件的文件特征发送至所述服务器中。
[0023]本发明实施例的第二方面提供了一种用户终端中恶意软件的识别装置,该装置可包括:
[0024]监测模块,用于监测第一软件的运行进程;
[0025]第一判断模块,用于当所述监测模块监测到在所述第一软件的运行进程中开启第二软件的安装进程,判断所述第二软件是否为恶意软件;
[0026]第二判断模块,用于当所述第一判断模块判断出所述第二软件为恶意软件,判断所述第一软件的运行进程中开启所述第二软件的安装进程的行为是否合理;
[0027]识别模块,用于当所述第二判断模块判断出所述第一软件的运行进程中开启所述第二软件的安装进程的行为不合理,则识别所述第一软件为恶意软件。
[0028]作为可选的实施例,所述第一判断模块包括:
[0029]第一判断单元,用于判断所述第二软件的安装包文件是否为恶意文件;
[0030]第一确定单元,用于当所述第一判断单元的判断结果为是,则确定所述第二软件为恶意软件。
[0031]作为可选的实施例,所述第一判断单元包括:
[0032]发送子单元,用于向服务器发送查询请求,其中,所述查询请求包括所述第二软件的安装包文件的文件特征,用于查询服务器预存的恶意文件库中是否包含所述第二软件的安装包文件的文件特征;
[0033]接收子单元,用于接收服务器反馈的请求响应,其中,所述请求响应中包括服务器针对所述第二软件的安装包文件的文件特征的查询结果;
[0034]判断子单元,用于根据所述请求响应中包含的查询结果,判断所述第二软件的安装包文件是否为恶意文件。
[0035]作为可选的实施例,所述第二判断模块包括:
[0036]获取单元,用于获取在所述第一软件的运行进程中对用户的提示安装信息;
[0037]第二判断单元,用于判断所述提示安装信息中是否包含关于所述第二软件的安装提示;
[0038]第二确定单元,用于当所述第二判断单元判断的结果为否,确定所述第一软件开启所述第二软件的安装进程的行为不合理。
[0039]作为可选的实施例,所述关于第二软件的安装提示至少包括第二软件的软件信息、第二软件的安装环境、和/或第二软件的应用功能。
[0040]作为可选的实施例,所述装置还包括:
[0041]特征发送模块,用于在所述识别模块识别所述第一软件为恶意软件之后,将所述第一软件的程序包文件的文件特征发送至所述服务器中。
[0042]本发明实施例第三方面又提供了一种用户终端,包括用户接口、存储器及处理器,其中,所述存储器用于存储一组程序代码,所述处理器调用所述存储器存储的程序代码以用于执行以下操作:
[0043]监测第一软件的运行进程;
[0044]当监测到在所述第一软件的运行进程中开启第二软件的安装进程,判断所述第二软件是否为恶意软件;
[0045]若判断出所述第二软件为恶意软件,判断所述第一软件的运行进程中开启所述第二软件的安装进程的行为是否合理;
[0046]若判断出所述第一软件的运行进程中开启所述第二软件的安装进程的行为不合理,则识别所述第一软件为恶意软件。
[0047]本发明实施例中,通过监测第一软件的运行进程,可监测第一软件是否开启其他软件的安装进程,若检测到第一软件的运行进程中开启第二软件的安装进程,则可判断第二软件是否为恶意软件,若判断出第二软件为恶意软件,可进一步判断第一软件开启第二软件的安装进程的行为是否合理,若判断出行为不合理,则可识别第一软件也为推送恶意软件的流氓软件,即恶意软件。可第一软件程序运行的过程中,对其进行识别,从而可有效的保护用户终端系统,避免恶意软件对终端系统造成危害。
【附图说明】
[0048]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0049]图1是本发明中的一种用户终端中恶意软件的识别方法的一实施例的流程图;
[0050]图2是本发明中的一种用户终端中恶意软件的识别方法的另一实施例的流程图;
[0051]图3是本发明中的一种用户终端中恶意软件的识别装置的一实施例的结构示意图;
[0052]图4是本发明中的一种用户终端中恶意软件的识别装置的另一实施例的结构示意图;
[0053]图5是本发明中的一种用户终端的一实施例的结构示意图。
【具体实施方式】
[0054]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本