一种处理恶意程序的方法及装置的制造方法
【技术领域】
[0001] 本发明设及信息安全技术领域,尤其设及一种处理恶意程序的方法及装置。
【背景技术】
[0002] Android是一种基于Linux的自由及开放源代码的操作系统,主要应用于移动设 备,例如:智能手机和平板电脑。目前,基于Android系统已经开发出上百万款App (Application program,应用程序),涵盖人们生活中的各个方面。
[0003] 由于An化oid的开源性W及An化oid生态圈的不完善等特点,导致An化oid系统容 易受到恶意程序的攻击,所WAmlroid的安全防护、W及性能优化备受业界关注。现有的安 全类App(即:用于保证系统安全并对系统进行优化的App),通过对移动终端中的文件进行 扫描,在发现恶意程序后,即对恶意程序进行卸载,从而达到保护移动终端系统安全的目 的。
[0004] 但是,一些顽固型的恶意程序植入在Andorid系统内部,即使安全类App获得了 ROOT权限(即:超级用户权限),也无法对其进行有效地卸载。例如,一些恶意程序存在母体 程序,且该母体程序隐藏得很深,一般很难发现,在将该恶意程序卸载后,母体程序会借机 重新恢复该恶意程序,由于运种恶意程序具有"死而复生"的特点,所W又被形象地称为"不 死木马"。再例如,一些恶意程序会对Andorid系统的某些系统文件进行修改,使得该恶意程 序具有只读权限,运时,安全类App也无法对其进行有效卸载。再例如,一些恶意程序会感染 Andorid系统中的一些关键文件,在将运类恶意程序卸载后,会损坏系统文件,导致系统出 问题,甚至导致系统无法启动。通常,对于顽固型恶意程序的优选处理方案是进行隔离,在 进行隔离前,若该恶意程序处于运行状态,则必须先结束恶意程序的进程才能对其进行隔 离。
[0005] 在Android 5. 〇W下的版本中,提供有一特定接口,通过调用 八。1:;[¥;[171曰]1曰邑61'.邑611?11]1]1;[]1邑4口口口1'0。6 3 3函数来访问该特定接口,即可获得一 RunningApprocessInfo 对象,该 RunningApprocessInfo 对象提供有一进程列表,安全类 App 可W基于该进程列表找到并结束恶意程序的进程。但是在AmlroidS.O版本中,不再提供该 特定接口,安全类App无法基于该特定接口获得进程列表,也就无法结束正在运行的恶意程 序的进程,也就无法对该恶意程序进行隔离,运给用户的信息安全带来了极大的威胁。
[0006] 综上所述,在Amlroid 5.0版本中,存在无法获得进程列表导致无法对恶意程序进 行隔离的技术问题。
【发明内容】
[0007] 鉴于上述问题,提出了本发明W便提供一种克服上述问题或者至少部分地解决上 述问题的处理恶意程序的方法及装置。
[000引本发明的一个方面,提供了一种处理恶意程序的方法,包括:
[0009]对移动终端中的文件进行扫描,查找出至少一个恶意程序;
[0010] 对所述恶意程序进行清除;
[0011] 若清除失败,则基于进程查看命令,获得一进程列表;
[0012] 基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程序的进程;
[0013] 对所述恶意程序进行隔离。
[0014] 优选地,所述对所述恶意程序进行清除,包括:
[0015] 对所述恶意程序进行卸载。
[0016] 优选地,所述对所述恶意程序进行卸载,包括:
[0017] 向服务器发送用于询问所述恶意程序是否可W卸载的询问信息;
[0018] 接收所述服务器反馈的询问答复;
[0019] 若所述询问答复表示所述恶意程序可W卸载,则卸载所述恶意程序。
[0020] 优选地,所述基于进程查看命令,获取一进程列表,包括:
[0021] 执行进程查看命令,并获取所述进程查看命令的输出结果;
[0022] 基于一过滤规则,对所述输出结果中的全部进程信息进行过滤;
[0023] 对过滤后的每条进程信息进行解析,获得所述过滤后的每条进程信息包含的全部 字段;
[0024] 从所述过滤后的每条进程信息包含的全部字段中提取预设字段;
[0025] 基于所述过滤后的每条进程信息中的所述预设字段,构造所述进程列表。
[00%] 优选地,所述进程查看命令为PS命令。
[0027] 优选地,所述预设字段,包括:
[0028] 进程名称、进程用户、进程ID、用户ID、进程使用的包名列表、进程重要性信息。
[0029] 优选地,所述对恶意程序进行隔离,包括:
[0030] 将所述恶意程序添加到隔离沙箱内,并通过所述隔离沙箱禁止所述恶意程序的核 屯、组件。
[0031] 优选地,所述对所述恶意程序进行隔离之后,还包括:
[0032] 隐藏所述恶意程序的启动图标。
[0033] 优选地,所述对所述恶意程序进行隔离之后,还包括:
[0034] 输出一表示所述恶意程序已被离的信息。
[0035] 优选地,所述对所述恶意程序进行隔离之后,还包括:
[0036] 获取用户的一预设操作;
[0037] 基于所述预设操作,取消对所述恶意程序的隔离,并将所述恶意程序添加进白名 单中.
[0038] 其中,在所述恶意程序添加进白名单中后,若再次对所述移动终端中的文件进行 扫描,则跳过所述恶意程序。
[0039] 优选地,所述对所述恶意程序进行隔离之后,还包括:
[0040] 对所述恶意程序进行监控;
[0041] 若发现有可疑程序向所述恶意程序发送了用于启动所述恶意程序的启动命令,贝U 拦截所述启动命令;
[0042] 获取所述可疑程序的相关信息;
[0043] 将所述可疑程序的相关信息发送给服务器。
[0044] 优选地,所述将所述可疑程序的相关信息发送给服务器之后,还包括:
[0045] 从所述服务器获取针对所述可疑程序的处理方式;
[0046] 基于所述处理方式,对所述可疑程序进行处理。
[0047] 本发明的另一个方面,提供了一种处理恶意程序的装置,包括:
[0048] 扫描模块,用于对移动终端中的文件进行扫描,查找出至少一个恶意程序;
[0049] 清除模块,用于对所述恶意程序进行清除;
[0050] 获得模块,用于若清除失败,则基于进程查看命令,获得一进程列表;
[0051] 查找模块,用于基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程 序的进程;
[0052] 隔离模块,用于对所述恶意程序进行隔离。
[0053] 优选地,所述清除模块,具体用于:
[0054] 对所述恶意程序进行卸载。
[0055] 优选地,所述清除模块,具体用于:
[0056] 向服务器发送用于询问所述恶意程序是否可W卸载的询问信息;接收所述服务器 反馈的询问答复;若所述询问答复表示所述恶意程序可W卸载,则卸载所述恶意程序。
[0057] 优选地,所述获得模块,包括:
[0058] 执行子模块,用于执行进程查看命令,并获取所述进程查看命令的输出结果;
[0059] 过滤子模块,用于基于一过滤规则,对所述输出结果中的全部进程信息进行过滤;
[0060] 解析子模块,用于对过滤后的每条进程信息进行解析,获得所述过滤后的每条进 程信息包含的全部字段;
[0061] 提取子模块,用于从所述过滤后的每条进程信息包含的全部字段中提取预设字 段;
[0062] 构造子模块,用于基于所述过滤后的每条进程信息中的所述预设字段,构造所述 进程列表。
[0063] 优选地,所述进程查看命令为PS命令。
[0064] 优选地,所述预设字段,包括:
[0065] 进程名称、进程用户、进程ID、用户ID、进程使用的包名列表、进程重要性信息。
[0066] 优选地,所述隔离模块,具体用于:
[0067] 将所述恶意程序添加到隔离沙箱内,并通过所述隔离沙箱禁止所述恶意程序的核 屯、组件。
[0068] 优选地,所述的处理恶意程序的装置,还包括:
[0069] 隐藏模块,用于所述对所述恶意程序进行隔离之后,隐藏所述恶意程序的启动图 标。
[0070] 优选地,所述的处理恶意程序的装置,还包括:
[0071] 输出模块,用于所述对所述恶意程序进行隔离之后,输出一表示所述恶意程序已 被离的信息。
[0072] 优选地,所述的处理恶意程序的装置,还包括:
[0073] 第一获取模块,用于所述对所述恶意程序进行隔离之后,获取用户的一预设操作;
[0074] 添加模块,用于基于所述预设操作,取消对所述恶意程序的隔离,并将所述恶意程 序添加进白名单中;
[0075] 其中,在所述恶意程序添加进白名单中后,若再次对所述移动终端中的文件进行 扫描,则跳过所述恶意程序。
[0076] 优选地,所述的处理恶意程序的装置,还包括:
[0077] 监控模块,用于所述对所述恶意程序进行隔离之后,对所述恶意程序进行监控;
[0078] 拦截模块,用于若发现有可疑程序向所述恶意程序发送了用于启动所述恶意程序 的启动命令,则拦截所述启动命令;
[0079] 第二获取模块,用于获取所述可疑程序的相关信息;
[0080] 发送模块,用于将所述可疑程序的相关信息发送给服务器。
[0081] 优选地,所述的处理恶意程序的装置,还包括:
[0082] 第Ξ获取模块,用于所述将所述可疑程序的相关信息发送给服务器之后,从所述 服务器获取针对所述可疑程序的处理方式;
[0083] 处理模块,用于基于所述处理方式,对所述可疑程序进行处理。
[0084] 本发