外挂程序的鉴定方法、服务器和系统的制作方法
【专利摘要】本发明提出一种外挂程序的鉴定方法、服务器和系统,其中,外挂程序的鉴定方法包括:获取程序样本,并提取程序样本的操作环境信息;根据操作环境信息模拟操作环境,并在操作环境中运行程序样本以获取程序样本的行为序列;判断行为序列是否为外挂行为模式;如果行为序列为外挂行为模式,则鉴定程序样本为外挂程序。本发明实施例的外挂程序的鉴定方法,可根据程序样本在运行过程中的行为序列或弹窗关键字对程序样本进行鉴定,从而对外挂程序进行准确识别,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
【专利说明】外挂程序的鉴定方法、服务器和系统
【技术领域】
[0001]本发明涉及计算机【技术领域】,特别涉及一种外挂程序的鉴定方法、服务器和系统。【背景技术】
[0002]随着各种游戏的蓬勃发展,游戏外挂程序也日渐兴起。外挂程序是指专门针对一个或多个网络游戏,通过改变网络游戏软件的部分程序,制作而成的作弊程序。使用外挂程序的游戏用户可通过外挂程序随意修改和锁定内存值,以获得更高的游戏数据,这就破坏了游戏市场的公平原则,干扰了游戏的正常秩序,危害了游戏厂商和其他游戏用户的利益。
[0003]此外,由于外挂程序是通过类似病毒程序的方法对游戏数据进行修改的,因此,夕卜挂程序很容易被植入恶意程序,并被广泛传播,从而严重威胁用户终端的使用安全,使用户的信息和数据存在被盗用或丢失的隐患,给用户带来极大的不便甚至重大损失。
【发明内容】
[0004]本发明旨在至少在一定程度上解决上述技术问题。
[0005]为此,本发明的第一方面的目的在于提出一种外挂程序的鉴定方法,能够对外挂程序进行准确识别,为外挂程序的使用安全的提供判断依据和保障。
[0006]本发明的第二方面的目的在于提出一种服务器。
[0007]本发明第三方面的目的在于提出一种外挂程序的鉴定系统。
[0008]为达上述目的,根据本发明第一方面实施例提出了一种外挂程序的鉴定方法,包括:获取程序样本,并提取所述程序样本的操作环境信息;根据所述操作环境信息模拟操作环境,并在所述操作环境中运行所述程序样本以获取所述程序样本的行为序列;判断所述行为序列是否为外挂行为模式;如果所述行为序列为所述外挂行为模式,则鉴定所述程序样本为外挂程序。
[0009]本发明实施例的外挂程序的鉴定方法,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列,如果该行为序列为外挂行为模式,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定和识别,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
[0010]本发明的第二方面的实施例提供了一种服务器,包括:获取模块,用于获取程序样本,并提取所述程序样本的操作环境信息;运行模块,用于根据所述操作环境信息模拟操作环境,并在所述操作环境中运行所述程序样本以获取所述程序样本的行为序列;第一判断模块,用于判断所述行为序列是否为外挂行为模式;鉴定模块,用于在所述判断模块判断所述行为序列为所述外挂行为模式时,鉴定所述程序样本为外挂程序。
[0011]本发明实施例的服务器,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列,如果该行为序列为外挂行为模式,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定和识别,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。[0012]本发明第三方面的实施例提供了一种外挂程序的鉴定系统,包括:本发明第二方面的实施例的外挂程序的鉴定装置;以及客户端装置,所述客户端装置用于向所述服务器发送程序样本或对待测应用程序的测试请求。
[0013]本发明实施例的应用程序的控制系统,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列和弹窗关键字,如果该行为序列为外挂行为模式,或弹窗关键字与外挂关键字匹配,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定和识别,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
[0014]本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
【专利附图】
【附图说明】
[0015]本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
[0016]图1为根据本发明一个实施例的外挂程序的鉴定方法的流程图。
[0017]图2为根据本发明另一个实施例的外挂程序的鉴定方法的流程图。
[0018]图3为根据本发明一个实施例的服务器的结构示意图。
[0019]图4为根据本发明另一个实施例的服务器的结构示意图。
[0020]图5为根据本发明一个实施例的外挂程序的鉴定系统的结构示意图。
【具体实施方式】
[0021]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
[0022]在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
[0023]在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
[0024]下面参考附图描述根据本发明实施例的外挂程序的鉴定方法、服务器和系统。
[0025]为了能够有效识别外挂程序,从而针对外挂程序进行特定的安全防护措施,本发明的实施例提出一种外挂程序的鉴定方法。
[0026]图1为根据本发明一个实施例的外挂程序的鉴定方法的流程图。如图3所示,该外挂程序的鉴定方法的流程图包括:[0027]S101,获取程序样本,并提取程序样本的操作环境信息。
[0028]在本发明的一个实施例中,程序样本为可疑外挂程序。操作环境信息为程序样本的版本、所需硬件环境(如内存需求、处理器需求等),触发操作等,如对于游戏程序来说,操作环境信息为该游戏版本、所需硬件环境以及游戏中的操作等。
[0029]在本发明的实施例中,可通过以下方法获取程序样本:从云端服务器中已有的程序样本中根据关键字搜索出程序样本;通过网页爬虫对网页进行搜索或对已知的外挂网站进行监控以获取程序样本;或者由用户通过终端设备将程序样本上传至服务器。
[0030]S102,根据操作环境信息模拟操作环境,并在操作环境中运行程序样本以获取程序样本的行为序列。
[0031 ] 在本发明的实施例中,程序样本的行为序列为程序样本在运行过程中的产生的一系列行为。在根据操作环境信息模拟程序样本的操作环境之后,可在操作环境中运行该样本,进而可在程序样本运行过程中获取行为序列。
[0032]S103,判断行为序列是否为外挂行为模式。
[0033]在本发明的实施例中,外挂行为模式为外挂程序特有的行为序列,如可为包括输入法注入行为、远程线程注入行为、远程内存读写行为、系统关键目标释放文件行为、关机行为、加载驱动程序行为、添加启动项行为以及修改浏览器主页行为等中的一种或多种行为的行为序列。
[0034]S104,如果行为序列为外挂行为模式,则鉴定程序样本为外挂程序。
[0035]S105,在程序样本运行过程中获取弹窗关键字,判断弹窗关键字与外挂关键字是否匹配,如果弹窗关键字与外挂关键字匹配,则鉴定程序样本为外挂程序。
[0036]在本发明的实施例中,步骤S105是可选的。
[0037]本发明实施例的外挂程序的鉴定方法,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列,如果该行为序列为外挂行为模式,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定。此外,也可根据程序样本在运行过程中的弹窗关键字与外挂关键字的匹配结果来鉴定该程序样本是否为外挂程序,从而进一步提升程序样本鉴定的准确性,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
[0038]为了能够为客户端提供外挂程序的判断标准,可根据已鉴定出的大量外挂程序建立外挂程序库,以供客户端查询。图2为根据本发明另一个实施例的外挂程序的鉴定方法的流程图。如图2所示,该外挂程序的鉴定方法的流程图包括:
[0039]S201,获取程序样本,并提取程序样本的操作环境信息。
[0040]S202,根据操作环境信息模拟操作环境,并在操作环境中运行程序样本以获取程序样本的行为序列。
[0041]S203,判断行为序列是否为外挂行为模式。
[0042]S204,如果行为序列为外挂行为模式,则鉴定程序样本为外挂程序。
[0043]S205,在程序样本运行过程中获取弹窗关键字,判断弹窗关键字与外挂关键字是否匹配,如果弹窗关键字与外挂关键字匹配,则鉴定程序样本为外挂程序。
[0044]S206,根据已鉴定的外挂程序建立外挂程序库。
[0045]在本发明的实施例中,可大量采集程序样本,并分别进行鉴定,并根据鉴定出的外挂程序建立外挂程序库。
[0046]S207,接收对待测应用程序的测试请求。
[0047]S208,根据测试请求查询外挂程序库中是否包括待测应用程序。
[0048]S209,如果外挂程序库中包括待测应用程序,则判断待测应用程序为外挂程序。
[0049]S210,如果外挂程序库中不包括待测应用程序,则判断待测应用程序为非外挂程序。
[0050]在本发明的实施例中,步骤S205是可选的。在本发明的其他实施例中,S205可在S203之前,本发明对此不做限定。
[0051 ] 本发明实施例的外挂程序的鉴定方法,可根据已鉴定出的外挂程序建立外挂程序库,从而,客户端可通过查询外挂程序库来判断客户端当前运行的应用程序是否为外挂程序,进而可采取针对外挂程序的特定安全防御措施,以同时保证外挂程序正常使用和终端系统安全。
[0052]为了实现上述实施例,本发明还提出一种服务器。
[0053]图3为根据本发明一个实施例的服务器的结构示意图。如图3所示,该服务器包括:获取模块110、运行模块120、第一判断模块130、第二判断模块140和鉴定模块150。其中,第二判断模块140是可选的。
[0054]具体地,获取模块110用于获取程序样本,并提取程序样本的操作环境信息。在本发明的一个实施例中,程序样本为可疑外挂程序。操作环境信息为程序样本的版本、所需硬件环境(如内存需求、处理器需求等),触发操作等,如对于游戏程序来说,操作环境信息为该游戏版本、所需硬件环境以及游戏中的操作等。
[0055]在本发明的实施例中,获取模块110可包括查找单元111和/或监控单元112。查找单元111用于从云端程序库中查找程序样本,即从云端服务器中已有的程序样本中根据关键字搜索出程序样本;监控单元112用于对网页或者外挂网站进行监控以获取程序样本,即通过网页爬虫对网页进行搜索或对已知的外挂网站进行监控以获取程序样本。获取模块110还可通过接收终端设备上传的程序样本。
[0056]运行模块120用于根据操作环境信息模拟操作环境,并在操作环境中运行程序样本以获取程序样本的行为序列。在本发明的实施例中,程序样本的行为序列为程序样本在运行过程中的产生的一系列行为。在根据操作环境信息模拟程序样本的操作环境之后,运行模块120可在操作环境中运行该样本,进而可在程序样本运行过程中获取行为序列。
[0057]第一判断模块130用于判断行为序列是否为外挂行为模式。在本发明的实施例中,外挂行为模式为外挂程序特有的行为序列,如可为包括输入法注入行为、远程线程注入行为、远程内存读写行为、系统关键目标释放文件行为、关机行为、加载驱动程序行为、添加启动项行为以及修改浏览器主页行为等中的一种或多种行为的行为序列。
[0058]第二判断模块140用于在程序样本运行过程中获取弹窗关键字,判断弹窗关键字与外挂关键字是否匹配。
[0059]鉴定模块150用于在判断模块判断行为序列为外挂行为模式时,鉴定程序样本为外挂程序。
[0060]在本发明的一个实施例中,第二判断模块140是可选的,鉴定模块150可在第二判断模块140判断弹窗关键字与外挂关键字匹配时鉴定程序样本为外挂程序。[0061]本发明实施例的服务器,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列,如果该行为序列为外挂行为模式,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定。此外,也可根据程序样本在运行过程中的弹窗关键字与外挂关键字的匹配结果来鉴定该程序样本是否为外挂程序,从而进一步提升程序样本鉴定的准确性,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
[0062]图4为根据本发明另一个实施例的服务器的结构示意图。如图4所示,该服务器包括:获取模块110、运行模块120、第一判断模块130、第二判断模块140、鉴定模块150、建立模块160、接收模块170、查询模块180和第三判断模块190。
[0063]建立模块160用于根据已鉴定的外挂程序建立外挂程序库。在本发明的实施例中,获取模块110可大量采集程序样本,并通过鉴定模块150分别进行鉴定,从而建立模块160根据鉴定模块150鉴定出的外挂程序建立外挂程序库。进而,客户端装置可通过查询外挂程序库来判断客户端装置中运行的应用程序是否为外挂程序,并对外挂程序采取对应的拦截策略,以保证客户端装置的系统安全。
[0064]接收模块170用于接收对待测应用程序的测试请求。
[0065]查询模块180用于根据测试请求查询外挂程序库中是否包括待测应用程序。
[0066]第三判断模块190用于在外挂程序库中包括待测应用程序时判断待测应用程序为外挂程序,并在外挂程序库中不包括待测应用程序时判断待测应用程序为非外挂程序。
[0067]本发明实施例的服务器,可根据已鉴定出的外挂程序建立外挂程序库,从而,客户端可通过查询外挂程序库来判断客户端当前运行的应用程序是否为外挂程序,进而可采取针对外挂程序的特定安全防御措施,以同时保证外挂程序正常使用和终端系统安全。
[0068]为了实现上述实施例,本发明还提出一种应外挂程序的鉴定系统。
[0069]图5为根据本发明一个实施例的外挂程序的鉴定系统的结构示意图。如图5所示,该外挂程序的鉴定系统包括:本发明第二方面的实施例的服务器100 ;以及客户端装置200,其中,客户端装置200用于向服务器100发送程序样本或对待测应用程序的测试请求。
[0070]本发明实施例的外挂程序的鉴定系统,可通过模拟运行程序样本并获取程序样本在运行过程中的行为序列和弹窗关键字,如果该行为序列为外挂行为模式,或弹窗关键字与外挂关键字匹配,则该程序样本鉴定为外挂程序,能够对程序样本进行准确鉴定和识别,为外挂程序的使用安全的提供判断依据和保障,以保障用户的信息和数据的安全。
[0071]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属【技术领域】的技术人员所理解。
[0072]在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(⑶ROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
[0073]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0074]本【技术领域】的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0075]此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0076]上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0077]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0078]尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同限定。
【权利要求】
1.一种外挂程序的鉴定方法,其特征在于,包括: 获取程序样本,并提取所述程序样本的操作环境信息; 根据所述操作环境信息模拟操作环境,并在所述操作环境中运行所述程序样本以获取所述程序样本的行为序列; 判断所述行为序列是否为外挂行为模式; 如果所述行为序列为所述外挂行为模式,则鉴定所述程序样本为外挂程序。
2.如权利要求1所述的方法,其特征在于,还包括: 在所述程序样本运行过程中获取弹窗关键字,判断所述弹窗关键字与外挂关键字是否匹配; 如果所述弹窗关键字与所述外挂关键字匹配,则鉴定所述程序样本为外挂程序。
3.如权利要求1或2所述的方法,其特征在于,所述获取程序样本具体包括: 从云端程序库中查找所述程序样本;和/或 对网页或者外挂网站进行监控以获取所述程序样本。
4.如权利要求1或2所述的方法,其特征在于,还包括: 根据已鉴定的所述外挂程序建立外挂程序库。
5.如权利要求4所述的方法,其`特征在于,还包括: 接收对待测应用程序的测试请求; 根据所述测试请求查询所述外挂程序库中是否包括所述待测应用程序; 如果所述外挂程序库中包括所述待测应用程序,则判断所述待测应用程序为外挂程序; 如果所述外挂程序库中不包括所述待测应用程序,则判断所述待测应用程序为非外挂程序。
6.一种服务器,其特征在于,包括: 获取模块,用于获取程序样本,并提取所述程序样本的操作环境信息; 运行模块,用于根据所述操作环境信息模拟操作环境,并在所述操作环境中运行所述程序样本以获取所述程序样本的行为序列; 第一判断模块,用于判断所述行为序列是否为外挂行为模式; 鉴定模块,用于在所述判断模块判断所述行为序列为所述外挂行为模式时,鉴定所述程序样本为外挂程序。
7.如权利要求6所述的服务器,其特征在于,还包括: 第二判断模块,用于在所述程序样本运行过程中获取弹窗关键字,判断所述弹窗关键字与外挂关键字是否匹配; 所述鉴定模块还用于在所述弹窗关键字与所述外挂关键字匹配时,鉴定所述程序样本为外挂程序。
8.如权利要求6或7所述的服务器,其特征在于,所述获取模块具体包括: 查找单元,用于从云端程序库中查找所述程序样本;和/或 监控单元,用于对网页或者外挂网站进行监控以获取所述程序样本。
9.如权利要求6或7所述的服务器,其特征在于,还包括: 建立模块,用于根据已鉴定的所述外挂程序建立外挂程序库。
10.如权利要求9所述的服务器,其特征在于,还包括: 接收模块,用于接收对待测应用程序的测试请求; 查询模块,用于根据所述测试请求查询所述外挂程序库中是否包括所述待测应用程序; 第三判断模块,用于在所述外挂程序库中包括所述待测应用程序时判断所述待测应用程序为外挂程序,并在所述外挂程序库中不包括所述待测应用程序时判断所述待测应用程序为非外挂程序。`
11.一种外挂程序的鉴定系统,其特征在于,包括: 如权利要求6-10所述的服务器;以及 客户端装置,所述客户端装置用于向所述服务器发送程序样本或对待测应用程序的测试请求。
【文档编号】H04L12/26GK103825780SQ201410067209
【公开日】2014年5月28日 申请日期:2014年2月26日 优先权日:2014年2月26日
【发明者】张韬, 潘泉海, 刘晓, 陈勇 申请人:珠海市君天电子科技有限公司