运行环境的检测方法、装置和系统与流程

1.本发明涉及计算机技术领域，尤其涉及一种运行环境的检测方法、装置和系统。


背景技术：

2.攻击者往往会采用动态注入的方式攻击应用。如攻击者以越狱的形式向移动终端动态注入插件文件，移动终端中的应用运行过程中，通过调用该插件文件，即可窃取用户信息；又比如，攻击者生成一个与运行环境原始存在的库文件同名的伪造文件，并且用该伪造文件覆盖原始存在的库文件，可以达到伪造目的，即需要使用库文件的应用在运行时，就会加载伪造文件，攻击者可以通过该伪造文件截取相关的信息等。
3.现有的检测方式主要通过匹配文件名称，来检测是否存在动态注入，以实现对运行环境的检测。
4.在实现本发明过程中，发明人发现现有技术中至少存在如下问题：
5.由于文件名称可以伪造，一些影响应用的动态注入的文件很难被检测出来，导致运行环境仍然存在由动态注入的文件引起的安全性问题。


技术实现要素：

6.有鉴于此，本发明实施例提供一种运行环境的检测方法、装置和系统，能够比较全面的检测出动态注入的文件，以引导解决由动态注入的文件引起的安全性问题。
7.为实现上述目的，根据本发明实施例的一个方面，提供了一种运行环境的检测方法，包括：
8.获取参考样本，所述参考样本包括：多个库文件的样本信息；
9.在所述运行环境承载的应用启动时，确定所述应用加载的目标库文件的信息；
10.根据所述多个库文件的样本信息，检测所述目标库文件的信息；
11.当检测的结果为所述目标库文件的信息不属于所述参考样本时，确定所述运行环境存在动态注入的文件。
12.优选地，
13.所述样本信息包括：库文件相对路径、至少一个指令集标识以及每一个所述指令集标识所对应的库文件特征标识；
14.所述检测所述目标库文件的信息，包括：
15.确定所述运行环境对应的目标指令集标识；
16.在所述多个库文件的样本信息中，查找与所述目标库文件的信息相匹配的目标库文件相对路径；
17.如果查找到，则在所述目标库文件相对路径下，为所述目标指令集标识匹配对应的目标库文件特征标识；
18.判断所述目标库文件特征标识与所述目标库文件的信息是否一致，如果否，则确定检测的结果为所述目标库文件的信息不属于所述参考样本；
19.如果未查找到，则确定检测的结果为所述目标库文件的信息不属于所述参考样本。
20.优选地，所述运行环境的检测方法，进一步包括：
21.采集多个环境版本对应的全量数据；
22.从所述环境版本对应的全量数据中，提取所述环境版本对应的全量样本，并存储多个所述环境版本对应的全量样本，所述环境版本对应的全量样本包括：所述环境版本对应的所有库文件的样本信息；
23.所述获取参考样本，包括：
24.确定所述运行环境的目标环境版本；
25.从存储的多个所述环境版本对应的全量样本中，查找所述目标环境版本对应的全量样本，将所述目标环境版本对应的全量样本作为参考样本。
26.优选地，
27.所述样本信息包括：所述库文件相对路径与每一个所述指令集标识构成的第一键值对以及每一个所述指令集标识与库文件特征标识构成的第二键值对，其中，所述第二键值对属于所述第一键值对的下一级键值对；
28.所述查找与所述目标库文件的信息相匹配的目标库文件相对路径，包括：根据所述目标指令集标识和所述目标库文件的信息中的目标加载路径，查找目标第一键值对；
29.在所述目标库文件相对路径下，为所述目标指令集标识匹配对应的目标库文件特征标识，包括：在所述目标第一键值对下，查找所述目标指令集标识对应的目标第二键值对，确定所述目标第二键值对包含的库文件特征标识为所述目标库文件特征标识。
30.优选地，上述任一所述运行环境的检测方法，所述运行环境由ios操作系统构建出。
31.优选地，所述样本信息来源于dsym文件。
32.第二方面，本发明实施例提供一种运行环境的检测装置，包括：获取单元、确定单元以及检测单元，其中，
33.所述获取单元，用于获取参考样本，所述参考样本包括：多个库文件的样本信息；
34.所述确定单元，用于在所述运行环境承载的应用启动时，确定所述应用加载的目标库文件的信息；
35.所述检测单元，用于根据所述获取单元获取到的多个库文件的样本信息，检测所述确定单元确定出的目标库文件的信息；当检测的结果为所述目标库文件的信息不属于所述参考样本时，确定所述运行环境存在动态注入的文件。
36.第三方面，本发明实施例提供一种运行环境的检测系统，包括：上述运行环境的检测装置以及服务端，其中，
37.所述服务端，用于存储参考样本；
38.所述运行环境的检测装置，用于从所述服务端获取所述参考样本。
39.上述发明中的一个实施例具有如下优点或有益效果：一般是通过运行操作系统的库文件来为应用构建出运行环境，目前常通过动态注入的文件替代/伪装库文件，窃取/截取用户信息等，即一旦运行环境中存在动态注入的文件，而运行环境承载的应用调用该动态注入的文件，将会对该应用的安全性造成威胁，因此，可通过检测应用所加载的目标库文
件来实现对运行环境的检测。由于运行操作系统的库文件的信息一般不变的，通过获取参考样本，该参考样本包括：多个库文件的样本信息，根据该多个库文件的样本信息，检测目标库文件的信息；当检测的结果为目标库文件的信息不属于参考样本，确定运行环境存在动态注入的文件，能够比较完整的检测出动态注入的文件，以引导解决由动态注入的文件引起的安全性问题。另外，在确定出运行环境存在动态注入的文件后，可给出存在安全隐患的提示。
40.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
41.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
42.图1是根据本发明实施例的运行环境的检测方法的主要流程的示意图；
43.图2是根据本发明另一实施例的运行环境的检测方法的主要流程的示意图；
44.图3是根据本发明实施例的命令行工具调用子模块代码片段的示意图；
45.图4是根据本发明实施例的python脚本的核心代码片段的示意图；
46.图5是根据本发明实施例的python脚本的核心代码片段的示意图；
47.图6是根据本发明实施例的字典格式的部分样本信息的示意图；
48.图7是根据本发明实施例的运行环境的检测装置的主要单元的示意图；
49.图8是根据本发明另一实施例的运行环境的检测装置的主要单元的示意图；
50.图9是根据本发明实施例的运行环境的检测系统的主要装置的示意图；
51.图10是根据本发明另一实施例的运行环境的检测系统的主要装置的示意图；
52.图11是本发明实施例可以应用于其中的示例性系统架构图；
53.图12是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
54.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
55.动态注入是指为了改变应用程序原有程序逻辑，通过向运行环境插入文件或更改运行环境中的文件，并以在目标应用程序启动时执行插入文件或更改后的文件。动态注入的文件可能会截取应用程序的用户信息等，使用户信息存在安全隐患。
56.运行环境是指通过终端设备运行操作系统如ios操作系统、android操作系统等所包括的库文件所形成的，为应用提供运行基础。
57.图1是根据本发明实施例的一种运行环境的检测方法，如图1所示，该运行环境的检测方法可包括如下步骤：
58.101：获取参考样本，参考样本包括：多个库文件的样本信息；
59.102：在运行环境承载的应用启动时，确定应用加载的目标库文件的信息；
60.103：根据多个库文件的样本信息，检测目标库文件的信息；
61.104：当检测的结果为目标库文件的信息不属于参考样本时，确定运行环境存在动态注入的文件。
62.一般来说，参考样本来源于操作系统的原始文件/原始库文件，而库文件的样本信息则是来源于操作系统的原始库文件中的部分信息或来源于操作系统的原始文件的部分信息。上述获取参考样本可以通过向服务端发送获取参考样本的请求，该获取参考样本的请求包括运行环境的版本信息，则服务端在接收到该获取参考样本的请求后，将运行环境的版本信息对应的参考样本发送给执行运行环境的检测方法的终端；执行运行环境的检测方法的终端还可以根据运行环境的版本信息，从自身存储区域或者服务端直接获取参考样本。该多个库文件的样本信息可以为与应用相关的所有库文件的样本信息，也可以为构成运行环境的操作系统对应的所有库文件的样本信息。
63.另外，确定应用加载的目标库文件的信息的一种具体实施方式可以为通过运行环境所依托的操作系统提供的api(application program ming interface，应用程序接口)和函数获取，比如，通过ios系统中api接口和_dyld_image_count函数获取当前库文件加载数量，再通api接口和_dyld_get_image_header、_dyld_get_image_name获取库文件对应的指令集信息、uuid、库文件加载路径等。其中，应用是指应用程序，其可以通过客户端实现、也可以通过终端浏览器实现。uuid是国际标准化组织(iso)提出的一个概念，其是一个128比特的数值，这个数值可以通过一定的算法计算出来。为了提高效率，常用的uuid可缩短至16位。uuid用来识别属性类型，在所有空间和时间上被视为唯一的标识。一般来说，可以保证这个值是真正唯一的任何地方产生的任意一个uuid都不会有相同的值。使用uuid的一个好处是可以为库文件/新的服务创建新的标识符。比如，针对一种运行环境(如运行环境的环境版本/运行环境所在操作系统的系统版本)和指令集信息(该指令集信息指运行环境所在终端的硬件特征标识信息)对应的每一个库文件对应一个uuid。
64.一般是通过运行操作系统的库文件来为应用构建出运行环境，目前常通过动态注入的文件替代/伪装库文件，窃取/截取用户信息等，即一旦运行环境中存在动态注入的文件，而运行环境承载的应用调用该动态注入的文件，将会对该应用的安全性造成威胁，因此，可通过检测应用所加载的目标库文件来实现对运行环境的检测。由于运行操作系统的库文件的信息一般不变的，通过获取参考样本，该参考样本包括：多个库文件的样本信息，根据该多个库文件的样本信息，检测目标库文件的信息；当检测的结果为目标库文件的信息不属于参考样本，确定运行环境存在动态注入的文件，能够比较完整的检测出动态注入的文件，以引导解决由动态注入的文件引起的安全性问题。另外，在确定出运行环境存在动态注入的文件后，可给出存在安全隐患的提示。
65.该给出存在安全隐患的提示可以为以弹出展示组件的方式提醒用户。应用的所有者可根据提示采用一些策略来保障应用的隐私或安全，比如，禁用应用的部分功能，或删除应用所存储的隐私数据，或者让应用所有者能识别到哪些是风险用户。
66.在本发明一个实施例中，上述样本信息可包括：库文件相对路径、至少一个指令集标识以及每一个指令集标识所对应的库文件特征标识；该库文件相对路径指示库文件存储的相对路径，指令集标识指示应用所在终端所运行的操作系统的特征标识，库文件特征标识即上面的uuid。由于一个操作系统版本对应的每一个库文件具有唯一的库文件特征标
识，相应地，检测目标库文件的信息的一种具体实施方式可包括：确定运行环境对应的目标指令集标识；在多个库文件的样本信息中，查找与目标库文件的信息相匹配的目标库文件相对路径；如果查找到，则在目标库文件相对路径下，为目标指令集标识匹配对应的目标库文件特征标识；判断目标库文件特征标识与目标库文件的信息是否一致，如果否，则确定检测的结果为目标库文件的信息不属于参考样本；如果未查找到，则确定检测的结果为目标库文件的信息不属于参考样本。
67.在上述实施例中，在库文件相对路径、指令集标识以及库文件特征标识与目标库文件的信息完全匹配(查找到与目标库文件的信息相匹配的目标库文件相对路径且为目标指令集标识匹配到目标库文件特征标识且目标库文件特征标识与目标库文件的信息一致)，才确定该目标库文件的信息对应的库文件为运行环境本身存在的，相反地，在库文件相对路径、指令集标识以及库文件特征标识与目标库文件的信息不完全匹配(即在多个库文件的样本信息中，未查找到与目标库文件的信息相匹配的目标库文件相对路径或者未为目标指令集标识匹配到目标库文件特征标识或者目标库文件特征标识与目标库文件的信息不一致)，则确定该目标库文件的信息对应的库文件为动态注入的。由于动态注入的文件可能存在将动态注入的文件名称修改为运行环境已存在的库文件的名称等，而通过对库文件相对路径、指令集标识以及库文件特征标识进行匹配，可以跟准确的检测出动态注入的文件，即通过本发明实施例提供的方案使检测结果比较准确。
68.由于应用加载的库文件路径由运行环境所对应的操作系统层的应用加载机制决定的，一般该应用加载的库文件路径和库文件相对路径一致。查找与目标库文件的信息相匹配的目标库文件相对路径的具体实施方式可以为从目标库文件的信息包含的应用加载某个库文件路径与该库文件相对路径比较来确认。
69.在本发明一个实施例中，上述运行环境的检测方法所检测的运行环境是由ios操作系统构建出的。
70.相应地，上述参考样本包括的库文件相对路径、至少一个指令集标识以及每一个指令集标识所对应的库文件特征标识可从ios操作系统的提供平台获取，也可以从ios操作系统的原始dsym文件中获取。其中，dsym(调试符号表，debugging symbols)包括有一个版本的操作系统对应的所有库文件。
71.针对同一应用安装在不同的ios操作系统版本或不同的ios终端硬件(目前终端的cpu有32位或64位两种，常见的cpu的指令集又分为arm7、armv7、arm64、arm64e等)后，在启动应用时，会根据cpu不同的位数加载不同的指令集对应的库文件，同时，由于机型或cpu的差异，需要加载的库文件和最终数量也是不确定的，比如一个应用使用了人脸识别的功能(faceid)，那么，在有faceid的设备上，应用打开时会加载faceid相关的库文件，如果没有faceid的设备则不会加载。基于此，在本发明一个实施例中，如图2所示，上述运行环境的检测方法可进一步包括如下步骤：
72.201：采集多个环境版本对应的全量数据；
73.该环境版本指示为操作系统的系统版本，该全量数据为系统版本所对应的操作系统运行时所需要的所有库文件信息。以ios操作系统为例，详细说明该步骤的具体实现方式。一个样本数据生成模块/采集模块连接到多个待采集终端，其中，样本数据生成模块/采集模块所在终端与待采集终端不相同，样本数据生成模块/采集模块所在终端与运行环境
的检测方法的实现装置可以相同，也可以不同。该待采集终端为安装有官方提供的ios系统版本(正式版本或测试版本均可)，即该待采集终端为非越狱过的ios设备，(一个优选的实施例，该待采集终端为未被使用过的具有ios操作系统的终端)。该多个待采集终端所安装的ios操作系统的系统版本(环境版本)互不相同。以ios 10.3.3(14g60)系统版本、该系统版本所在终端a作为待采集终端举例说明。在连接到终端a后，样本数据生成模块/采集模块为该ios 10.3.3(14g60)系统版本构建一个存储目录，并根据该存储目录，将终端a所包含的全部的库文件对应的dsym文件复制到该存储目录下。该将dsym文件复制到该存储路径下可通过xcode工具实现。
74.在该步骤中，构建出的存储目录可为：/users/yy/library/developer/xcode/iosdevicesupport/10.3.3(14g60)，其中，yy表征终端使用者的用户名；10.3.3(14g60)为操作系统版本。
75.202：从环境版本对应的全量数据中，提取环境版本对应的全量样本，并存储多个环境版本对应的全量样本，环境版本对应的全量样本包括：环境版本对应的所有库文件的样本信息；
76.针对上一步采集到的全量数据为dsym文件，该步骤具体实施方式可为，通过调用xcode工具的“dwarfdump”命令行工具实现，例如获取文件路径位于存储目录：“/users/yy/library/developer/xcode/iosd evicesupport/10.3.3(14g60)/symbols/system/library/frameworks/corefo undation.framework/corefoundation”下的corefoundation库文件的样本信息。该命令行工具调用可采用图3给出的命令行工具调用子模块301实现。该命令行工具调用子模块300的实现代码如图3所示。从dsym文件中提取所有库文件的样本信息，其提取的结果可如下所示：
77.提取的结果：
78.uuid:acedaa63-1829-3afa-8cc2-49f6e92eb254(armv7s)/users/yy/library/developer/xcode/ios devicesupport/10.3.3(14g60)/symbols/system/library/frameworks/corefoundation.framework/corefoundation。
79.通过提取的结果可以知道：
80.名称为corefoundation的库文件在系统中加载时的相关路径为：“/system/library/frameworks/corefoundation.framework/corefoundation”；
81.指令集为：“armv7s”；
82.uuid为：“acedaa63-1829-3afa-8cc2-49f6e92eb254”。
83.203：确定运行环境的目标环境版本；
84.该目标环境版本是指运行环境所在的操作系统的版本。
85.204：从存储的多个环境版本对应的全量样本中，查找目标环境版本对应的全量样本，将目标环境版本对应的全量样本作为参考样本。
86.比如，对于目标环境版本为10.3.3(14g60)，则10.3.3(14g60)对应的所有库文件的样本信息如库文件相对路径、指令集标识以及库文件特征标识uuid。
87.在存储多个环境版本对应的全量样本时，可以在存储两个字段，一是环境版本号(ios操作系统版本号)，二是全量样本，可以通过环境版本号查询参考样本。
88.通过上述过程实现了对不同运行环境有针对性的检测。
89.在本发明一个实施例中，采集多个环境版本的全量样本可通过python脚本批量实现。该python脚本的核心代码片段如图4和图5所示。
90.在本发明一个实施例中，可为样本信息构建键值对，以方便通过键值对查找该样本信息。该样本信息为json格式，构建出的键值对的数据结构为字典格式，即样本信息包括：库文件相对路径与每一个指令集标识构成的第一键值对以及每一个指令集标识与库文件特征标识构成的第二键值对，其中，第二键值对属于第一键值对的下一级键值对；比如，以库文件相对路径为第一键值对的key值，以指令集标识uuid为第一键值对的value值，以指令集标识uuid为第一键值对的key，指令集以应的uuid为value。构建出的字典格式的部分样本信息可如图6所示。如图6示出的corefoundation库文件的相对路径-uuid(armv7s)构成的第一键值对，该第一键值对下的uuid(armv7s)-库文件特征标识(acedaa63-1829-3afa-8cc2-49f6e92eb254)构成的第二键值对；coremotion库文件的相对路径-uuid(armv7s)构成的第一键值对，该第一键值对下的uuid(armv7s)-库文件特征标识(8b7fb768c-5149-36fa-bd9e-e46b507f4de7)构成的第二键值对等，在此不再赘述。
91.相应地，查找与目标库文件的信息相匹配的目标库文件相对路径的具体实施方式可包括：根据目标指令集标识和目标库文件的信息中的目标加载路径，查找目标第一键值对；在目标库文件相对路径下，为目标指令集标识匹配对应的目标库文件特征标识的具体实施方式包括：在目标第一键值对下，查找目标指令集标识对应的目标第二键值对，确定目标第二键值对包含的库文件特征标识为目标库文件特征标识。
92.通过上述各个实施例可知，本发明实施例提供的方案通过库文件路径匹配，再结合指令集标识及类似库文件特征标识的uuid进行app运行时样本与全量样本数据对比，精确判断动态注入场景是否发生，同时不受非越狱或越狱运行环境、以及库文件数量、库文件名称伪造等因素的影响，从而使检测更加准确。
93.如图7所示，本发明实施例提供一种运行环境的检测装置700，该运行环境的检测装置700包括：获取单元701、确定单元702以及检测单元703，其中，
94.获取单元701，用于获取参考样本，参考样本包括：多个库文件的样本信息；
95.确定单元702用于在运行环境承载的应用启动时，确定应用加载的目标库文件的信息；
96.检测单元703，用于根据获取单元701获取到的多个库文件的样本信息，检测确定单元702确定出的目标库文件的信息；当检测的结果为目标库文件的信息不属于参考样本时，确定运行环境存在动态注入的文件。
97.在本发明另一实施例中，获取单元701获取到的样本信息包括：库文件相对路径、至少一个指令集标识以及每一个指令集标识所对应的库文件特征标识；
98.检测单元703，进一步用于确定运行环境对应的目标指令集标识；在获取单元701获取到的多个库文件的样本信息中，查找与目标库文件的信息相匹配的目标库文件相对路径；如果查找到，则在目标库文件相对路径下，为目标指令集标识匹配对应的目标库文件特征标识；判断目标库文件特征标识与目标库文件的信息是否一致，如果否，则确定检测的结果为目标库文件的信息不属于参考样本；如果未查找到，则确定检测的结果为目标库文件的信息不属于参考样本。
99.在本发明一个实施例中，如图8所示，上述运行环境的检测装置700可进一步包括：
样本数据生成单元801和存储单元802，其中，
100.样本数据生成单元801，用于采集多个环境版本对应的全量数据；从所述环境版本对应的全量数据中，提取环境版本对应的全量样本；
101.存储单元802，用于存储样本数据生成单元801提取到的多个环境版本对应的全量样本，环境版本对应的全量样本包括：环境版本对应的所有库文件的样本信息；
102.获取单元701，进一步用于确定运行环境的目标环境版本；从存储单元802存储的多个环境版本对应的全量样本中，查找目标环境版本对应的全量样本，将目标环境版本对应的全量样本作为参考样本。
103.在本发明一个实施例中，样本信息包括：库文件相对路径与每一个指令集标识构成的第一键值对以及每一个指令集标识与库文件特征标识构成的第二键值对，其中，第二键值对属于第一键值对的下一级键值对；
104.检测单元703，用于在目标第一键值对下，查找目标指令集标识对应的目标第二键值对，确定目标第二键值对包含的库文件特征标识为目标库文件特征标识。
105.在本发明一个实施例中，上述运行环境的检测装置700可依托于ios操作系统。
106.值得说明的是，上述样本数据生成单元801和存储单元802可与获取单元、确定单元以及检测单元分设于不同的设备，也可设置于同一设备。该设备可为终端，也可为服务器。
107.如图9所示，本发明实施例提供一种运行环境的检测系统900，该运行环境的检测系统900包括：上述任一实施例给出的运行环境的检测装置700以及服务端901，其中，
108.服务端901，用于存储参考样本；
109.运行环境的检测装置700，用于从服务端获取参考样本。
110.在本发明一个实施例中，如图10所示，运行环境的检测系统900进一步包括：样本数据生成装置1001，其中，
111.样本数据生成装置1001，用于采集多个环境版本对应的全量数据；从环境版本对应的全量数据中，提取环境版本对应的全量样本，环境版本对应的全量样本包括：环境版本对应的所有库文件的样本信息；
112.服务端901，用于存储样本数据生成装置1001提取出的多个环境版本对应的全量样本。
113.图11示出了可以应用本发明实施例的运行环境的检测方法或运行环境的检测装置的示例性系统架构1100。
114.如图11所示，系统架构1100可以包括终端设备1101、1102、1103，网络1104和服务器1105。网络1104用以在终端设备1101、1102、1103和服务器1105之间提供通信链路的介质。网络1104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
115.用户可以使用终端设备1101、1102、1103通过网络1104与服务器1105交互，以接收或发送消息等。终端设备1101、1102、1103上可以安装有各种应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
116.终端设备1101、1102、1103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
117.服务器1105可以是提供各种服务的服务器，例如对终端设备1101、1102、1103检测
所浏览的购物类网站所在运行环境提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的参考样本获取请求等数据进行分析等处理，并将处理结果(例如多个库文件的样本信息
--
仅为示例)反馈给终端设备。
118.需要说明的是，本发明实施例所提供的运行环境的检测方法一般由终端设备1101、1102、1103执行，相应地，运行环境的检测装置一般设置于终端设备1101、1102、1103中。
119.应该理解，图11中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
120.下面参考图12，其示出了适于用来实现本发明实施例的终端设备的计算机系统1200的结构示意图。图12示出的终端设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
121.如图12所示，计算机系统1200包括中央处理单元(cpu)1201，其可以根据存储在只读存储器(rom)1202中的程序或者从存储部分1208加载到随机访问存储器(ram)1203中的程序而执行各种适当的动作和处理。在ram 1203中，还存储有系统1200操作所需的各种程序和数据。cpu 1201、rom 1202以及ram 1203通过总线1204彼此相连。输入/输出(i/o)接口1205也连接至总线1204。
122.以下部件连接至i/o接口1205：包括键盘、鼠标等的输入部分1206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1207；包括硬盘等的存储部分1208；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至i/o接口1205。可拆卸介质1211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1210上，以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
123.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1209从网络上被下载和安装，和/或从可拆卸介质1211被安装。在该计算机程序被中央处理单元(cpu)1201执行时，执行本发明的系统中限定的上述功能。
124.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可
读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
125.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
126.描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括获取单元、确定单元以及检测单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，获取单元还可以被描述为“从服务端获取参考样本的单元”。
127.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：获取参考样本，参考样本包括：多个库文件的样本信息；响应于运行环境承载的应用启动时，确定应用加载的目标库文件的信息；根据多个库文件的样本信息，检测目标库文件的信息；当检测的结果为目标库文件的信息不属于参考样本，确定运行环境存在动态注入的文件。
128.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：确定运行环境对应的目标指令集标识；在多个库文件的样本信息中，查找与目标库文件的信息相匹配的目标库文件相对路径；如果查找到，则在目标库文件相对路径下，为目标指令集标识匹配对应的目标库文件特征标识；判断目标库文件特征标识与目标库文件的信息是否一致，如果否，则确定检测的结果为目标库文件的信息不属于参考样本；如果未查找到，则确定检测的结果为目标库文件的信息不属于参考样本。
129.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：采集多个环境版本对应的全量数据；从环境版本对应的全量数据中，提取环境版本对应的全量样本，并存储多个环境版本对应的全量样本，环境版本对应的全量样本包括：环境版本对应的所有库文件的样本信息；获取参考样本，包括：确定运行环境的目标环境版本；从存储的多个环境版本对应的全量样本中，查找目标环境版本对应的全量样本，将目标环境版本对应的全量样本作为参考样本。
130.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：根据目标指令集标识和目标库文件的信息中的目标加载路径，查找目标第一键值对；在目标第一键值对下，查找目标指令集标识对应的目标第二键
值对，确定目标第二键值对包含的库文件特征标识为目标库文件特征标识。
131.根据本发明实施例的技术方案，一般是通过运行操作系统的库文件来为应用构建出运行环境，目前常通过动态注入的文件替代/伪装库文件，窃取/截取用户信息等，即一旦运行环境中存在动态注入的文件，而运行环境承载的应用调用该动态注入的文件，将会对该应用的安全性造成威胁，因此，可通过检测应用所加载的目标库文件来实现对运行环境的检测。由于运行操作系统的库文件的信息一般不变的，通过获取参考样本，该参考样本包括：多个库文件的样本信息，根据该多个库文件的样本信息，检测目标库文件的信息；当检测的结果为目标库文件的信息不属于参考样本，确定运行环境存在动态注入的文件，能够比较完整的检测出动态注入的文件，以引导解决由动态注入的文件引起的安全性问题。另外，在确定出运行环境存在动态注入的文件后，可给出存在安全隐患的提示。
132.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。