107]二是定期检查杀毒软件的弹窗配置信息是否生效。
[0108]通过自动上报杀毒软件弹窗可能变更的信息以及定期检查,能保证云端维护的杀毒软件弹窗的弹窗配置信息不失效。
[0109]如果经上述方式确定弹窗配置信息未失效,但被检测应用的整个执行过程还没有结束时,例如被检测应用监视执行了安装和运行,还未执行升级或卸载等其他操作时,可以继续执行杀毒软件弹窗的检测进程,即利用杀毒软件弹窗的检测进程继续对被检测应用执行的其他基本操作进行监控,以完整的监控在被检测应用的整个执行过程中是否可能被杀毒软件报毒。
[0110]104、主检测设备汇总和输出检测结果。
[0111]该步骤中,在由Slave设备检查是否有杀毒软件弹窗截图以及安装目录下的文件是否元整后,把结果返回给Master设备。Master设备合并上述结果并输出。
[0112]其中,可以通过发送邮件的方式来输出相应结果给相关测试人员。
[0113]测试人员收到邮件后,可以人工再次查看弹窗截图,以对客户端应用的报毒进行分析,或者检查文件是否被指定杀毒软件删除,可以进行人工的检测结果筛选后通知其他人员、例如项目组人员对报毒事件进行处理。
[0114]实施例二、
[0115]图3为本发明实施例二提供的一种检测应用被杀毒软件报毒的装置结构示意图。如图3所示,该装置可以包括设置于从检测设备202中的检测单元2022和确定单元2023,其中检测单元2022可以进一步包括弹窗检测单元2022A或文件检测单元2022B,另外该从检测设备202还可以包括设置于其中的准备单元2021;该装置还可以包括设置于主检测设备201的获取单元2011,另外,主检测设备201还可以包括设置于其中的结果生成单元2012。对该装置详细描述如下:
[0116]主检测设备201,用于依据需要检测的杀毒软件列表向从检测设备分配需要检测的杀毒软件,并且还用于汇总和输出检测结果。
[0117]主检测设备201包括设置于其中的获取单元2011,用于获取所述杀毒软件列表和弹窗配置信息,并将杀毒软件和与杀毒软件对应的弹窗配置信息分发给从检测设备202。
[0118]其中,可以通过云端维护需要检查的杀毒软件列表以及杀毒软件的弹窗配置信息并下发给主检测设备201。
[0119]具体地,该杀毒软件列表中记录了可能会对被检测的客户端应用报毒的杀毒软件。
[0120]可以取排名靠前的杀毒软件来生成杀毒软件列表,该排名可以通过专业机构对现有的杀毒软件按照重要度或者常用度等的规则进行排序,从而使用排名靠前的杀毒软件来生成列表,或者也可以通过开发应用产品的应用开发端根据实际需要确定对哪些杀毒软件进行监控和检测。
[0121]与各杀毒软件分别对应的弹窗配置信息可以用来区分报毒弹窗和非报毒弹窗,以及弹窗所报毒的具体应用。
[0122]该弹窗配置信息唯一标识了这种杀毒软件的报毒弹窗,杀毒软件的弹窗配置信息包括窗口标题、类名、窗口句柄等。
[0123]主检测设备201(或称Master设备)可以调度从检测设备(或称Slave设备),将由获取单元2011获取的杀毒软件以及弹窗配置信息分配给Slave设备。
[0124]主检测设备201可以从杀毒软件列表中选择一个杀毒软件,并将该杀毒软件及与其对应的弹窗配置信息分配给多个从检测设备中的一个,并且可以从杀毒软件列表中选择另一个杀毒软件,并将该另一个杀毒软件及与其对应的弹窗配置信息分配给另一个从检测设备中,从而,可以利用Master-Slave分布式架构来将杀毒软列表中的杀毒软件分散给多个从检测设备进行弹窗的检测,能够方便的增减Slave节点,提高检测效率。
[0125]主检测设备通过为每个从检测设备分配杀毒软件ID、由从检测设备依据ID获取杀毒软件代码的方式,或者给每个从检测设备直接分配杀毒软件代码的方式,使从检测设备获取并执行相应的杀毒软件。
[0126]从检测设备202,用于在弹窗检测环境中执行被检测应用,根据弹窗配置信息检测杀毒软件是否有针对所述被检测应用的弹窗或者检测所述被检测应用的文件是否完整;基于检测结果确定所述被检测应用是否被杀毒软件报毒。
[0127]该从检测设备还包括准备单元2021,用于准备弹窗检测环境。
[0128]具体地,准备单元可以通过执行以下操作来准备弹窗检测环境:
[0129]依据需要检测的杀毒软件列表安装并执行杀毒软件;
[0130]启动对杀毒软件弹窗的检测进程。
[0131]主检测设备201还包括结果生成单元2012,用于合并检测应用是否被杀毒软件报毒的检测结果并输出。
[0132]从检测设备202还包括检测单元2022,用于在弹窗检测环境中执行被检测应用,根据弹窗配置信息检测杀毒软件是否有针对所述被检测应用的弹窗或者检测所述被检测应用的文件是否完整。
[0133]其中检测单元2022包括弹窗检测单元2022A,用于根据弹窗配置信息检测杀毒软件是否有针对被检测应用的弹窗,具体地:
[0134]Slave设备开始执行客户端应用,执行应用可以包括安装、卸载、升级、运行等,在应用执行时,弹窗检测单元2022A监控杀毒软件中生成弹窗的函数,当所述生成弹窗的函数被调用时,确定函数中生成的弹窗信息与所述弹窗配置信息是否匹配;如果匹配,则确定应用被杀毒软件报毒。
[0135]因为杀毒软件只要生成弹窗就需要调用生成弹窗的函数,所以弹窗检测单元2022A通过持续监控生成弹窗的函数,确定该函数是否被调用,如果被调用,则对比生成的弹窗信息(标题、类名、窗口句柄等)与获得的弹窗配置信息是否相同,就能识别杀毒软件是否进行了报毒弹窗。此处的标识信息标题、类名、窗口句柄等弹窗配置信息可以是能够唯一标识一个弹窗的,且不易变化的信息。
[0136]如果通过比较发现生成的窗口标题、句柄或者类名命中了杀毒软件的弹窗配置信息,则确定被检测应用被杀毒软件报毒。
[0137]弹窗检测单元2022A可以利用杀毒软件弹窗的检测进程来监控杀毒软件中生成弹窗的函数。
[0138]优选地,可以使杀毒软件弹窗检测进程在操作系统ringO层进行监控。并且可以使用钩子监控杀毒软件生成弹窗的函数,从而检测生成的弹窗是否符合杀毒软件弹窗标识(标题、类名、句柄中的一个)。
[0139]在确定应用被杀毒软件报毒后,弹窗检测单元2022A可以对这一弹窗截图。
[0140]从检测设备202还包括文件检测单元2022B,用于检测应用的文件是否完整,具体地:
[0141]文件检测单元2022B可以获取预先生成的被检测应用的文件列表;将所述文件列表与安装目录下的被检测应用的文件列表进行比较;如果比较结果相同,则确定被检测应用的文件完整;否则被检测应用的文件不完整。
[0142]其中,安装目录下的被检测应用的文件列表可以是文件注册表,且从检测设备可以从外部预先获取所执行的应用的一套完整的文件列表。
[0143]检测应用的文件是否完整可以在由Slave设备执行应用的基本操作时,对应用在使用过程中的行为进行检测,也可以在应用安装时,对安装行为进行检测,还可以对应用卸载或升级行为进行文件完整性的检测。
[0144]另外,可以通过Slave设备自动化的执行应用的安装、卸载、升级、运行等基本操作,该自动化的方式可以通过编写代码来实现;或者,也可以通过人工来完成上述基本操作。
[0145]从检测设备202包括确定单元2023,用于基于检测结果确定被检测应用是否被杀毒软件报毒。
[0146]在检测被检测应用是否被杀毒软件报毒时,可以得到至少以下几种检测结果,包括:有针对被检测应用的弹窗、无弹窗但应用文件不完整、无弹窗且应用文件完整。
[0147]确定单元2023确定被检测应用是否被杀毒软件报毒的方式可以为:
[0148]第一、如果检测结果是有针对被检测应用的弹窗,则不论应用文件是否完整,均确定应用被杀毒软件报毒;
[0149]第二、如果检测结果是无弹窗且应用文件完整,则确定应用未被杀毒软件报毒。
[0150]第三、如果检测结果是无弹窗但应用文件不完整,则需要作进一步的判断。
[0151]对于第三点,具体地,如果被检测应用文件不完整但是没有弹窗,可以进一步判断所述弹窗配置信息是否失效;如果失效,则确定应用被杀毒软件报毒;如果弹窗配置信息未失效,则确定所述被检测应用未被杀毒软件报毒。
[0152]针对弹窗配置