CN104123496B - 一种流氓软件的拦截方法及装置、终端 - Google Patents

一种流氓软件的拦截方法及装置、终端 Download PDF

Info

Publication number
CN104123496B
CN104123496B CN201410318645.XA CN201410318645A CN104123496B CN 104123496 B CN104123496 B CN 104123496B CN 201410318645 A CN201410318645 A CN 201410318645A CN 104123496 B CN104123496 B CN 104123496B
Authority
CN
China
Prior art keywords
software
binding
information
rogue
rule file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410318645.XA
Other languages
English (en)
Other versions
CN104123496A (zh
Inventor
崔健
朱和勋
刘肖
刘桂峰
姚辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Seal Interest Technology Co Ltd
Original Assignee
Zhuhai Juntian Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Juntian Electronic Technology Co Ltd filed Critical Zhuhai Juntian Electronic Technology Co Ltd
Priority to CN201410318645.XA priority Critical patent/CN104123496B/zh
Publication of CN104123496A publication Critical patent/CN104123496A/zh
Application granted granted Critical
Publication of CN104123496B publication Critical patent/CN104123496B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种流氓软件的拦截方法及装置、终端,其中,该方法包括:检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程,如果产生用于安装绑定软件的子进程,则获取子进程对应的绑定软件的软件信息,根据绑定软件的软件信息,识别绑定软件是否是流氓软件,若是,则拦截绑定软件的安装。本发明实施例可以及时检测到应用软件安装过程中被恶意捆绑或者绑定了与应用软件不相关的流氓软件,从而保证终端的安全性。

Description

一种流氓软件的拦截方法及装置、终端
技术领域
本发明涉及计算机技术领域,尤其涉及一种流氓软件的拦截方法及装置、终端。
背景技术
随着信息技术的发展,笔记本、电脑、手机、上网本等终端可以安装各种各样的应用软件,而当用户安装大量应用软件时也可能会使终端陷入安全隐患。因为,被安装的这些应用软件中可能被绑定了流氓软件,所谓流氓软件是指介于病毒和正轨软件之间的软件,这种流氓软件通常是为了达到某种目的,例如推广个人产品的广告宣传、监视用户上网习惯或窃取用户账号密码或者自动联网等,这种流氓软件一般是在用户不知情的情况下安装的,严重影响用户终端的安全性。
发明内容
本发明实施例公开了一种流氓软件的拦截方法及装置、终端,能够有效地检测出流氓软件以保证终端的安全性。
本发明实施例第一方面公开了一种流氓软件的拦截方法,包括:
检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程;
如果产生,获取所述子进程对应的绑定软件的软件信息;
根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件;
若是流氓软件,则拦截所述绑定软件的安装。
其中,若识别所述绑定软件是流氓软件,所述方法还包括:
输出提示消息以提示用户所述绑定软件为流氓软件,其中,所述提示消息包含所述绑定软件的软件信息。
其中,所述输出提示消息以提示用户所述绑定软件为流氓软件,包括:
以语音方式和/或文字方式发送提示消息以提示用户所述绑定软件为流氓软件。
作为一种可选地实施方式,所述根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件,包括:
将所述绑定软件的软件信息与预置的规则文件进行匹配,其中,所述预置的规则文件中包含流氓软件的软件信息;
若匹配成功,则识别所述绑定软件是流氓软件,否则,识别所述绑定软件是非流氓软件。
其中,所述将所述绑定软件的软件信息与预置的规则文件进行匹配,包括:
将所述绑定软件的软件信息与预置的规则文件中流氓软件的软件信息进行通配符匹配。
其中,所述将绑定软件的软件信息与预置的规则文件进行匹配,包括:
将所述绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配。
其中,所述获取所述绑定软件的软件信息之后,以及所述将所述绑定软件的软件信息与预置的规则文件进行匹配之前,所述方法还包括:
获取所述父进程对应的应用软件的软件信息;
将所述应用软件的软件信息和所述绑定软件的软件信息上传到后台服务器,由所述后台服务器根据所述应用软件的软件信息与所述绑定软件的软件信息分析所述应用软件与所述绑定软件之间的关系以确定是否将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
接收所述后台服务器返回的更新消息,其中,所述更新消息用于将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
响应所述更新消息,将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发执行将所述绑定软件的软件信息与预置的规则文件进行匹配的步骤。
作为另一种可选地实施方式,所述根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件,包括:
将所述绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由所述后台服务器根据所述MD5判断所述绑定软件是否是流氓软件;
接收所述后台服务器返回的判断结果,其中,所述判断结果用于指示所述绑定软件是否是流氓软件;
根据所述判断结果,识别所述绑定软件是否是流氓软件。
进一步地,所述拦截所述绑定软件的安装之后,所述方法还包括:
将拦截的所述绑定软件的软件信息上报至后台服务器。
其中,所述软件信息包括软件名、公司名、产品名和消息摘要算法MD5。
本发明实施例第二方面公开了一种流氓软件的拦截装置,包括:
检测模块,用于检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程;
第一获取模块,用于如果所述检测模块检测到产生了用于安装绑定软件的子进程,则获取所述子进程对应的绑定软件的软件信息;
识别模块,用于根据所述第一获取模块获取的绑定软件的软件信息,识别所述绑定软件是否是流氓软件;
拦截模块,用于在所述识别模块识别所述绑定软件是流氓软件时,拦截所述绑定软件的安装。
其中,所述装置还包括:
输出模块,用于在所述识别模块识别出所述绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件,其中,所述提示消息包含所述绑定软件的软件信息。
其中,所述输出模块具体用于以语音方式和/或文字方式发送提示消息以提示用户所述绑定软件为流氓软件。
作为一种可选地实施方式,所述识别模块包括:
匹配单元,用于将所述第一获取模块获取的绑定软件的软件信息与预置的规则文件进行匹配,其中,所述预置的规则文件中包含流氓软件的软件信息;
第一识别单元,用于在所述匹配单元匹配成功时,识别所述绑定软件是流氓软件,否则,识别所述绑定软件是非流氓软件。
其中,所述匹配单元具体用于将所述绑定软件的软件信息与预置的规则文件中流氓软件的软件信息进行通配符匹配。
其中,所述匹配单元具体用于将所述绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配。
其中,所述装置还包括:
第二获取模块,用于在所述第一获取模块获取绑定软件的软件信息之后,获取所述父进程对应的应用软件的软件信息;
第一通讯模块,用于将所述第二获取模块获取的应用软件的软件信息和所述第一获取模块获取的绑定软件的软件信息上传到后台服务器,由所述后台服务器根据所述应用软件的软件信息与所述绑定软件的软件信息分析所述应用软件与所述绑定软件之间的关系以确定是否将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
所述第一通讯模块,还用于接收所述后台服务器返回的更新消息,其中,所述更新消息用于将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
响应模块,用于响应所述第一通讯模块接收的更新消息,将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发所述匹配单元执行所述的将所述第一获取模块获取的绑定软件的软件信息与预置的规则文件进行匹配的操作。
作为另一种可选地实施方式,所述识别模块包括:
传输单元,用于将所述第一获取模块获取的绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由所述后台服务器根据所述MD5判断所述绑定软件是否是流氓软件;
所述传输单元,用于接收所述后台服务器返回的判断结果,其中,所述判断结果用于指示所述绑定软件是否是流氓软件;
第二识别单元,用于根据所述传输单元接收的判断结果,识别所述绑定软件是否是流氓软件。
进一步地,所述装置还包括:
第二通讯模块,用于将所述拦截模块拦截的所述绑定软件的软件信息上报至后台服务器。
其中,所述软件信息包括软件名、公司名、产品名和消息摘要算法MD5。
本发明实施例第三方面公开了一种终端,所述终端包括上述发明实施例所述的装置。
实施本发明实施例,具有如下有益效果:
本发明实施例中,终端设备及时检测安装应用软件的父进程中是否产生了用于安装绑定软件的子进程,终端设备若检测到父进程中产生了安装绑定软件的子进程,则可以获取该绑定软件的软件信息,并可以根据绑定软件的软件信息识别绑定软件是否是流氓软件,例如,应用软件被恶意捆绑或者绑定了与应用软件不相关的软件,终端设备若识别出绑定软件是流氓软件,则拦截该绑定软件的安装,从而保证了终端设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种流氓软件的拦截方法的流程示意图;
图2为本发明实施例公开的另一种流氓软件的拦截方法的流程示意图;
图3为本发明实施例公开的一种流氓软件的拦截装置的结构示意图;
图4为本发明实施例公开的另一种流氓软件的拦截装置的结构示意图;
图5为本发明实施例公开的又一种流氓软件的拦截装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种流氓软件的拦截方法,可以及时拦截流氓软件的安装,保证终端的安全性,以下通过相应的实施例进行说明。
请参见图1,图1为本发明实施例公开的一种流氓软件的拦截方法的流程示意图。如图1所示,该方法具体包括以下步骤。
S101:检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程,若是,则执行步骤S102;若否,则结束本流程。
本发明实施例中,可以由智能手机、电脑、电视以及可接入网络设备等需拦截流氓软件的终端设备来检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程。其中,进程是指一次程序的执行,是一个程序及其数据在处理机上顺序执行时所发生的活动。
S102:获取子进程对应的绑定软件的软件信息。
本发明实施例中,终端设备检测到在安装应用软件的父进程中产生用于安装绑定软件的子进程时,可以获取子进程对应的绑定软件的软件信息。其中,软件信息包括软件名、公司名、产品名、消息摘要算法MD5以及父进程在创建子进程时所传递的命令行参数等。
S103:根据绑定软件的软件信息,识别绑定软件是否是流氓软件,若是,则执行步骤S104;若否,则结束本流程。
本发明实施例中,终端设备可以根据绑定软件的软件信息,识别绑定软件是否是流氓软件。
作为一种可选地实施方式,上述步骤S103中终端设备根据绑定软件的软件信息,识别绑定软件是否是流氓软件的方式可以为:
终端设备可以将绑定软件的软件信息与预置的规则文件进行匹配,其中,预置的规则文件中包含流氓软件的软件信息;若匹配成功,则识别绑定软件是流氓软件,否则,识别绑定软件是非流氓软件。
举例来说,终端设备将绑定软件的软件信息与预置的规则文件进行匹配的方式具体可以为:
终端设备可以将绑定软件的软件信息与预置的规则文件进行通配符匹配。其中,通配符是一种特殊语句,可以将软件信息中的部分关键字用星号(*)或/和问号(?)代替,再与预置的规则文件中流氓软件的软件信息进行比较,当部分相同时,就可以认为绑定软件的软件信息与预置的规则文件进行的通配符匹配成功,从而识别出该绑定软件是流氓软件。
又举例来说,终端设备将绑定软件的软件信息与预置的规则文件进行匹配的方式具体还可以为:
终端设备可以将绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配。当绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5匹配相同时,认为绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5匹配成功。
作为一种可选的实施方式,在图1所描述的方法中,终端设备在执行步骤S102之后,以及终端设备将绑定软件的软件信息与预置的规则文件进行匹配之前,还可以执行以下步骤:
11)终端设备获取父进程对应的应用软件的软件信息;
12)终端设备将应用软件的软件信息和绑定软件的软件信息上传到后台服务器,由后台服务器根据应用软件的软件信息与绑定软件的软件信息分析应用软件与绑定软件之间的关系以确定是否将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
13)终端设备接收后台服务器返回的更新消息,其中,更新消息用于将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
14)终端设备响应更新消息,将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发执行上述的将绑定软件的软件信息与预置的规则文件进行匹配的步骤。
其中,通过上述步骤11)至14)能够及时更新规则文件中包含的流氓软件的软件信息,从而提高识别绑定软件为流氓软件的准确率。
作为另一种可选地实施方式,上述步骤S103中终端设备根据绑定软件的软件信息,识别绑定软件是否是流氓软件的方式还可以为:
21)终端设备将绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由后台服务器根据MD5判断绑定软件是否是流氓软件;
22)终端设备接收后台服务器返回的判断结果,其中,判断结果用于指示绑定软件是否是流氓软件;
23)终端设备根据判断结果,识别绑定软件是否是流氓软件。
其中,通过上述步骤21)至23)可以由后台服务器执行判断绑定软件是否是流氓软件的步骤,从而可以降低终端设备识别绑定软件是否是流氓软件的工作负荷,防止影响终端设备的处理性能。
S104:拦截绑定软件的安装。
本发明实施例中,可以由智能手机、电脑、电视以及可接入网络设备等需拦截流氓软件的终端设备在识别绑定软件是流氓软件时,拦截绑定软件的安装。
作为一种可选地实施方式,终端设备在识别绑定软件是流氓软件时,可以输出提示消息以提示用户绑定软件为流氓软件。其中,提示消息可以包含绑定软件的软件信息。举例来说,终端设备可以以语音方式和/或文字方式发送提示消息以提示用户该绑定软件为流氓软件。
作为一种可选地实施方式,终端设备在拦截绑定软件的安装之后,终端设备还可以将拦截的绑定软件的软件信息上报到后台服务器,由后台服务器统计该绑定软件被拦截的信息(如拦截次数、终端设备的型号等)以供下次拦截参考。
在图1所描述的方法中,终端设备检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程,如果产生了用于安装绑定软件的子进程,则终端设备可以获取子进程对应的绑定软件的软件信息,以根据绑定软件的软件信息,识别绑定软件是否是流氓软件;终端设备若识别出绑定软件是流氓软件,则可以拦截该绑定软件的安装。可见,通过实施在图1中所描述的方法,终端设备可以及时检测到应用软件安装过程中被恶意捆绑或者绑定了与应用软件不相关的流氓软件,从而保证了终端设备的安全性。
请参见图2,图2为本发明实施例提供的另一种流氓软件的拦截方法的流程示意图。如图2所示,该流氓软件的拦截方法可以包括以下步骤。
S201:终端设备检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程,若是,则执行步骤S202;若否,则结束本流程。
S202:终端设备获取子进程对应的绑定软件的软件信息。
S203:终端设备获取父进程对应的应用软件的软件信息。
本发明实施例中,上述步骤S202和步骤S203的执行顺序可以相互置换,或者,上述步骤S202和步骤S203可以同时执行,本发明实施例不作限定。
S204:终端设备将应用软件的软件信息和绑定软件的软件信息上传到后台服务器,由后台服务器根据应用软件的软件信息与绑定软件的软件信息分析应用软件与绑定软件之间的关系以确定是否将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中。
本发明实施例中,后台服务器可以根据应用软件的软件信息与绑定软件的软件信息来分析应用软件与绑定软件之间的关系,举例来说,该关系可以为:应用软件绑定了一个不相关的绑定软件,或者应用软件捆绑了需要扣费的绑定软件等。
S205:终端设备接收后台服务器返回的更新消息,其中,更新消息用于将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中。
S206:终端设备响应更新消息,将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发执行步骤S207。
本发明实施例中,终端设备也可以不执行步骤S203至S206,而在可以接入网络时,就向后台服务器获取最新的规则文件,以使终端设备执行完步骤S202后,再执行步骤S207时,就可采用最新的规则文件。
S207:终端设备将绑定软件的软件信息与预置的规则文件进行匹配,若匹配成功,则执行步骤S208。
其中,预置的规则文件中包含流氓软件的软件信息。
本发明实施例中,终端设备可以将绑定软件的软件信息与预置的规则文件进行通配符匹配,也可以将绑定软件的软件信息中包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配,这里不做限定。
S208:终端设备识别绑定软件是流氓软件。
作为另一种可选地实施方式,终端设备还可以执行图1对应实施例中步骤21)至23),以识别绑定软件是否是流氓软件,从而可以降低终端设备的工作负荷,防止影响终端设备的处理性能。
S209:终端设备拦截绑定软件的安装,并输出提示消息以提示用户绑定软件为流氓软件,其中,提示消息包含绑定软件的软件信息。
具体地,终端设备可以以语音方式或者文字方式输出提示消息以提示用户绑定软件为流氓软件。
进一步地,终端设备执行完步骤S209之后,还可以将拦截的绑定软件的软件信息上报至后台服务器,以使后台服务器统计分析被拦截的绑定软件的信息(如拦截次数、终端设备的型号等)以使终端设备下次拦截绑定软件时参考。
在图2所描述的方法中,终端设备检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程,并在检测到产生了用于安装绑定软件的子进程时,获取绑定软件的软件信息,以识别绑定软件是否是流氓软件;终端设备识别出该绑定软件是流氓软件时,可以及时拦截该绑定软件的安装。另外,终端设备还可以将应用软件和绑定软件的软件信息上传到后台服务器,由后台服务器分析是否将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,从而及时更新规则文件以提高拦截流氓软件的准确率。可见,图2所描述的方法中,可以及时拦截流氓软件的安装,并提高拦截流氓软件的准确率。
请参见图3,图3为本发明实施例公开的一种流氓软件的拦截装置的结构示意图。如图3所示,该流氓软件的拦截装置包括:
检测模块1,用于检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程;
第一获取模块2,用于在检测模块1检测到产生了用于安装绑定软件的子进程时,获取子进程对应的绑定软件的软件信息;
识别模块3,用于根据第一获取模块2获取的绑定软件的软件信息,识别绑定软件是否是流氓软件;
拦截模块4,用于在识别模块3识别绑定软件是流氓软件时,拦截绑定软件的安装。
请一并参阅图4,图4是本发明实施例公开的另一种流氓软件的拦截装置的结构示意图。其中,图4所示的流氓软件的拦截装置是由图3所示的流氓软件的拦截装置进行优化得到的。与图3所示的装置相比较,图4所示的流氓软件的拦截装置还可以包括:
输出模块5,用于在识别模块3识别出绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件,其中,提示消息包含绑定软件的软件信息。具体地,输出模块5还可以以语音方式和/或文字方式输出提示消息以提示用户绑定软件为流氓软件。
第二获取模块6,用于在第一获取模块2获取绑定软件的软件信息之后,获取父进程对应的应用软件的软件信息。
本发明实施例中,第一获取模块2在获取绑定软件的软件信息之后,可以触发第二获取模块6启动。
第一通讯模块7,用于将第二获取模块6获取的应用软件的软件信息和第一获取模块2获取的绑定软件的软件信息上传到后台服务器,由后台服务器根据应用软件的软件信息与绑定软件的软件信息分析应用软件与绑定软件之间的关系以确定是否将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中。
第一通讯模块7,还用于接收后台服务器返回的更新消息,其中,更新消息用于将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中。
响应模块8,用于响应第一通讯模块7接收的更新消息,将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发匹配单元31执行将第一获取模块2获取的绑定软件的软件信息与预置的规则文件进行匹配的操作。
本发明实施例中,上述的规则文件也可以预置在响应模块8中。
进一步地,如图4所示的流氓软件的拦截装置还可以包括第二通讯模块9,用于将拦截模块4拦截的绑定软件的软件信息上报至后台服务器。其中,软件信息包括软件名、公司名、产品名和消息摘要算法MD5等。
在图4所示的流氓软件的拦截装置中,识别模块3可以包括:
匹配单元31,用于将第一获取模块2获取的绑定软件的软件信息与预置的规则文件进行匹配,其中,预置的规则文件中包含流氓软件的软件信息。
其中,匹配单元31可以在响应模块8的触发下,将第一获取模块2获取的绑定软件的软件信息与响应模块8中预置的规则文件进行匹配。
举例来说,匹配单元31可以将绑定软件的软件信息与预置的规则文件中流氓软件的软件信息进行通配符匹配;又举例来说,匹配单元31可以将绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配,从而提高匹配效率。
第一识别单元32,用于在匹配单元31匹配成功时,识别绑定软件是流氓软件,否则,在匹配单元31匹配失败时,识别绑定软件是非流氓软件。
相应地,输出模块5具体用于在第一识别单元32识别出绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件。
请一并参阅图5,图5是本发明实施例公开的另一种流氓软件的拦截装置的结构示意图。其中,图5所示的流氓软件的拦截装置是由图3所示的流氓软件的拦截装置进行优化得到的。与图3所示的装置相比,图5所示的流氓软件的拦截装置还可以包括:
输出模块5,用于在识别模块3识别出绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件,其中,提示消息包含绑定软件的软件信息。具体地,输出模块5还可以以语音方式和/或文字方式输出提示消息以提示用户绑定软件为流氓软件。
第二通讯模块9,用于将拦截模块4拦截的绑定软件的软件信息上报至后台服务器。
本发明实施例中,第一获取模块2在获取绑定软件的软件信息之后,可以触发传输单元33启动。
如图5所示的流氓软件的拦截装置中,识别模块3可以包括:
传输单元33,用于在第一获取模块2的触发下,将第一获取模块2获取的绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由后台服务器根据MD5判断绑定软件是否是流氓软件。
传输单元33,还用于接收后台服务器返回的判断结果,其中,判断结果用于指示绑定软件是否是流氓软件。
第二识别单元34,用于根据传输单元33接收的判断结果,识别绑定软件是否是流氓软件。
相应地,输出模块5具体用于在第二识别单元34识别出绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件。
相应地,拦截模块4具体用于在第二识别单元34识别出绑定软件是流氓软件时,拦截该绑定软件的安装。
本发明实施例中,通过实施图3~图5任一种流氓软件的拦截装置可以及时的拦截流氓软件的安装,从而保证了终端设备的安全性。
进一步地,通过实施图4所示的流氓软件的拦截装置还可以将应用软件和绑定软件的软件信息上传到后台服务器,由后台服务器分析是否将绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,从而及时更新规则文件,提高拦截流氓软件的准确率。
进一步地,通过实施图5所示的流氓软件的拦截装置还可以将绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由后台服务器根据MD5判断绑定软件是否是流氓软件,从而可以减轻终端设备的处理负担,并相应地提高处理性能。
本发明实施例还公开了一种终端,该终端包括图3至图5对应的任一实施例所描述的流氓软件的拦截装置,该终端可以及时拦截流氓软件的安装,进一步地,还可以及时更新规则文件,提高拦截流氓软件的准确率。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (15)

1.一种流氓软件的拦截方法,其特征在于,包括:
检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程;
如果产生,获取所述子进程对应的绑定软件的软件信息;
根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件;
若是流氓软件,则拦截所述绑定软件的安装;
其中,所述根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件,包括:
将所述绑定软件的软件信息与预置的规则文件进行匹配,其中,所述预置的规则文件中包含流氓软件的软件信息;
若匹配成功,则识别所述绑定软件是流氓软件,若匹配失败,则识别所述绑定软件是非流氓软件;
所述将所述绑定软件的软件信息与预置的规则文件进行匹配,包括:
将所述绑定软件的软件信息与预置的规则文件中流氓软件的软件信息进行通配符匹配;
所述获取所述绑定软件的软件信息之后,以及所述将所述绑定软件的软件信息与预置的规则文件进行匹配之前,所述方法还包括:
获取所述父进程对应的应用软件的软件信息;
将所述应用软件的软件信息和所述绑定软件的软件信息上传到后台服务器,由所述后台服务器根据所述应用软件的软件信息与所述绑定软件的软件信息分析所述应用软件与所述绑定软件之间的关系以确定是否将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
接收所述后台服务器返回的更新消息,其中,所述更新消息用于将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
响应所述更新消息,将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发执行将所述绑定软件的软件信息与预置的规则文件进行匹配的步骤。
2.如权利要求1所述的方法,其特征在于,若识别所述绑定软件是流氓软件,所述方法还包括:
输出提示消息以提示用户所述绑定软件为流氓软件,其中,所述提示消息包含所述绑定软件的软件信息。
3.如权利要求2所述的方法,其特征在于,所述输出提示消息以提示用户所述绑定软件为流氓软件,包括:
以语音方式和/或文字方式输出提示消息以提示用户所述绑定软件为流氓软件。
4.如权利要求1所述的方法,其特征在于,所述将绑定软件的软件信息与预置的规则文件进行匹配,包括:
将所述绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配。
5.如权利要求1所述的方法,其特征在于,所述根据所述绑定软件的软件信息,识别所述绑定软件是否是流氓软件,包括:
将所述绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由所述后台服务器根据所述MD5判断所述绑定软件是否是流氓软件;
接收所述后台服务器返回的判断结果,其中,所述判断结果用于指示所述绑定软件是否是流氓软件;
根据所述判断结果,识别所述绑定软件是否是流氓软件。
6.如权利要求1或2所述的方法,其特征在于,所述拦截所述绑定软件的安装之后,所述方法还包括:
将拦截的所述绑定软件的软件信息上报至后台服务器。
7.如权利要求1所述的方法,其特征在于,所述软件信息包括软件名、公司名、产品名和消息摘要算法MD5。
8.一种流氓软件的拦截装置,其特征在于,包括:
检测模块,用于检测在安装应用软件的父进程中是否产生用于安装绑定软件的子进程;
第一获取模块,用于在所述检测模块检测到产生用于安装绑定软件的子进程时,获取所述子进程对应的绑定软件的软件信息;
识别模块,用于根据所述第一获取模块获取的绑定软件的软件信息,识别所述绑定软件是否是流氓软件;
拦截模块,用于在所述识别模块识别所述绑定软件是流氓软件时,拦截所 述绑定软件的安装;
所述识别模块包括:
匹配单元,用于将所述第一获取模块获取的绑定软件的软件信息与预置的规则文件进行匹配,其中,所述预置的规则文件中包含流氓软件的软件信息;
第一识别单元,用于在所述匹配单元匹配成功时,识别所述绑定软件是流氓软件,或者,在所述匹配单元匹配失败时,识别所述绑定软件是非流氓软件;
其中,所述匹配单元具体用于将所述绑定软件的软件信息与预置的规则文件中流氓软件的软件信息进行通配符匹配;
所述装置还包括:
第二获取模块,用于在所述第一获取模块获取绑定软件的软件信息之后,获取所述父进程对应的应用软件的软件信息;
第一通讯模块,用于将所述第二获取模块获取的应用软件的软件信息和所述第一获取模块获取的绑定软件的软件信息上传到后台服务器,由所述后台服务器根据所述应用软件的软件信息与所述绑定软件的软件信息分析所述应用软件与所述绑定软件之间的关系以确定是否将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
所述第一通讯模块,还用于接收所述后台服务器返回的更新消息,其中,所述更新消息用于将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中;
响应模块,用于响应所述第一通讯模块接收的更新消息,将所述绑定软件的软件信息作为流氓软件的软件信息添加至规则文件中,并且触发所述匹配单元执行所述的将所述第一获取模块获取的绑定软件的软件信息与预置的规则文件进行匹配的操作。
9.如权利要求8所述的装置,其特征在于,所述装置还包括:
输出模块,用于在所述识别模块识别出所述绑定软件是流氓软件时,输出提示消息以提示用户所述绑定软件为流氓软件,其中,所述提示消息包含所述绑定软件的软件信息。
10.如权利要求9所述的装置,其特征在于,所述输出模块具体用于以语音方式和/或文字方式输出提示消息以提示用户所述绑定软件为流氓软件。
11.如权利要求10所述的装置,其特征在于,所述匹配单元具体用于将所 述绑定软件的软件信息包含的消息摘要算法MD5与预置的规则文件中流氓软件的软件信息包含的MD5进行匹配。
12.如权利要求8所述的装置,其特征在于,所述识别模块包括:
传输单元,用于将所述第一获取模块获取的绑定软件的软件信息中包含的消息摘要算法MD5上传到后台服务器,由所述后台服务器根据所述MD5判断所述绑定软件是否是流氓软件;
所述传输单元,还用于接收所述后台服务器返回的判断结果,其中,所述判断结果用于指示所述绑定软件是否是流氓软件;
第二识别单元,用于根据所述传输单元接收的判断结果,识别所述绑定软件是否是流氓软件。
13.如权利要求8或9所述的装置,其特征在于,所述装置还包括:
第二通讯模块,用于将所述拦截模块拦截的所述绑定软件的软件信息上报至后台服务器。
14.如权利要求8所述的装置,其特征在于,所述软件信息包括软件名、公司名、产品名和消息摘要算法MD5。
15.一种终端,其特征在于,所述终端包括权利要求8至14任一项所述的装置。
CN201410318645.XA 2014-07-03 2014-07-03 一种流氓软件的拦截方法及装置、终端 Active CN104123496B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410318645.XA CN104123496B (zh) 2014-07-03 2014-07-03 一种流氓软件的拦截方法及装置、终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410318645.XA CN104123496B (zh) 2014-07-03 2014-07-03 一种流氓软件的拦截方法及装置、终端

Publications (2)

Publication Number Publication Date
CN104123496A CN104123496A (zh) 2014-10-29
CN104123496B true CN104123496B (zh) 2017-08-04

Family

ID=51768904

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410318645.XA Active CN104123496B (zh) 2014-07-03 2014-07-03 一种流氓软件的拦截方法及装置、终端

Country Status (1)

Country Link
CN (1) CN104123496B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104992110B (zh) * 2015-07-13 2018-01-19 北京金山安全软件有限公司 一种针对推广软件的拦截特征库更新方法及装置
CN105279427B (zh) * 2015-10-12 2018-08-07 北京金山安全软件有限公司 一种软件安装过程中推送软件的识别方法、装置及用户终端
CN105243324A (zh) * 2015-10-20 2016-01-13 珠海市君天电子科技有限公司 一种用户终端中恶意软件的识别方法、装置及用户终端
CN106709337A (zh) * 2015-11-18 2017-05-24 中兴通讯股份有限公司 一种恶意捆绑软件的处理方法和装置
CN105631312B (zh) * 2015-12-25 2018-09-07 北京奇虎科技有限公司 恶意程序的处理方法及系统
CN112084503A (zh) * 2020-09-18 2020-12-15 珠海豹趣科技有限公司 一种拦截规则库生成方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103235913A (zh) * 2013-04-03 2013-08-07 北京奇虎科技有限公司 一种用于识别、拦截捆绑软件的系统、设备及方法
CN103646209A (zh) * 2013-12-20 2014-03-19 北京奇虎科技有限公司 基于云安全拦截捆绑软件的方法和装置
CN103679016A (zh) * 2012-09-04 2014-03-26 珠海市君天电子科技有限公司 手机恶意程序的处理方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103679016A (zh) * 2012-09-04 2014-03-26 珠海市君天电子科技有限公司 手机恶意程序的处理方法和系统
CN103235913A (zh) * 2013-04-03 2013-08-07 北京奇虎科技有限公司 一种用于识别、拦截捆绑软件的系统、设备及方法
CN103646209A (zh) * 2013-12-20 2014-03-19 北京奇虎科技有限公司 基于云安全拦截捆绑软件的方法和装置

Also Published As

Publication number Publication date
CN104123496A (zh) 2014-10-29

Similar Documents

Publication Publication Date Title
CN104123496B (zh) 一种流氓软件的拦截方法及装置、终端
CN108366045B (zh) 一种风控评分卡的设置方法和装置
EP3174264A1 (en) Apparatus and method for automatically generating detection rule
CN104966053A (zh) 人脸识别方法及识别系统
CN109561085A (zh) 一种基于设备识别码的身份验证方法、服务器及介质
CN104462509A (zh) 垃圾评论检测方法及装置
CN104021467A (zh) 保护移动终端支付安全的方法和装置以及移动终端
CN107872433A (zh) 一种身份验证方法及其设备
CN105446864B (zh) 缓存文件删除影响的校验方法、装置及移动终端
CN104320677A (zh) 一种审核服务器、主控服务器及视频检测系统
CN106775602A (zh) 一种代码发布方法及装置
CN104484407A (zh) 一种识别诈骗信息的方法和系统
CN105930726B (zh) 一种恶意操作行为的处理方法及用户终端
CN107302586A (zh) 一种Webshell检测方法以及装置、计算机装置、可读存储介质
CN104809046B (zh) 一种应用程序联网控制方法和应用程序联网控制装置
CN110113315A (zh) 一种业务数据的处理方法及设备
CN103310139A (zh) 一种输入验证方法和输入验证装置
CN109600362A (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
CN107944307B (zh) 一种计算机安全防护管理系统
CN104751051A (zh) 恶意广告的识别方法及装置、移动终端
CN111861465A (zh) 基于智能合约的检测方法及装置、存储介质、电子装置
CN112000853A (zh) 设备唯一标识的生成/反馈方法、介质及客户端、服务端
CN105550573B (zh) 拦截捆绑软件的方法和装置
CN104200164B (zh) 一种加载器Loader病毒的查杀方法、装置及终端
CN106548097A (zh) 网络设备软件的运行方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20181128

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Seal Interest Technology Co., Ltd.

Address before: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.