CN105631312B - 恶意程序的处理方法及系统 - Google Patents

恶意程序的处理方法及系统 Download PDF

Info

Publication number
CN105631312B
CN105631312B CN201510993785.1A CN201510993785A CN105631312B CN 105631312 B CN105631312 B CN 105631312B CN 201510993785 A CN201510993785 A CN 201510993785A CN 105631312 B CN105631312 B CN 105631312B
Authority
CN
China
Prior art keywords
information
file
user
rogue program
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510993785.1A
Other languages
English (en)
Other versions
CN105631312A (zh
Inventor
董清
马贞辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201510993785.1A priority Critical patent/CN105631312B/zh
Publication of CN105631312A publication Critical patent/CN105631312A/zh
Application granted granted Critical
Publication of CN105631312B publication Critical patent/CN105631312B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Stored Programmes (AREA)

Abstract

本发明涉及计算机技术领域,尤其涉及一种恶意程序的处理方法及系统。所述的方法包括:读取主软件安装包中的原配置文件;对原配置文件中的恶意程序进行标记;当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。本方案不仅可实时维护用户所使用终端设备的安全性,并可便于用户实时了解主软件安装进程及恶意程序的拦截进程,且还可便于用户对安装及恶意程序拦截的进程实时干预,以提高用户的参与度,使用户的感觉性更强;同时,用户可根自主求选择主软件安装控制模式,以提高用户软件安装的便捷性及安装控制方式的多样性。

Description

恶意程序的处理方法及系统
【技术领域】
本发明涉及计算机技术领域,尤其涉及一种恶意程序的处理方法及系统。
【背景技术】
恶意程序是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、犯罪软件、间谍软件和广告软件等等,都可以称之为恶意程序。
现今,以捆绑方式推广恶意程序已成为一种潮流,所捆绑的软件几乎涉及了电脑日常使用的方方面面。对于广大的普通用户来说,在安装过程中通常并不会去仔细阅读理解被勾选选项的内容,用户通过默认直接点击安装软件的情况下,被恶意程序在用户不知情的情况下即安装在了其电脑上;这样,待用户软件安装完成后,除了该款需要的软件外,还多了一些其他的捆绑安装的软件,这些捆绑的软件是用户并不需要、不想安装的。
对于此类恶意程序,当用户试图进行卸载时,势必会浪费用户的时间和精力;而若用户置之不管时,用户的计算机由于安装了不必要的恶意程序,日积月累,恶意程序的数量越来越多,会占用大量的资源,进而影响用户电脑系统的性能,开机、运行等效率降低,甚至影响用户的正常使用;更严重的,有些恶意程序可能会导致用户在不知情的情况下误安装一些恶意软件,或者是广告骚扰程序等,进而不仅仅影响用户电脑的系统性能,影响用户上网及使用软件时的体验,还可能威胁到用户的电脑安全。
目前,也有一些针对恶意程序的一些拦截方法,但现有的方法是启动拦截后,是拦截程序自身在运行,用户无法知晓其中的拦截进程,更无法进行拦截干预,用户的参与感及感觉性较弱。
【发明内容】
本发明的目的旨在解决上述至少一个问题,提供了一种恶意程序的处理方法及系统。
为实现该目的,本发明采用如下技术方案:
本发明提供了一种恶意程序的处理方法,主要用于移动终端,其包括以下步骤:
读取主软件安装包中的原配置文件;
对原配置文件中的恶意程序进行标记;
当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。
进一步的,本发明所述的方法,还包括:
对原配置文件进行检测,以识别出原配置文件中的恶意程序。
具体的,所述对原配置文件进行检测,以识别出原配置文件中的恶意程序的步骤中,包括:
将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。
具体的,所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF(Executable and Linkable Format;可执行连接格式)文件信息。
具体的,所述将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配的过程中,包括:
将原配置文件的相关信息与所述特定程序匹配条件进行匹配;
获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;
将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
具体的,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息;
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
进一步的,本发明所述的方法,还包括:
对所述原配置文件中的恶意程序进行处理。
具体的,所述对所述原配置文件中的恶意程序进行处理的步骤中,包括:
获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;
将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。
具体的,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御的过程中,包括:
主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;
判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;
若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;
根据返回结果对所述恶意程序进行相应的文件防御处理。
具体的,在所述当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户的过程中,包括:
实时检测客户端中进行主软件安装的当前进程。
具体的,在所述当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户的过程中,还包括:
提示用户选择主软件安装的控制模式;
根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制。
具体的,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
进一步的,在所述提示用户选择主软件安装的控制模式的步骤之后,还包括:
对用户所选择的主软件安装的控制模式进行识别。
依据本发明的一个实施例所揭示,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,包括:
当识别到用户选择全自动模式时,将所述标记的恶意程序进行拦截;
将主软件安装的实时操控指令和/或当前进程信息提示给用户。
进一步的,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
依据本发明的又一个实施例所揭示,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,包括:
当识别到用户选择半自动模式时,将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整;
控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
进一步的,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序
当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
依据本发明的又一个实施例所揭示,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,包括:
当识别到用户选择提示模式时,实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;
根据用户选定的内容或选择的操作指令,执行对应的操作。
进一步的,本发明所述的方法,还包括:
接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
进一步的,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
根据所述主软件安装的进程,实时调用所述脚本。
相应的,本发明还提供了一种恶意程序的处理系统,主要用于移动终端,其包括:
读取模块,用于读取主软件安装包中的原配置文件;
标记模块,用于对原配置文件中的恶意程序进行标记;
提示模块,用于当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。
进一步的,本发明所述的系统,还包括:
检测模块,用于对原配置文件进行检测,以识别出原配置文件中的恶意程序。
具体的,所述检测模块包括:
匹配子模块,用于将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。
具体的,所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF文件信息。
具体的,所述匹配子模块包括:
匹配单元,用于将原配置文件的相关信息与所述特定程序匹配条件进行匹配;
获取单元,用于获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;
作为单元,用于将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
具体的,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息;
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
进一步的,本发明所述的系统,还包括:
处理模块,用于对所述原配置文件中的恶意程序进行处理。
具体的,所述处理模块包括:
解析子模块,用于获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;
防御子模块,用于将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。
具体的,所述防御子模块包括:
生成获取单元,用于主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;
匹配判断单元,用于判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;
若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;
防御处理单元,用于根据返回结果对所述恶意程序进行相应的文件防御处理。
具体的,所述提示模块包括:
检测子模块,用于实时检测客户端中进行主软件安装的当前进程。
具体的,所述提示模块还包括:
选择提示子模块,用于提示用户选择主软件安装的控制模式;
操作执行子模块,用于根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制。
具体的,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
进一步的,所述提示模块还包括:
识别子模块,用于对用户所选择的主软件安装的控制模式进行识别。
依据本发明的一个实施例所揭示,所述操作执行子模块包括:
第一拦截单元,用于当识别到用户选择全自动模式时,将所述标记的恶意程序进行拦截;
第一提示单元,用于将主软件安装的实时操控指令和/或当前进程信息提示给用户。
进一步的,所述操作执行子模块还包括:
控制单元,用于根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
依据本发明的又一个实施例所揭示,所述操作执行子模块包括:
选定提示单元,用于当识别到用户选择半自动模式时,将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整;
禁用控制单元,用于控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
进一步的,所述操作执行子模块还包括:
选定识别单元,用于实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序
第二拦截单元,用于当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
依据本发明的又一个实施例所揭示,所述操作执行子模块包括:
第二提示单元,用于当识别到用户选择提示模式时,实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;
指令执行单元,用于根据用户选定的内容或选择的操作指令,执行对应的操作。
进一步的,本发明所述的方法,还包括:
接收模块,用于接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
进一步的,所述操作执行子模块还包括:
调用单元,用于根据所述主软件安装的进程,实时调用所述脚本。
与现有技术相比,本发明具备如下优点:
本发明不仅可通过上述方案检测出原配置文件中的恶意程序,并对所述恶意程序进行防御处理,以维护用户所使用的终端设备的安全性,且本发明可对原配置文件中的恶意程序进行标记,然后当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作,该过程可使用户实时知晓主软件的安装进程及拦截进程,且用户还可根据需要参与拦截进程中,以提高用户的参与感,使用户的感觉性更强。
另外,用户可根据需求选择全自动模式、半自动模式或提示模式的所述主软件安装控制模式,无论用户选择前述何种控制模式,皆可使用户实时了解主软件安装进程及恶意程序的拦截进程。其中,当识别到用户选择全自动模式时,服务器会将所述标记的恶意程序进行拦截,并将主软件安装的实时操纵指令和/或当前进程信息提示给用户,以便用户实时了解主软件安装进程及恶意程序的拦截进程;当识别到用户选择半自动模式时,服务器将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整,同时控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序,该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
因此,本发明不仅可实时维护用户所使用终端设备的安全性,且还可便于用户实时了解主软件安装进程及恶意程序的拦截进程,并可便于用户对安装进程及恶意程序的拦截进程实时干预,以提高用户的参与度,使用户的感觉性更强;同时,用户可根据自身需求选择主软件安装控制模式,其无论用户选择前述何种控制模式,皆可使用户实时了解主软件安装进程及恶意程序的拦截进程,在确保拦截用户无需安装的恶意程序的同时,还可提高用户软件安装的便捷性及安装控制方式的多样性。
【附图说明】
图1为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图2为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图3为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图4为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图5为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图6为本发明中恶意程序的处理方法的一个实施例的程序流程图;
图7为本发明中所述云端鉴别条件的示意图;
图8为本发明中恶意程序的处理系统的一个实施例的结构框图;
图9为本发明中恶意程序的处理系统中提示模块的一个实施例的结构框图;
图10为本发明中恶意程序的处理系统中操作执行子模块的一个实施例的结构框图;
图11为本发明中恶意程序的处理系统中操作执行子模块的一个实施例的结构框图;
图12为本发明中恶意程序的处理系统的一个实施例的结构框图;
图13为本发明中恶意程序的处理系统的一个实施例的结构框图。
【具体实施方式】
下面结合附图和示例性实施例对本发明作进一步地描述,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。此外,如果已知技术的详细描述对于示出本发明的特征是不必要的,则将其省略。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的服务器、云端、远端网络设备等概念,具有等同效果,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
有必要先对本发明的应用场景及其原理进行如下的先导性说明。
互联网中,一般包括用户端(用户移动终端)、网络和服务器(如网站的Web服务器等)。其中用户端可以是用户的互联网移动终端,如台式机(PC)、膝上型计算机(Laptop),带有网页浏览功能的智能型设备,如个人数字助理(Personal Digital Assisstant,PDA),以及移动互联网设备(Mobile Internet Device,MID)和智能手机(Phone)等。这些移动终端都可以在互联网环境中,典型的如英特网环境中,请求由另一进程(如服务器提供的进程)提供某项服务。
服务器通常是可通过互联网等通信媒介,典型的如英特网访问的远程计算机系统。而且,服务器通常可以为来自互联网的多个用户端提供服务。提供服务过程包括接收用户端发来的请求,收集用户端情报和反馈信息等。实质上,服务器充当计算机网络的信息提供者这一角色。服务器通常位于提供服务的一方,或由服务提供方配置以服务内容,这样的服务提供方可以如互联网服务公司的网站等。
本发明的有关方法和终端的应用场景,是以适合于信息、数据查找、进程监控、数据处理及数据存储的服务器为下文中的拦截程序服务器,例如杀毒软件、拦截软件等。需要说明的是,该描述仅是示例性的,本发明的范围并不限于此。
以下将详细说明为了运用上述的原理实现上述的场景而提出的本发明的若干技术方案的具体实施方式。需要说明的是,本发明提供了一种恶意程序的处理方法,即从移动终端的视角来描述该方法,可以通过编程将恶意程序的处理方法实现为计算机程序在远端网络设备上实现,其包括但不限于计算机、智能手机、智能移动终端、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。
请参见附图1,本发明一种恶意程序的处理方法的一个典型实施例,其包括以下步骤:
S100,读取主软件安装包中的原配置文件。
具体的,当主软件安装包下载完成,准备安装时,拦截程序服务器即会对该主软件安装包中的原配置文件进行读取检测。
需要说明的是,以Android为例,所述读取的特征信息包括:
1)Android安装包包名:packageName;
2)Android安装包版本号:versionCode;
3)Android安装包的数字签名的MD5(Message-Digest Algorithm 5,信息-摘要算法):signature[0];
4)Android组件receiver;
5)classes.dex中的指令;
6)ELF文件中的字符串;
7)assets,res,lib等目录下各文件的MD5;
8)Android组件service,activity等。
S110,对原配置文件中的恶意程序进行标记。
具体的,首先根据云端鉴别条件库,对原配置文件中的恶意程序进行精确匹配抓取,其精确匹配抓取方式包括如下过程:将原配置文件中的安装进程的描述信息与云端鉴别条件库中保存的黑名单进行匹配比对,若匹配成功,则对该安装进程文件标记为恶意程序。所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
其中,所述云端鉴别条件库保存的对应执行拦截策略的行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认的进程无关的安装操作的描述信息。
所述云端鉴别条件库中保存的对应执行拦截策略的安装进程的描述信息,包括以下一种或者多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的安装进程的描述信息、已执行拦截的安装进程的描述信息、预先收集的默认拦截的安装进程的描述信息、预先收集的默认拦截的下载进程访问的网络地址。
S120,当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。
需要说明的是,由于对于一些恶意程序,其还具有修改配置文件,将自身置为自启动程序的行为,因此,本发明还可以通过注入和java hook等手段,实时监听各个软件的启动行为,并能够分析出导致该软件被唤醒的组件。在判定是否为软件的自启行为时,会遵循以下规则:(1)可视化组件(activity组件)引发的启动行为不能被拦截,因为这种行为多由用户触发,并非软件自启;(2)针对broadcast组件,则分两种情况处理。如果包含该broadcast组件的软件已经处于运行状态,则认为当前的启动行为并非自启,不需要被拦截,这种情况一般发生在多进程Android软件中。反之,则认为是自启;(3)针对service组件的判别方式与broadcast组件类似,但是service组件的重要性一般要高于broadcast组件,不恰当的拦截极有可能导致某些软件运行异常,为了避免这种情况,当service组件引发的自启行为被拦截时,我们会给予提示,引导用户完成预期的操作;(4)对于provider组件引发的启动行为,一般不拦截。通过对这些规则的应用,可以较准确的判定软件的自启行为,同时又不对用户的正常使用造成困扰。
具体的,请参见附图2,在所述当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户的过程中,包括:
S200,实时检测客户端中进行主软件安装的当前进程。
具体地,提取文件的特征值可采用多种方法,例如匹配ELF(Executable andLinking Format,可执行链接文件)文件中可执行代码的机器指令,具体在提取文件的特征值时,可以只提取文件中一段指定长度的数据(可执行代码的指令或者是其中一部分)。
例如,可以采用如下方式提取文件的特征值:
以Android操作系统为例,大部分Android应用都主要是由Java语言编写,编译之后生成了Dalvik虚拟机的字节码(byte code),打包成了classes.dex文件。解析classes.dex文件,反编译其字节码,就可以得到应用程序所要执行的指令。
可以挑选指令中能代表恶意软件特征的指令作为特征码,当发现classes.dex文件中包含这样的特征码时,就作为一个特征。例如,Android.Geinimi木马为了隐藏自己,将一些关键数据(如木马服务器信息)加密之后写入代码中,这些被加密的数据反而成为了检测识别它的特征。用dexdump工具分析classes.dex文件可看到输出中包含以下片段:
00d00c:0003 0100 1000 0000 5535 0234 8664...|02d4:array-data(12units)
00d024:0003 0100 1000 0000 1bea c301 eadf...|02e0:array-data(12units)
上述片段就可以提取作为检测识别的特征。
当然,dexdump工具只是显示这些特征数据的手段之一,也可以通过其他方式自行实现解析、反编译和识别classes.dex文件的功能。
综上所述,样本一不包含ELF文件,所以没有提取到ELF特征。
从样本一中提取了上述特征之后,假设安全识别库中存在以下特征记录:
特征一:packageName=com.wbs
特征二:无
特征三:MD5(signature[0])=294f08ae04307a649322524713318543
特征一+特征三:安全级别为“木马”
当检测流程走到“找到包含特征一、特征三的木马”时,找到记录,返回结果为“木马”。
S210,提示用户选择主软件安装的控制模式。
具体的,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
S220,对用户所选择的主软件安装的控制模式进行识别。
具体的,根据用户触发相应的标识指令按钮来识别,并将识别结果反馈至下一级进程控制端,以便下一级进程控制端根据标识指令按钮预设的执行。
S230,根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制。
具体的,所述安装信息提示包括安装进程信息提示及恶意程序的拦截信息提示;所述安装进程控制包括主软件安装进程控制及恶意程序的拦截进程控制。
请参见附图3,在本发明的一个实施例中,当识别到用户选择全自动模式时,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的过程中,包括:
S300,将所述标记的恶意程序进行拦截。
具体的,该过程是拦截程序服务器直接将标记的恶意程序进行选定执行拦截的。
需要说明的是,所述将所述标记的恶意程序进行拦截的过程是通过免疫的方式对恶意程序进行查杀,其中,包括:向移动终端发送用于注入到移动终端的指定程序中的查杀代码;同时,指定程序为具有比恶意程序更高的启动优先级;查杀代码用于在指定程序启动时被加载,并关闭恶意程序的进程。
S310,根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
S320,将主软件安装的实时操控指令和/或当前进程信息提示给用户。
具体的,所述主软件安装的实时操控指令和/或当前进程信息都是按预设的软件安装方式执行的;所述进程信息提示是随主软件安装的实时进程而实时触发提示给用户的,在进程信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于进程信息提示的脚本。例如,所述当前进程信息可为“正在选定恶意程序”、“正在拦截恶意程序”等。其中,该步骤过程是模拟用户手机点击按钮的操作,以Android(安卓)为例,具体的实现方式是Android提供一个名为“辅助功能”的设置,开启之后,可以获得移动终端的屏幕上所有界面的一些基本信息,比如哪个App(应用)切换到桌面、用户触摸屏幕的坐标等等,并且运行程序模拟用户的一些操作,这里模拟的是用户点击某个按钮的操作,模拟用户点击和用户真实点击的效果是一致的。由于本发明实施例可以在急救箱产品中实现,因而做这些操作的只是急救箱里的一个服务,只要用户开启,这个服务就会在后台一致运行,接收到移动终端界面变化的一些基本信息,如果出现指定的界面变化,比如出现卸载恶意程序的对话框,则找到对话框中的卸载按钮,模拟一次用户点击事件;又如出现禁用恶意程序的设置界面,则找到设置界面中的禁用按钮,模拟一次用户点击。
此外,在本发明的另一实施例中,由于在Android系统中,一个App是没法监听到其他App的激活设备管理器事件的,因而当前急救箱的机制是急救箱的进程遍历Android系统中所有安装的App(随后用杀毒引擎进行扫描,如果发现某个App是病毒或恶意程序,就对该App调用系统的一个隐藏接口,即DevicePolicyManager的packageHasActiveAdmins方法来判断这个App是否激活了设备管理器,如果激活了,就取消激活,然后卸载或禁用该App。
需要说明的是,所述步骤S300、步骤S310及步骤S320是同步执行。
请参见附图4,在本发明的又一个实施例中,当识别到用户选择半自动模式时,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的过程中,包括:
S400,将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整。
具体的,所述选定信息提示是随主软件安装的实时进程而实时触发提示给用户的,在选定信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于选定信息提示的脚本。其中,例如,所述选定信息可为“正在选定恶意程序”、“恶意程序已全选定”等。
S410,控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
具体的,在指令按钮禁用期间,用户无法点击生效该禁用的指令按钮;启动所述指令按钮解禁的倒计时是与时间戳相配合的,所述倒计时是预设的,例如倒计时可预设为10秒等;用户可在步骤S400中已将标记的恶意程序全都选定的情况下,根据自身需求,手动调整恶意程序的选定;该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
S420,实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序。
具体的,可实时识别拦截程序服务器自动选定的恶意程序和用户手动调整的恶意程序选定情况。
S430,当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
需要说明的是,可预设为当所述指令按钮解禁后,需用户点击生效下一操作指令,拦截程序服务器才会执行下一操作指令程序进程,也可预设为,当所述指令按钮解禁后,拦截程序服务器自动控制执行下一操作指令程序进程。
在本发明的又一个实施例中,当识别到用户选择提示模式时,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的过程中,包括:实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;根据用户选定的内容或选择的操作指令,执行对应的操作。
进一步的,请参见附图5,本发明所述的方法,还包括步骤:
S130,接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
具体的,所述相关提示的文本信息的脚本是预先根据帮用户记录拦截程序服务器远程执行的操作方式制作而成的,然后配置至原配置文件中,以便拦截程序服务器根据主软件安装进程的而实时调用。
进一步的,请参见附图6,本发明所述的方法,还包括步骤:
S140,对原配置文件进行检测,以识别出原配置文件中的恶意程序。
具体的,所述对原配置文件进行检测,以识别出原配置文件中的恶意程序的过程包括:将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF文件信息。其中,所述将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配的过程包括:将原配置文件的相关信息与所述特定程序匹配条件进行匹配;获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
需要说明的是,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息。
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
为了便于理解,现对原配置文件的相关信息与云端鉴别条件进行匹配的过程进行举例说明。
如图7所示,是所述云端鉴别条件的示意图。
从图7中可以看出,在该云端鉴别条件中包括条件和返回值两个部分,其中条件一列中包含了多个表达式,这些表达式即为本发明所述的特定程序匹配条件,返回值一列包含了多个字符串,这些字符串中指定了满足对应的特定程序匹配条件后需要检查的特定ELF文件信息。
在条件一列的表达式中可以包括产品名称信息(hi.GEN)、文件大小信息(hi.DSI)、内部名称信息(hi.ITN)、原始文件名信息(hi.ORN)、进程路径信息(hi.DST)、父进程路径信息(hi.SRC)、进程命令行信息(hi.CLE)等信息,这些信息适于与待执行程序的特征信息进行匹配。
在返回值一列的字符串中“ELF:”后指定了满足对应的特定程序匹配条件后需要检查的特定ELF文件信息,在本实施例中,所述ELF文件信息可以为ELF文件的名称。另外,在返回值一列的字符串中,可以指定多个需要检查的特定ELF文件信息,每个ELF文件信息之间以逗号相隔。
例如,获取到当前待执行程序的特征信息为产品名称信息“金山重装高手”,然后将该产品名称信息与云端鉴别条件进行匹配,经过判断,特定程序匹配条件中的“(hi.GEN:like,金山重装高手)”是与产品名称信息“金山重装高手”相匹配的条件,因此,可以从该条件对应的返回值“(return_extinfo:<hips>ELF:kdump.elf,irrlicht.elf</hips>)”中获取需要检查的ELF文件名称为“kdump.elf”和“irrlicht.elf”。
需要说明的是,本实施例所述的云端鉴别条件还可以包括其他的信息,例如是否生效、条件序号、应用比例等,本领域技术人员根据实际情况进行相应处理即可,本实施例对此并不加以限制。
进一步的,请参见附图6,本发明所述的方法,还包括步骤:
S150,对所述原配置文件中的恶意程序进行处理。
具体的,所述对所述原配置文件中的恶意程序进行处理的过程包括:获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。其中,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御的过程包括:主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;根据返回结果对所述恶意程序进行相应的文件防御处理。其中,所述步骤S150与步骤S120无必要的先后顺序之分,可同步执行。
其中,服务端存储有相应的文件判定规则,预先通过对文件特征值进行分析将文件等级分类,确定生成的文件为白文件(即安全文件),则可以放行;若确定生成的文件为黑文件(恶意程序文件),则进行拦截或提示报警等处理;若不能确定文件的性质,则提示用户,由用户进行相应的处理,如决定放行或禁止等。若生成的文件的文件路径与文件防御规则中的目标路径不匹配,则可以根据设置的其他规则进行处理,如放行、提示、或者使用AD(Application Defend,应用程序防御体系)规则进行防御等。
例如,将文件的文件特征值如文件哈希值发送到服务器进行查询,服务器中预先保存有根据文件哈希值划分的文件等级,根据查询结果确定文件的等级。另外,对于有白签名的文件,服务器会按白文件处理。服务器的数据库保存有白名单,该白名单可以包括目标白名单和来源白名单,以便于对生成的文件及其来源进行安全性判定,其中,目标白名单和来源白名单也可以统一为同一个白名单来进行安全性判定,也可以划分为不同的白名单,保存在服务器中数据库的不同的位置。
其中,文件哈希值可以是经由MD5运算得出的MD5验证码,或SHA1码,或CRC(CyclicRedundancy Check,循环冗余校验)码等可唯一标识原程序的特征码。
另一种使用文件防御规则在程序生成文件时进行文件防御的方式是:主动防御系统在程序生成文件时,获取生成的文件的文件路径;判断生成的文件的文件路径与文件防御规则中的目标路径是否匹配;若匹配,则获取生成的文件,判断生成的文件是否在目标白名单中;若生成的文件在目标白名单中,且生成的文件的来源在来源白名单中,则将生成的文件放行。
其中,当主动防御系统判断生成的文件的文件路径与文件防御规则中的目标路径匹配时,获取生成的文件,先判断生成的文件是否符合预置的临界文件规则,其中,临界文件规则用于指示生成的文件为除白名单文件、黑名单文件和可疑文件之外的文件;若符合,则判断生成的文件的来源是否在来源白名单中;若是,则将生成的文件放行;若否,则进行报警提示。临界文件规则可以由本领域技术人员根据实际情况适当设置,如根据文件等级判断生成的文件是否为灰名单文件等,其中,灰名单文件可以是危险级别大于白名单文件,但又小于可疑文件的文件。但不限于此,也可以将灰名单文件和可疑文件等均囊括入临界文件中。在FD(File Defend,文件防御体系)规则中放过了白来源(即来源白名单中的文件来源)的文件,可以有效减少误报。如果该文件的来源是白的,则可以直接放过,运行其写注册表等。
需要说明的是,本方案中的服务器可以是部署于主动防御系统所在设备之外的后台服务器,如后台云服务器,但不限于此,在硬件条件许可的情况下,该服务器也可以与主动防御系统合并设置,即主动防御系统与服务器设置在一台机器上。
优选的,当程序写注册表时,主动防御系统会启动RD(Registry Defend,注册表防御体系)。RD提供了对常见的系统敏感注册表项进行监视,如启动项、服务驱动项、系统策略项、浏览器设置或网络设置(包括NameServer)项的添加修改。当有程序进行修改表项的操作时,目前默认都被RD视为敏感行为而拦截挂起,这种拦截挂起造成了现有主动防御系统的漏报或者误报。当程序写注册表项时,若主动防御系统确定程序写入的注册表目标项不存在,不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。例如,注册表中不存在程序写入的注册表目标项,如程序写入的目标路径不是系统中当前已经存在的现有路径而是新路径,则主动防御系统不会进行拦截挂起,而是将待写入的目标路径加入FD规则,等待后续的FD。
优选的,文件防御体系(FD),用于监视系统敏感目录的文件(如HOSTS)操作,如修改删除系统目录里的任何文件或创建新文件等,也可用来发现被驱动木马隐藏的文件本体。实现文件防御体系的要点同样也是拦截系统底层函数如NtOpenFile等,HIPS默认对系统敏感目录进行监控保护,一旦发现异常读写,则把相关操作挂起,并根据一定的匹配模式决定放行、阻止或则弹框提示用户。如果程序写入的注册表目标项,如写入的目标路径不存在时,主动防御系统不会拦截,因为拦截容易造成误报,但是不拦截又有可能会产生漏报。而根据本发明的安全防御方案,当程序写入的注册表目标项不存在时,主动防御系统不会报警,但会将该目标项中的目标路径加入文件防御规则,在生成文件时进行文件防御。通过本实施例,对RD中取决于目标的规则,如果目标不存在,那么使用FD防护规则,在文件生成的时候拦截,解决了现有的安全防御方法无法对注册表和/或文件的改动进行精确地防御,以致漏报和误报的情况时有发生的问题,达到RD和FD联合防御,减少漏报和误报的效果。
通过上述方式,实现了AD、RD及FD规则的联防;RD规则、FD规则和AD规则,是通过TRAY下发给驱动的,其中TRAY规定了每个规则如何根据不同的行为定义拦截,例如,当木马写入文件到一个文件路径下,替换该路径本身的文件(文件名不变),此时,主动防御系统的服务TRAY还未运行起来,而此时木马却运行起来,则主动防御系统无法进行拦截防护。而通过将开机启动程序的路径加入FD规则中,则很好地解决了这一问题。
综上,本发明不仅可通过上述方案检测出原配置文件中的恶意程序,并对所述恶意程序进行防御处理,以维护用户所使用的终端设备的安全性,且本发明可对原配置文件中的恶意程序进行标记,然后当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作,该过程可使用户实时知晓主软件的安装进程及拦截进程,且用户还可根据需要参与拦截进程中,以提高用户的参与感,使用户的感觉性更强。
另外,用户可根据需求选择全自动模式、半自动模式或提示模式的所述主软件安装控制模式,无论用户选择前述何种控制模式,皆可使用户实时了解主软件安装进程及恶意程序的拦截进程。其中,当识别到用户选择全自动模式时,服务器会将所述标记的恶意程序进行拦截,并将主软件安装的实时操纵指令和/或当前进程信息提示给用户,以便用户实时了解主软件安装进程及恶意程序的拦截进程;当识别到用户选择半自动模式时,服务器将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整,同时控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序,该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
相应的,依据计算机软件的功能模块化思维,本发明还提供了一种恶意程序的处理系统,也即一种恶意程序的处理方法的拦截程序服务器。请参见附图8,以下具体揭示本系统包括的模块及各模块实现的具体功能。该系统包括:
读取模块11,用于读取主软件安装包中的原配置文件。
具体的,当主软件安装包下载完成,准备安装时,所述读取模块11即会对该主软件安装包中的原配置文件进行读取检测。
标记模块12,用于对原配置文件中的恶意程序进行标记。
具体的,首先根据云端鉴别条件库,对原配置文件中的恶意程序进行精确匹配抓取,其精确匹配抓取方式包括如下过程:将原配置文件中的安装进程的描述信息与云端鉴别条件库中保存的黑名单进行匹配比对,若匹配成功,则对该安装进程文件标记为恶意程序。所述描述信息,包括以下一种或多种的组合:版本号、安装文件的发布公司名称、产品名称、内部名称、签名者、签名日期、安装文件大小、安装范围、安装文件的时间戳、安装命令行信息。
其中,所述云端鉴别条件库保存的对应执行拦截策略的行为的描述信息,包括以下一种或多种的组合:由默认拦截的进程执行的与所述默认拦截的进程无关的文件创建操作的描述信息、由默认拦截的进程执行的与所述默认拦截的进程无关的文件写入操作的描述信息、由默认拦截的进程执行的与所述默认的进程无关的安装操作的描述信息。
所述云端鉴别条件库中保存的对应执行拦截策略的安装进程的描述信息,包括以下一种或者多种的组合:由默认拦截的进程启动且与所述默认拦截的进程无关的安装进程的描述信息、已执行拦截的安装进程的描述信息、预先收集的默认拦截的安装进程的描述信息、预先收集的默认拦截的下载进程访问的网络地址。
提示模块13,用于当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作。
具体的,请参见附图9,所述提示模块13包括:
检测子模块131,用于实时检测客户端中进行主软件安装的当前进程。
选择提示子模块132,用于提示用户选择主软件安装的控制模式。
具体的,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
识别子模块133,用于对用户所选择的主软件安装的控制模式进行识别。
具体的,根据用户触发相应的标识指令按钮来识别,并将识别结果反馈至下一级进程控制端,以便下一级进程控制端根据标识指令按钮预设的执行。
操作执行子模块134,用于根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制。
具体的,所述安装信息提示包括安装进程信息提示及恶意程序的拦截信息提示;所述安装进程控制包括主软件安装进程控制及恶意程序的拦截进程控制。
请参见附图9及附图10,在本发明的一个实施例中,当所述识别子模块133识别到用户选择全自动模式时,所述操作执行子模块134包括:
第一拦截单元103,用于将所述标记的恶意程序进行拦截。
具体的,该过程是拦截程序服务器直接将标记的恶意程序进行选定执行拦截的。
控制单元101,用于根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
第一提示单元105,用于将主软件安装的实时操控指令和/或当前进程信息提示给用户。
具体的,所述主软件安装的实时操控指令和/或当前进程信息都是按预设的软件安装方式执行的;所述进程信息提示是随主软件安装的实时进程而实时触发提示给用户的,在进程信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于进程信息提示的脚本。例如,所述当前进程信息可为“正在选定恶意程序”、“正在拦截恶意程序”等。
需要说明的是,所述第一拦截单元103、控制单元101及第一提示单元105同步协同工作。
请参见附图9及附图11,在本发明的又一个实施例中,当所述识别子模块133识别到用户选择半自动模式时,所述操作执行子模块134包括:
选定提示单元102,用于将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整。
具体的,所述选定信息提示是随主软件安装的实时进程而实时触发提示给用户的,在选定信息提示的过程中,需根据所述主软件安装的进程,实时调用预设的用于选定信息提示的脚本。其中,例如,所述选定信息可为“正在选定恶意程序”、“恶意程序已全选定”等。
禁用控制单元104,用于控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
具体的,在指令按钮禁用期间,用户无法点击生效该禁用的指令按钮;启动所述指令按钮解禁的倒计时是与时间戳相配合的,所述倒计时是预设的,例如倒计时可预设为10秒等;用户可在被所述选定提示单元102已将标记的恶意程序全都选定的情况下,根据自身需求,手动调整恶意程序的选定;该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
选定识别单元106,用于实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序。
具体的,可实时识别选定提示单元102自动选定的恶意程序和用户在所述禁用控制单元104工作期间手动调整的恶意程序选定情况。
第二拦截单元108,用于当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
需要说明的是,可预设为当所述指令按钮解禁后,需用户点击生效下一操作指令,第二拦截单元108才会执行下一操作指令程序进程;也可预设为,当所述指令按钮解禁后,第二拦截单元108自动控制执行下一操作指令程序进程。
在本发明的又一个实施例中,当所述识别子模块133识别到用户选择提示模式时,所述操作执行子模块134包括:
第二提示单元,用于实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;指令执行单元,用于根据用户选定的内容或选择的操作指令,执行对应的操作。
需要说明的是,在上述三个实施例中,所述操作执行子模块还包括:
调用单元,用于根据所述主软件安装的进程,实时调用所述脚本。
具体的,在所述第一提示单元105、选定提示单元102或第二提示单元工作时,需通过所述调用单元实时调用预设于原配置文件中的相关提示信息的脚本。
进一步的,请参见附图12,本发明所述的系统,还包括:
接收模块14,用于接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
具体的,所述相关提示的文本信息的脚本是预先根据帮用户记录拦截程序服务器远程执行的操作方式制作而成的,然后配置至原配置文件中,以便调用单元根据主软件安装进程的而实时调用。
进一步的,请参见附图13,本发明所述的系统,还包括:
检测模块15,用于对原配置文件进行检测,以识别出原配置文件中的恶意程序。
具体的,所述检测模块15包括:匹配子模块,用于将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF文件信息。其中,所述匹配子模块包括:匹配单元,用于将原配置文件的相关信息与所述特定程序匹配条件进行匹配;获取单元,用于获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;作为单元,用于将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
需要说明的是,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息。
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
进一步的,本发明所述的系统,还包括:
处理模块16,用于对所述原配置文件中的恶意程序进行处理。
具体的,所述处理模块16包括:解析子模块,用于获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;防御子模块,用于将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。其中,所述防御子模块包括:生成获取单元,用于主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;匹配判断单元,用于判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;防御处理单元,用于根据返回结果对所述恶意程序进行相应的文件防御处理。
综上,本发明不仅可通过上述方案检测出原配置文件中的恶意程序,并对所述恶意程序进行防御处理,以维护用户所使用的终端设备的安全性,且本发明可对原配置文件中的恶意程序进行标记,然后当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作,该过程可使用户实时知晓主软件的安装进程及拦截进程,且用户还可根据需要参与拦截进程中,以提高用户的参与感,使用户的感觉性更强。
另外,用户可根据需求选择全自动模式、半自动模式或提示模式的所述主软件安装控制模式,无论用户选择前述何种控制模式,皆可使用户实时了解主软件安装进程及恶意程序的拦截进程。其中,当识别到用户选择全自动模式时,服务器会将所述标记的恶意程序进行拦截,并将主软件安装的实时操纵指令和/或当前进程信息提示给用户,以便用户实时了解主软件安装进程及恶意程序的拦截进程;当识别到用户选择半自动模式时,服务器将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整,同时控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序,该过程不仅可提高用户对恶意程序的注意度,使用户实时了解主软件安装进程及恶意程序的拦截进程,还可便于用户对安装进程及恶意程序的拦截进程实时干预,提高用户的参与度,使用户的感觉性更强。
在此处所提供的说明书中,虽然说明了大量的具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实施例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
虽然上面已经示出了本发明的一些示例性实施例,但是本领域的技术人员将理解,在不脱离本发明的原理或精神的情况下,可以对这些示例性实施例做出改变,本发明的范围由权利要求及其等同物限定。

Claims (32)

1.一种恶意程序的处理方法,主要用于移动终端,其特征在于,包括以下步骤:
读取主软件安装包中的原配置文件;
对原配置文件中的恶意程序进行标记;
当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作;
在所述当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户的过程中,包括:
实时检测客户端中进行主软件安装的当前进程;
提示用户选择主软件安装的控制模式;
对用户所选择的主软件安装的控制模式进行识别;
根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制,其中,包括:
当识别到用户选择半自动模式时,将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整;
控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
2.如权利要求1所述的方法,其特征在于,在所述对原配置文件中的恶意程序进行标记的步骤之前,还包括:
对原配置文件进行检测,以识别出原配置文件中的恶意程序。
3.如权利要求2所述的方法,其特征在于,所述对原配置文件进行检测,以识别出原配置文件中的恶意程序的步骤中,包括:
将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。
4.如权利要求3所述的方法,其特征在于,所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF文件信息。
5.如权利要求4所述的方法,其特征在于,所述将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配的过程中,包括:
将原配置文件的相关信息与所述特定程序匹配条件进行匹配;
获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;
将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
6.如权利要求5所述的方法,其特征在于,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息;
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
7.如权利要求1所述的方法,其特征在于,还包括:
对所述原配置文件中的恶意程序进行处理。
8.如权利要求7所述的方法,其特征在于,所述对所述原配置文件中的恶意程序进行处理的步骤中,包括:
获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;
将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。
9.如权利要求8所述的方法,其特征在于,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御的过程中,包括:
主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;
判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;
若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;
根据返回结果对所述恶意程序进行相应的文件防御处理。
10.如权利要求1所述方法,其特征在于,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
11.如权利要求1所述的方法,其特征在于,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,包括:
当识别到用户选择全自动模式时,将所述标记的恶意程序进行拦截;
将主软件安装的实时操控指令和/或当前进程信息提示给用户。
12.如权利要求11所述的方法,其特征在于,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
13.如权利要求1所述的方法,其特征在于,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
14.如权利要求1所述的方法,其特征在于,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,包括:
当识别到用户选择提示模式时,实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;
根据用户选定的内容或选择的操作指令,执行对应的操作。
15.如权利要求11~14任一项所述的方法,其特征在于,还包括:
接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
16.如权利要求15所述的方法,其特征在于,所述根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制的步骤中,还包括:
根据所述主软件安装的进程,实时调用所述脚本。
17.一种恶意程序的处理系统,主要用于移动终端,其特征在于,包括:
读取模块,用于读取主软件安装包中的原配置文件;
标记模块,用于对原配置文件中的恶意程序进行标记;
提示模块,用于当客户端在进行主软件安装时,将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户知晓所述恶意程序信息、知晓主软件安装进程和/或根据提示做相应的操作;
所述提示模块包括:
检测子模块,用于实时检测客户端中进行主软件安装的当前进程;
选择提示子模块,用于提示用户选择主软件安装的控制模式;
识别子模块,用于对用户所选择的主软件安装的控制模式进行识别;
操作执行子模块,用于根据用户选择的控制模式,进行相应的安装信息提示及安装进程控制;
所述操作执行子模块包括:
选定提示单元,用于当识别到用户选择半自动模式时,将所述标记的恶意程序进行选定,并将该选定信息提示给用户,以便用户对选定信息进行确认和/或调整;
禁用控制单元,用于控制禁用下一操作指令的指令按钮,并启动所述指令按钮解禁的倒计时,以便用户在所述指令按钮禁用期间,手动取消选定和/或选定所述标记的恶意程序。
18.如权利要求17所述的系统,其特征在于,还包括:
检测模块,用于对原配置文件进行检测,以识别出原配置文件中的恶意程序。
19.如权利要求18所述的系统,其特征在于,所述检测模块包括:
匹配子模块,用于将原配置文件的相关信息与预先设置的云端鉴别条件进行匹配,若匹配成功则从原配置文件中将恶意程序的相关信息抓取出来。
20.如权利要求19所述的系统,其特征在于,所述云端鉴别条件中包括多个特定程序匹配条件和满足该特定程序匹配条件后需要检查的特定ELF文件信息。
21.如权利要求20所述的系统,其特征在于,所述匹配子模块包括:
匹配单元,用于将原配置文件的相关信息与所述特定程序匹配条件进行匹配;
获取单元,用于获取相匹配的特定程序匹配条件后需要检查的特定ELF文件信息;
作为单元,用于将所述特定ELF文件信息作为所述原配置文件的相关信息的ELF文件信息。
22.如权利要求21所述的系统,其特征在于,所述特定程序匹配条件包括以下信息中的至少一种:
文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及进程的命令行信息、进程路径信息和父进程路径信息;
所述原配置文件的相关信息包括以下信息中的至少一种:
待执行程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、原始文件名信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息。
23.如权利要求17所述的系统,其特征在于,还包括:
处理模块,用于对所述原配置文件中的恶意程序进行处理。
24.如权利要求23所述的系统,其特征在于,所述处理模块包括:
解析子模块,用于获取所述恶意程序的数据,从中解析出所述恶意程序待写入的目标路径;
防御子模块,用于将所述目标路径加入文件防御规则,使用所述文件防御规则在所述恶意程序生成文件时进行文件防御。
25.如权利要求24所述的系统,其特征在于,所述防御子模块包括:
生成获取单元,用于主动防御系统在所述恶意程序生成文件时,获取生成的文件的文件路径;
匹配判断单元,用于判断所述生成的文件的文件路径与所述文件防御规则中的目标路径是否匹配;
若匹配,则获取所述生成的文件的文件特征值,对所述生成的文件的文件特征值进行安全性判定;
防御处理单元,用于根据返回结果对所述恶意程序进行相应的文件防御处理。
26.如权利要求17所述系统,其特征在于,所述主软件安装的控制模式包括全自动模式、半自动模式及提示模式。
27.如权利要求17所述的系统,其特征在于,所述操作执行子模块包括:
第一拦截单元,用于当识别到用户选择全自动模式时,将所述标记的恶意程序进行拦截;
第一提示单元,用于将主软件安装的实时操控指令和/或当前进程信息提示给用户。
28.如权利要求27所述的系统,其特征在于,所述操作执行子模块还包括:
控制单元,用于根据预设的软件安装方式,实时控制所述主软件的安装进程按照所述预设的软件安装方式进行。
29.如权利要求17所述的系统,其特征在于,所述操作执行子模块还包括:
选定识别单元,用于实时识别所述标记的恶意程序的选定情况,以得出最终选定的恶意程序
第二拦截单元,用于当所述指令按钮解禁后,执行下一操作指令时,将所述最终选定的恶意程序进行拦截。
30.如权利要求17所述的系统,其特征在于,所述操作执行子模块包括:
第二提示单元,用于当识别到用户选择提示模式时,实时将标记的恶意程序信息及主软件安装的实施进程信息提示给用户,以便用户选定要拦截的已标记恶意程序和/或选择相应的进程控制的操作指令;
指令执行单元,用于根据用户选定的内容或选择的操作指令,执行对应的操作。
31.如权利要求26~30任一项所述的系统,其特征在于,还包括:
接收模块,用于接收用于对用户进行相关提示的文本信息的脚本,并准予所述脚本配置至所述原配置文件中。
32.如权利要求31所述的系统,其特征在于,所述操作执行子模块还包括:
调用单元,用于根据所述主软件安装的进程,实时调用所述脚本。
CN201510993785.1A 2015-12-25 2015-12-25 恶意程序的处理方法及系统 Active CN105631312B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510993785.1A CN105631312B (zh) 2015-12-25 2015-12-25 恶意程序的处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510993785.1A CN105631312B (zh) 2015-12-25 2015-12-25 恶意程序的处理方法及系统

Publications (2)

Publication Number Publication Date
CN105631312A CN105631312A (zh) 2016-06-01
CN105631312B true CN105631312B (zh) 2018-09-07

Family

ID=56046237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510993785.1A Active CN105631312B (zh) 2015-12-25 2015-12-25 恶意程序的处理方法及系统

Country Status (1)

Country Link
CN (1) CN105631312B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106131804A (zh) * 2016-06-21 2016-11-16 广东欧珀移动通信有限公司 一种通知消息处理方法及设备
CN106203075A (zh) * 2016-07-19 2016-12-07 北京珠穆朗玛移动通信有限公司 一种防止应用程序互唤醒的方法及装置
JP2018124893A (ja) * 2017-02-03 2018-08-09 株式会社日立ソリューションズ 計算機システム及びファイルアクセスコントロール方法
CN107577595A (zh) * 2017-07-14 2018-01-12 捷开通讯(深圳)有限公司 通讯设备软件点检方法、电子设备及具有存储功能的装置
CN108875357B (zh) * 2017-12-20 2020-05-12 北京安天网络安全技术有限公司 一种程序启动方法、装置、电子设备及存储介质
JP6700337B2 (ja) * 2018-05-30 2020-05-27 日本電信電話株式会社 保護装置及び保護方法
CN109190366B (zh) * 2018-09-14 2021-11-19 郑州云海信息技术有限公司 一种程序处理方法以及相关装置
CN111737657B (zh) * 2020-06-16 2024-03-12 湖南省星岳天璇科技有限公司 基于license文件对JAVA类软件实现授权控制的方法
CN114035812A (zh) * 2021-11-05 2022-02-11 安天科技集团股份有限公司 一种应用软件安装和/或运行方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8239947B1 (en) * 2006-02-06 2012-08-07 Symantec Corporation Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system
CN103646209A (zh) * 2013-12-20 2014-03-19 北京奇虎科技有限公司 基于云安全拦截捆绑软件的方法和装置
CN104123490A (zh) * 2014-07-02 2014-10-29 珠海市君天电子科技有限公司 恶意捆绑软件的处理方法、装置和移动终端
CN104123496A (zh) * 2014-07-03 2014-10-29 珠海市君天电子科技有限公司 一种流氓软件的拦截方法及装置、终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8239947B1 (en) * 2006-02-06 2012-08-07 Symantec Corporation Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system
CN103646209A (zh) * 2013-12-20 2014-03-19 北京奇虎科技有限公司 基于云安全拦截捆绑软件的方法和装置
CN104123490A (zh) * 2014-07-02 2014-10-29 珠海市君天电子科技有限公司 恶意捆绑软件的处理方法、装置和移动终端
CN104123496A (zh) * 2014-07-03 2014-10-29 珠海市君天电子科技有限公司 一种流氓软件的拦截方法及装置、终端

Also Published As

Publication number Publication date
CN105631312A (zh) 2016-06-01

Similar Documents

Publication Publication Date Title
CN105631312B (zh) 恶意程序的处理方法及系统
US10581879B1 (en) Enhanced malware detection for generated objects
CN105427096B (zh) 支付安全沙箱实现方法及系统与应用程序监控方法及系统
EP3647981B1 (en) Security scanning method and apparatus for mini program, and electronic device
US10033748B1 (en) System and method employing structured intelligence to verify and contain threats at endpoints
US7287279B2 (en) System and method for locating malware
KR102095334B1 (ko) 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체
JP6644001B2 (ja) ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体
EP2447877B1 (en) System and method for detection of malware and management of malware-related information
US9853994B2 (en) Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
EP3479281B1 (en) Method and computer system for determining a threat score
KR101558715B1 (ko) 서버 결합된 멀웨어 방지를 위한 시스템 및 방법
CN103617395B (zh) 一种基于云安全拦截广告程序的方法、装置和系统
AU2018229557A1 (en) Methods and apparatus for identifying and removing malicious applications
KR101899589B1 (ko) 안전 소프트웨어 인증 시스템 및 방법
Eder et al. Ananas-a framework for analyzing android applications
US10586045B2 (en) System and method for detecting malware in mobile device software applications
US20060075468A1 (en) System and method for locating malware and generating malware definitions
US20180205705A1 (en) Network request proxy system and method
US10701087B2 (en) Analysis apparatus, analysis method, and analysis program
US20060075490A1 (en) System and method for actively operating malware to generate a definition
JP2013257773A (ja) 監視装置および監視方法
EP1834243B1 (en) System and method for locating malware
CN107766068B (zh) 应用系统补丁安装方法、装置、计算机设备和存储介质
CN112182569A (zh) 一种文件识别方法、装置、设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20220718

Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right