本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域，尤指一種惡意捆綁軟件的處理方法和裝置。

背景技術(shù)：

目前，隨著智能手機(jī)的普及，智能手機(jī)的功能也越來(lái)越多，從早期的電話、短信功能，再到后來(lái)的娛樂(lè)、影音功能，發(fā)展到現(xiàn)在的游戲、支付功能。但是，隨著智能手機(jī)的使用的范圍越來(lái)越廣，各種惡意軟件也越來(lái)越多，比如竊取用戶隱私，盜取用戶賬號(hào)等。這些惡意軟件的一個(gè)共同特征就是大多偽裝為正版軟件，然后在其中捆綁惡意軟件，從而達(dá)到竊取用戶信息的目的。

現(xiàn)有技術(shù)中，一般捆綁軟件是通過(guò)安裝的方法來(lái)進(jìn)行運(yùn)行的，這樣可以通過(guò)檢測(cè)軟件安裝時(shí)是否啟動(dòng)了新的安裝進(jìn)程來(lái)防范惡意軟件。

但是，現(xiàn)在的捆綁軟件進(jìn)化為不需要安裝，繞開(kāi)了檢測(cè)過(guò)程，無(wú)法及時(shí)發(fā)現(xiàn)是否有安裝惡意軟件，對(duì)用戶的信息安全構(gòu)成了隱患。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種惡意捆綁軟件的處理方法和裝置，通過(guò)檢測(cè)捆綁軟件動(dòng)態(tài)加載模塊的狀態(tài)，獲取該動(dòng)態(tài)加載模塊的特征信息，將其與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配后，來(lái)判斷是否為惡意軟件，使得可以及時(shí)發(fā)現(xiàn)惡意軟件，從而保護(hù)了用戶的信息安全。

第一方面，本發(fā)明實(shí)施例提供一種惡意捆綁軟件的處理方法，該方法包括：

監(jiān)控系統(tǒng)中軟件的進(jìn)程，獲取所述進(jìn)程啟動(dòng)的次數(shù)；

確定所述進(jìn)程為第一次啟動(dòng)時(shí)，追蹤所述軟件動(dòng)態(tài)加載的狀態(tài)；

確定所述軟件申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，獲取所述動(dòng)態(tài)加載模塊的特征信息；

將所獲取的特征信息與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配，根據(jù)所匹配的結(jié)果處理所述軟件。

第二方面，本發(fā)明實(shí)施例提供一種惡意捆綁軟件的處理裝置，該裝置包括：監(jiān)控模塊、第一確定模塊、第二確定模塊和處理模塊；

所述監(jiān)控模塊，用于監(jiān)控系統(tǒng)中軟件的進(jìn)程，獲取所述進(jìn)程啟動(dòng)的次數(shù)；

所述第一確定模塊，用于確定所述進(jìn)程為第一次啟動(dòng)時(shí)，追蹤所述軟件動(dòng)態(tài)加載的狀態(tài)；

所述第二確定模塊，用于確定所述軟件申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，獲取所述動(dòng)態(tài)加載模塊的特征信息；

所述處理模塊，用于將所獲取的特征信息與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配，根據(jù)所匹配的結(jié)果處理所述軟件。

本發(fā)明實(shí)施例提供的一種惡意捆綁軟件的處理方法和裝置，包括：監(jiān)控模塊、第一確定模塊、第二確定模塊和處理模塊，通過(guò)在捆綁軟件首次啟動(dòng)進(jìn)程時(shí)檢測(cè)該軟件動(dòng)態(tài)加載模塊的狀態(tài)，獲取該動(dòng)態(tài)加載模塊的特征信息，將其與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配后，根據(jù)匹配的結(jié)果來(lái)判斷是否為惡意軟件，使得無(wú)論是通過(guò)安裝捆綁還是通過(guò)動(dòng)態(tài)加載方式捆綁的惡意軟件都可以及時(shí)發(fā)現(xiàn)，從而保護(hù)了用戶的信息安全。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書中闡述，并且，部分地從說(shuō)明書中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。

附圖說(shuō)明

附圖用來(lái)提供對(duì)本發(fā)明技術(shù)方案的進(jìn)一步理解，并且構(gòu)成說(shuō)明書的一部分，與本申請(qǐng)的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案，并不構(gòu)成對(duì)本發(fā)明技術(shù)方案的限制。

圖1為本發(fā)明提供的惡意捆綁軟件的處理方法實(shí)施例一的流程示意圖；

圖2為本發(fā)明提供的惡意捆綁軟件的處理方法實(shí)施例二的流程示意圖；

圖3為本發(fā)明提供的惡意捆綁軟件的處理裝置實(shí)施例一的結(jié)構(gòu)示意圖；

圖4為本發(fā)明提供的惡意捆綁軟件的處理裝置實(shí)施例二的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本發(fā)明實(shí)施例涉及的方法可以應(yīng)用于可以需要安裝應(yīng)用程序的終端或者平臺(tái)，例如可以是智能手機(jī)、平板電腦、手持機(jī)、計(jì)算機(jī)、服務(wù)器等，但并不以此為限。

本發(fā)明實(shí)施例涉及的方法，旨在解決現(xiàn)有技術(shù)中現(xiàn)在的捆綁軟件進(jìn)化為不需要安裝繞開(kāi)了檢測(cè)過(guò)程，無(wú)法及時(shí)發(fā)現(xiàn)是否有安裝惡意軟件，對(duì)用戶的信息安全構(gòu)成了隱患的技術(shù)問(wèn)題。

下面以具體地實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。下面這幾個(gè)具體的實(shí)施例可以相互結(jié)合，對(duì)于相同或相似的概念或過(guò)程可能在某些實(shí)施例不再贅述。

圖1為本發(fā)明提供的惡意捆綁軟件的處理方法實(shí)施例一的流程示意圖。本實(shí)施例涉及的是實(shí)現(xiàn)識(shí)別惡意捆綁軟件以及處理的具體過(guò)程。如圖1所示，該方法包括：

S101、監(jiān)控系統(tǒng)中軟件的進(jìn)程，獲取所述進(jìn)程啟動(dòng)的次數(shù)。

具體的，該待監(jiān)控系統(tǒng)中的軟件可以為惡意捆綁軟件，或者已經(jīng)被卸載的即未運(yùn)行的軟件，當(dāng)軟件進(jìn)程啟動(dòng)時(shí)，系統(tǒng)會(huì)實(shí)時(shí)記錄該軟件進(jìn)程啟動(dòng)的時(shí)間，從而可以獲取調(diào)用待監(jiān)控軟件進(jìn)程啟動(dòng)的次數(shù)，其中進(jìn)程包括用安裝包進(jìn)行安裝的進(jìn)程、運(yùn)行的進(jìn)程、資源申請(qǐng)的進(jìn)程等，但并不以此為限。

S102、確定所述進(jìn)程為第一次啟動(dòng)時(shí)，追蹤所述軟件動(dòng)態(tài)加載的狀態(tài)。

具體的，確定所述軟件的進(jìn)程為第一次啟動(dòng)時(shí)，即該軟件是首次在系統(tǒng)中安裝或者運(yùn)行，此時(shí)需要追蹤所述軟件是否有進(jìn)行動(dòng)態(tài)加載的過(guò)程，如果該軟件進(jìn)行了動(dòng)態(tài)加載，則在啟動(dòng)進(jìn)程后，獲取系統(tǒng)中的資源搭建其安裝或者運(yùn)行的環(huán)境，并將申請(qǐng)的動(dòng)態(tài)加載模塊放入系統(tǒng)的存儲(chǔ)空間內(nèi)。

S103、確定所述軟件申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，獲取所述動(dòng)態(tài)加載模塊的特征信息；

具體的，若確定該軟件申請(qǐng)了動(dòng)態(tài)加載模塊，即需要系統(tǒng)提供其安裝或者運(yùn)行的資源，并將申請(qǐng)動(dòng)態(tài)加載模塊放入系統(tǒng)的存儲(chǔ)空間內(nèi)，從而可以獲取該動(dòng)態(tài)加載模塊的特征信息，該特征信息可以幫助系統(tǒng)更好的識(shí)別哪個(gè)是惡意捆綁軟件。

S104、將所獲取的特征信息與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配，根據(jù)所匹配的結(jié)果處理所述軟件。

具體的，將所獲取的特征信息與預(yù)定的特征庫(kù)中的特征信息去匹配，該特征庫(kù)中集合有識(shí)別多種捆綁惡意軟件所有的特征信息，從而便于準(zhǔn)確的識(shí)別出惡意捆綁的軟件，并提示用戶對(duì)該惡意捆綁軟件進(jìn)行處理，或者不是惡意捆綁軟件時(shí)，可以使得該軟件繼續(xù)正常運(yùn)行。

本發(fā)明實(shí)施例提供的一種惡意捆綁軟件的處理方法，該方法通過(guò)在捆綁軟件首次啟動(dòng)進(jìn)程時(shí)檢測(cè)該軟件動(dòng)態(tài)加載模塊的狀態(tài)，獲取該動(dòng)態(tài)加載模塊的特征信息，將其與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配后，根據(jù)匹配的結(jié)果來(lái)判斷是否為惡意軟件，使得無(wú)論是通過(guò)安裝捆綁還是通過(guò)動(dòng)態(tài)加載方式捆綁的惡意軟件都可以及時(shí)發(fā)現(xiàn)，從而保護(hù)了用戶的信息安全。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，在上述步驟101之后，還包括：確定所述進(jìn)程為非第一次啟動(dòng)時(shí)，進(jìn)入正常運(yùn)行進(jìn)程。

具體的，在確定所述進(jìn)程為非第一次啟動(dòng)時(shí)，因?yàn)槠涞谝淮芜\(yùn)行的時(shí)候已經(jīng)通過(guò)了檢測(cè)，為了提供系統(tǒng)的運(yùn)行效率，則不再檢測(cè)，直接進(jìn)入正常的運(yùn)行進(jìn)程。

可選的，在上述實(shí)施例的基礎(chǔ)上，上述步驟102之后，還包括：確定所述軟件沒(méi)有申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，進(jìn)入正常運(yùn)行進(jìn)程。

具體的，軟件進(jìn)入啟動(dòng)進(jìn)程后，沒(méi)有申請(qǐng)動(dòng)態(tài)加載模塊，而是直接處理任務(wù)，可以判斷出該軟件已經(jīng)通過(guò)了檢測(cè)，為了提供系統(tǒng)的運(yùn)行效率，則不再檢測(cè)，直接進(jìn)入正常的運(yùn)行進(jìn)程。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，上述特征信息包括：數(shù)據(jù)包名、類目名或者簽名信息。

具體的，在申請(qǐng)動(dòng)態(tài)加載模塊后，獲取所述動(dòng)態(tài)加載模塊的特征信息，該特征信息包括數(shù)據(jù)包名、類目名或者簽名信息等標(biāo)志性信息，從而可以快速的識(shí)別出是否有惡意的捆綁軟件。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述特征庫(kù)包括：系統(tǒng)或/和遠(yuǎn)程服務(wù)器中預(yù)設(shè)的特征庫(kù)。

具體的，獲取到動(dòng)態(tài)加載模塊的特征信息，將其與預(yù)定特征庫(kù)中的特征信息相匹配，該特征庫(kù)包括系統(tǒng)中預(yù)設(shè)的特征庫(kù)或者是遠(yuǎn)程服務(wù)器中預(yù)設(shè)的特征庫(kù)或者是系統(tǒng)中和服務(wù)器中預(yù)設(shè)的特征庫(kù)，這樣以便更準(zhǔn)確地識(shí)別惡意的捆綁軟件。

下面用一個(gè)具體例子說(shuō)明本發(fā)明實(shí)施例，圖2為本發(fā)明提供的惡意捆綁軟件的處理方法實(shí)施例二的流程示意圖，如圖2所示，該實(shí)施例的方法如下：

(1)在系統(tǒng)中監(jiān)控軟件的啟動(dòng)流程。

(2)判斷當(dāng)前軟件是否是第一次啟動(dòng)，如果是，則進(jìn)一步轉(zhuǎn)步驟(3)；如果否，則進(jìn)行正常啟動(dòng)流程。

(3)判斷當(dāng)前軟件是否有執(zhí)行動(dòng)態(tài)加載的情況，如果是，則進(jìn)一步轉(zhuǎn)步驟(4)；如果否，則進(jìn)行正常啟動(dòng)流程。

(4)若當(dāng)前軟件申請(qǐng)了動(dòng)態(tài)加載模塊，則獲取動(dòng)態(tài)加載模塊的特征信息，比如數(shù)據(jù)包名、類名或者簽名信息等標(biāo)志性信息。

(5)用已經(jīng)獲取的動(dòng)態(tài)加載模塊的特征信息，在本地特征庫(kù)中進(jìn)行匹配，如果是匹配成功，則為惡意軟件，提示用戶并做相應(yīng)處理；如果匹配不成功，則進(jìn)一步轉(zhuǎn)步驟(6)。

(6)用已經(jīng)獲取的動(dòng)態(tài)加載模塊的特征信息，在遠(yuǎn)程服務(wù)器上進(jìn)行匹配，如果匹配成功，則當(dāng)前軟件為惡意軟件，提示用戶并做相應(yīng)處理；如果匹配不成功，則當(dāng)前軟件是正常軟件，執(zhí)行正常啟動(dòng)流程。

上述實(shí)施例通過(guò)首先對(duì)捆綁軟件運(yùn)行的進(jìn)程進(jìn)行監(jiān)控，當(dāng)發(fā)現(xiàn)是進(jìn)程第一次啟動(dòng)運(yùn)行時(shí)，則監(jiān)控其是否有動(dòng)態(tài)加載模塊的請(qǐng)求，如果是，則進(jìn)一步的獲取被動(dòng)態(tài)加載模塊的特征信息，比如數(shù)據(jù)包名、類名或者簽名信息等，然后通過(guò)獲取的特征信息，先與本地的特征庫(kù)匹配，再與遠(yuǎn)程服務(wù)器中的特征庫(kù)進(jìn)行匹配，通過(guò)匹配后發(fā)現(xiàn)是惡意軟件，則提示用戶，該應(yīng)用是惡意應(yīng)用，并做相應(yīng)處理，從而使得可以及時(shí)檢測(cè)到是否有安裝惡意軟件，保護(hù)用戶的信息安全。

進(jìn)一步地，圖3為本發(fā)明提供的惡意捆綁軟件的處理裝置實(shí)施例一的結(jié)構(gòu)示意圖，如圖3所示，該裝置包括：監(jiān)控模塊10、第一確定模塊20、第二確定模塊30和處理模塊40；

所述監(jiān)控模塊10，用于監(jiān)控系統(tǒng)中軟件的進(jìn)程，獲取所述進(jìn)程啟動(dòng)的次數(shù)；

所述第一確定模塊20，用于確定所述進(jìn)程為第一次啟動(dòng)時(shí)，追蹤所述軟件動(dòng)態(tài)加載的狀態(tài)；

所述第二確定模塊30，用于確定所述軟件申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，獲取所述動(dòng)態(tài)加載模塊的特征信息；

所述處理模塊40，用于將所獲取的特征信息與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配，根據(jù)所匹配的結(jié)果處理所述軟件。

本發(fā)明實(shí)施例提供的一種惡意捆綁軟件的處理裝置，包括：監(jiān)控模塊、第一確定模塊、第二確定模塊和處理模塊，在捆綁軟件首次啟動(dòng)進(jìn)程時(shí)檢測(cè)該軟件動(dòng)態(tài)加載模塊的狀態(tài)，獲取該動(dòng)態(tài)加載模塊的特征信息，將其與預(yù)定特征庫(kù)中的特征信息進(jìn)行匹配后，根據(jù)匹配的結(jié)果來(lái)判斷是否為惡意軟件，使得無(wú)論是通過(guò)安裝捆綁還是通過(guò)動(dòng)態(tài)加載方式捆綁的惡意軟件都可以及時(shí)發(fā)現(xiàn)，從而保護(hù)了用戶的信息安全。

進(jìn)一步地，圖4為本發(fā)明提供的惡意捆綁軟件的處理裝置實(shí)施例二的結(jié)構(gòu)示意圖，如圖4所示，在上述實(shí)施例的基礎(chǔ)上，所述裝置還包括：運(yùn)行模塊50；

所述運(yùn)行模塊50，用于在第一確定模塊確定所述進(jìn)程為非第一次啟動(dòng) 時(shí)，進(jìn)入正常運(yùn)行進(jìn)程。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

可選的，在上述實(shí)施例的基礎(chǔ)上，所述裝置還包括：運(yùn)行模塊50；

所述運(yùn)行模塊50，用于在第二確定模塊確定所述軟件沒(méi)有申請(qǐng)動(dòng)態(tài)加載模塊時(shí)，進(jìn)入正常運(yùn)行進(jìn)程。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述特征信息包括：數(shù)據(jù)包名、類目名或者簽名信息。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述特征庫(kù)包括：系統(tǒng)或/和遠(yuǎn)程服務(wù)器中預(yù)設(shè)的特征庫(kù)。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

雖然本發(fā)明所揭露的實(shí)施方式如上，但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化，但本發(fā)明的專利保護(hù)范圍，仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。