惡意程序的處理方法及系統(tǒng)的制作方法【專利說明】【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)
技術(shù)領(lǐng)域:
�,尤其涉及一種惡意程序的處理方法及系統(tǒng)?�!尽?br>背景技術(shù):
】】[0002]惡意程序是一個(gè)概括性的術(shù)語�,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計(jì)算機(jī)病毒���、后門程序、鍵盤記錄器��、密碼盜取者�����、Word和Excel宏病毒�、弓丨導(dǎo)區(qū)病毒�、腳本病毒����、木馬、犯罪軟件���、間諜軟件和廣告軟件等等�,都可以稱之為惡意程序�����。[0003]現(xiàn)今���,以捆綁方式推廣惡意程序已成為一種潮流�,所捆綁的軟件幾乎涉及了電腦日常使用的方方面面�。對于廣大的普通用戶來說,在安裝過程中通常并不會去仔細(xì)閱讀理解被勾選選項(xiàng)的內(nèi)容����,用戶通過默認(rèn)直接點(diǎn)擊安裝軟件的情況下,被惡意程序在用戶不知情的情況下即安裝在了其電腦上;這樣����,待用戶軟件安裝完成后��,除了該款需要的軟件外�,還多了一些其他的捆綁安裝的軟件��,這些捆綁的軟件是用戶并不需要��、不想安裝的�����。[0004]對于此類惡意程序�,當(dāng)用戶試圖進(jìn)行卸載時(shí),勢必會浪費(fèi)用戶的時(shí)間和精力;而若用戶置之不管時(shí)�,用戶的計(jì)算機(jī)由于安裝了不必要的惡意程序,日積月累�,惡意程序的數(shù)量越來越多,會占用大量的資源�����,進(jìn)而影響用戶電腦系統(tǒng)的性能�,開機(jī)���、運(yùn)行等效率降低��,甚至影響用戶的正常使用�����;更嚴(yán)重的�,有些惡意程序可能會導(dǎo)致用戶在不知情的情況下誤安裝一些惡意軟件,或者是廣告騷擾程序等�����,進(jìn)而不僅僅影響用戶電腦的系統(tǒng)性能�,影響用戶上網(wǎng)及使用軟件時(shí)的體驗(yàn),還可能威脅到用戶的電腦安全�����。[0005]目前����,也有一些針對惡意程序的一些攔截方法,但現(xiàn)有的方法是啟動攔截后���,是攔截程序自身在運(yùn)行�����,用戶無法知曉其中的攔截進(jìn)程����,更無法進(jìn)行攔截干預(yù),用戶的參與感及感覺性較弱����。【【
發(fā)明內(nèi)容】】[0006]本發(fā)明的目的旨在解決上述至少一個(gè)問題��,提供了一種惡意程序的處理方法及系統(tǒng)���。[0007]為實(shí)現(xiàn)該目的�����,本發(fā)明采用如下技術(shù)方案:[0008]本發(fā)明提供了一種惡意程序的處理方法�����,主要用于移動終端���,其包括以下步驟:[0009]讀取主軟件安裝包中的原配置文件����;[0010]對原配置文件中的惡意程序進(jìn)行標(biāo)記��;[0011]當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)���,將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶,以便用戶知曉所述惡意程序信息�����、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作�����。[0012]進(jìn)一步的����,本發(fā)明所述的方法,還包括:[0013]對原配置文件進(jìn)行檢測�����,以識別出原配置文件中的惡意程序�。[0014]具體的,所述對原配置文件進(jìn)行檢測,以識別出原配置文件中的惡意程序的步驟中��,包括:[0015]將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配�,若匹配成功則從原配置文件中將惡意程序的相關(guān)信息抓取出來。[0016]具體的�����,所述云端鑒別條件中包括多個(gè)特定程序匹配條件和滿足該特定程序匹配條件后需要檢查的特定ELF(ExecutableandLinkableFormat;可執(zhí)行連接格式)文件信息��。[0017]具體的���,所述將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配的過程中���,包括:[0018]將原配置文件的相關(guān)信息與所述特定程序匹配條件進(jìn)行匹配;[0019]獲取相匹配的特定程序匹配條件后需要檢查的特定ELF文件信息���;[0020]將所述特定ELF文件信息作為所述原配置文件的相關(guān)信息的ELF文件信息���。[0021]具體的,所述特定程序匹配條件包括以下信息中的至少一種:[0022]文件名稱信息��、文件大小信息���、文件特征值信息���、文件圖標(biāo)信息�、產(chǎn)品名稱信息��、內(nèi)部名稱信息����、原始文件名信息�����,以及進(jìn)程的命令行信息���、進(jìn)程路徑信息和父進(jìn)程路徑信息��;[0023]所述原配置文件的相關(guān)信息包括以下信息中的至少一種:[0024]待執(zhí)行程序的文件名稱信息�、文件大小信息���、文件特征值信息����、文件圖標(biāo)信息、產(chǎn)品名稱信息�����、內(nèi)部名稱信息�����、原始文件名信息��,以及待執(zhí)行程序創(chuàng)建的進(jìn)程的命令行信息��、進(jìn)程路徑信息和父進(jìn)程路徑信息����。[0025]進(jìn)一步的,本發(fā)明所述的方法�����,還包括:[0026]對所述原配置文件中的惡意程序進(jìn)行處理����。[0027]具體的,所述對所述原配置文件中的惡意程序進(jìn)行處理的步驟中�,包括:[0028]獲取所述惡意程序的數(shù)據(jù)����,從中解析出所述惡意程序待寫入的目標(biāo)路徑����;[0029]將所述目標(biāo)路徑加入文件防御規(guī)則,使用所述文件防御規(guī)則在所述惡意程序生成文件時(shí)進(jìn)行文件防御�。[0030]具體的�,使用所述文件防御規(guī)則在所述惡意程序生成文件時(shí)進(jìn)行文件防御的過程中,包括:[0031]主動防御系統(tǒng)在所述惡意程序生成文件時(shí)��,獲取生成的文件的文件路徑�����;[0032]判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標(biāo)路徑是否匹配�����;[0033]若匹配��,則獲取所述生成的文件的文件特征值�,對所述生成的文件的文件特征值進(jìn)行安全性判定;[0034]根據(jù)返回結(jié)果對所述惡意程序進(jìn)行相應(yīng)的文件防御處理����。[0035]具體的����,在所述當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)��,將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶的過程中�,包括:[0036]實(shí)時(shí)檢測客戶端中進(jìn)行主軟件安裝的當(dāng)前進(jìn)程。[0037]具體的��,在所述當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)���,將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶的過程中�,還包括:[0038]提示用戶選擇主軟件安裝的控制模式�;[0039]根據(jù)用戶選擇的控制模式,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制���。[0040]具體的���,所述主軟件安裝的控制模式包括全自動模式、半自動模式及提示模式����。[0041]進(jìn)一步的���,在所述提示用戶選擇主軟件安裝的控制模式的步驟之后,還包括:[0042]對用戶所選擇的主軟件安裝的控制模式進(jìn)行識別����。[0043]依據(jù)本發(fā)明的一個(gè)實(shí)施例所揭示,所述根據(jù)用戶選擇的控制模式����,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中,包括:[0044]當(dāng)識別到用戶選擇全自動模式時(shí)�����,將所述標(biāo)記的惡意程序進(jìn)行攔截����;[0045]將主軟件安裝的實(shí)時(shí)操控指令和/或當(dāng)前進(jìn)程信息提示給用戶�����。[0046]進(jìn)一步的���,所述根據(jù)用戶選擇的控制模式���,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中��,還包括:[0047]根據(jù)預(yù)設(shè)的軟件安裝方式���,實(shí)時(shí)控制所述主軟件的安裝進(jìn)程按照所述預(yù)設(shè)的軟件安裝方式進(jìn)行。[0048]依據(jù)本發(fā)明的又一個(gè)實(shí)施例所揭示�����,所述根據(jù)用戶選擇的控制模式����,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中,包括:[0049]當(dāng)識別到用戶選擇半自動模式時(shí)��,將所述標(biāo)記的惡意程序進(jìn)行選定�,并將該選定信息提示給用戶,以便用戶對選定信息進(jìn)行確認(rèn)和/或調(diào)整���;[0050]控制禁用下一操作指令的指令按鈕����,并啟動所述指令按鈕解禁的倒計(jì)時(shí)�,以便用戶在所述指令按鈕禁用期間����,手動取消選定和/或選定所述標(biāo)記的惡意程序�。[0051]進(jìn)一步的,所述根據(jù)用戶選擇的控制模式����,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中,還包括:[0052]實(shí)時(shí)識別所述標(biāo)記的惡意程序的選定情況�����,以得出最終選定的惡意程序[0053]當(dāng)所述指令按鈕解禁后�����,執(zhí)行下一操作指令時(shí)���,將所述最終選定的惡意程序進(jìn)行攔截。[0054]依據(jù)本發(fā)明的又一個(gè)實(shí)施例所揭示���,所述根據(jù)用戶選擇的控制模式�,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中���,包括:[0055]當(dāng)識別到用戶選擇提示模式時(shí)���,實(shí)時(shí)將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶����,以便用戶選定要攔截的已標(biāo)記惡意程序和/或選擇相應(yīng)的進(jìn)程控制的操作指令����;[0056]根據(jù)用戶選定的內(nèi)容或選擇的操作指令,執(zhí)行對應(yīng)的操作��。[0057]進(jìn)一步的��,本發(fā)明所述的方法�����,還包括:[0058]接收用于對用戶進(jìn)行相關(guān)提示的文本信息的腳本�����,并準(zhǔn)予所述腳本配置至所述原配置文件中�。[0059]進(jìn)一步的,所述根據(jù)用戶選擇的控制模式,進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中�,還包括:[0060]根據(jù)所述主軟件安裝的進(jìn)程,實(shí)時(shí)調(diào)用所述腳本�����。[0061]相應(yīng)的��,本發(fā)明還提供了一種惡意程序的處理系統(tǒng)�����,主要用于移動終端�����,其包括:[0062]讀取模塊���,用于讀取主軟件安裝包中的原配置文件���;[0063]標(biāo)記模塊,用于對原配置文件中的惡意程序進(jìn)行標(biāo)記���;[0064]提示模塊,用于當(dāng)客戶端在進(jìn)行主軟件安裝時(shí),將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶����,以便用戶知曉所述惡意程序信息、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作���。[0065]進(jìn)一步的��,本發(fā)明所述的系統(tǒng)��,還包括:[0066]檢測模塊���,用于對原配置文件進(jìn)行檢測,以識別出原配置文件中的惡意程序����。[0067]具體的,所述檢測模塊包括:[0068]匹配子模塊���,用于將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配�����,若匹配成功則從原配置文件中將惡意程序的相關(guān)信息抓取出來���。[0069]具體的��,所述云端鑒別條件中包括多個(gè)特定程序匹配條件和滿足該特定程序匹配條件后需要檢查的特定ELF文件信息�����。[0070]具體的����,所述匹配子模塊包括:[0071]匹配單元��,用于將原配置文件的相關(guān)信息與所述特定程序匹配條件進(jìn)行匹配��;[0072]獲取單元���,用于獲取相匹配的特定程序匹配條件后需要檢查的特定ELF文件信息��;[0073]作為單元���,用于將所述特定ELF文件信息作為所述原配置文件的相關(guān)信息的ELF文件信息。[0074]具體的����,所述特定程序匹配條件包括以下信息中的至少一種:[0075]文件名稱信息����、文件大小信息���、文件特征值信息、文件圖標(biāo)信息�����、產(chǎn)品名稱信息����、內(nèi)部名稱信息、原始文件名信息���,以及進(jìn)程的命令行信息����、進(jìn)程路徑信息和父進(jìn)程路徑信息���;[0076]所述原配置文件的相關(guān)信息包括以下信息中的至少一種:[0077]待執(zhí)行程序的文件名稱信息��、文件大小信息���、文件特征值信息���、文件圖標(biāo)信息、產(chǎn)品名稱信息����、內(nèi)部名稱信息、原始文件名信息��,以及待執(zhí)行程序創(chuàng)建的進(jìn)程的命令行信息�、進(jìn)程路徑信息和父進(jìn)程路徑信息。[0078]進(jìn)一步的���,本發(fā)明所當(dāng)前第1頁1 2 3 4 5 6