恶意程序的检测方法、装置和客户端制造方法及图纸

本发明专利技术提出一种恶意程序的检测方法、装置和客户端。其中该方法包括以下步骤：获取待测程序的操作界面；提取操作界面中的控件对象，并根据预设的操作策略对控件对象进行触发；以及获取触发控件对象之后待测程序的行为信息，并根据行为信息对待测程序进行恶意程序检测。根据本发明专利技术实施例方法，实现了对待测程序是否包含危害行为进行快速有效地识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。

【技术实现步骤摘要】
恶意程序的检测方法、装置和客户端
本专利技术涉及移动终端安全领域，尤其涉及一种恶意程序的检测方法、装置和客户端。
技术介绍
随着安卓Android等操作系统成为移动互联网的主流操作系统，针对安卓操作系统的恶意程序呈大幅增长趋势。因此，在这种背景下，需要通过恶意程序分析方法，对恶意程序的危害行为进行快速有效的识别。目前，恶意程序的分析方法主要有静态分析方法和动态分析方法两种，其中，动态行为分析方法是根据程序的特征判断其是否可疑，因此具有可以检测特征码未知的程序的特点，是目前国内外反病毒安全领域的研究热点。在实现本专利技术过程中，专利技术人发现现有技术至少存在以下问题：目前动态分析方法不能识别假冒成某种功能软件的恶意程序，例如，一种恶意程序假冒成某个功能软件，诱惑用户进行点击但其实并无实际功能，用户点击后会下载图片或者诱导用户继续点击，极可能会像恶意SP（ServiceProvider，服务提供商）发送订购短信，消耗用户的资费而用户很难发觉。现有的动态分析方法不能对这类恶意程序的危害行为进行快速有效地识别，并且没有阻断和清除这类恶意程序的依据，导致对恶意程序对用户的危害巨大。
技术实现思路
本专利技术实施例旨在至少解决上述技术问题之一。为此，本专利技术实施例的第一个目的在于提出一种恶意程序的检测方法。该方法实现了对待测程序是否包含危害行为进行快速有效地识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。本专利技术实施例的第二个目的在于提出一种恶意程序的检测装置。本专利技术实施例的第三个目的在于提出一种客户端。为了实现上述目的，本专利技术第一方面实施例的恶意程序的检测方法，包括以下步骤：获取待测程序的操作界面；提取所述操作界面中的控件对象，并根据预设的操作策略对所述控件对象进行触发；以及获取触发所述控件对象之后所述待测程序的行为信息，并根据所述行为信息对所述待测程序进行恶意程序检测。根据本专利技术实施例的恶意程序的检测方法，通过模拟运行待测程序，并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录，并根据行为信息判断待测程序是否为恶意程序。由此，实现了对待测程序是否包含危害行为进行快速有效地识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。为了实现上述目的，本专利技术第二方面实施例的恶意程序的检测装置，包括：第一获取模块，用于获取待测程序的操作界面；提取模块，用于提取所述操作界面中的控件对象；触发模块，用于根据预设的操作策略对所述控件对象进行触发；第二获取模块，用于获取触发所述控件对象之后所述待测程序的行为信息；以及检测模块，用于根据所述行为信息对所述待测程序进行恶意程序检测。根据本专利技术实施例的恶意程序的检测装置，通过模拟运行待测程序，并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录，并根据行为信息判断待测程序是否为恶意程序。由此，实现了对待测程序是否包含危害行为进行快速有效地识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。为了实现上述目的，本专利技术第三方面实施例的客户端，包括：屏幕，处理器和电路板；所述屏幕安置在所述外壳上，所述电路板安置在所述外壳围成的空间内部，所述处理器设置在所述电路板上；所述处理器用于处理数据，并具体用于：获取待测程序的操作界面；提取所述操作界面中的控件对象，并根据预设的操作策略对所述控件对象进行触发；以及获取触发所述控件对象之后所述待测程序的行为信息，并根据所述行为信息对所述待测程序进行恶意程序检测。根据本专利技术实施例的客户端，通过模拟运行待测程序，并在模拟运行待测程序过程中对触发控件对象后的行为信息抓取和记录，并根据行为信息判断待测程序是否为恶意程序。由此，实现了对待测程序是否包含危害行为进行快速有效地识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，图1为根据本专利技术一个实施例的恶意程序的检测方法的流程图；图2为根据本专利技术另一个实施例的恶意程序的检测方法的流程图；图3为根据本专利技术一个实施例的恶意程序的检测装置的结构示意图；图4为根据本专利技术一个具体实施例的恶意程序的检测装置的结构示意图；图5为根据本专利技术另一个具体实施例的恶意程序的检测装置的结构示意图；以及图6为根据本专利技术又一个具体实施例的恶意程序的检测装置的结构示意图。具体实施方式下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利技术，而不能理解为对本专利技术的限制。相反，本专利技术的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。在本专利技术的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术中的具体含义。此外，在本专利技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本专利技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本专利技术的实施例所属
的技术人员所理解。需要说明的是，本专利技术的实施例优选适用于移动设备，例如，安卓操作系统(Android系统是一种基于Linux的自由及开放源代码的操作系统)、IOS操作系统(IOS是由苹果公司开发的手持设备操作系统)、WindowsPhone操作系统（WindowsPhone是微软公司发布的一款手机操作系统）的移动设备，当然也适用于个人计算机以及其他智能移动设备，本专利技术对此不作限定。下面参考附图描述根据本专利技术实施例的恶意程序的检测方法、装置和客户端。目前，动态检测方法不能识别假冒成某种功能软件的恶意程序。如果在待测程序运行时，通过对待测程序的操作界面进行实时监控，对操作界面上包含关键字信息的控件对象进行点击触发，并记录点击触发后待测程序的相关行为信息，作为待测程序的动态行为特征，并在控件对象触发操作结束后，通过堆栈回溯，将触发的控件对象与触发后的相关行为信息进行关联。由此，可对恶意程序的危害行为进行快速有效地识别，对恶意程序的阻断和清除提供有利的依据，为此本专利技术提出了一种恶意程序的检测方法。图1为根据本专利技术一个实施例的恶意程序的检测方法的流程图。如图1所示，恶意程序的检测方法包括以下步骤。S101，获取待测程序的操作界面。在本专利技术的一个实施例中，在虚拟的环境中加载并运行待测程序。其中，待测程序可为疑似恶意程序的程序。S102，提本文档来自技高网...

【技术保护点】
一种恶意程序的检测方法，其特征在于，包括以下步骤：获取待测程序的操作界面；提取所述操作界面中的控件对象，并根据预设的操作策略对所述控件对象进行触发；以及获取触发所述控件对象之后所述待测程序的行为信息，并根据所述行为信息对所述待测程序进行恶意程序检测。

【技术特征摘要】
1.一种恶意程序的检测方法，其特征在于，包括以下步骤：在虚拟的环境中加载并运行待测程序，获取所述待测程序的操作界面；提取所述操作界面中的控件对象，并根据预设的操作策略对所述控件对象进行触发，其中，当所述操作界面包括多个控件对象时，获取所述多个控件对象对应的应用程序编程接口API；通过所述API获取所述多个控件对象对应的关键字信息；对所述关键字信息进行分析以获取所述控件对象对应的控件信息，以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发，其中所述预设的操作策略为对获取的关键字信息根据自定义的优先级或者自定义组合进行的点击操作，将所述优先级高的关键字信息的控件对象设置为触发的控件对象；以及获取触发所述控件对象之后所述待测程序的行为信息，将所述行为信息加入行为信息集合；获取所述待测程序下一步的操作界面，并提取所述下一步的操作界面的控件对象；获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息，并加入所述行为信息集合；将所述行为信息集合在预设的恶意行为信息库中进行匹配，如果在恶意行为信息库中匹配到所述行为信息，则判断所述待测程序为恶意程序，所述预设的恶意行为信息库存储了之前通过动态行为分析获取的已知的恶意行为的恶意代码。2.如权利要求1所述的方法，其特征在于，在所述获取触发控件对象之后所述待测程序的行为信息之后，还包括：生成所述被触发的控件对象与所述行为信息的关联记录。3.如权利要求1所述的方法，其特征在于，所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。4.如权利要求1所述的方法，其特征在于，在所述获取触发所述控件对象之后所述待测程序的行为信息，并加入行为信息集合之后，还包括：通过堆栈回朔获取所述被触发的控件对象与所述行为信息的关联记录。5.一种恶意程序的检测装置，其特征在于，包括：第一获取模块，用于在虚拟的环境中加载并运行待测程序，获取所述待测程序的操作界面；提取模块，用于提取所述操作界面中的控件对象；触发模块，用于根据预设的操作策略对所述控件对象进行触发，其中，所述触发模块包括：第一获取单元，用于当所述操作界面包括多个控件对象时，获取所述多个控件对象对应的应用程序编程接口API；第二获取单元，用于通过所述API获取所述多个控件对象对应的关键字信息；分析与触发单元，用于对所述关键字信息进行分析以获取所述控件对象对应的控件信息，以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发，其中所述预设的操作策略为对获取的关键字信息根据自定义的优先级或者自定义组合进行的点击操作，将所述优先级高的关键字信息的控件对象设置为触发的控件对象；第二获取模块，用于获取触发所述控件对象之后所述待测程序的行为信息；添加模块，用于将所述行为信息加入行为信息集合；所述第一获取模块还用于获取所述待测程序下一步的操作界面，并提取所述下一步的操作界面的控件对象；第二获取...

【专利技术属性】
技术研发人员：林坚明，张楠，陈勇，
申请(专利权)人：贝壳网际北京安全技术有限公司，北京金山网络科技有限公司，
类型：发明
国别省市：北京;11