用于檢測(cè)非法應(yīng)用程序的系統(tǒng)和方法
【專利說(shuō)明】
【背景技術(shù)】
[0001]隨著移動(dòng)計(jì)算的興起,消費(fèi)者現(xiàn)在可從任何地方訪問(wèn)互聯(lián)網(wǎng)���。移動(dòng)計(jì)算設(shè)備,諸如蜂窩電話��、平板電腦��、電子書閱讀器等���,已成為日常生活普遍存在的一部分�����。然而����,從這些設(shè)備訪問(wèn)互聯(lián)網(wǎng)的能力也將互聯(lián)網(wǎng)的各種危險(xiǎn)帶給了這些設(shè)備����。移動(dòng)應(yīng)用程序的非受信源可提供用于下載的惡意應(yīng)用程序。此外�,受信源,諸如針對(duì)一些移動(dòng)平臺(tái)的數(shù)字發(fā)行平臺(tái)(或“應(yīng)用程序商店”),有時(shí)可在不經(jīng)意間帶有惡意軟件���。此外��,惡意網(wǎng)頁(yè)可利用web瀏覽器軟件中的漏洞�����,這些漏洞可允許惡意軟件被下載到用戶的移動(dòng)計(jì)算設(shè)備�����。在一些情況下���,惡意軟件可獲得對(duì)用戶移動(dòng)計(jì)算設(shè)備的根訪問(wèn),從而在用戶沒(méi)有察覺(jué)的情況下修改系統(tǒng)文件和/或安裝非法應(yīng)用程序��。
[0002]傳統(tǒng)反惡意軟件技術(shù)可嘗試通過(guò)搜索應(yīng)用程序包文件的特定字符串和/或字節(jié)碼序列來(lái)抵抗惡意軟件�。然而,這些傳統(tǒng)技術(shù)在移動(dòng)平臺(tái)上執(zhí)行時(shí)較為昂貴�����。此外���,這些傳統(tǒng)技術(shù)可能是無(wú)效的����,因?yàn)閻阂廛浖髡呖赡芏ㄆ谛薷乃麄兊膼阂廛浖栽噲D規(guī)避常用的基于靜態(tài)字符串的惡意軟件檢測(cè)機(jī)制。因此����,本公開內(nèi)容明確了對(duì)用于檢測(cè)惡意軟件的另外的以及改進(jìn)的系統(tǒng)和方法的需求。
【發(fā)明內(nèi)容】
[0003]如將在下面更加詳細(xì)地描述�����,本公開內(nèi)容總體上涉及用于通過(guò)識(shí)別在接近于系統(tǒng)文件的意外改變時(shí)安裝(和/或活動(dòng))的應(yīng)用程序來(lái)檢測(cè)非法應(yīng)用程序的系統(tǒng)和方法����。
[0004]在一個(gè)實(shí)例中�,一種用于檢測(cè)非法應(yīng)用程序的計(jì)算機(jī)實(shí)現(xiàn)的方法可包括:1)識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的安裝;2)響應(yīng)于識(shí)別到應(yīng)用程序的安裝��,確定計(jì)算系統(tǒng)上具有訪問(wèn)權(quán)限的至少一個(gè)系統(tǒng)文件在應(yīng)用程序的安裝之前已經(jīng)改變���;3)至少部分地基于應(yīng)用程序的安裝的時(shí)間確定應(yīng)用程序非法�����,所述時(shí)間是相對(duì)于系統(tǒng)文件發(fā)生改變的時(shí)間的��;以及4)響應(yīng)于確定應(yīng)用程序非法對(duì)應(yīng)用程序執(zhí)行整治動(dòng)作���。
[0005]在一些實(shí)例中�����,識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的安裝包括識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的更新���。在一個(gè)實(shí)例中,確定系統(tǒng)文件已經(jīng)改變可包括:1)識(shí)別多個(gè)計(jì)算系統(tǒng)��;以及2)確定在所述多個(gè)計(jì)算系統(tǒng)中的每一者上系統(tǒng)文件改變之后所述應(yīng)用程序被安裝在所述多個(gè)計(jì)算系統(tǒng)中的每一者上�。在這個(gè)實(shí)例中,確定應(yīng)用程序非法還可基于確定應(yīng)用程序被安裝在所述多個(gè)計(jì)算系統(tǒng)上的每一者上����。
[0006]在一些實(shí)施例中,確定系統(tǒng)文件已經(jīng)改變可包括確定在沒(méi)有對(duì)系統(tǒng)文件進(jìn)行合法系統(tǒng)更新的情況下系統(tǒng)文件已經(jīng)改變���。除此之外或作為另外一種選擇�����,確定系統(tǒng)文件已經(jīng)改變可包括:1)在應(yīng)用程序的安裝之前存儲(chǔ)系統(tǒng)文件的屬性����;以及2)識(shí)別系統(tǒng)文件的屬性的當(dāng)前狀態(tài)并確定在存儲(chǔ)屬性之后但在應(yīng)用程序的安裝之前屬性已經(jīng)改變。在一個(gè)實(shí)例中���,確定系統(tǒng)文件已經(jīng)改變可包括通過(guò)將應(yīng)用程序安裝歷史與系統(tǒng)文件歷史相比較來(lái)確定系統(tǒng)文件在應(yīng)用程序的安裝之前已經(jīng)改變����。
[0007]在一些實(shí)例中��,計(jì)算機(jī)實(shí)現(xiàn)的方法還可包括:1)確定另外的應(yīng)用程序在系統(tǒng)文件的改變之前被安裝���;以及2)至少部分地基于確定另外的應(yīng)用程序在系統(tǒng)文件的改變之前被安裝來(lái)確定另外的應(yīng)用程序?qū)е铝讼到y(tǒng)文件的改變以及應(yīng)用程序的安裝。在一些實(shí)施例中���,確定應(yīng)用程序非法還可基于應(yīng)用程序的活動(dòng)程度����,該活動(dòng)程度是相對(duì)于系統(tǒng)文件發(fā)生改變的時(shí)間的���。
[0008]在一個(gè)實(shí)施例中���,用于實(shí)現(xiàn)上述方法的系統(tǒng)可包括:1)識(shí)別模塊�����,其被編程為識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的安裝����;2)改變模塊����,其被編程為響應(yīng)于識(shí)別到應(yīng)用程序的安裝,確定計(jì)算系統(tǒng)上具有訪問(wèn)權(quán)限的至少一個(gè)系統(tǒng)文件在應(yīng)用程序的安裝之前已經(jīng)改變�;3)確定模塊,其被編程為至少部分地基于應(yīng)用程序的安裝的時(shí)間確定應(yīng)用程序非法����,所述時(shí)間是相對(duì)于系統(tǒng)文件發(fā)生改變的時(shí)間的;以及4)整治模塊��,其被編程為響應(yīng)于確定應(yīng)用程序非法對(duì)應(yīng)用程序執(zhí)行整治動(dòng)作�����。該系統(tǒng)還可包括至少一個(gè)處理器�,所述處理器被配置為執(zhí)行識(shí)別模塊��、改變模塊��、確定模塊和整治模塊�。
[0009]在一些實(shí)例中���,上述方法可被編碼為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)可讀指令�����。例如�,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可包括一個(gè)或多個(gè)計(jì)算機(jī)可執(zhí)行指令�����,當(dāng)由計(jì)算設(shè)備的至少一個(gè)處理器執(zhí)行時(shí)�,所述指令可使計(jì)算設(shè)備:1)識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的安裝����;2)響應(yīng)于識(shí)別到應(yīng)用程序的安裝,確定計(jì)算系統(tǒng)上具有訪問(wèn)權(quán)限的至少一個(gè)系統(tǒng)文件在應(yīng)用程序的安裝之前已經(jīng)改變����;3)至少部分地基于應(yīng)用程序的安裝的時(shí)間確定應(yīng)用程序非法����,所述時(shí)間是相對(duì)于系統(tǒng)文件發(fā)生改變的時(shí)間的�����;以及4)響應(yīng)于確定應(yīng)用程序非法對(duì)應(yīng)用程序執(zhí)行整治動(dòng)作���。
[0010]來(lái)自上述實(shí)施例中的任何一者的特征可根據(jù)本文所述的一般原理彼此結(jié)合地使用�����。通過(guò)結(jié)合附圖和權(quán)利要求閱讀下面的詳細(xì)描述���,將會(huì)更充分地理解這些和其他實(shí)施例、特征和優(yōu)點(diǎn)��。
【附圖說(shuō)明】
[0011]附圖示出了多個(gè)示例性實(shí)施例并且為說(shuō)明書的一部分���。這些附圖結(jié)合下面的描述展示并且說(shuō)明本發(fā)明的各種原理����。
[0012]圖1為用于檢測(cè)非法應(yīng)用程序的示例性系統(tǒng)的框圖。
[0013]圖2為用于檢測(cè)非法應(yīng)用程序的示例性系統(tǒng)的框圖����。
[0014]圖3為用于檢測(cè)非法應(yīng)用程序的示例性方法的流程圖。
[0015]圖4為用于檢測(cè)非法應(yīng)用程序的示例性系統(tǒng)的框圖���。
[0016]圖5為能夠?qū)崿F(xiàn)本文描述和/或示出的實(shí)施例中的一者或多者的示例性計(jì)算系統(tǒng)的框圖��。
[0017]圖6為能夠?qū)崿F(xiàn)本文描述和/或示出的實(shí)施例中的一者或多者的示例性計(jì)算網(wǎng)絡(luò)的框圖����。
[0018]在全部附圖中����,相同引用字符和描述指示類似但未必相同的元件。雖然本文所述的示例性實(shí)施例易受各種修改和替代形式的影響����,但在附圖中以舉例的方式示出了特定實(shí)施例并且將在本文詳細(xì)描述這些特定實(shí)施例。然而����,本文所述的示例性實(shí)施例并非旨在限于所公開的特定形式���。相反��,本發(fā)明涵蓋落在所附權(quán)利要求范圍內(nèi)的所有修改形式�、等同形式和替代形式。
【具體實(shí)施方式】
[0019]本公開內(nèi)容總體上涉及用于檢測(cè)非法應(yīng)用程序的系統(tǒng)和方法�。如將在下面更加詳細(xì)地闡釋,通過(guò)識(shí)別在接近于系統(tǒng)文件的意外改變時(shí)安裝(和/或活動(dòng))的應(yīng)用程序����,本文所述的系統(tǒng)和方法可識(shí)別可能在用戶不知道和/或用于識(shí)別惡意軟件的傳統(tǒng)的基于簽名的方法和/或啟發(fā)式方法沒(méi)有檢測(cè)到的情況下安裝的惡意應(yīng)用程序。除此之外或作為另外一種選擇�����,在一些實(shí)例中���,這些系統(tǒng)和方法可識(shí)別計(jì)算系統(tǒng)的惡意扎根和/或使惡意扎根發(fā)生從而導(dǎo)致安裝另外的非法應(yīng)用程序的惡意應(yīng)用程序�����。
[0020]下面將���,參考圖1、2和4���,提供對(duì)用于檢測(cè)非法應(yīng)用程序的示例性系統(tǒng)的詳細(xì)描述��。也將結(jié)合圖3提供相應(yīng)計(jì)算機(jī)實(shí)現(xiàn)方法的詳細(xì)描述�����。此外���,將分別結(jié)合圖5和圖6提供能夠?qū)崿F(xiàn)本文所述實(shí)施例中的一者或多者的示例性計(jì)算系統(tǒng)和網(wǎng)絡(luò)體系結(jié)構(gòu)的詳細(xì)描述���。
[0021]圖1為用于檢測(cè)非法應(yīng)用程序的示例性系統(tǒng)100的框圖。如該附圖所示���,示例性系統(tǒng)100可包括用于執(zhí)行一個(gè)或多個(gè)任務(wù)的一個(gè)或多個(gè)模塊102�。例如��,以及如將在下面更加詳細(xì)地闡釋����,示例性系統(tǒng)100可包括識(shí)別模塊104,識(shí)別模塊104被編程為識(shí)別計(jì)算系統(tǒng)上應(yīng)用程序的安裝���。示例性系統(tǒng)100還可包括改變模塊106���,改變模塊106被編程為響應(yīng)于識(shí)別到應(yīng)用程序的安裝,確定計(jì)算系統(tǒng)上具有訪問(wèn)權(quán)限的至少一個(gè)系統(tǒng)文件在應(yīng)用程序的安裝之前已經(jīng)改變����。
[0022]此外,以及如將在下面更加詳細(xì)地描述�,示例性系統(tǒng)100可包括確定模塊108,確定模塊108被編程為至少部分地基于應(yīng)用程序的安裝的時(shí)間確定應(yīng)用程序非法���,所述時(shí)間是相對(duì)于系統(tǒng)文件發(fā)生改變的時(shí)間的�����。示例性系統(tǒng)100還可包括整治模塊110����,整治模塊100被編程為響應(yīng)于確定應(yīng)用程序非法對(duì)應(yīng)用程序執(zhí)行整治動(dòng)作��。盡管例示為獨(dú)立元件��,但圖1中的模塊102中的一者或多者可表示單個(gè)模塊或應(yīng)用程序的部分�����。
[0023]在某些實(shí)施例中,圖1中的模塊102中的一者或多者可表示一個(gè)或多個(gè)軟件應(yīng)用程序或程序���,當(dāng)通過(guò)計(jì)算設(shè)備執(zhí)行時(shí)其可使計(jì)算設(shè)備執(zhí)行一個(gè)或多個(gè)任務(wù)����。例如��,以及如將在下面更加詳細(xì)地描述����,模塊102中的一者或多者可表示存儲(chǔ)在一個(gè)或多個(gè)計(jì)算設(shè)備上并且被配置為在所述計(jì)算設(shè)備上運(yùn)行的軟件模塊,所述計(jì)算設(shè)備諸如圖2中示出的計(jì)算設(shè)備202����、圖5中示出的計(jì)算系統(tǒng)510、和/或圖6中的示例性網(wǎng)絡(luò)體系結(jié)構(gòu)600的部分����。圖1中的模塊102中的一者或多者也可表示被配置為執(zhí)行一個(gè)或多個(gè)任務(wù)的一臺(tái)或多臺(tái)專用計(jì)算機(jī)的全部或部分。
[0024]圖1中的示例性系統(tǒng)100可以多種方式來(lái)實(shí)現(xiàn)��。例如�,示例性系統(tǒng)100的全部或一部分可表示圖2中的示例性系統(tǒng)200的部分。如圖2所示��,系統(tǒng)200可包括用模塊102中的一者或多者編程的計(jì)算設(shè)備202�。
[0025]在一個(gè)實(shí)施例中,來(lái)自圖1的模塊102中的一者或多者在被計(jì)算設(shè)備202中的至少一個(gè)處理器執(zhí)行時(shí)��,可促進(jìn)計(jì)算設(shè)備202檢測(cè)非法應(yīng)用程序(例如����,安裝在計(jì)算設(shè)備202上和/或與計(jì)算設(shè)備202通信的一個(gè)或多個(gè)計(jì)算設(shè)備上)���。����。例如���,以及如將在下面更加詳細(xì)地描述��,模塊102中的一者或多者可使計(jì)算設(shè)備2021)識(shí)別計(jì)算設(shè)備202上應(yīng)用程序210的安裝�;2)響應(yīng)于識(shí)別到應(yīng)用程序210的安裝���,確定計(jì)算設(shè)備202上具有訪問(wèn)權(quán)限的系統(tǒng)文件220在應(yīng)用程序210的安裝時(shí)間212之前已經(jīng)改變���;3)至少部分地基于應(yīng)