惡意程序的處理方法及系統(tǒng)的制作方法【專利說(shuō)明】【
技術(shù)領(lǐng)域：
】[0001]本發(fā)明涉及計(jì)算機(jī)
技術(shù)領(lǐng)域：
，尤其涉及一種惡意程序的處理方法及系統(tǒng)。【【
背景技術(shù)：
】】[0002]惡意程序是一個(gè)概括性的術(shù)語(yǔ)，指任何故意創(chuàng)建用來(lái)執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計(jì)算機(jī)病毒、后門(mén)程序、鍵盤(pán)記錄器、密碼盜取者、Word和Excel宏病毒、弓丨導(dǎo)區(qū)病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都可以稱之為惡意程序。[0003]現(xiàn)今，以捆綁方式推廣惡意程序已成為一種潮流，所捆綁的軟件幾乎涉及了電腦日常使用的方方面面。對(duì)于廣大的普通用戶來(lái)說(shuō)，在安裝過(guò)程中通常并不會(huì)去仔細(xì)閱讀理解被勾選選項(xiàng)的內(nèi)容，用戶通過(guò)默認(rèn)直接點(diǎn)擊安裝軟件的情況下，被惡意程序在用戶不知情的情況下即安裝在了其電腦上;這樣，待用戶軟件安裝完成后，除了該款需要的軟件外，還多了一些其他的捆綁安裝的軟件，這些捆綁的軟件是用戶并不需要、不想安裝的。[0004]對(duì)于此類惡意程序，當(dāng)用戶試圖進(jìn)行卸載時(shí)，勢(shì)必會(huì)浪費(fèi)用戶的時(shí)間和精力;而若用戶置之不管時(shí)，用戶的計(jì)算機(jī)由于安裝了不必要的惡意程序，日積月累，惡意程序的數(shù)量越來(lái)越多，會(huì)占用大量的資源，進(jìn)而影響用戶電腦系統(tǒng)的性能，開(kāi)機(jī)、運(yùn)行等效率降低，甚至影響用戶的正常使用；更嚴(yán)重的，有些惡意程序可能會(huì)導(dǎo)致用戶在不知情的情況下誤安裝一些惡意軟件，或者是廣告騷擾程序等，進(jìn)而不僅僅影響用戶電腦的系統(tǒng)性能，影響用戶上網(wǎng)及使用軟件時(shí)的體驗(yàn)，還可能威脅到用戶的電腦安全。[0005]目前，也有一些針對(duì)惡意程序的一些攔截方法，但現(xiàn)有的方法是啟動(dòng)攔截后，是攔截程序自身在運(yùn)行，用戶無(wú)法知曉其中的攔截進(jìn)程，更無(wú)法進(jìn)行攔截干預(yù)，用戶的參與感及感覺(jué)性較弱?！尽?br/>發(fā)明內(nèi)容】】[0006]本發(fā)明的目的旨在解決上述至少一個(gè)問(wèn)題，提供了一種惡意程序的處理方法及系統(tǒng)。[0007]為實(shí)現(xiàn)該目的，本發(fā)明采用如下技術(shù)方案:[0008]本發(fā)明提供了一種惡意程序的處理方法，主要用于移動(dòng)終端，其包括以下步驟:[0009]讀取主軟件安裝包中的原配置文件；[0010]對(duì)原配置文件中的惡意程序進(jìn)行標(biāo)記；[0011]當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)，將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶，以便用戶知曉所述惡意程序信息、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作。[0012]進(jìn)一步的，本發(fā)明所述的方法，還包括:[0013]對(duì)原配置文件進(jìn)行檢測(cè)，以識(shí)別出原配置文件中的惡意程序。[0014]具體的，所述對(duì)原配置文件進(jìn)行檢測(cè)，以識(shí)別出原配置文件中的惡意程序的步驟中，包括:[0015]將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配，若匹配成功則從原配置文件中將惡意程序的相關(guān)信息抓取出來(lái)。[0016]具體的，所述云端鑒別條件中包括多個(gè)特定程序匹配條件和滿足該特定程序匹配條件后需要檢查的特定ELF(ExecutableandLinkableFormat;可執(zhí)行連接格式)文件信息。[0017]具體的，所述將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配的過(guò)程中，包括:[0018]將原配置文件的相關(guān)信息與所述特定程序匹配條件進(jìn)行匹配；[0019]獲取相匹配的特定程序匹配條件后需要檢查的特定ELF文件信息；[0020]將所述特定ELF文件信息作為所述原配置文件的相關(guān)信息的ELF文件信息。[0021]具體的，所述特定程序匹配條件包括以下信息中的至少一種:[0022]文件名稱信息、文件大小信息、文件特征值信息、文件圖標(biāo)信息、產(chǎn)品名稱信息、內(nèi)部名稱信息、原始文件名信息，以及進(jìn)程的命令行信息、進(jìn)程路徑信息和父進(jìn)程路徑信息；[0023]所述原配置文件的相關(guān)信息包括以下信息中的至少一種:[0024]待執(zhí)行程序的文件名稱信息、文件大小信息、文件特征值信息、文件圖標(biāo)信息、產(chǎn)品名稱信息、內(nèi)部名稱信息、原始文件名信息，以及待執(zhí)行程序創(chuàng)建的進(jìn)程的命令行信息、進(jìn)程路徑信息和父進(jìn)程路徑信息。[0025]進(jìn)一步的，本發(fā)明所述的方法，還包括:[0026]對(duì)所述原配置文件中的惡意程序進(jìn)行處理。[0027]具體的，所述對(duì)所述原配置文件中的惡意程序進(jìn)行處理的步驟中，包括:[0028]獲取所述惡意程序的數(shù)據(jù)，從中解析出所述惡意程序待寫(xiě)入的目標(biāo)路徑；[0029]將所述目標(biāo)路徑加入文件防御規(guī)則，使用所述文件防御規(guī)則在所述惡意程序生成文件時(shí)進(jìn)行文件防御。[0030]具體的，使用所述文件防御規(guī)則在所述惡意程序生成文件時(shí)進(jìn)行文件防御的過(guò)程中，包括:[0031]主動(dòng)防御系統(tǒng)在所述惡意程序生成文件時(shí)，獲取生成的文件的文件路徑；[0032]判斷所述生成的文件的文件路徑與所述文件防御規(guī)則中的目標(biāo)路徑是否匹配；[0033]若匹配，則獲取所述生成的文件的文件特征值，對(duì)所述生成的文件的文件特征值進(jìn)行安全性判定；[0034]根據(jù)返回結(jié)果對(duì)所述惡意程序進(jìn)行相應(yīng)的文件防御處理。[0035]具體的，在所述當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)，將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶的過(guò)程中，包括:[0036]實(shí)時(shí)檢測(cè)客戶端中進(jìn)行主軟件安裝的當(dāng)前進(jìn)程。[0037]具體的，在所述當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)，將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶的過(guò)程中，還包括:[0038]提示用戶選擇主軟件安裝的控制模式；[0039]根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制。[0040]具體的，所述主軟件安裝的控制模式包括全自動(dòng)模式、半自動(dòng)模式及提示模式。[0041]進(jìn)一步的，在所述提示用戶選擇主軟件安裝的控制模式的步驟之后，還包括:[0042]對(duì)用戶所選擇的主軟件安裝的控制模式進(jìn)行識(shí)別。[0043]依據(jù)本發(fā)明的一個(gè)實(shí)施例所揭示，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，包括:[0044]當(dāng)識(shí)別到用戶選擇全自動(dòng)模式時(shí)，將所述標(biāo)記的惡意程序進(jìn)行攔截；[0045]將主軟件安裝的實(shí)時(shí)操控指令和/或當(dāng)前進(jìn)程信息提示給用戶。[0046]進(jìn)一步的，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，還包括:[0047]根據(jù)預(yù)設(shè)的軟件安裝方式，實(shí)時(shí)控制所述主軟件的安裝進(jìn)程按照所述預(yù)設(shè)的軟件安裝方式進(jìn)行。[0048]依據(jù)本發(fā)明的又一個(gè)實(shí)施例所揭示，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，包括:[0049]當(dāng)識(shí)別到用戶選擇半自動(dòng)模式時(shí)，將所述標(biāo)記的惡意程序進(jìn)行選定，并將該選定信息提示給用戶，以便用戶對(duì)選定信息進(jìn)行確認(rèn)和/或調(diào)整；[0050]控制禁用下一操作指令的指令按鈕，并啟動(dòng)所述指令按鈕解禁的倒計(jì)時(shí)，以便用戶在所述指令按鈕禁用期間，手動(dòng)取消選定和/或選定所述標(biāo)記的惡意程序。[0051]進(jìn)一步的，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，還包括:[0052]實(shí)時(shí)識(shí)別所述標(biāo)記的惡意程序的選定情況，以得出最終選定的惡意程序[0053]當(dāng)所述指令按鈕解禁后，執(zhí)行下一操作指令時(shí)，將所述最終選定的惡意程序進(jìn)行攔截。[0054]依據(jù)本發(fā)明的又一個(gè)實(shí)施例所揭示，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，包括:[0055]當(dāng)識(shí)別到用戶選擇提示模式時(shí)，實(shí)時(shí)將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶，以便用戶選定要攔截的已標(biāo)記惡意程序和/或選擇相應(yīng)的進(jìn)程控制的操作指令；[0056]根據(jù)用戶選定的內(nèi)容或選擇的操作指令，執(zhí)行對(duì)應(yīng)的操作。[0057]進(jìn)一步的，本發(fā)明所述的方法，還包括:[0058]接收用于對(duì)用戶進(jìn)行相關(guān)提示的文本信息的腳本，并準(zhǔn)予所述腳本配置至所述原配置文件中。[0059]進(jìn)一步的，所述根據(jù)用戶選擇的控制模式，進(jìn)行相應(yīng)的安裝信息提示及安裝進(jìn)程控制的步驟中，還包括:[0060]根據(jù)所述主軟件安裝的進(jìn)程，實(shí)時(shí)調(diào)用所述腳本。[0061]相應(yīng)的，本發(fā)明還提供了一種惡意程序的處理系統(tǒng)，主要用于移動(dòng)終端，其包括:[0062]讀取模塊，用于讀取主軟件安裝包中的原配置文件；[0063]標(biāo)記模塊，用于對(duì)原配置文件中的惡意程序進(jìn)行標(biāo)記；[0064]提示模塊，用于當(dāng)客戶端在進(jìn)行主軟件安裝時(shí)，將標(biāo)記的惡意程序信息及主軟件安裝的實(shí)施進(jìn)程信息提示給用戶，以便用戶知曉所述惡意程序信息、知曉主軟件安裝進(jìn)程和/或根據(jù)提示做相應(yīng)的操作。[0065]進(jìn)一步的，本發(fā)明所述的系統(tǒng)，還包括:[0066]檢測(cè)模塊，用于對(duì)原配置文件進(jìn)行檢測(cè)，以識(shí)別出原配置文件中的惡意程序。[0067]具體的，所述檢測(cè)模塊包括:[0068]匹配子模塊，用于將原配置文件的相關(guān)信息與預(yù)先設(shè)置的云端鑒別條件進(jìn)行匹配，若匹配成功則從原配置文件中將惡意程序的相關(guān)信息抓取出來(lái)。[0069]具體的，所述云端鑒別條件中包括多個(gè)特定程序匹配條件和滿足該特定程序匹配條件后需要檢查的特定ELF文件信息。[0070]具體的，所述匹配子模塊包括:[0071]匹配單元，用于將原配置文件的相關(guān)信息與所述特定程序匹配條件進(jìn)行匹配；[0072]獲取單元，用于獲取相匹配的特定程序匹配條件后需要檢查的特定ELF文件信息；[0073]作為單元，用于將所述特定ELF文件信息作為所述原配置文件的相關(guān)信息的ELF文件信息。[0074]具體的，所述特定程序匹配條件包括以下信息中的至少一種:[0075]文件名稱信息、文件大小信息、文件特征值信息、文件圖標(biāo)信息、產(chǎn)品名稱信息、內(nèi)部名稱信息、原始文件名信息，以及進(jìn)程的命令行信息、進(jìn)程路徑信息和父進(jìn)程路徑信息；[0076]所述原配置文件的相關(guān)信息包括以下信息中的至少一種:[0077]待執(zhí)行程序的文件名稱信息、文件大小信息、文件特征值信息、文件圖標(biāo)信息、產(chǎn)品名稱信息、內(nèi)部名稱信息、原始文件名信息，以及待執(zhí)行程序創(chuàng)建的進(jìn)程的命令行信息、進(jìn)程路徑信息和父進(jìn)程路徑信息。[0078]進(jìn)一步的，本發(fā)明所當(dāng)前第1頁(yè)1 2 3 4 5 6