[发明专利]分析移动设备中程序安装和程序运行的方法和系统

权利要求书

1.一种分析移动设备中程序安装和程序运行的方法，其特征在于包括以下步骤：

a）记录移动设备程序安装信息和程序运行信息；

b）读取所述程序安装信息和运行信息；

c）将所安装程序的散列计算值与标准程序的散列计算值比较，如果存在差别，则判断所述程序为未知程序；以及

d）进一步对未知程序的运行记录进行分析，如果所述程序运行记录存在杀进程、静默卸载、删除文件、删除安装日志、发送短信、静默拨号、后台安装、进程守护、修改通讯录或自动应答来电事件中的一种，将所分析的程序定义为威胁性程序。

2. 根据权利要求1所述的分析移动设备中程序安装和进程运行的方法，所述程序的安装信息至少包括所述程序的唯一标识符、文件名称和散列计算值，根据程序名称或唯一标识符找出相应的标准程序，并读取标准程序的散列计算值。

3. 根据权利要求2所述的分析移动设备中程序安装和进程运行的方法，进一步包括从存储许多散列计算值的标准程序库中读取相应的标准程序散列计算值。

4. 根据权利要求2所述的分析移动设备中程序安装和进程运行的方法，进一步包括如果根据所述程序的唯一标识符或名称无法找到相应的标准程序，则判断所述程序为未知程序，并执行步骤d）的操作。

5. 根据权利要求1所述的分析移动设备中程序安装和进程运行方法，所述程序运行信息至少包括记录事件名称，运行时间，程序名称，程序识别码，调用的文件名称，调用的文件识别码其中之一。

6. 根据权利要求1所述的监视移动设备中程序安装和进程运行的方法，所述记录移动设备程序安装信息和程序运行信息包括批量记录移动设备程序安装信息和程序运行信息。

7. 根据权利要求6所述的监视移动设备中程序安装和进程运行的方法，重复步骤b）、c）和d），分析所述移动设备中的每一个程序的安装信息和运行信息。

8. 一种分析移动设备中程序安装和程序运行的系统，包括：程序安装和运行记录模块，数据读取模块，数据分析模块和威胁性程序数据库；

所述程序安装和运行记录模块在移动设备中实时运行，记录程序在移动设备安装的过程中产生的安装信息，以及程序在移动设备运行过程中产生的运行信息；

所述数据读取模块读取程序安装和运行记录并转发至数据分析模块；

所述数据分析模块比较所述程序的散列计算值与标准程序的散列计算值，如果存在差别，则判断所述程序为未知程序； 

所述数据分析模块可分析未知程序的运行记录，如果所述程序运行记录存在杀进程、静默卸载、删除文件、删除安装日志、发送短信、静默拨号、后台安装、进程守护、修改通讯录或自动应答来电事件中的一种，将所分析的程序列为威胁性程序；以及

所述威胁性程序数据库存储威胁性程序的相关信息。

9. 根据权利要求8的监视移动设备中程序安装和程序运行的系统，所述程序的安装信息至少包括所述程序的唯一标识符、文件名称和散列计算值，所述数据分析模块根据程序名称或唯一标识符找出相应的标准程序，并读取标准程序的散列计算值。

10. 根据权利要求8的监视移动设备中程序安装和程序运行的系统，进一步包括标准程序数据库，其中存储许多标准程序的散列计算值存储，所述数据分析模块根据程序名称或唯一标识符读取所述标准程序数据库中的数据。