[发明专利]分析移动设备中程序安装和程序运行的方法和系统

说明书

技术领域

本发明涉及通信安全领域，具体地涉及分析移动设备中程序安装和程序运行的方法和系统。 

背景技术

随着智能手机和其他智能化移动设备的普及，手机病毒也大量增加，例如手机木马和手机蠕虫等病毒将目标锁定为智能手机或移动设备。手机病毒的威胁可以通过多种方式入侵移动设备，例如短信息，彩信，无线网络下载，WiFi或蓝牙连接。主动式的安全保护对于移动设备而言日益重要。 

移动设备中的恶意软件可以造成很多严重的问题。例如手机病毒可以造成手机电量的快速消耗，病毒还可能删除用户的重要商业信息甚至导致手机的特定功能失效。病毒除了可以禁止手机的正常功能，手机窃听病毒还可以取得手机的控制权限，使手机变成一个移动窃听器。甚至可以打开摄像头，拍摄照片并上传至网络。 

虽然病毒所采用的手段不断的更新，但是病毒在移动设备中发作时总是有迹可循的。例如，对系统有害的操作，如删除，静默安装或后台联网等。针对病毒的这些特征，现有的杀毒软件采取了一些措施来识别和清除病毒。这些措施可以总结为以下三个步骤： 

研究人员搜集病毒样本，分析病毒的执行流程，对病毒程序分类、取得病毒指纹并存入病毒库；

定期扫描移动设备，利用病毒库中的病毒文件的指纹来核对病毒种类；

识别了特定的病毒后，删除病毒程序或从被感染的程序中清除病毒痕迹。

上述过程虽然可以识别已知的病毒或已知病毒的变种，但是对于未知病毒没有效果。此类方法通常是事后行为，病毒感染后才能检测、识别和清除。此类方法对于病毒的识别依赖于病毒库中存储的病毒签名或指纹，对于病毒库中没有存储的病毒没有效果。 

基于上述原因，现有技术中的病毒查杀方法无法主动识别未知病毒，仅仅依赖于已发作的病毒的样本，无法有效的防范移动设备的安全威胁。 

发明内容

本发明解决的技术问题是提供一种技术方案能够主动分析软件程序在移动设备中的安装过程和运行过程，从而识别可能对移动设备的安全构成威胁的程序。 

根据本发明的一个方面，所采用的技术方案是提供一种分析移动设备中程序安装和程序运行的方法，包括以下步骤：记录移动设备程序安装信息和程序运行信息；读取所述程序安装信息和运行信息；将所安装程序的散列计算值与标准程序的散列计算值比较，如果存在差别，则判断所述程序为未知程序；以及进一步对未知程序的运行记录进行分析，如果所述程序运行记录存在杀进程、静默卸载、删除文件、删除安装日志、发送短信、静默拨号、后台安装、进程守护、修改通讯录或自动应答来电事件中的一种，将所分析的程序列为威胁性程序。 

根据本发明的一个方面，程序的安装信息至少包括所述程序的唯一标识符、文件名称和散列计算值，根据程序名称或唯一标识符找出相应的标准程序，并读取标准程序的散列计算值。 

根据本发明的一个方面，从存储许多散列计算值的标准程序库中读取相应的标准程序散列计算值。 

根据本发明的一个方面，如果根据所述程序的唯一标识符或名称无法找到相应的标准程序，则判断所述程序为未知程序，以及进一步对未知程序的运行记录进行分析，如果所述程序运行记录存在杀进程、静默卸载、删除文件、删除安装日志、发送短信、静默拨号、后台安装、进程守护、修改通讯录或自动应答来电事件中的一种，将所分析的程序列为威胁性程序。 

根据本发明的一个方面，程序运行信息至少包括记录事件名称，运行时间，程序名称，程序识别码，调用的文件名称，调用的文件识别码其中之一。 

根据本发明的一个方面，记录移动设备程序安装信息和程序运行信息包括批量记录移动设备程序安装信息和程序运行信息。 

根据本发明的一个方面，重复上述步骤，分析所述移动设备中的每一个程序的安装信息和运行信息。