[发明专利]用于检测非法应用程序的系统和方法

权利要求书

1.一种用于检测非法应用程序的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备来执行，所述方法包括：

识别计算系统上应用程序的安装；

响应于识别到所述应用程序的所述安装，确定所述计算系统上具有访问权限的至少一个系统文件在所述应用程序的所述安装之前意外改变，其中所述访问权限包括允许非法应用程序安装的访问级别；

至少部分地基于在具有访问权限的所述系统文件改变之后安装所述应用程序，确定所述应用程序非法；

响应于确定所述应用程序非法对所述应用程序执行整治动作。

2.根据权利要求1所述的计算机实现的方法，

所述方法还包括：

识别多个计算系统；

确定在所述多个计算系统中的每一者上的系统文件改变之后所述应用程序被安装在所述多个计算系统中的每一者上；

其中，还基于确定所述应用程序被安装在所述多个计算系统中的每一者上来确定所述应用程序非法。

3.根据权利要求1所述的计算机实现的方法，其中确定所述系统文件改变还包括确定在没有对所述系统文件进行合法系统更新的情况下所述系统文件已经改变。

4.根据权利要求1所述的计算机实现的方法，其中确定所述应用程序非法还基于所述应用程序的活动程度，所述活动程度是相对于所述系统文件发生改变的时间的。

5.根据权利要求1所述的计算机实现的方法，其中识别所述计算系统上所述应用程序的所述安装包括识别所述计算系统上所述应用程序的更新。

6.根据权利要求1所述的计算机实现的方法，其中确定所述系统文件在所述应用程序的所述安装之前改变包括：

在所述应用程序的所述安装之前存储所述系统文件的属性；

识别所述系统文件的所述属性的当前状态并确定在存储所述属性之后但在所述应用程序的所述安装之前所述属性已经改变。

7.根据权利要求1所述的计算机实现的方法，还包括：

确定另外的应用程序在所述系统文件的所述改变之前被安装；

至少部分地基于确定所述另外的应用程序在所述系统文件的所述改变之前被安装来确定所述另外的应用程序导致所述系统文件的所述改变以及所述应用程序的所述安装。

8.根据权利要求1所述的计算机实现的方法，其中确定所述计算系统上具有访问权限的所述系统文件在所述应用程序的所述安装之前改变包括将应用程序安装历史与系统文件历史相比较。

9.一种用于检测非法应用程序的系统，所述系统包括：

识别模块，所述识别模块被编程为识别计算系统上应用程序的安装；

改变模块，所述改变模块被编程为响应于识别到所述应用程序的所述安装，确定所述计算系统上具有访问权限的至少一个系统文件在所述应用程序的所述安装之前意外改变，其中所述访问权限包括允许非法应用程序安装的访问级别；

确定模块，所述确定模块被编程为至少部分地基于在具有访问权限的所述系统文件改变之后安装所述应用程序，确定所述应用程序非法；

整治模块，所述整治模块被编程为响应于确定所述应用程序非法对所述应用程序执行整治动作；

至少一个处理器，所述处理器被配置为执行所述识别模块、所述改变模块、所述确定模块和所述整治模块。

10.根据权利要求9所述的系统，

其中所述改变模块还被编程为：

识别多个计算系统；

确定在所述多个计算系统中的每一者上的系统文件改变之后所述应用程序被安装在所述多个计算系统中的每一者上；

其中，所述确定模块被编程为还基于确定所述应用程序被安装在所述多个计算系统中的每一者上来确定所述应用程序非法。

11.根据权利要求9所述的系统，其中所述改变模块被编程为通过确定在没有对所述系统文件进行合法系统更新的情况下所述系统文件已经改变来确定所述系统文件改变。

12.根据权利要求9所述的系统，其中所述确定模块被编程为还基于所述应用程序的活动程度来确定所述应用程序非法，所述活动程度是相对于所述系统文件发生改变的时间的。

13.根据权利要求9所述的系统，其中所述识别模块被编程为通过识别所述计算系统上所述应用程序的更新来识别所述计算系统上所述应用程序的所述安装。