[发明专利]用于检测恶意代码的方法和装置

权利要求书

1.一种用于检测恶意代码的方法，应用于终端上运行的客户端程序中，所述终端的系统是安卓系统，该方法包括：

响应于所述客户端程序接收的操作请求，判断所述操作请求的安全级别；在判断所述操作请求的安全级别为第一级别时，执行以下步骤D；

在判断所述操作请求的安全级别为高于所述第一级别的第二级别时，按顺序执行以下步骤A至步骤D，其中任一步骤确定存在恶意代码则返回确定存在恶意代码的结果；

步骤A，检测启动所述终端的操作系统的系统应用文件是否合法；

步骤B，检测所述操作系统提供的安装包管理器中是否存在非法的程序包名；

步骤C，检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名；以及

步骤D，遍历所述终端上当前所运行进程中的关键应用程序接口API，检测所述关键API的方法类型标识是否合法；

其中，所述的检测所述关键API的方法类型标识是否合法包括：

在检测到所述方法类型标识指示为java方法时，确定不存在恶意代码；以及

在检测到所述方法类型标识被修改为native类型时，确定存在恶意代码。

2.如权利要求1所述的检测恶意代码的方法，其中所述操作系统为安卓操作系统，则所述的检测启动所述终端的操作系统的系统应用文件是否合法包括：

在所述操作系统的系统文件夹中定位app_process文件；

提取所述app_process文件的特征码；

将所述提取的特征码与已知的合法特征码进行对比校验；以及

在所述提取的特征码与所述合法特征码一致时确定不存在恶意代码，不一致时确定存在恶意代码。

3.如权利要求1所述的检测恶意代码的方法，其中所述操作系统为安卓操作系统，则所述的检测所述操作系统提供的安装包管理器中是否存在非法的程序包名包括：

调用所述操作系统提供的与安装包管理器PackageManager相关的API来遍历已安装程序包；

将所述已安装程序包逐一与已知的非法程序包名进行比对；以及

在所述已安装程序包中未发现与所述非法程序包名匹配的程序包时确定不存在恶意代码，发现与所述非法程序包名匹配的程序包时确定存在恶意代码。

4.如权利要求1所述的检测恶意代码的方法，其中所述操作系统为安卓操作系统，所述预设黑名单基于已知的恶意代码来分析收集并存在于所述客户端程序的源代码中，则所述的检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名包括：

遍历所述进程空间内加载的文件；

将所述加载的文件逐一与所述预设黑名单中的特征文件进行比对；以及

在所述加载的文件中未发现与所述特征文件匹配的文件时确定不存在恶意代码，发现与所述特征文件匹配的文件时确定存在恶意代码。

5.如权利要求1所述的检测恶意代码的方法，还包括：

将确定是否存在恶意代码的结果附在所述操作请求中，以使所述终端的操作系统根据所述结果返回对所述操作请求的响应。

6.一种用于检测恶意代码的装置，应用于终端上运行的客户端程序中，所述终端的系统是安卓系统，该装置至少包括如下模块中的标识检测模块：

操作请求响应模块，设置为响应于所述客户端程序接收的操作请求，判断所述操作请求的安全级别；

安全级别判断模块，设置为在判断所述操作请求的安全级别为第一级别时，触发所述的标识检测模块来确定是否存在恶意代码；

其中，在所述安全级别判断模块判断所述操作请求的安全级别为高于所述第一级别的第二级别时，按顺序触发系统文件检测模块、安装包检测模块、进程检测模块和标识检测模块，其中任一模块确定存在恶意代码则返回确定存在恶意代码的结果；系统文件检测模块，设置为检测启动所述终端的操作系统的系统应用文件是否合法；

安装包检测模块，设置为检测所述操作系统提供的安装包管理器中是否存在非法的程序包名；

进程检测模块，设置为检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名；以及

标识检测模块，设置为遍历所述终端上当前所运行进程中的关键应用程序接口API并检测所述关键API的方法类型标识是否合法；

其中，所述标识检测模块包括：

在检测到所述方法类型标识指示为java方法时，确定不存在恶意代码；以及

在检测到所述方法类型标识被修改为native类型时，确定存在恶意代码。