[发明专利]用于检测恶意代码的方法和装置

说明书

本公开涉及一种用于检测恶意代码的方法，应用于终端上运行的客户端程序中，该方法包括：响应于所述客户端程序接收的操作请求执行选自以下群组中的一个或多个步骤来确定是否存在恶意代码：检测启动所述终端的操作系统的系统应用文件是否合法；检测所述操作系统提供的安装包管理器中是否存在非法的程序包名；检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名；以及遍历所述终端上当前所运行进程中的关键应用程序接口API，检测所述关键API的方法类型标识是否合法。

技术领域

本公开涉及移动终端技术领域，尤其涉及一种用于检测恶意代码的方法和装置。

背景技术

随着移动终端技术的发展，越来越多的用户选择使用移动终端下载的各种应用程序来完成日常生活乃至工作相关的各种事项，例如缴费、购物、安排日程计划等等。相应地，也有越来越多的商家选择提供应用程序来为用户提供各种各样的服务，例如新闻、社交、外卖等等。在使用例如Android(安卓)等开放式操作系统的终端上，应用程序可能被恶意代码侵入而产生不良影响。例如，有些用户为了实现抢票、刷单等目的，会故意下载安装第三方非法提供的外挂程序(例如基于xposed架构)，这些外挂程序会与应用一起运行，模拟用户操作与应用程序的后台服务器通信，从而对服务器产生不必要的负担。

外挂程序可能是为了帮助用户进行注册、登录等自助操作(例如抢票)，或者可能是为了引入不必要的广告，但也有可能会在后台抓取用户移动终端上的隐私数据，对用户造成重大的安全隐患。另一方面，部分用户故意使用带有外挂的应用程序进行抢票、刷单等恶意操作，也会给应用程序的原始提供方带来不可预估的损失。

为此，目前市场上已开发出一些能够进行恶意代码/外挂程序的检测等常规安全操作的防护软件。然而，由于应用程序的数目繁多，相应的外挂程序种类也十分庞杂，恶意代码的侵入原理也层出不穷，造成防护软件即使频繁更新也无法彻底杜绝外挂程序的侵入。如何从根源上精确地消除外挂程序的危害便成为业内急需解决的问题。

发明内容

本公开的目的是提供一种用于检测恶意代码的方法和装置，以解决现有技术中存在的上述问题。

根据本公开的一个方面，提供一种用于检测恶意代码的方法，应用于终端上运行的客户端程序中，该方法包括：响应于所述客户端程序接收的操作请求执行选自以下群组中的一个或多个步骤来确定是否存在恶意代码：检测启动所述终端的操作系统的系统应用文件是否合法；检测所述操作系统提供的安装包管理器中是否存在非法的程序包名；检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名；以及遍历所述终端上当前所运行进程中的关键应用程序接口API，检测所述关键API的方法类型标识是否合法。

根据本公开的另一个方面，提供一种用于检测恶意代码的装置，应用于终端上运行的客户端程序中，该装置包括：操作请求响应模块，设置为响应于所述客户端程序接收的操作请求触发选自以下群组中的一个或多个模块来确定是否存在恶意代码：系统文件检测模块，设置为检测启动所述终端的操作系统的系统应用文件是否合法；安装包检测模块，设置为检测所述操作系统提供的安装包管理器中是否存在非法的程序包名；进程检测模块，设置为检测所述操作系统的进程空间内加载的文件中是否存在预设黑名单中的文件名；以及标识检测模块，设置为遍历所述终端上当前所运行进程中的关键应用程序接口API并检测所述关键API的方法类型标识是否合法。

根据本公开用于检测恶意代码的方法和装置，通过响应于操作请求来触发不同的检测手段，可以实现针对特定类型外挂程序的精确判断。

附图说明

图1为根据本公开一实施例的用于检测恶意代码的方法流程图；

图2为根据本公开另一实施例的用于检测恶意代码的方法流程图；

图3为根据本公开另一实施例的用于检测恶意代码的方法流程图；