[发明专利]判断恶意程序的方法及装置

说明书

技术领域

本发明涉及计算机技术领域，特别涉及一种判断恶意程序的方法及装置。

背景技术

随着软件技术的发展，越来越多的应用程序被开发和应用，极大的方便和丰富了人们的生活。但是，目前也出现了很多以窃取用户隐私或者盗取用户话费为目的的恶意程序，使得用户信息及财产变得不安全。

现有技术中，通常采用如下方式来识别上述恶意程序：人工测试某款应用程序是否是恶意程序，具体地，人工触发应用程序内的各种功能事件，以观察该应用程序的运行行为，并分析其运行行为来确定该应用程序是否是恶意程序。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：人工测试应用程序是否是恶意程序，成本较高，且测试速度慢，效率低下。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种判断恶意程序的方法及装置。所述技术方案如下：

一方面，本发明提供了一种判断恶意程序的方法，所述方法包括：

获取应用程序内的特定应用程序编程接口API；

确定所述特定API被调用时的调用逻辑，所述调用逻辑包括触发所述特定API接口被调用的触发事件或/和调用所述特定API后的反馈路径；

根据所述调用逻辑确定所述应用程序是否是恶意程序。

所述特定API包括访问用户隐私信息的函数、修改用户隐私信息的函数、网络访问函数、呼叫函数、消息反馈函数、修改系统设置的函数、静默安装第三方应用程序的函数、终止程序进程的函数中的至少一种。

所述获取应用程序内的特定应用程序编程接口API，包括：

对应用程序进行反编译，得到所述应用程序的代码文件；

扫描所述代码文件，提取所述代码文件内的特定应用程序编程接口API。

所述确定所述特定API被调用时的调用逻辑，包括：

对所述代码文件内的类、函数、程序事件及函数间调用关系进行分析，提取所述特定API被调用时的调用逻辑。

所述根据所述调用逻辑确定所述应用程序是否是恶意程序，包括：

将所述调用逻辑与预存储的逻辑模型进行匹配，所述逻辑模型给出恶意程序的调用逻辑；

当所述调用逻辑与所述逻辑模型内的调用逻辑相匹配时，则判定所述应用程序为恶意程序；

当所述调用逻辑无法与所述逻辑模型内的任一调用逻辑匹配时，则判定所述应用程序为安全程序。

另一方面，本发明还提供了一种判断恶意程序的装置，所述装置包括：

获取模块、第一确定模块和第二确定模块；

所述获取模块，用于获取应用程序内的特定应用程序编程接口API；

所述第一确定模块，用于确定所述特定API被调用时的调用逻辑，所述调用逻辑包括触发所述特定API接口被调用的触发事件或/和调用所述特定API后的反馈路径；

所述第二确定模块，用于根据所述调用逻辑确定所述应用程序是否是恶意程序。

所述特定API包括访问用户隐私信息的函数、修改用户隐私信息的函数、网络访问函数、呼叫函数、消息反馈函数、修改系统设置的函数、静默安装第三方应用程序的函数、终止程序进程的函数中的至少一种。

所述获取模块包括：

反编译单元，用于对应用程序进行反编译，得到所述应用程序的代码文件；

扫描提取单元，用于扫描所述代码文件，提取所述代码文件内的特定应用程序编程接口API。

所述第一确定模块，具体用于对所述代码文件内的类、函数、程序事件及函数间调用关系进行分析，提取所述特定API被调用时的调用逻辑。

所述第二确定模块包括：

模型匹配单元，用于将所述调用逻辑与预存储的逻辑模型进行匹配，所述逻辑模型给出恶意程序的调用逻辑；

判定单元，用于当所述调用逻辑与所述逻辑模型内的调用逻辑相匹配时，则判定所述应用程序为恶意程序，当所述调用逻辑无法与所述逻辑模型内的任一调用逻辑匹配时，则判定所述应用程序为安全程序。

本发明实施例提供的技术方案带来的有益效果是：通过获取应用程序内的特定应用程序编程接口API，确定所述特定API被调用时的调用逻辑，并最终根据所述特定API被调用时的调用逻辑确定应用程序是否是恶意程序的技术方案的实现，避免手工测试程序，提高测试效率；另外，根据对应用程序内可能实现窃取用户隐私及用户话费的特定API接口的调用逻辑来判断应用程序是否是恶意程序，可以提高判断应用程序是否是恶意的准确度。

附图说明