[发明专利]一种外挂程序检测的方法及装置

说明书

本发明涉及计算机领域，特别涉及一种外挂程序检测的方法及装置，用以提高外挂程序检测的准确率以及降低检测成本。该方法为：在目标应用程序加载的可执行文件中筛选出路径可疑的第一类可执行文件，以及根据目标应用程序运行过程中调用的API筛选出被篡改的API所对应的第二类可执行文件，并将既属于第一类可执行文件又属于第二类可执行文件的可执行文件，判定为外挂程序；这样，便基于外挂程序的工作原理，从源头上面封杀了外挂程序的存在空闲，有效保障了外挂程序的检测准确率；同时大大降低了研发反外挂程序所带来的样本采集分析工作量以及后期运维工作量，有效降低了成本。

技术领域

本发明涉及计算机领域，特别涉及一种外挂程序检测的方法及装置。

背景技术

目前，在软件开发行业中，众多软件开发商对反外挂程序有着强烈的需求，多数软件开发商为了维护软件产品的平衡性和可用性，往往会对外挂程序采取多种技术手段进行封堵。

通常情况下，现有的反外挂程序的技术方案存在以下两种：

1)业务上的防范和检测。

即是针对不同的应用程序分别制定有针对性的检测方案，如，针对一个应用程序的各种执行步骤，分别设置相应的安全级别，对于高安全级别的执行步骤配置专门的检测工具进行绑定，并进行外挂程序检测，对于低安全级别的执行步骤则可以忽略。

然而，基于业务的防范和检测需要对应用程序的架构做相应的调整，存在一定的开发工作量，且针对每一应用程序都要做定制化开发并定期进行更新，这样，便大大增加了开发成本。

2)基于程序样本(pattern)的检测。

即是预先收集现有外挂程序的标识信息，在应用程序运行过程中，检测是否有对应的外挂程序正在运行，如果检测到则终止运行应用程序。

然而，基于pattern的检测，在pattern的维护和及时更新方面存在较大的问题，需要花费大量的人力，物力来进行与外挂程序开发者进行竞争。并且新的外挂程序总是在初期一段时间无法被检测到。

发明内容

本发明实施例提供一种外挂程序检测的方法及装置，提高外挂程序检测的准确率以及降低检测成本。

本发明实施例提供的具体技术方案如下：

一种外挂程序检测的方法，包括：

确定目标应用程序加载的可执行文件的路径，基于确定出的路径筛选出路径不在指定路径范围内的第一类可执行文件；

对目标应用程序调用的指定API逐一进行检测，筛选出被篡改的API，以及确定筛选出的API所对应的第二类可执行文件；

将既属于第一类可执行文件又属于第二类可执行文件的可执行文件，判定为外挂程序。

较佳的，进一步包括：

针对目标应用程序的类型预先设置相应的指定路径范围；

针对目标应用程序的类型预先设置相应的指定API。

较佳的，所述指定路径范围至少包括/system目录和所述目标应用程序的安装目录；

所述指定API包括位置相关API和时间相关API中的任意一种或组合。

较佳的，进一步包括：

按照设定周期，基于最新的外挂程序的运行特征，对所述指定路径范围进行更新，以及对所述指定API进行更新。

较佳的，筛选出所述第一类可执行文件后，在判定外挂程序之前，进一步包括：

将第一类可执行文件与预设的第一白名单进行匹配，从第一类可执行文件中删除记录在第一白名单中的可执行文件；