本发明专利技术公开了一种恶意文件安装的检测方法、装置、终端以及服务器。其中方法包括:监控终端中当前是否有系统文件正在被安装;若是,则提取系统文件的文件特征;将系统文件的文件特征发送至服务器,其中,服务器在接收到文件特征时,判断文件特征是否存在于预先生成的白名单中,并在文件特征不存在于白名单中时,生成第一通知信息;接收服务器反馈的第一通知信息;根据第一通知信息判定系统文件为恶意文件,并控制终端停止安装系统文件。该方法能够更加及时准确地发现释放到系统内病毒,保证用户的经济利益以及用户隐私信息的安全,并可以简化终端的操作步骤,降低终端的负荷。
【技术实现步骤摘要】
本专利技术涉及软件安全
,尤其涉及一种恶意文件安装的检测方法、装置、终端以及服务器。
技术介绍
随着病毒(即恶意文件)与反病毒作者的长期激烈对抗,病毒作者为了避免病毒被安全软件(如杀毒软件等)删除,部分病毒会利用操作系统的漏洞获取操作系统的最高权限,然后将病毒文件释放到操作系统当中,使其成为系统文件,这样会导致该病毒文件不能很容易地清除和识别,导致病毒文件长期保留在操作系统中损害用户经济利益以及泄漏用户隐私信息等。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。为此,本专利技术的第一个目的在于提出一种恶意文件安装的检测方法。该方法能够更加及时准确地发现释放到系统内病毒,保证用户的经济利益以及用户隐私信息的安全,并可以简化终端的操作步骤,降低终端的负荷。本专利技术的第二个目的在于提出另一种恶意文件安装的检测方法。本专利技术的第三个目的在于提出一种恶意文件安装的检测装置。本专利技术的第四个目的在于提出另一种恶意文件安装的检测装置。本专利技术的第五个目的在于提出一种终端。本专利技术的第六个目的在于提出一种服务器。为达到上述目的,本专利技术第一方面实施例提出的恶意文件安装的检测方法,应用于终端,所述方法包括:监控所述终端中当前是否有系统文件正在被安装;如果当前有系统文件正在被安装,则提取所述系统文件的文件特征;将所述系统文件的文件特征发送至服务器,其中,所述服务器在接收到所述文件特征时,判断所述文件特征是否存在于预先生成的白名单中,并在所述文件特征不存在于所述白名单中时,生成第一通知信息;接收所述服务器反馈的第一通知信息;根据所述第一通知信息判定所述系统文件为恶意文件,并控制所述终端停止安装所述系统文件。根据本专利技术实施例的恶意文件安装的检测方法,可监控终端中当前是否有系统文件正在被安装,若是,则提取系统文件的文件特征,并将系统文件的文件特征发送至服务器,其中,服务器在接收到文件特征时,判断文件特征是否存在于预先生成的白名单中,并在文件特征不存在于白名单中时,生成第一通知信息,之后,可接收服务器反馈的第一通知信息,最后,根据第一通知信息判定系统文件为恶意文件,并控制终端停止安装系统文件。即通过对系统文件的安装进行监控,以判断该系统文件是否为恶意文件,能够更加及时准确地发现释放到系统内病毒,保证用户的经济利益以及用户隐私信息的安全,并通过将判断终端当前正在安装的系统文件是否为恶意文件的过程放到服务器中,终端只需从正在安装的系统文件中提取其文件特征,并将该文件特征发送至服务器中即可,简化了终端的操作步骤,降低了终端的负荷。根据本专利技术的一个实施例,所述系统文件包括系统应用和/或BIN文件。根据本专利技术的一个实施例,所述监控终端中当前是否有系统文件正在被安装,包括:监控所述终端的操作系统中的系统目录下是否有新文件正在创建;如果所述系统目录下有新文件正在创建,则判定所述终端中当前有系统文件正在被安装。根据本专利技术的一个实施例,当所述系统文件为系统应用时,所述监控终端中当前是否有系统文件正在被安装,包括:检测占用所述终端的显示屏的应用程序是否为安装管理器;如果占用所述终端的显示屏的应用程序为所述安装管理器,则判定所述终端中当前有系统文件正在被安装。根据本专利技术的一个实施例,所述方法还包括:接收所述服务器反馈的第二通知信息,其中,所述第二通知信息是由所述服务器在判断所述文件特征存在于所述白名单中时生成的;根据所述第二通知信息判定所述系统文件为合法文件,并控制所述终端继续安装所述系统文件。为达到上述目的,本专利技术第二方面实施例提出的恶意文件安装的检测方法,应用于服务器,所述方法包括:接收终端发送的系统文件的文件特征,其中,所述文件特征是由终端在监控当前有系统文件正在被安装时从所述系统文件中提取的;判断所述文件特征是否存在于预先生成的白名单中;如果所述文件特征不存在于所述白名单中,则生成第一通知信息;将所述第一通知信息反馈至所述终端,其中,所述终端根据第一通知信息判定所述系统文件为恶意文件,并停止安装所述系统文件。根据本专利技术实施例的恶意文件安装的检测方法,可接收终端发送的系统文件的文件特征,其中,文件特征是由终端在监控当前有系统文件正在被安装时从系统文件中提取的,并判断文件特征是否存在于预先生成的白名单中,若否,则生成第一通知信息,最后,将第一通知信息反馈至终端,其中,终端根据第一通知信息判定系统文件为恶意文件,并停止安装系统文件。即通过对系统文件的安装进行监控,以判断该系统文件是否为恶意文件,能够更加及时准确地发现释放到系统内病毒,保证用户的经济利益以及用户隐私信息的安全,并通过将判断终端当前正在安装的系统文件是否为恶意文件的过程放到服务器中,终端只需从正在安装的系统文件中提取其文件特征,并将该文件特征发送至服务器中即可,简化了终端的操作步骤,降低了终端的负荷。根据本专利技术的一个实施例,通过以下步骤预先生成所述白名单:收集大量样本终端的系统信息,并收集所述样本终端上已安装的系统应用的文件特征、以及已安装的BIN文件的文件特征;建立所述样本终端的系统信息与所述样本终端上所述已安装的系统应用的文件特征、以及已安装的BIN文件的文件特征之间的对应关系;根据所述系统信息、所述已安装的系统应用的文件特征、所述已安装的BIN文件的文件特征、以及所述对应关系生成所述白名单。根据本专利技术的一个实施例,所述方法还包括:收集可安装到终端的操作系统内的系统应用以及BIN文件;根据所述可安装到终端的操作系统内的系统应用以及BIN文件更新所述白名单。根据本专利技术的一个实施例,所述方法还包括:如果所述文件特征存在于所述白名单中,则生成第二通知信息;将所述第二通知信息反馈至所述终端,其中,所述终端根据所述第二通知信息判定所述系统文件为合法文件,并继续安装所述系统文件。为达到上述目的,本专利技术第三方面实施例提出的恶意文件装置的检测装置,应用于终端,所述装置包括:监控模块,用于监控所述终端中当前是否有系统文件正在被安装;提取模块,用于在当前有系统文件正在被安装时,提取所述系统文件的文件特征;发送模块,用于将所述系统文件的文件特征发送至服务器,其中,所述服务器在接收到所述文件特征时,判断所述文件特征是否存在于预先生成的白名单中,并在所述文件特征不存在于所述白名单中时,生成第一通知信息;接收模块,用于接收所述服务器反馈的第一通知信息;判定模块,用于根据所述第一通知信息判定所述系统文件为恶意文件;控制模块,用于在所述判定模块判定所述系统文件为恶意文件时,控制所述终端停止安装所述系统文件。根据本专利技术实施例的恶意文件装置的检测装置,可通过监控模块监控终端中当前是否有系统文件正在被安装,若是,则提取模块提取系统文件的文件特征,发送模块将系统文件的文件特征发送至服务器,其中,服务器在接收到文件特征时,判断文件特征是否存在于预先生成的白名单中,并在文件特征不存在于白名单中时,生成第一通知信息,之后,接收模块可接收服务器反馈的第一通知信息,判定模块根据第一通知信息判定系统文件为恶意文件,控制模块控制终端停止安装系统文件。即通过对系统文件的安装进行监控,以判断该系统文件是否为恶意文件,能够更加及时准确地发现释放到系统内病毒,保证用户的经济利益以及用户隐私信息的安全,并通过将判断终端当本文档来自技高网...
【技术保护点】
一种恶意文件安装的检测方法,应用于终端,其特征在于,包括以下步骤:监控所述终端中当前是否有系统文件正在被安装;如果当前有系统文件正在被安装,则提取所述系统文件的文件特征;将所述系统文件的文件特征发送至服务器,其中,所述服务器在接收到所述文件特征时,判断所述文件特征是否存在于预先生成的白名单中,并在所述文件特征不存在于所述白名单中时,生成第一通知信息;接收所述服务器反馈的第一通知信息;根据所述第一通知信息判定所述系统文件为恶意文件,并控制所述终端停止安装所述系统文件。
【技术特征摘要】
1.一种恶意文件安装的检测方法,应用于终端,其特征在于,包括以下步骤:监控所述终端中当前是否有系统文件正在被安装;如果当前有系统文件正在被安装,则提取所述系统文件的文件特征;将所述系统文件的文件特征发送至服务器,其中,所述服务器在接收到所述文件特征时,判断所述文件特征是否存在于预先生成的白名单中,并在所述文件特征不存在于所述白名单中时,生成第一通知信息;接收所述服务器反馈的第一通知信息;根据所述第一通知信息判定所述系统文件为恶意文件,并控制所述终端停止安装所述系统文件。2.如权利要求1所述的恶意文件安装的检测方法,其特征在于,其中,所述系统文件包括系统应用和/或BIN文件。3.如权利要求1所述的恶意文件安装的检测方法,其特征在于,所述监控终端中当前是否有系统文件正在被安装,包括:监控所述终端的操作系统中的系统目录下是否有新文件正在创建;如果所述系统目录下有新文件正在创建,则判定所述终端中当前有系统文件正在被安装。4.如权利要求2所述的恶意文件安装的检测方法,其特征在于,当所述系统文件为系统应用时,所述监控终端中当前是否有系统文件正在被安装,包括:检测占用所述终端的显示屏的应用程序是否为安装管理器;如果占用所述终端的显示屏的应用程序为所述安装管理器,则判定所述终端中当前有系统文件正在被安装。5.如权利要求1至4中任一项所述的恶意文件安装的检测方法,其特征在于,所述方法还包括:接收所述服务器反馈的第二通知信息,其中,所述第二通知信息是由所述服务器在判断所述文件特征存在于所述白名单中时生成的;根据所述第二通知信息判定所述系统文件为合法文件,并控制所述终端继续安装所述系统文件。6.一种恶意文件安装的检测方法,应用于服务器,其特征在于,包括:接收终端发送的系统文件的文件特征,其中,所述文件特征是由终端在监控当前有系统文件正在被安装时从所述系统文件中提取的;判断所述文件特征是否存在于预先生成的白名单中;如果所述文件特征不存在于所述白名单中,则生成第一通知信息;将所述第一通知信息反馈至所述终端,其中,所述终端根据第一通知信息判定所述系统文件为恶意文件,并停止安装所述系统文件。7.如权利要求6所述的恶意文件安装的检测方法,其特征在于,通过以下步骤预先生成所述白名单:收集大量样本终端的系统信息,并收集所述样本终端上已安装的...
【专利技术属性】
技术研发人员:袁国庆,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。