本发明专利技术公开了一种处理恶意程序的方法,包括:对移动终端中的文件进行扫描,查找出至少一个恶意程序;对恶意程序进行清除;若清除失败,则基于进程查看命令,获得一进程列表;基于进程列表,找到恶意程序的进程,并结束恶意程序的进程;对恶意程序进行隔离。本发明专利技术有效地解决现有技术在Android 5.0版本中,存在无法获得进程列表导致无法对恶意程序进行隔离的技术问题。同时,本发明专利技术还公开了一种处理恶意程序的装置。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种处理恶意程序的方法及装置。
技术介绍
Android是一种基于Linux的自由及开放源代码的操作系统,主要应用于移动设备,例如:智能手机和平板电脑。目前,基于Android系统已经开发出上百万款App(Applicationprogram,应用程序),涵盖人们生活中的各个方面。由于Android的开源性以及Android生态圈的不完善等特点,导致Android系统容易受到恶意程序的攻击,所以Android的安全防护、以及性能优化备受业界关注。现有的安全类App(即:用于保证系统安全并对系统进行优化的App),通过对移动终端中的文件进行扫描,在发现恶意程序后,即对恶意程序进行卸载,从而达到保护移动终端系统安全的目的。但是,一些顽固型的恶意程序植入在Andorid系统内部,即使安全类App获得了ROOT权限(即:超级用户权限),也无法对其进行有效地卸载。例如,一些恶意程序存在母体程序,且该母体程序隐藏得很深,一般很难发现,在将该恶意程序卸载后,母体程序会借机重新恢复该恶意程序,由于这种恶意程序具有“死而复生”的特点,所以又被形象地称为“不死木马”。再例如,一些恶意程序会对Andorid系统的某些系统文件进行修改,使得该恶意程序具有只读权限,这时,安全类App也无法对其进行有效卸载。再例如,一些恶意程序会感染Andorid系统中的一些关键文件,在将这类恶意程序卸载后,会损坏系统文件,导致系统出问题,甚至导致系统无法启动。通常,对于顽固型恶意程序的优选处理方案是进行隔离,在进行隔离前,若该恶意程序处于运行状态,则必须先结束恶意程序的进程才能对其进行隔离。在Android5.0以下的版本中,提供有一特定接口,通过调用ActivityManager.getRunningAppProcess函数来访问该特定接口,即可获得一RunningApprocessInfo对象,该RunningApprocessInfo对象提供有一进程列表,安全类App可以基于该进程列表找到并结束恶意程序的进程。但是在Android5.0版本中,不再提供该特定接口,安全类App无法基于该特定接口获得进程列表,也就无法结束正在运行的恶意程序的进程,也就无法对该恶意程序进行隔离,这给用户的信息安全带来了极大的威胁。综上所述,在Android5.0版本中,存在无法获得进程列表导致无法对恶意程序进行隔离的技术问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的处理恶意程序的方法及装置。本专利技术的一个方面,提供了一种处理恶意程序的方法,包括:对移动终端中的文件进行扫描,查找出至少一个恶意程序;对所述恶意程序进行清除;若清除失败,则基于进程查看命令,获得一进程列表;基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程序的进程;对所述恶意程序进行隔离。优选地,所述对所述恶意程序进行清除,包括:对所述恶意程序进行卸载。优选地,所述对所述恶意程序进行卸载,包括:向服务器发送用于询问所述恶意程序是否可以卸载的询问信息;接收所述服务器反馈的询问答复;若所述询问答复表示所述恶意程序可以卸载,则卸载所述恶意程序。优选地,所述基于进程查看命令,获取一进程列表,包括:执行进程查看命令,并获取所述进程查看命令的输出结果;基于一过滤规则,对所述输出结果中的全部进程信息进行过滤;对过滤后的每条进程信息进行解析,获得所述过滤后的每条进程信息包含的全部字段;从所述过滤后的每条进程信息包含的全部字段中提取预设字段;基于所述过滤后的每条进程信息中的所述预设字段,构造所述进程列表。优选地,所述进程查看命令为PS命令。优选地,所述预设字段,包括:进程名称、进程用户、进程ID、用户ID、进程使用的包名列表、进程重要性信息。优选地,所述对恶意程序进行隔离,包括:将所述恶意程序添加到隔离沙箱内,并通过所述隔离沙箱禁止所述恶意程序的核心组件。优选地,所述对所述恶意程序进行隔离之后,还包括:隐藏所述恶意程序的启动图标。优选地,所述对所述恶意程序进行隔离之后,还包括:输出一表示所述恶意程序已被离的信息。优选地,所述对所述恶意程序进行隔离之后,还包括:获取用户的一预设操作;基于所述预设操作,取消对所述恶意程序的隔离,并将所述恶意程序添加进白名单中;其中,在所述恶意程序添加进白名单中后,若再次对所述移动终端中的文件进行扫描,则跳过所述恶意程序。优选地,所述对所述恶意程序进行隔离之后,还包括:对所述恶意程序进行监控;若发现有可疑程序向所述恶意程序发送了用于启动所述恶意程序的启动命令,则拦截所述启动命令;获取所述可疑程序的相关信息;将所述可疑程序的相关信息发送给服务器。优选地,所述将所述可疑程序的相关信息发送给服务器之后,还包括:从所述服务器获取针对所述可疑程序的处理方式;基于所述处理方式,对所述可疑程序进行处理。本专利技术的另一个方面,提供了一种处理恶意程序的装置,包括:扫描模块,用于对移动终端中的文件进行扫描,查找出至少一个恶意程序;清除模块,用于对所述恶意程序进行清除;获得模块,用于若清除失败,则基于进程查看命令,获得一进程列表;查找模块,用于基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程序的进程;隔离模块,用于对所述恶意程序进行隔离。优选地,所述清除模块,具体用于:对所述恶意程序进行卸载。优选地,所述清除模块,具体用于:向服务器发送用于询问所述恶意程序是否可以卸载的询问信息;接收所述服务器反馈的询问答复;若所述询问答复表示所述恶意程序可以卸载,则卸载所述恶意程序。优选地,所述获得模块,包括:执行子模块,用于执行进程查看命令,并获取所述进程查看命令的输出结果;过滤子模块,用于基于一过滤规则,对所述输出结果中的全部进程信息进行过滤;解析子模块,用于对过滤后的每条进程信息进行解析,获得所述过滤后的每条进程信息包含的全部字段;提取子模块,用于从所述过滤后的每条进程信息包含的全部字段中提取预设字段;构造子模块,用于基于所述过滤后的每条进程信息中的所述预设字段,构造所述进程列表。优选地,所述进程查看命令为PS命令。优选地,所述预设字段,包括:进程名称、进程用户、进本文档来自技高网...
【技术保护点】
一种处理恶意程序的方法,其特征在于,包括:对移动终端中的文件进行扫描,查找出至少一个恶意程序;对所述恶意程序进行清除;若清除失败,则基于进程查看命令,获得一进程列表;基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程序的进程;对所述恶意程序进行隔离。
【技术特征摘要】
1.一种处理恶意程序的方法,其特征在于,包括:
对移动终端中的文件进行扫描,查找出至少一个恶意程序;
对所述恶意程序进行清除;
若清除失败,则基于进程查看命令,获得一进程列表;
基于所述进程列表,找到所述恶意程序的进程,并结束所述恶意程序的进
程;
对所述恶意程序进行隔离。
2.如权利要求1所述的处理恶意程序的方法,其特征在于,所述对所述
恶意程序进行清除,包括:
对所述恶意程序进行卸载。
3.如权利要求2所述的处理恶意程序的方法,其特征在于,所述对所述
恶意程序进行卸载,包括:
向服务器发送用于询问所述恶意程序是否可以卸载的询问信息;
接收所述服务器反馈的询问答复;
若所述询问答复表示所述恶意程序可以卸载,则卸载所述恶意程序。
4.如权利要求1所述的处理恶意程序的方法,其特征在于,所述基于进
程查看命令,获取一进程列表,包括:
执行进程查看命令,并获取所述进程查看命令的输出结果;
基于一过滤规则,对所述输出结果中的全部进程信息进行过滤;
对过滤后的每条进程信息进行解析,获得所述过滤后的每条进程信息包含
的全部字段;
从所述过滤后的每条进程信息包含的全部字段中提取预设字段;
基于所述过滤后的每条进程信息中的所述预设字段,构造所述进程列表。
【专利技术属性】
技术研发人员:田维术,张炅轩,孟齐源,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。