[发明专利]恶意程序的检测方法、装置和客户端

权利要求书

1.一种恶意程序的检测方法，其特征在于，包括以下步骤：

在虚拟的环境中加载并运行待测程序，获取所述待测程序的操作界面；

提取所述操作界面中的控件对象，并根据预设的操作策略对所述控件对象进行触发，其中，当所述操作界面包括多个控件对象时，获取所述多个控件对象对应的应用程序编程接口API；通过所述API获取所述多个控件对象对应的关键字信息；对所述关键字信息进行分析以获取所述控件对象对应的控件信息，以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发，其中所述预设的操作策略为对获取的关键字信息根据自定义的优先级或者自定义组合进行的点击操作，将所述优先级高的关键字信息的控件对象设置为触发的控件对象；以及

获取触发所述控件对象之后所述待测程序的行为信息，将所述行为信息加入行为信息集合；

获取所述待测程序下一步的操作界面，并提取所述下一步的操作界面的控件对象；

获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息，并加入所述行为信息集合；

将所述行为信息集合在预设的恶意行为信息库中进行匹配，如果在恶意行为信息库中匹配到所述行为信息，则判断所述待测程序为恶意程序，所述预设的恶意行为信息库存储了之前通过动态行为分析获取的已知的恶意行为的恶意代码。

2.如权利要求1所述的方法，其特征在于，在所述获取触发控件对象之后所述待测程序的行为信息之后，还包括：

生成所述被触发的控件对象与所述行为信息的关联记录。

3.如权利要求1所述的方法，其特征在于，所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。

4.如权利要求1所述的方法，其特征在于，在所述获取触发所述控件对象之后所述待测程序的行为信息，并加入行为信息集合之后，还包括：

通过堆栈回朔获取所述被触发的控件对象与所述行为信息的关联记录。

5.一种恶意程序的检测装置，其特征在于，包括：

第一获取模块，用于在虚拟的环境中加载并运行待测程序，获取所述待测程序的操作界面；

提取模块，用于提取所述操作界面中的控件对象；

触发模块，用于根据预设的操作策略对所述控件对象进行触发，其中，所述触发模块包括：第一获取单元，用于当所述操作界面包括多个控件对象时，获取所述多个控件对象对应的应用程序编程接口API；第二获取单元，用于通过所述API获取所述多个控件对象对应的关键字信息；分析与触发单元，用于对所述关键字信息进行分析以获取所述控件对象对应的控件信息，以根据所述控件信息和所述预设的操作策略对所述控件对象进行触发，其中所述预设的操作策略为对获取的关键字信息根据自定义的优先级或者自定义组合进行的点击操作，将所述优先级高的关键字信息的控件对象设置为触发的控件对象；

第二获取模块，用于获取触发所述控件对象之后所述待测程序的行为信息；

添加模块，用于将所述行为信息加入行为信息集合；

所述第一获取模块还用于获取所述待测程序下一步的操作界面，并提取所述下一步的操作界面的控件对象；

第二获取模块还用于获取触发所述下一步的操作界面的控件对象之后所述待测程序的行为信息；并加入所述行为信息集合；以及

检测模块，所述检测模块包括：匹配单元，用于将所述行为信息集合在预设的恶意行为信息库中进行匹配；以及判断单元，用于在恶意行为信息库中匹配到所述行为信息时，判断所述待测程序为恶意程序，所述预设的恶意行为信息库存储了之前通过动态行为分析获取的已知的恶意行为的恶意代码。

6.如权利要求5所述的恶意程序的检测装置，其特征在于，所述添加模块，还用于生成所述被触发的控件对象与所述行为信息的关联记录。

7.如权利要求5所述的恶意程序的检测装置，其特征在于，所述行为信息包括所述待测程序调取的系统函数的函数信息和/或系统服务的服务信息。