[发明专利]用于检测非法应用程序的系统和方法

说明书

背景技术

随着移动计算的兴起，消费者现在可从任何地方访问互联网。移动计算设备，诸如蜂窝电话、平板电脑、电子书阅读器等，已成为日常生活普遍存在的一部分。然而，从这些设备访问互联网的能力也将互联网的各种危险带给了这些设备。移动应用程序的非受信源可提供用于下载的恶意应用程序。此外，受信源，诸如针对一些移动平台的数字发行平台(或“应用程序商店”)，有时可在不经意间带有恶意软件。此外，恶意网页可利用web浏览器软件中的漏洞，这些漏洞可允许恶意软件被下载到用户的移动计算设备。在一些情况下，恶意软件可获得对用户移动计算设备的根访问，从而在用户没有察觉的情况下修改系统文件和/或安装非法应用程序。

传统反恶意软件技术可尝试通过搜索应用程序包文件的特定字符串和/或字节码序列来抵抗恶意软件。然而，这些传统技术在移动平台上执行时较为昂贵。此外，这些传统技术可能是无效的，因为恶意软件作者可能定期修改他们的恶意软件以试图规避常用的基于静态字符串的恶意软件检测机制。因此，本公开内容明确了对用于检测恶意软件的另外的以及改进的系统和方法的需求。

发明内容

如将在下面更加详细地描述，本公开内容总体上涉及用于通过识别在接近于系统文件的意外改变时安装(和/或活动)的应用程序来检测非法应用程序的系统和方法。

在一个实例中，一种用于检测非法应用程序的计算机实现的方法可包括：1)识别计算系统上应用程序的安装；2)响应于识别到应用程序的安装，确定计算系统上具有访问权限的至少一个系统文件在应用程序的安装之前已经改变；3)至少部分地基于应用程序的安装的时间确定应用程序非法，所述时间是相对于系统文件发生改变的时间的；以及4)响应于确定应用程序非法对应用程序执行整治动作。

在一些实例中，识别计算系统上应用程序的安装包括识别计算系统上应用程序的更新。在一个实例中，确定系统文件已经改变可包括：1)识别多个计算系统；以及2)确定在所述多个计算系统中的每一者上系统文件改变之后所述应用程序被安装在所述多个计算系统中的每一者上。在这个实例中，确定应用程序非法还可基于确定应用程序被安装在所述多个计算系统上的每一者上。

在一些实施例中，确定系统文件已经改变可包括确定在没有对系统文件进行合法系统更新的情况下系统文件已经改变。除此之外或作为另外一种选择，确定系统文件已经改变可包括：1)在应用程序的安装之前存储系统文件的属性；以及2)识别系统文件的属性的当前状态并确定在存储属性之后但在应用程序的安装之前属性已经改变。在一个实例中，确定系统文件已经改变可包括通过将应用程序安装历史与系统文件历史相比较来确定系统文件在应用程序的安装之前已经改变。

在一些实例中，计算机实现的方法还可包括：1)确定另外的应用程序在系统文件的改变之前被安装；以及2)至少部分地基于确定另外的应用程序在系统文件的改变之前被安装来确定另外的应用程序导致了系统文件的改变以及应用程序的安装。在一些实施例中，确定应用程序非法还可基于应用程序的活动程度，该活动程度是相对于系统文件发生改变的时间的。

在一个实施例中，用于实现上述方法的系统可包括：1)识别模块，其被编程为识别计算系统上应用程序的安装；2)改变模块，其被编程为响应于识别到应用程序的安装，确定计算系统上具有访问权限的至少一个系统文件在应用程序的安装之前已经改变；3)确定模块，其被编程为至少部分地基于应用程序的安装的时间确定应用程序非法，所述时间是相对于系统文件发生改变的时间的；以及4)整治模块，其被编程为响应于确定应用程序非法对应用程序执行整治动作。该系统还可包括至少一个处理器，所述处理器被配置为执行识别模块、改变模块、确定模块和整治模块。

在一些实例中，上述方法可被编码为计算机可读存储介质上的计算机可读指令。例如，计算机可读存储介质可包括一个或多个计算机可执行指令，当由计算设备的至少一个处理器执行时，所述指令可使计算设备：1)识别计算系统上应用程序的安装；2)响应于识别到应用程序的安装，确定计算系统上具有访问权限的至少一个系统文件在应用程序的安装之前已经改变；3)至少部分地基于应用程序的安装的时间确定应用程序非法，所述时间是相对于系统文件发生改变的时间的；以及4)响应于确定应用程序非法对应用程序执行整治动作。

来自上述实施例中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述，将会更充分地理解这些和其他实施例、特征和优点。

附图说明