[发明专利]识别应用程序是否是恶意程序的方法、系统及存储介质

权利要求书

1.一种用于识别第一应用程序是否是恶意程序的方法，该方法包括：

检测第一应用程序正在被提供用于在处理系统上安装；

通过由处理器执行的静态分析扫描第一应用程序，以确定第一应用程序的用户界面布局是否疑似处理系统上安装的第二应用程序的用户界面布局；

所述通过由处理器执行的静态分析扫描第一应用程序以确定第一应用程序的用户界面布局是否疑似处理系统上安装的第二应用程序的用户界面布局包括：

确定第一应用程序可能的用户布局的总数；

并且，该方法进一步包括：

响应于静态分析不能确定第一应用程序的用户界面布局是否疑似第二应用的用户界面布局，当第一应用程序被执行时，对第一应用程序进行运行时分析，以识别第一应用程序实现的每个用户界面布局，并确定第一应用程序实现的每个用户界面布局是否疑似第二应用程序的用户界面布局；和

响应于运行时分析表明由运行时分析检测的第一应用程序的用户界面布局的总数等于由静态分析确定的可能的用户界面布局的总数，并且第一应用程序的每个用户界面布局并不疑似处理系统上安装的第二应用程序的用户界面布局，确定第一应用程序是安全的。

2.按照权利要求1的方法，进一步包括：

响应于静态分析不能确定第一应用程序的用户界面布局是否疑似第二应用的用户界面布局：

在第一应用程序被处理系统执行期间，执行对第一应用程序的运行时分析，运行时分析包括确定第一应用程序的用户界面布局是否疑似第二应用的用户界面布局；

响应于运行时分析指示第一应用程序的用户界面布局疑似第二应用的用户界面布局，产生指示第一应用程序是恶意程序的警报。

3.按照权利要求2的方法，还包括：

响应于运行时分析指示第一应用程序的用户界面布局疑似第二应用的用户界面布局，阻止第一应用程序存储或传送从处理系统收到的用户输入中收到的信息。

4.按照权利要求2或3的方法，其中，所述执行对第一应用程序的运行时分析还包括：

确定第一应用程序在运行时试图、或请求访问至少一个含有私人信息的过程间通信；和

当第一应用程序在运行时试图、或请求访问至少一个含有私人信息的过程间通信，确定第一应用程序是恶意程序。

5.按照权利要求2的方法，其中，所述执行对第一应用程序的运行时分析以确定第一应用程序的用户界面布局疑似第二应用程序的用户界面布局包括：

在第一应用程序运行时，确定第一应用程序的当前用户界面布局是否疑似第二应用程序的用户界面布局；

当第一应用程序的当前用户界面布局不疑似第二应用程序的用户界面布局时：

在第一应用程序运行时，确定第一应用程序的下一个用户界面布局是否疑似第二应用程序的用户界面布局。

6.按照权利要求1的方法，其中，所述通过处理器执行的静态分析扫描第一应用程序进一步包括：

确定第一应用程序被配置得试图、或请求访问至少一个含有私人信息的过程间通信；和

当第一应用程序被配置得试图、或请求访问至少一个含有私人信息的过程间通信时，确定第一应用程序是恶意的。

7.按照权利要求1的方法，该方法包括：

检测到第一应用程序被提供用于在处理系统上安装；

通过处理器执行的静态分析扫描第一应用程序，以确定第一应用程序是否是恶意的；

响应于静态分析不能确定第一应用程序是否是恶意的：

在第一应用程序被处理系统执行期间，执行对第一应用程序的运行时分析，以确定第一应用程序是否是恶意的；和

响应于运行时分析指示第一应用程序是恶意的，产生指示第一应用程序是恶意程序的警报。

8.按照权利要求7的方法，其中，所述执行对第一应用程序的运行时分析还包括：

确定第一应用程序在运行时试图、或请求访问至少一个含有私人信息的过程间通信；和

当第一应用程序在运行时试图、或请求访问至少一个含有私人信息的过程间通信时，确定第一应用程序是恶意的；

当第一应用程序在运行时尝试，或请求，访问至少一个过程间通信，包含私人信息，确定第一应用程序是恶意的。