[发明专利]一种检测第三方应用的方法及装置

权利要求书

1.一种检测第三方应用的方法，其特征在于，包括以下步骤：

在虚拟机中运行第三方应用；

对第三方应用进行模拟操作；

记录第三方应用针对模拟操作发生的行为；

根据第三方应用发生的行为，确定第三方应用是否安全。

2.如权利要求1所述的方法，其特征在于，所述对第三方应用进行模拟操作，包括：遍历第三方应用中的操作对象，对操作对象逐一进行模拟操作。

3.如权利要求2所述的方法，其特征在于，操作对象包括按钮、输入框和选择框中的一项或多项。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：在虚拟机中模拟第三方应用对应的目标应用。

5.如权利要求4所述的方法，其特征在于，所述在虚拟机中模拟第三方应用对应的目标应用，包括：在虚拟机中运行第三方应用时，第三方应用需访问的目标应用中的对象。

6.如权利要求5所述的方法，其特征在于，第三方应用所需访问的对象包括：注册表、安装文件、进程和窗口中的一项或多项。

7.如权利要求1所述的方法，其特征在于，记录的行为包括：发送的网络数据包、释放的文件、删除的文件、修改的文件、创建的进程、删除的进程和注入的进程中的一项或多项。

8.根如权利要求1所述的方法，其特征在于，所述根据第三方应用发生的行为，确定第三方应用是否安全，包括：

将第三方应用发生的行为与预设的黑规则进行匹配，在匹配一致时，确定第三方应用不安全，在匹配不一致时，确定第三方应用安全；和/或

将第三方应用发生的行为与预设的白规则进行匹配，在匹配一致时，确定第三方应用安全，在匹配不一致时，确定第三方应用不安全。

9.根如权利要求8所述的方法，其特征在于，所述将第三方应用发生的行为与预设的黑规则和/或白规则进行匹配，包括：

从第三方应用发生的行为中识别出与黑规则和/或白规则有关的字段；

判断识别出的字段的内容是否满足黑规则和/或白规则。

10.根如权利要求8所述的方法，其特征在于，黑规则至少包括下列规则之一：

与预设的进程名称匹配一致；

存在一个样本创建有多个进程；

向非目标应用对应的服务器发送数据包。

11.根如权利要求1所述的方法，其特征在于，第三方应用包括外挂应用。

12.一种检测第三方应用的装置，其特征在于，包括：

运行模块，用于在虚拟机中运行第三方应用；

操作模块，用于对第三方应用进行模拟操作；

记录模块，用于记录第三方应用针对模拟操作发生的行为；

检测模块，用于根据第三方应用发生的行为，确定第三方应用是否安全。

13.如权利要求12所述的装置，其特征在于，操作模块遍历第三方应用中的操作对象，对操作对象逐一进行模拟操作。

14.如权利要求12所述的装置，其特征在于，运行模块还用于在虚拟机中模拟第三方应用对应的目标应用。

15.如权利要求14所述的装置，其特征在于，运行模块在虚拟机中运行第三方应用时，第三方应用需访问的目标应用中的对象。

16.根如权利要求12所述的装置，其特征在于，检测模块将第三方应用发生的行为与预设的黑规则进行匹配，在匹配一致时，确定第三方应用不安全，在匹配不一致时，确定第三方应用安全；和/或，将第三方应用发生的行为与预设的白规则进行匹配，在匹配一致时，确定第三方应用安全，在匹配不一致时，确定第三方应用不安全。

17.根如权利要求16所述的装置，其特征在于，所述检测模块从第三方应用发生的行为中识别出与黑规则和/或白规则有关的字段；判断识别出的字段的内容是否满足黑规则和/或白规则。

18.根如权利要求16所述的装置，其特征在于，黑规则至少包括下列规则之一：

与预设的进程名称匹配一致；

存在一个样本创建有多个进程；

向非目标应用对应的服务器发送数据包。

19.根如权利要求12所述的装置，其特征在于，第三方应用包括外挂应用。