[发明专利]应用的安全检测处理方法和系统

权利要求书

1.一种应用程序的安全检测处理方法，其特征在于，包括：

响应于检测到待执行应用程序创建目标进程，在所述目标进程完成登录 之前，实时监测所述目标进程的状态；其中，所述目标进程为用于输入登录 信息完成登录的进程；

响应于监测到目标进程的状态异常，获取所述待执行应用程序的特征信 息；

将所述待执行应用程序的特征信息上传至服务器，由服务器将所述待执 行应用程序的特征信息与云端数据库中的特征匹配条件进行匹配，获得匹配 结果，所述匹配结果为所述待执行应用程序需检查的程序文件信息；其中， 所述云端数据库中包括多个特征匹配条件和满足各特征匹配条件需检查的程 序文件信息；

接收所述服务器返回的匹配结果，并根据所述匹配结果查询所述待执行 应用程序是否存在被劫持的程序文件信息；

若所述待执行应用程序存在被劫持的程序文件信息，由服务器对所述被 劫持的程序文件进行查杀，获得查杀结果；

根据所述服务器返回的查杀结果对所述待执行应用程序执行相应操作。

2.根据权利要求1所述的方法，其特征在于，所述监测所述目标进程的 状态包括：

通过调用系统接口获取目标进程的状态；其中所述目标进程的状态包 括：主窗口的大小、主窗口的透明度、主窗口的坐标，以及主窗口中登录信 息输入框内的一个以上基准点；

检测主窗口的大小是否小于预设大小范围、主窗口的透明度是否为完全 透明、主窗口的坐标是否超过预设位置范围，以及所述基准点上是否存在其 他窗口。

3.根据权利要求2所述的方法，其特征在于，满足以下任意一项或多项 条件时，所述目标进程的状态异常：

登录信息输入框上覆盖有其他窗口；主窗口的大小小于预设大小范围； 主窗口的透明度为完全透明；主窗口的坐标超过预设位置范围。

4.根据权利要求1至3任意一项所述的方法，其特征在于，将所述待执 行应用程序的特征信息与云端数据库中的特征匹配条件进行匹配包括：

将所述待执行应用程序的特征信息与云端数据库中的特征匹配条件进行 匹配；

获取所述待执行应用程序的特征信息匹配的特征匹配条件需检查的程序 文件信息；

将所述需检查的程序文件信息作为匹配结果。

5.根据权利要求4所述的方法，其特征在于，所述云端数据库中的特征 匹配条件包括以下任意一项或多项信息的匹配条件：文件名称信息、文件大 小信息、文件特征值信息、文件图标信息、产品名称信息、内部名称信息、 原始文件名信息，以及进程的命令行信息、进程路径信息和父进程路径信 息；

所述待执行应用程序的特征信息包括以下任意一项或多项：待执行应用 程序的文件名称信息、文件大小信息、文件特征值信息、文件图标信息、产 品名称信息、内部名称信息、原始文件名信息，以及待执行应用程序创建的 进程的命令行信息、进程路径信息和父进程路径信息。

6.根据权利要求5所述的方法，其特征在于，所述文件特征值信息包括 文件的下载URL、文件类型、文件DNA、下载工具、存储位置和下载时间 中的任意一项或多项。

7.根据权利要求1至6任意一项所述的方法，其特征在于，所述服务器 对所述被劫持的程序文件进行查杀之前，还包括：

获取所述待执行应用程序对应的EXE文件；

将所述待执行应用程序对应的EXE文件的信息和所述被劫持的程序文件 的信息上传至服务器；

所述服务器对所述被劫持的程序文件进行查杀包括：

服务器获取所述EXE文件的等级和所述被劫持的程序文件的安全等级， 所述安全等级包括安全级别、未知级别、可疑级别和恶意级别；

根据所述EXE文件的安全等级和所述被劫持的程序文件的安全等级对所 述被劫持的程序文件进行查杀。