[发明专利]应用的安全检测处理方法和系统

说明书

技术领域

本发明涉及互联网技术，尤其是一种应用的安全检测处理方法和系统。

背景技术

目前。诸多互联网业务都需要通过输入登录信息进行登录，然后连接互 联网才能进行相关的操作。但是若用户的登录信息被黑客等非法人员获知， 就有可能以该用户的名义发布或进行一些非法活动，因此如何防止登录信息 被盗取也越来越引起人们的重视。

非法人员可以通过在用户终端设备中植入恶意软件，例如盗取登录信息 的木马，来盗取用户的登录信息。其中恶意软件通常都是采取欺骗的方法获 取用户登录信息的，盗取手段可能是通过伪造一个虚假的窗口来代替真实的 信息输入窗口。可以将需要登录信息进行登录的客户端和网页看作目标进 程，用户启动目标进程后，看到的是虚假窗口，因此当登录信息输入到虚假 登录信息输入框中，使非法人员获取了该用户的登录信息。恶意软件获取登 录信息后，再将其输入到真实的登录信息输入框中，使用户可以正常的登 录，因此用户并不知道登录信息已经被盗取的事件。

例如，恶意软件在真实的登录信息输入框上方覆盖一层透明窗口，让用 户在启动目标进程输入登录信息时以为是将登录信息输入了真实的登录信息 输入框中，而实际上却是输入到了恶意软件所创建的透明窗口中，从而使非 法人员获取了该用户的账号和密码。又如，恶意软件首先将包含登录信息输 入框的真实主窗口移到用户看不到的位置，然后在原本真实主窗口的位置创 建一个虚假主窗口。用户启动目标进程后，看到的就是虚假主窗口，因此也 就将登录信息输入了虚假登录信息输入框中，从而使非法人员获取了该用户 的登录信息。

针对上述问题，现有技术中，通常采取的方法是，采用杀毒软件在恶意 软件进入终端设备的系统时进行特征查杀。

在实现本发明的过程中，发明人发现，现有技术采用杀毒软件在恶意软 件进入系统时进行特征查杀的方法至少存在以下问题：

杀毒软件需要获得恶意软件的特征才能进行病毒查杀，非法人员只要监 控杀毒软件的更新，发现目前的样本特征已经被杀毒软件盯上，知道了杀毒 软件查杀的特征，不需要更新病毒本体，只要更新一下样本特征，使用不同 的特征，相同的手法，便可以避免该恶意软件被杀毒软件被查杀，可以继续 进行登录信息的盗取，反应成本极小。由于恶意软件的特征可以是千变万化 的，因此上述现有技术进行特征查杀的方法，无法及时、有效的对变化后的 恶意软件进行查杀。

发明内容

本发明实施例所要解决的一个技术问题是：提供一种应用的安全检测处 理方法和系统，以避免登录信息被盗用。

根据本发明实施例的一个方面，提供的一种应用的安全检测处理方法， 包括：

响应于检测到待执行应用程序创建目标进程，在所述目标进程完成登录 之前，实时监测所述目标进程的状态；其中，所述目标进程为用于输入登录 信息完成登录的进程；

响应于监测到目标进程的状态异常，获取所述待执行应用程序的特征信 息；

将所述待执行应用程序的特征信息上传至服务器，由服务器将所述待执 行应用程序的特征信息与云端数据库中的特征匹配条件进行匹配，获得匹配 结果，所述匹配结果为所述待执行应用程序需检查的程序文件信息；其中， 所述云端数据库中包括多个特征匹配条件和满足各特征匹配条件需检查的程 序文件信息；

接收所述服务器返回的匹配结果，并根据所述匹配结果查询所述待执行 应用程序是否存在被劫持的程序文件信息；

若所述待执行应用程序存在被劫持的程序文件信息，由服务器对所述被 劫持的程序文件进行查杀，获得查杀结果；

根据所述服务器返回的查杀结果对所述待执行应用程序执行相应操作。

基于本发明上述实施例方法的另一实施例中，所述监测所述目标进程的 状态包括：

通过调用系统接口获取目标进程的状态；其中所述目标进程的状态包 括：主窗口的大小、主窗口的透明度、主窗口的坐标，以及主窗口中登录信 息输入框内的一个以上基准点；

检测主窗口的大小是否小于预设大小范围、主窗口的透明度是否为完全 透明、主窗口的坐标是否超过预设位置范围，以及所述基准点上是否存在其 他窗口。

基于本发明上述实施例方法的另一实施例中，满足以下任意一项或多项 条件时，所述目标进程的状态异常：