[发明专利]应用信息取证方法及装置、电子设备、计算机可读存储介质和程序产品

权利要求书

1.一种应用信息取证方法，其特征在于，包括：

获取针对终端中目标应用的信息取证操作；

响应于所述信息取证操作，确定所述目标应用在所述终端中的权限设置状态；

根据所述目标应用的权限设置状态，确定所述目标应用是否异常，其中，

在所述目标应用的权限设置状态为第一权限状态时，基于所述目标应用的运行信息和应用异常识别模型，确定所述目标应用是否异常；

在所述目标应用的权限设置状态为第二权限状态时，基于目标检测方式对所述目标应用进行安全性能检测，以确定所述目标应用是否异常。

2.根据权利要求1所述的应用信息取证方法，其特征在于，

在所述第一权限状态下，所述目标应用的当前权限包括指定权限，

在所述第二权限状态下，所述目标应用的当前权限不包括所述指定权限；或者

在所述第一权限状态下，所述目标应用的当前权限之数量大于或等于指定数量，

在所述第二权限状态下，所述目标应用的当前权限之数量小于指定数量。

3.根据权利要求1或2所述的应用信息取证方法，其特征在于，所述获取针对终端中目标应用的信息取证操作的步骤，包括：

响应于外部存储设备与所述终端的物理连接，在所述终端显示所述外部存储设备的取证功能信息，所述取证功能信息包括应用类型、应用名称和应用权限类型；

获取针对所述取证功能信息的用户选择操作；

基于所述用户选择操作，生成针对所述终端中所述目标应用的所述信息取证操作。

4.根据权利要求1或2所述的应用信息取证方法，其特征在于，所述目标应用的运行信息包括：

应用类型、所述当前权限、所述当前权限的使用次数和/或使用频率、调用第三方应用或第三方页面的调用次数和/或调用频率、访问数据库的访问次数和/或访问频率、发生于所述目标应用内的用户操作类型、用户操作次数、用户操作时段。

5.根据权利要求4所述的应用信息取证方法，其特征在于，训练所述应用异常识别模型的步骤包括：

获取样本应用的样本运行信息；

针对所述样本应用的每种所述样本运行信息，按照所述样本运行信息对应的转换规则，将所述样本运行信息转换为特征值；

基于所述样本应用的全部所述样本运行信息之特征值和所述样本应用在所述样本运行信息下的实际状态，训练所述应用异常识别模型。

6.根据权利要求1或2所述的应用信息取证方法，其特征在于，所述基于目标检测方式对所述目标应用进行安全性能检测的步骤，包括：

检测所述目标应用是否获取有所述终端的指定应用和/或指定存储位置所涉及的统一资源标识符；

在检测到所述目标应用获取有所述统一资源标识符的情况下，确定所述目标应用异常。

7.根据权利要求6所述的应用信息取证方法，其特征在于，还包括：

响应于所述外部存储设备与所述终端的物理连接，在所述终端的数据库的指定表内插入检验数据；

则所述基于目标检测方式对所述目标应用进行安全性能检测的步骤，还包括：

拦截所述目标应用发出的协议信息，并检测所述协议信息的解析结果中是否具有所述检验数据；

在检测到所述解析结果中具有所述检验数据的情况下，确定所述目标应用异常。

8.根据权利要求1所述的应用信息取证方法，其特征在于，还包括：

在确定所述目标应用异常的情况下，

针对处于所述第一权限状态的所述目标应用，在所述终端显示第一安全管控功能信息；

针对处于所述第二权限状态的所述目标应用，在所述终端显示第二安全管控功能信息，

其中，所述第一安全管控功能信息和所述第二安全管控功能信息用于响应于用户安全管控选择操作对所述目标应用进行安全管控。