恶意捆绑软件的处理方法、装置和移动终端.pdf

摘要
申请专利号：	CN201410315445.9	申请日：	2014.07.02
公开号：	CN104123490A	公开日：	2014.10.29
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):G06F 21/51申请日:20140702\|\|\|公开
IPC分类号：	G06F21/51(2013.01)I	主分类号：	G06F21/51
申请人：	珠海市君天电子科技有限公司
发明人：	崔健; 朱和勋; 许卡拉; 刘桂峰; 姚辉
地址：	519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F
优先权：
专利代理机构：	北京清亦华知识产权代理事务所(普通合伙) 11201	代理人：	张大威
PDF下载：	PDF下载

内容摘要

本发明提出一种恶意捆绑软件的处理方法、装置和移动终端。其中，该方法包括：获取待监控应用程序；以及当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。本发明实施例的恶意捆绑软件的处理方法、装置和移动终端，可避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。

权利要求书

1.  一种恶意捆绑软件的处理方法，其特征在于，包括：
获取待监控应用程序；以及
当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。

2.  根据权利要求1所述的方法，其特征在于，在所述获取待监控应用程序之后，还包括：
当监控到所述待监控应用程序的进程启动时，获取调用所述进程的所有进程，并向服务器上报所述进程和调用所述进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。

3.  根据权利要求1或2所述的方法，其特征在于，所述获取待监控应用程序，包括：
获得配置文件，并从所述配置文件中解析出所述待监控应用程序。

4.  根据权利要求1或2所述的方法，其特征在于，所述参数信息包括进程名、消息摘要算法第五版MD5和版本号中的一种或多种。

5.  根据权利要求1所述的方法，其特征在于，在所述获取调用所述待监控应用程序安装进程的所有进程之前，还包括：
记录并缓存所述安装进程和所述安装进程的来源进程。

6.  根据权利要求2所述的方法，其特征在于，在所述获取调用所述进程的所有进程之前，还包括：
记录并缓存所述进程和所述进程的来源进程。

7.  根据权利要求3所述的方法，其特征在于，所述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息。

8.  根据权利要求5所述的方法，其特征在于，所述获取调用所述待监控应用程序安装进程的所有进程，包括：
获取直接调用和间接调用所述待监控应用程序安装进程的所有进程。

9.  根据权利要求6所述的方法，其特征在于，所述获取调用所述进程的所有进程，包括：
获取直接调用或间接调用所述进程的所有进程。

10.  根据权利要求7所述的方法，其特征在于，所述属性信息包括标识信息。

11.  一种恶意捆绑软件的处理装置，其特征在于，包括：
获取模块，用于获取待监控应用程序；以及
第一处理模块，用于当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。

12.  根据权利要求11所述的装置，其特征在于，还包括：
第二处理模块，用于：在所述获取待监控应用程序之后，当监控到所述待监控应用程序的进程启动时，获取调用所述进程的所有进程，并向服务器上报所述进程和调用所述进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。

13.  根据权利要求11或12所述的装置，其特征在于，所述获取模块，具体用于：
获得配置文件，并从所述配置文件中解析出所述待监控应用程序。

14.  根据权利要求11或12所述的装置，其特征在于，所述参数信息包括进程名、消息摘要算法第五版MD5和版本号中的一种或多种。

15.  根据权利要求11所述的装置，其特征在于，还包括：
第一缓存模块，用于：在所述第一处理模块获取调用所述待监控应用程序安装进程的所有进程之前，记录并缓存所述安装进程和所述安装进程的来源进程。

16.  根据权利要求12所述的装置，其特征在于，还包括：
第二缓存模块，用于：在所述第二处理模块获取调用所述进程的所有进程之前，记录并缓存所述进程和所述进程的来源进程。

17.  根据权利要求13所述的装置，其特征在于，所述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息。

18.  根据权利要求15所述的装置，其特征在于，所述第一处理模块，具体用于：
获取直接调用和间接调用所述待监控应用程序安装进程的所有进程。

19.  根据权利要求16所述的装置，其特征在于，所述第二处理模块，具体用于：获取直接调用或间接调用所述进程的所有进程。

20.  根据权利要求17所述的装置，其特征在于，所述属性信息包括标识信息。

21.  一种移动终端，所述移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述移动终端的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行以下步骤：
获取待监控应用程序；以及
当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。

说明书

恶意捆绑软件的处理方法、装置和移动终端
技术领域
本发明涉及计算机技术领域，尤其涉及一种恶意捆绑软件的处理方法、装置和移动终端。
背景技术
随着计算机技术的快速发展，用户终端上通过捆绑安装方式被动安装的软件的种类和数量都很多，几乎涉及了终端日常使用的方方面面。并且，捆绑的方式也多种多样，常见的有以下几种：安装时提醒并可选、默认插件安装、不可预见的强制性安装等等。
一般情况下，用户往往都是直接点击安装软件，也不认真看安装时的提醒，进而并不知情软件的捆绑情况，由此造成用户终端上通过捆绑方式安装的软件很多。但是，如果捆绑软件过多，则会影响用户终端系统的性能，开机、运行等效率都会降低，甚至影响用户的正常使用。更为严重的是，有些捆绑软件可能会导致用户在不知情的情况下误安装一些恶意软件，或者是广告骚扰程序等，进而不仅仅影响用户终端的系统性能，而且影响用户上网以及使用软件时的体验，还可能威胁到用户的终端安全。
因此，如何准确识别出恶意捆绑软件以及对恶意捆绑软件进行拦截，是目前急需解决的技术问题之一。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提出一种具有准确识别出恶意捆绑软件以及对恶意捆绑软件进行拦截的恶意捆绑软件的处理方法、装置和移动终端。
根据本发明第一方面实施例提出了一种恶意捆绑软件的处理方法，包括：获取待监控应用程序；以及当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。
本发明实施例的恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
根据本发明第二方面实施例提出了一种恶意捆绑软件的处理装置，包括：获取模块，用于获取待监控应用程序；以及第一处理模块，用于当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。
本发明实施例的恶意捆绑软件的处理装置，通过获取模块获取待监控应用程序，通过第一处理模块在监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
根据本发明第三方面实施例提出了一种移动终端，该移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述移动终端的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行以下步骤：获取待监控应用程序；以及当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。
本发明实施例的移动终端，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
附图说明
图1是根据本发明一个实施例的恶意捆绑软件的处理方法的流程图。
图2是根据本发明另一个实施例的恶意捆绑软件的处理方法的流程图。
图3是根据本发明又一个实施例的恶意捆绑软件的处理方法的流程图。
图4是根据本发明一个实施例的恶意捆绑软件的处理装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的恶意捆绑软件的处理方法、装置和移动终端。
图1是根据本发明一个实施例的恶意捆绑软件的处理方法的流程图，如图1所示，该恶意捆绑软件的处理方法包括：
S101，获取待监控应用程序。
在该实施例中，可以通过获得配置文件，然后从配置文件中解析出待监控应用程序。
具体地，待监控应用程序可以为一个恶意应用程序，也可以为一个已被卸载即未运行的应用程序。
S102，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。
在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。
另外，假定B进程为一已卸载的应用程序的进程，当监控到B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服务器上报B进程和Q进程的参数信息。
需要说明的是，当监控到B进程启动，则表明存在以下可能：Q进程调用了B进程，使B进程由已卸载状态恢复到启动运行状态。
具体地，向服务器上报的所有进程的参数信息包括：A进程的进程名、消息摘要算法第五版MD5(Message-Digest Algorithm5)、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。
当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。
另外，服务器也可以在接收B进程和Q进程的参数信息(例如，进程名、MD5等)后，获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。
上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
图2是根据本发明另一个实施例的恶意捆绑软件的处理方法的流程图。
如图2所示，该恶意捆绑软件的处理方法包括：
S201，获得配置文件，从配置文件中解析出待监控应用程序。
在该实施例中，配置文件包含待监控应用程序的属性信息例如标识信息，因此，在获得配置文件后，可以从配置文件中解析出待监控应用程序。
在该实施例中，假定待监控应用程序为一个恶意应用程序，例如可以为第三方APP。
S202，记录并缓存待监控应用程序的安装进程和该安装进程的来源进程。
在该实施例中，在很多情况下可能获取不到安装进程的父进程的相关信息，例如，在安装包开始安装，安装进程的父进程已经退出的情况下，查询不到安装进程的父进程的相关信息，针对上述问题，可以采用记录并缓存安装进程和安装进程的来源进程的方式来解决。其中，安装进程的来源进程是指安装进程的父进程，安装进程的父进程的父进程，……，依次类推。
具体地，在P进程创建A进程时，可以记录下它们之间的进程关系，这样在安装的时候就可以查到A进程的父进程的信息。
S203，当监控到待监控应用程序的安装包被安装时，获取调用安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。
在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。
具体地，向服务器上报的所有进程的参数信息包括：A进程的进程名、MD5、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。
当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。
上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
图3是根据本发明又一个实施例的恶意捆绑软件的处理方法的流程图。
如图3所示，该恶意捆绑软件的处理方法包括：
S301，获得配置文件，从配置文件中解析出待监控应用程序。
在该实施例中，配置文件包含待监控应用程序的属性信息例如标识信息，因此，在获得配置文件后，可以从配置文件中解析出待监控应用程序。
在该实施例中，假定待监控应用程序为一个已被卸载即未运行的应用程序。
S302，记录并缓存待监控应用程序的进程和该进程的来源进程。
在该实施例中，为了解决在很多情况下无法获取某一进程的父进程的相关信息的问题，可以采用记录并缓存该进程和该进程的来源进程的方式来解决。
具体地，在Q进程创建B进程时，可以记录下它们之间的进程关系，这样在启动的时候就可以查到B进程的父进程的信息。
S303，当监控到待监控应用程序的进程启动时，获取调用进程的所有进程，并向服务器上报进程和调用进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。
在该实施例中，假定B进程为一已卸载的应用程序的进程，当监控到B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服务器上报B进程和Q进程的参数信息。
具体地，向服务器上报的所有进程的参数信息包括：B进程的进程名、MD5、版本号，Q进程的进程名、文件路径、MD5等。
当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。
上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
为了实现上述实施例，本发明还提出一种恶意捆绑软件的处理装置。
图4是根据本发明一个实施例的恶意捆绑软件的处理装置的结构示意图。
如图4所示，该恶意捆绑软件的处理装置包括：获取模块41和第一处理模块42，其中：
获取模块41用于获取待监控应用程序；第一处理模块42用于当监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件。
具体地，上述获取模块41可以用于获得配置文件，并从上述配置文件中解析出上述待监控应用程序。其中，上述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息例如标识信息等，即待监控应用程序可以为恶意应用程序，也可以为未运行应用程序。
另外，该处理装置还可以包括：第二处理模块43，该第二处理模块43用于在上述获取待监控应用程序之后，当监控到上述待监控应用程序的进程启动时，获取调用上述进程的所有进程，并向服务器上报上述进程和调用上述进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件。
其中，上述参数信息包括进程名、消息摘要算法第五版MD5(Message-Digest Algorithm 5)和版本号中的一种或多种。
为了解决在很多情况下无法获取某一进程的父进程的相关信息的问题，该处理装置还可以包括：第一缓存模块44，该第一缓存模块44用于在上述第一处理模块42获取调用上述待监控应用程序安装进程的所有进程之前，记录并缓存上述安装进程和上述安装进程的来源进程。同样地，该处理装置还可以包括：第二缓存模块45，该第二缓存模块45用于在上述第二处理模块43获取调用上述进程的所有进程之前，记录并缓存上述进程和上述进程的来源进程。
具体地，上述第一处理模块可以42用于：获取直接调用和间接调用上述待监控应用程序安装进程的所有进程。上述第二处理模块可以43用于：获取直接调用或间接调用上述进程的所有进程。
更具体地，当服务器获得这些进程的参数信息(例如，进程名、MD5等)后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。
另外，服务器也可以在接收B进程和Q进程的参数信息(例如，进程名、MD5等)后，获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。
上述恶意捆绑软件的处理装置，通过获取模块获取待监控应用程序，通过第一处理模块在监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
为了实现上述实施例，本发明还提出一种移动终端，该移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，上述电路板安置在上述壳体围成的空间内部，上述处理器和上述存储器设置在上述电路板上；上述电源电路，用于为上述移动终端的各个电路或器件供电；上述存储器用于存储可执行程序代码；上述处理器通过读取上述存储器中存储的可执行程序代码来运行与上述可执行程序代码对应的程序，以用于执行以下步骤：
S101’，获取待监控应用程序。
在该实施例中，可以通过获得配置文件，然后从配置文件中解析出待监控应用程序。
具体地，待监控应用程序可以为一个恶意应用程序，也可以为一个已被卸载即未运行的应用程序。
S102’，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。
在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。
另外，假定B进程为一已卸载的应用程序的进程，当监控到B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服务器上报B进程和Q进程的参数信息。
需要说明的是，当监控到B进程启动，则表明存在以下可能：Q进程调用了B进程，使B进程由已卸载状态恢复到启动运行状态。
具体地，向服务器上报的所有进程的参数信息包括：A进程的进程名、消息摘要算法第五版MD5(Message-Digest Algorithm 5)、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。
当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。
另外，服务器也可以在接收B进程和Q进程的参数信息(例如，进程名、MD5等)后，获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。
上述移动终端，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

资源描述

《恶意捆绑软件的处理方法、装置和移动终端.pdf》由会员分享，可在线阅读，更多相关《恶意捆绑软件的处理方法、装置和移动终端.pdf（14页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104123490A43申请公布日20141029CN104123490A21申请号201410315445922申请日20140702G06F21/5120130171申请人珠海市君天电子科技有限公司地址519070广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F72发明人崔健朱和勋许卡拉刘桂峰姚辉74专利代理机构北京清亦华知识产权代理事务所普通合伙11201代理人张大威54发明名称恶意捆绑软件的处理方法、装置和移动终端57摘要本发明提出一种恶意捆绑软件的处理方法、装置和移动终端。其中，该方法包括获取待监控应用程序；以及当监控到待监控应用程序的安装包被安装时，获取。

2、调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。本发明实施例的恶意捆绑软件的处理方法、装置和移动终端，可避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。51INTCL权利要求书2页说明书8页附图3页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图3页10申请公布号CN104123490ACN104123490A1/2页21一种恶意捆绑软件的处理方法，其特征在于，包括获取待监控应用程序；以及当监控。

3、到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。2根据权利要求1所述的方法，其特征在于，在所述获取待监控应用程序之后，还包括当监控到所述待监控应用程序的进程启动时，获取调用所述进程的所有进程，并向服务器上报所述进程和调用所述进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。3根据权利要求1或2所述的方法，其特征在于，所述获取待监控应用程序，包括获得配置文件，并从所述配置文。

4、件中解析出所述待监控应用程序。4根据权利要求1或2所述的方法，其特征在于，所述参数信息包括进程名、消息摘要算法第五版MD5和版本号中的一种或多种。5根据权利要求1所述的方法，其特征在于，在所述获取调用所述待监控应用程序安装进程的所有进程之前，还包括记录并缓存所述安装进程和所述安装进程的来源进程。6根据权利要求2所述的方法，其特征在于，在所述获取调用所述进程的所有进程之前，还包括记录并缓存所述进程和所述进程的来源进程。7根据权利要求3所述的方法，其特征在于，所述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息。8根据权利要求5所述的方法，其特征在于，所述获取调用所述待监控应用程序安装进程。

5、的所有进程，包括获取直接调用和间接调用所述待监控应用程序安装进程的所有进程。9根据权利要求6所述的方法，其特征在于，所述获取调用所述进程的所有进程，包括获取直接调用或间接调用所述进程的所有进程。10根据权利要求7所述的方法，其特征在于，所述属性信息包括标识信息。11一种恶意捆绑软件的处理装置，其特征在于，包括获取模块，用于获取待监控应用程序；以及第一处理模块，用于当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。12。

6、根据权利要求11所述的装置，其特征在于，还包括第二处理模块，用于在所述获取待监控应用程序之后，当监控到所述待监控应用程序的进程启动时，获取调用所述进程的所有进程，并向服务器上报所述进程和调用所述进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截权利要求书CN104123490A2/2页3所述恶意捆绑软件。13根据权利要求11或12所述的装置，其特征在于，所述获取模块，具体用于获得配置文件，并从所述配置文件中解析出所述待监控应用程序。14根据权利要求11或12所述的装置，其特征在于，所述参数信息包括进程名、消息摘要算法第五版MD5和版本号中的一种或多种。15根据权。

7、利要求11所述的装置，其特征在于，还包括第一缓存模块，用于在所述第一处理模块获取调用所述待监控应用程序安装进程的所有进程之前，记录并缓存所述安装进程和所述安装进程的来源进程。16根据权利要求12所述的装置，其特征在于，还包括第二缓存模块，用于在所述第二处理模块获取调用所述进程的所有进程之前，记录并缓存所述进程和所述进程的来源进程。17根据权利要求13所述的装置，其特征在于，所述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息。18根据权利要求15所述的装置，其特征在于，所述第一处理模块，具体用于获取直接调用和间接调用所述待监控应用程序安装进程的所有进程。19根据权利要求16所述的装置，。

8、其特征在于，所述第二处理模块，具体用于获取直接调用或间接调用所述进程的所有进程。20根据权利要求17所述的装置，其特征在于，所述属性信息包括标识信息。21一种移动终端，所述移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述移动终端的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行以下步骤获取待监控应用程序；以及当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序。

9、安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。权利要求书CN104123490A1/8页4恶意捆绑软件的处理方法、装置和移动终端技术领域0001本发明涉及计算机技术领域，尤其涉及一种恶意捆绑软件的处理方法、装置和移动终端。背景技术0002随着计算机技术的快速发展，用户终端上通过捆绑安装方式被动安装的软件的种类和数量都很多，几乎涉及了终端日常使用的方方面面。并且，捆绑的方式也多种多样，常见的有以下几种安装时提醒并可选、默认插件安装、不可预见的强制性安装等等。0003一般情况下，用户往。

10、往都是直接点击安装软件，也不认真看安装时的提醒，进而并不知情软件的捆绑情况，由此造成用户终端上通过捆绑方式安装的软件很多。但是，如果捆绑软件过多，则会影响用户终端系统的性能，开机、运行等效率都会降低，甚至影响用户的正常使用。更为严重的是，有些捆绑软件可能会导致用户在不知情的情况下误安装一些恶意软件，或者是广告骚扰程序等，进而不仅仅影响用户终端的系统性能，而且影响用户上网以及使用软件时的体验，还可能威胁到用户的终端安全。0004因此，如何准确识别出恶意捆绑软件以及对恶意捆绑软件进行拦截，是目前急需解决的技术问题之一。发明内容0005本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本。

11、发明的一个目的在于提出一种具有准确识别出恶意捆绑软件以及对恶意捆绑软件进行拦截的恶意捆绑软件的处理方法、装置和移动终端。0006根据本发明第一方面实施例提出了一种恶意捆绑软件的处理方法，包括获取待监控应用程序；以及当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。0007本发明实施例的恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务。

12、器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0008根据本发明第二方面实施例提出了一种恶意捆绑软件的处理装置，包括获取模块，用于获取待监控应用程序；以及第一处理模块，用于当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。说明书CN1。

13、04123490A2/8页50009本发明实施例的恶意捆绑软件的处理装置，通过获取模块获取待监控应用程序，通过第一处理模块在监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0010根据本发明第三方面实施例提出了一种移动终端，该移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，所述电路板安置在。

14、所述壳体围成的空间内部，所述处理器和所述存储器设置在所述电路板上；所述电源电路，用于为所述移动终端的各个电路或器件供电；所述存储器用于存储可执行程序代码；所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序，以用于执行以下步骤获取待监控应用程序；以及当监控到所述待监控应用程序的安装包被安装时，获取调用所述待监控应用程序安装进程的所有进程，并向服务器上报所述安装进程和调用所述安装进程的所有进程的参数信息，以使所述服务器根据所述参数信息识别出恶意捆绑软件，并拦截所述恶意捆绑软件。0011本发明实施例的移动终端，获取待监控应用程序，当监控到待监控应用程序的安装包被安。

15、装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。附图说明0012图1是根据本发明一个实施例的恶意捆绑软件的处理方法的流程图。0013图2是根据本发明另一个实施例的恶意捆绑软件的处理方法的流程图。0014图3是根据本发明又一个实施例的恶意捆绑软件的处理方法的流程图。0015图4是根据本发明一个实施例的恶意捆绑软件的处理装置的结构示意图。具体实施方式0016下面。

16、详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。0017下面参考附图描述本发明实施例的恶意捆绑软件的处理方法、装置和移动终端。0018图1是根据本发明一个实施例的恶意捆绑软件的处理方法的流程图，如图1所示，该恶意捆绑软件的处理方法包括0019S101，获取待监控应用程序。0020在该实施例中，可以通过获得配置文件，然后从配置文件中解析出待监控应用程序。0021具体地，待监控应用程序可以为一个恶意应用程序，也可以为一个已被卸载即。

17、未运行的应用程序。说明书CN104123490A3/8页60022S102，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。0023在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。0024另外，假定B进程为一已卸载的应用程序的进程，当监控到。

18、B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服务器上报B进程和Q进程的参数信息。0025需要说明的是，当监控到B进程启动，则表明存在以下可能Q进程调用了B进程，使B进程由已卸载状态恢复到启动运行状态。0026具体地，向服务器上报的所有进程的参数信息包括A进程的进程名、消息摘要算法第五版MD5MESSAGEDIGESTALGORITHM5、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。0027当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A。

19、进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。0028另外，服务器也可以在接收B进程和Q进程的参数信息例如，进程名、MD5等后，获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。0029上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数。

20、信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0030图2是根据本发明另一个实施例的恶意捆绑软件的处理方法的流程图。0031如图2所示，该恶意捆绑软件的处理方法包括0032S201，获得配置文件，从配置文件中解析出待监控应用程序。0033在该实施例中，配置文件包含待监控应用程序的属性信息例如标识信息，因此，在获得配置文件后，可以从配置文件中解析出待监控应用程序。0034在该实施例中，假定待监控应用程序为一个恶意应用程序，例如可以为第三方APP。0035S。

21、202，记录并缓存待监控应用程序的安装进程和该安装进程的来源进程。0036在该实施例中，在很多情况下可能获取不到安装进程的父进程的相关信息，例如，在安装包开始安装，安装进程的父进程已经退出的情况下，查询不到安装进程的父进程的相关信息，针对上述问题，可以采用记录并缓存安装进程和安装进程的来源进程的方式来解决。其中，安装进程的来源进程是指安装进程的父进程，安装进程的父进程的父进说明书CN104123490A4/8页7程，依次类推。0037具体地，在P进程创建A进程时，可以记录下它们之间的进程关系，这样在安装的时候就可以查到A进程的父进程的信息。0038S203，当监控到待监控应用程序的安装包被安装。

22、时，获取调用安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。0039在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。0040具体地，向服务器上报的所有进程的参数信息包括A进程的进程名、MD5、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。0041当服务器获得这。

23、些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。0042上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一。

24、些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0043图3是根据本发明又一个实施例的恶意捆绑软件的处理方法的流程图。0044如图3所示，该恶意捆绑软件的处理方法包括0045S301，获得配置文件，从配置文件中解析出待监控应用程序。0046在该实施例中，配置文件包含待监控应用程序的属性信息例如标识信息，因此，在获得配置文件后，可以从配置文件中解析出待监控应用程序。0047在该实施例中，假定待监控应用程序为一个已被卸载即未运行的应用程序。0048S302，记录并缓存待监控应用程序的进程和该进程的来源进程。0049在该实施例中，为了解决在很多情况下无法获取某一进程的。

25、父进程的相关信息的问题，可以采用记录并缓存该进程和该进程的来源进程的方式来解决。0050具体地，在Q进程创建B进程时，可以记录下它们之间的进程关系，这样在启动的时候就可以查到B进程的父进程的信息。0051S303，当监控到待监控应用程序的进程启动时，获取调用进程的所有进程，并向服务器上报进程和调用进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。0052在该实施例中，假定B进程为一已卸载的应用程序的进程，当监控到B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服务器上报B进程和Q进程的参数信息。0053。

26、具体地，向服务器上报的所有进程的参数信息包括B进程的进程名、MD5、版本说明书CN104123490A5/8页8号，Q进程的进程名、文件路径、MD5等。0054当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。0055上述恶意捆绑软件的处理方法，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，。

27、并拦截恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0056为了实现上述实施例，本发明还提出一种恶意捆绑软件的处理装置。0057图4是根据本发明一个实施例的恶意捆绑软件的处理装置的结构示意图。0058如图4所示，该恶意捆绑软件的处理装置包括获取模块41和第一处理模块42，其中0059获取模块41用于获取待监控应用程序；第一处理模块42用于当监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根。

28、据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件。0060具体地，上述获取模块41可以用于获得配置文件，并从上述配置文件中解析出上述待监控应用程序。其中，上述配置文件中包含恶意应用程序和/或未运行应用程序的属性信息例如标识信息等，即待监控应用程序可以为恶意应用程序，也可以为未运行应用程序。0061另外，该处理装置还可以包括第二处理模块43，该第二处理模块43用于在上述获取待监控应用程序之后，当监控到上述待监控应用程序的进程启动时，获取调用上述进程的所有进程，并向服务器上报上述进程和调用上述进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件。

29、。0062其中，上述参数信息包括进程名、消息摘要算法第五版MD5MESSAGEDIGESTALGORITHM5和版本号中的一种或多种。0063为了解决在很多情况下无法获取某一进程的父进程的相关信息的问题，该处理装置还可以包括第一缓存模块44，该第一缓存模块44用于在上述第一处理模块42获取调用上述待监控应用程序安装进程的所有进程之前，记录并缓存上述安装进程和上述安装进程的来源进程。同样地，该处理装置还可以包括第二缓存模块45，该第二缓存模块45用于在上述第二处理模块43获取调用上述进程的所有进程之前，记录并缓存上述进程和上述进程的来源进程。0064具体地，上述第一处理模块可以42用于获取直接调。

30、用和间接调用上述待监控应用程序安装进程的所有进程。上述第二处理模块可以43用于获取直接调用或间接调用上述进程的所有进程。0065更具体地，当服务器获得这些进程的参数信息例如，进程名、MD5等后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过说明书CN104123490A6/8页9程中是否打开了A进程；若是，则表明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。0066另外，服务器也可以在接收B进程和Q进程的参数信息例如，进程名、MD5等后，获。

31、得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。0067上述恶意捆绑软件的处理装置，通过获取模块获取待监控应用程序，通过第一处理模块在监控到上述待监控应用程序的安装包被安装时，获取调用上述待监控应用程序安装进程的所有进程，并向服务器上报上述安装进程和调用上述安装进程的所有进程的参数信息，以使上述服务器根据上述参数信息识别出恶意捆绑软件，并拦截上述恶意捆绑软件，从而可以避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0068为了实现上述实施例，本发明还提出一种移动终。

32、端，该移动终端包括壳体、处理器、存储器、电路板和电源电路，其中，上述电路板安置在上述壳体围成的空间内部，上述处理器和上述存储器设置在上述电路板上；上述电源电路，用于为上述移动终端的各个电路或器件供电；上述存储器用于存储可执行程序代码；上述处理器通过读取上述存储器中存储的可执行程序代码来运行与上述可执行程序代码对应的程序，以用于执行以下步骤0069S101，获取待监控应用程序。0070在该实施例中，可以通过获得配置文件，然后从配置文件中解析出待监控应用程序。0071具体地，待监控应用程序可以为一个恶意应用程序，也可以为一个已被卸载即未运行的应用程序。0072S102，当监控到待监控应用程序的安装。

33、包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件。0073在该实施例中，假定A进程为待监控应用程序的安装进程，则在安装待监控应用程序的安装包时，获取直接调用A进程和间接调用A进程的所有进程，即获取A程序的父进程假定为P进程，同时获取P进程的父进程，依次类推，直至获得顶级进程，然后向服务器上报所有进程的参数信息。0074另外，假定B进程为一已卸载的应用程序的进程，当监控到B进程启动时，获取直接调用B程序和间接调用B进程的所有程序，假设只获取到B进程的父进程例如Q进程，则向服。

34、务器上报B进程和Q进程的参数信息。0075需要说明的是，当监控到B进程启动，则表明存在以下可能Q进程调用了B进程，使B进程由已卸载状态恢复到启动运行状态。0076具体地，向服务器上报的所有进程的参数信息包括A进程的进程名、消息摘要算法第五版MD5MESSAGEDIGESTALGORITHM5、版本号，P进程的进程名、文件路径、MD5，P进程的父进程以及顶级进程的进程名和MD5等。0077当服务器获得这些进程的参数信息后，可以根据这些参数信息判断这些进程间的关系，例如可以获得P进程，同时获得A进程和P进程对应APP的产品信息，例如，A进程来自M公司，P进程来自N公司，然后判断P进程在运行过程中是。

35、否打开了A进程；若是，则表说明书CN104123490A7/8页10明P进程恶意捆绑了A进程，因此，服务器可以识别出P进程为捆绑进程，并拦截P进程。0078另外，服务器也可以在接收B进程和Q进程的参数信息例如，进程名、MD5等后，获得Q进程，然后判断Q进程在运行过程中是否打开了不相关的进程B进程，若打开了，则识别出Q进程为捆绑进程，并拦截Q进程。0079上述移动终端，获取待监控应用程序，当监控到待监控应用程序的安装包被安装时，获取调用待监控应用程序安装进程的所有进程，并向服务器上报安装进程和调用安装进程的所有进程的参数信息，以使服务器根据参数信息识别出恶意捆绑软件，并拦截恶意捆绑软件，从而可以。

36、避免恶意捆绑软件未经用户允许将一些软件安装在用户终端上的情况发生，进而可以有效保护用户的隐私，保证终端的安全性。0080在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组。

37、合。0081此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。0082流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的。

38、实施例所属技术领域的技术人员所理解。0083在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质“可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例非穷尽性列表包括以下具有一个或多个布线的电连接部电子装置。

39、，便携式计算机盘盒磁装置，随机存取存储器RAM，只读存储器ROM，可擦除可编辑只读存储器EPROM或闪速存储器，光纤装置，以及便携式光盘只读存储器CDROM。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。0084应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述说明书CN104123490A108/8页11实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如。

40、，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列PGA，现场可编程门阵列FPGA等。0085本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。0086此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述。

41、集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。0087上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。说明书CN104123490A111/3页12图1说明书附图CN104123490A122/3页13图2说明书附图CN104123490A133/3页14图3图4说明书附图CN104123490A14。

展开阅读全文