本發(fā)明涉及軟件安全技術(shù)領(lǐng)域，尤其涉及一種惡意文件安裝的檢測(cè)方法、裝置、終端以及服務(wù)器。

背景技術(shù)：

隨著病毒(即惡意文件)與反病毒作者的長(zhǎng)期激烈對(duì)抗，病毒作者為了避免病毒被安全軟件(如殺毒軟件等)刪除，部分病毒會(huì)利用操作系統(tǒng)的漏洞獲取操作系統(tǒng)的最高權(quán)限，然后將病毒文件釋放到操作系統(tǒng)當(dāng)中，使其成為系統(tǒng)文件，這樣會(huì)導(dǎo)致該病毒文件不能很容易地清除和識(shí)別，導(dǎo)致病毒文件長(zhǎng)期保留在操作系統(tǒng)中損害用戶經(jīng)濟(jì)利益以及泄漏用戶隱私信息等。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的旨在至少在一定程度上解決上述的技術(shù)問題之一。

為此，本發(fā)明的第一個(gè)目的在于提出一種惡意文件安裝的檢測(cè)方法。該方法能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并可以簡(jiǎn)化終端的操作步驟，降低終端的負(fù)荷。

本發(fā)明的第二個(gè)目的在于提出另一種惡意文件安裝的檢測(cè)方法。

本發(fā)明的第三個(gè)目的在于提出一種惡意文件安裝的檢測(cè)裝置。

本發(fā)明的第四個(gè)目的在于提出另一種惡意文件安裝的檢測(cè)裝置。

本發(fā)明的第五個(gè)目的在于提出一種終端。

本發(fā)明的第六個(gè)目的在于提出一種服務(wù)器。

為達(dá)到上述目的，本發(fā)明第一方面實(shí)施例提出的惡意文件安裝的檢測(cè)方法，應(yīng)用于終端，所述方法包括：監(jiān)控所述終端中當(dāng)前是否有系統(tǒng)文件正在被安裝；如果當(dāng)前有系統(tǒng)文件正在被安裝，則提取所述系統(tǒng)文件的文件特征；將所述系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，所述服務(wù)器在接收到所述文件特征時(shí)，判斷所述文件特征是否存在于預(yù)先生成的白名單中，并在所述文件特征不存在于所述白名單中時(shí)，生成第一通知信息；接收所述服務(wù)器反饋的第一通知信息；根據(jù)所述第一通知信息判定所述系統(tǒng)文件為惡意文件，并控制所述終端停止安裝所述系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法，可監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取系統(tǒng)文件的文件特征，并將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息，之后，可接收服務(wù)器反饋的第一通知信息，最后，根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并控制終端停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述系統(tǒng)文件包括系統(tǒng)應(yīng)用和/或BIN文件。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，包括：監(jiān)控所述終端的操作系統(tǒng)中的系統(tǒng)目錄下是否有新文件正在創(chuàng)建；如果所述系統(tǒng)目錄下有新文件正在創(chuàng)建，則判定所述終端中當(dāng)前有系統(tǒng)文件正在被安裝。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，當(dāng)所述系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，所述監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，包括：檢測(cè)占用所述終端的顯示屏的應(yīng)用程序是否為安裝管理器；如果占用所述終端的顯示屏的應(yīng)用程序?yàn)樗霭惭b管理器，則判定所述終端中當(dāng)前有系統(tǒng)文件正在被安裝。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述方法還包括：接收所述服務(wù)器反饋的第二通知信息，其中，所述第二通知信息是由所述服務(wù)器在判斷所述文件特征存在于所述白名單中時(shí)生成的；根據(jù)所述第二通知信息判定所述系統(tǒng)文件為合法文件，并控制所述終端繼續(xù)安裝所述系統(tǒng)文件。

為達(dá)到上述目的，本發(fā)明第二方面實(shí)施例提出的惡意文件安裝的檢測(cè)方法，應(yīng)用于服務(wù)器，所述方法包括：接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，所述文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從所述系統(tǒng)文件中提取的；判斷所述文件特征是否存在于預(yù)先生成的白名單中；如果所述文件特征不存在于所述白名單中，則生成第一通知信息；將所述第一通知信息反饋至所述終端，其中，所述終端根據(jù)第一通知信息判定所述系統(tǒng)文件為惡意文件，并停止安裝所述系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法，可接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的，并判斷文件特征是否存在于預(yù)先生成的白名單中，若否，則生成第一通知信息，最后，將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，通過以下步驟預(yù)先生成所述白名單：收集大量樣本終端的系統(tǒng)信息，并收集所述樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征；建立所述樣本終端的系統(tǒng)信息與所述樣本終端上所述已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征之間的對(duì)應(yīng)關(guān)系；根據(jù)所述系統(tǒng)信息、所述已安裝的系統(tǒng)應(yīng)用的文件特征、所述已安裝的BIN文件的文件特征、以及所述對(duì)應(yīng)關(guān)系生成所述白名單。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述方法還包括：收集可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件；根據(jù)所述可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件更新所述白名單。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述方法還包括：如果所述文件特征存在于所述白名單中，則生成第二通知信息；將所述第二通知信息反饋至所述終端，其中，所述終端根據(jù)所述第二通知信息判定所述系統(tǒng)文件為合法文件，并繼續(xù)安裝所述系統(tǒng)文件。

為達(dá)到上述目的，本發(fā)明第三方面實(shí)施例提出的惡意文件裝置的檢測(cè)裝置，應(yīng)用于終端，所述裝置包括：監(jiān)控模塊，用于監(jiān)控所述終端中當(dāng)前是否有系統(tǒng)文件正在被安裝；提取模塊，用于在當(dāng)前有系統(tǒng)文件正在被安裝時(shí)，提取所述系統(tǒng)文件的文件特征；發(fā)送模塊，用于將所述系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，所述服務(wù)器在接收到所述文件特征時(shí)，判斷所述文件特征是否存在于預(yù)先生成的白名單中，并在所述文件特征不存在于所述白名單中時(shí)，生成第一通知信息；接收模塊，用于接收所述服務(wù)器反饋的第一通知信息；判定模塊，用于根據(jù)所述第一通知信息判定所述系統(tǒng)文件為惡意文件；控制模塊，用于在所述判定模塊判定所述系統(tǒng)文件為惡意文件時(shí)，控制所述終端停止安裝所述系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件裝置的檢測(cè)裝置，可通過監(jiān)控模塊監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取模塊提取系統(tǒng)文件的文件特征，發(fā)送模塊將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息，之后，接收模塊可接收服務(wù)器反饋的第一通知信息，判定模塊根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，控制模塊控制終端停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述系統(tǒng)文件包括系統(tǒng)應(yīng)用和/或BIN文件。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述監(jiān)控模塊包括：監(jiān)控單元，用于監(jiān)控所述終端的操作系統(tǒng)中的系統(tǒng)目錄下是否有新文件正在創(chuàng)建；第一判定單元，用于在所述系統(tǒng)目錄下有新文件正在創(chuàng)建時(shí)，判定所述終端中當(dāng)前有系統(tǒng)文件正在被安裝。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，當(dāng)所述系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，所述監(jiān)控模塊包括：檢測(cè)單元，用于檢測(cè)占用所述終端的顯示屏的應(yīng)用程序是否為安裝管理器；第二判定單元，用于在占用所述終端的顯示屏的應(yīng)用程序?yàn)樗霭惭b管理器時(shí)，判定所述終端中當(dāng)前有系統(tǒng)文件正在被安裝。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述接收模塊還用于接收所述服務(wù)器反饋的第二通知信息，其中，所述第二通知信息是由所述服務(wù)器在判斷所述文件特征存在于所述白名單中時(shí)生成的；所述判定模塊還用于根據(jù)所述第二通知信息判定所述系統(tǒng)文件為合法文件；所述控制模塊還用于在所述判定模塊判定所述系統(tǒng)文件為合法文件時(shí)，控制所述終端繼續(xù)安裝所述系統(tǒng)文件。

為達(dá)到上述目的，本發(fā)明第四方面實(shí)施例提出的惡意文件裝置的檢測(cè)裝置，包括：接收模塊，用于接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，所述文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從所述系統(tǒng)文件中提取的；判斷模塊，用于判斷所述文件特征是否存在于預(yù)先生成的白名單中；生成模塊，用于在所述文件特征不存在于所述白名單中時(shí)，生成第一通知信息；反饋模塊，用于將所述第一通知信息反饋至所述終端，其中，所述終端根據(jù)第一通知信息判定所述系統(tǒng)文件為惡意文件，并停止安裝所述系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件裝置的檢測(cè)裝置，可通過可接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的，判斷模塊判斷文件特征是否存在于預(yù)先生成的白名單中，若否，則生成模塊生成第一通知信息，反饋模塊將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述裝置還包括：預(yù)處理模塊，用于預(yù)先生成所述白名單；其中，所述預(yù)處理模塊包括：第一收集單元，用于收集大量樣本終端的系統(tǒng)信息，并收集所述樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征；建立單元，用于建立所述樣本終端的系統(tǒng)信息與所述樣本終端上所述已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征之間的對(duì)應(yīng)關(guān)系；生成單元，用于根據(jù)所述系統(tǒng)信息、所述已安裝的系統(tǒng)應(yīng)用的文件特征、所述已安裝的BIN文件的文件特征、以及所述對(duì)應(yīng)關(guān)系生成所述白名單。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述預(yù)處理模塊還包括：第二收集單元，用于收集可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件；更新單元，用于根據(jù)所述可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件更新所述白名單。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，所述生成模塊還用于所述文件特征存在于所述白名單中時(shí)，生成第二通知信息；所述反饋模塊還用于將所述第二通知信息反饋至所述終端，其中，所述終端根據(jù)所述第二通知信息判定所述系統(tǒng)文件為合法文件，并繼續(xù)安裝所述系統(tǒng)文件。

為達(dá)到上述目的，本發(fā)明第五方面實(shí)施例提出的終端，包括：殼體、處理器、存儲(chǔ)器、電路板和電源電路，其中，所述電路板安置在所述殼體圍成的空間內(nèi)部，所述處理器和所述存儲(chǔ)器設(shè)置在所述電路板上；所述電源電路，用于為所述終端的各個(gè)電路或器件供電；所述存儲(chǔ)器用于存儲(chǔ)可執(zhí)行程序代碼；所述處理器通過讀取所述存儲(chǔ)器中存儲(chǔ)的可執(zhí)行程序代碼來運(yùn)行與所述可執(zhí)行程序代碼對(duì)應(yīng)的程序，以用于執(zhí)行以下步驟：監(jiān)控所述終端中當(dāng)前是否有系統(tǒng)文件正在被安裝；如果當(dāng)前有系統(tǒng)文件正在被安裝，則提取所述系統(tǒng)文件的文件特征；將所述系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，所述服務(wù)器在接收到所述文件特征時(shí)，判斷所述文件特征是否存在于預(yù)先生成的白名單中，并在所述文件特征不存在于所述白名單中時(shí)，生成第一通知信息；接收所述服務(wù)器反饋的第一通知信息；根據(jù)所述第一通知信息判定所述系統(tǒng)文件為惡意文件，并控制所述終端停止安裝所述系統(tǒng)文件。

為達(dá)到上述目的，本發(fā)明第六方面實(shí)施例提出的服務(wù)器，包括：處理器；用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器；其中，所述處理器被配置為：接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，所述文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從所述系統(tǒng)文件中提取的；判斷所述文件特征是否存在于預(yù)先生成的白名單中；如果所述文件特征不存在于所述白名單中，則生成第一通知信息；將所述第一通知信息反饋至所述終端，其中，所述終端根據(jù)第一通知信息判定所述系統(tǒng)文件為惡意文件，并停止安裝所述系統(tǒng)文件。

本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發(fā)明的實(shí)踐了解到。

附圖說明

本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中，

圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)方法的流程圖；

圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖3根據(jù)本發(fā)明一個(gè)具體實(shí)施例的惡意文件安裝的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖4根據(jù)本發(fā)明另一個(gè)具體實(shí)施例的惡意文件安裝的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖5是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)方法的流程圖；

圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件裝置的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖7是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的惡意文件裝置的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖8是根據(jù)本發(fā)明一個(gè)實(shí)施例的終端的結(jié)構(gòu)示意圖；

圖9是根據(jù)本發(fā)明一個(gè)實(shí)施例的服務(wù)器的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的，旨在用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。

下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法、裝置、終端以及服務(wù)器。

圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)方法的流程圖。需要說明的是，本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法可應(yīng)用于本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)裝置，該檢測(cè)裝置可被配置于終端，也就是說，本實(shí)施例從終端側(cè)進(jìn)行描述。其中，終端可以是PC機(jī)、移動(dòng)終端(如手機(jī)、平板電腦等具有各種操作系統(tǒng)的硬件設(shè)備)等。

還需要說明的是，為了能夠?qū)崿F(xiàn)對(duì)系統(tǒng)文件中的惡意文件進(jìn)行檢測(cè)，本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)裝置應(yīng)具有終端的最高管理權(quán)限。

如圖1所示，該惡意文件安裝的檢測(cè)方法可以包括：

S110，監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝。

作為一種示例，該系統(tǒng)文件可包括系統(tǒng)應(yīng)用和/或二進(jìn)制文件BIN文件。其中，該系統(tǒng)應(yīng)用可理解為可安裝于操作系統(tǒng)的應(yīng)用程序，且該應(yīng)用程序具有該操作系統(tǒng)的最高管理權(quán)限；BIN文件可理解為用于負(fù)責(zé)保持系統(tǒng)權(quán)限或者保護(hù)應(yīng)用程序不被卸載。

可以理解，不管系統(tǒng)文件是系統(tǒng)應(yīng)用還是BIN文件，終端在安裝該系統(tǒng)文件時(shí)，都會(huì)在操作系統(tǒng)的系統(tǒng)目錄下放入新的文件，以實(shí)現(xiàn)該系統(tǒng)文件的安裝。為此，基于該特性，在本步驟中，可通過監(jiān)控系統(tǒng)目錄下是否有新文件被創(chuàng)建，即可判定終端當(dāng)前是否有系統(tǒng)文件正在被安裝。作為一種示例，監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝的具體實(shí)現(xiàn)過程可如下：監(jiān)控終端的操作系統(tǒng)中的系統(tǒng)目錄下是否有新文件正在創(chuàng)建；如果系統(tǒng)目錄下有新文件正在創(chuàng)建，則判定終端中當(dāng)前有系統(tǒng)文件正在被安裝。

還可以理解，當(dāng)系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，終端可通過判斷終端中的安裝管理器是否在運(yùn)行，以判定當(dāng)前是否有系統(tǒng)應(yīng)用正在被安裝。作為一種示例，當(dāng)系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝的具體實(shí)現(xiàn)過程可如下：檢測(cè)占用終端的顯示屏的應(yīng)用程序是否為安裝管理器；如果占用終端的顯示屏的應(yīng)用程序?yàn)榘惭b管理器，則判定終端中當(dāng)前有系統(tǒng)文件正在被安裝。

也就是說，判斷是否有BIN文件安裝的方式可通過如下方式：判斷系統(tǒng)目錄下是否有新文件創(chuàng)建；判斷是否有系統(tǒng)應(yīng)用安裝的方式可通過如下兩種方式：1)判斷系統(tǒng)目錄下是否有新文件創(chuàng)建；2)判斷終端中的安裝管理器是否正在運(yùn)行，若是，則可判定當(dāng)前有系統(tǒng)應(yīng)用正在被安裝。

S120，如果當(dāng)前有系統(tǒng)文件正在被安裝，則提取系統(tǒng)文件的文件特征。

具體地，在監(jiān)控到終端中當(dāng)前有系統(tǒng)文件(如系統(tǒng)應(yīng)用和/或BIN文件等)正在被安裝時(shí)，可提取該系統(tǒng)文件的文件特征。作為一種示例，該文件特征可以是系統(tǒng)文件的MD5值等。

S130，將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息。

可以理解，在將該系統(tǒng)文件的文件特征發(fā)送至服務(wù)器的同時(shí)，還可將該終端的標(biāo)識(shí)信息一同發(fā)送至服務(wù)器，以便服務(wù)器可根據(jù)該標(biāo)識(shí)信息返回相應(yīng)的反饋信息。其中，該標(biāo)識(shí)信息可以是終端的MAC(Media Access Control，媒體訪問控制)地址、設(shè)備號(hào)等。服務(wù)器在接收到終端發(fā)送的該文件特征時(shí)，可將該文件特征于白名單進(jìn)行匹配，以判斷該白名單中是否含有該文件特征，如果該白名單中不含有該文件特征，則可判定該文件特征于該白名單不匹配，此時(shí)可生成第一通知信息，例如，該第一通知信息可為“該文件特征不存在于白名單中，其對(duì)應(yīng)的系統(tǒng)文件是惡意文件”，并可將該第一通知信息根據(jù)終端的標(biāo)識(shí)信息反饋給對(duì)應(yīng)的終端，以告知終端當(dāng)前正在安裝的系統(tǒng)文件是惡意文件。

S140，接收服務(wù)器反饋的第一通知信息。

S150，根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并控制終端停止安裝系統(tǒng)文件。

具體地，在接收到服務(wù)器反饋的第一通知信息之后，可分析該第一通知信息的內(nèi)容，并根據(jù)分析結(jié)果判定當(dāng)前正在安裝的系統(tǒng)文件為惡意文件，此時(shí)可控制終端停止安裝該系統(tǒng)文件。優(yōu)選地，在控制終端停止安裝該系統(tǒng)文件的同時(shí)，還可刪除該系統(tǒng)文件的安裝包，以達(dá)到完全保護(hù)系統(tǒng)安全的目的。

為了提高本發(fā)明的可用性以及可行性，進(jìn)一步地，在本發(fā)明的一個(gè)實(shí)施例中，該檢測(cè)方法還可包括：接收服務(wù)器反饋的第二通知信息，其中，第二通知信息是由服務(wù)器在判斷文件特征存在于白名單中時(shí)生成的；根據(jù)第二通知信息判定系統(tǒng)文件為合法文件，并控制終端繼續(xù)安裝系統(tǒng)文件。

具體地，服務(wù)器在判斷上述文件特征存在于白名單中，即該文件特征于白名單匹配時(shí)，可生成對(duì)應(yīng)的第二通知信息，例如，該第二通知信息可為“該文件特征存在于白名單中，其對(duì)應(yīng)的系統(tǒng)文件為合法文件”，之后，可根據(jù)標(biāo)識(shí)信息將該第二通知信息發(fā)送到對(duì)應(yīng)的終端。終端在接收到服務(wù)器反饋的第二通知信息時(shí)，可分析該第二通知信息的內(nèi)容，并根據(jù)分析結(jié)果判定當(dāng)前正在安裝的系統(tǒng)文件為合法文件，此時(shí)可控制終端繼續(xù)安裝系統(tǒng)文件。

綜上，本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法，在監(jiān)控到終端中當(dāng)前有新系統(tǒng)文件正在被安裝，如有新的系統(tǒng)應(yīng)用安裝到系統(tǒng)、或者新的BIN文件釋放到系統(tǒng)目錄下時(shí)，可提取該系統(tǒng)文件的文件特征，并將該文件特征發(fā)送到服務(wù)器進(jìn)行檢測(cè)。服務(wù)器通過預(yù)先生成的白名單以及該文件特征來判定該終端正在安裝的新系統(tǒng)文件是否為惡意文件，并將判斷結(jié)果通知給終端，如果該新系統(tǒng)文件為惡意文件，則終端可停止安裝該新系統(tǒng)文件，否則繼續(xù)安裝該新系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法，可監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取系統(tǒng)文件的文件特征，并將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息，之后，可接收服務(wù)器反饋的第一通知信息，最后，根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并控制終端停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

與上述幾種實(shí)施例提供的惡意文件安裝的檢測(cè)方法相對(duì)應(yīng)，本發(fā)明的一種實(shí)施例還提供一種惡意文件安裝的檢測(cè)裝置，由于本發(fā)明實(shí)施例提供的惡意文件安裝的檢測(cè)裝置與上述幾種實(shí)施例提供的惡意文件安裝的檢測(cè)方法相對(duì)應(yīng)，因此在前述惡意文件安裝的檢測(cè)方法的實(shí)施方式也適用于本實(shí)施例提供的惡意文件安裝的檢測(cè)裝置，在本實(shí)施例中不再詳細(xì)描述。圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)裝置的結(jié)構(gòu)示意圖。需要說明的是，本實(shí)施例的惡意文件安裝的檢測(cè)裝置可被配置于終端上。

如圖2所示，該惡意文件安裝的檢測(cè)裝置可以包括：監(jiān)控模塊110、提取模塊120、發(fā)送模塊130、接收模塊140、判定模塊150和控制模塊160。

具體地，監(jiān)控模塊110可用于監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝。其中，在本發(fā)明的一個(gè)實(shí)施例中，系統(tǒng)文件可包括系統(tǒng)應(yīng)用和/或BIN文件。

可以理解，不管系統(tǒng)文件是系統(tǒng)應(yīng)用還是BIN文件，終端在安裝該系統(tǒng)文件時(shí)，都會(huì)在操作系統(tǒng)的系統(tǒng)目錄下放入新的文件，以實(shí)現(xiàn)該系統(tǒng)文件的安裝。為此，基于該特性，在本步驟中，可通過監(jiān)控系統(tǒng)目錄下是否有新文件被創(chuàng)建，即可判定終端當(dāng)前是否有系統(tǒng)文件正在被安裝。作為一種示例，如圖3所示，該監(jiān)控模塊110可包括：監(jiān)控單元111和第一判定單元112。其中，監(jiān)控單元111可用于監(jiān)控終端的操作系統(tǒng)中的系統(tǒng)目錄下是否有新文件正在創(chuàng)建。第一判定單元112可用于在系統(tǒng)目錄下有新文件正在創(chuàng)建時(shí)，判定終端中當(dāng)前有系統(tǒng)文件正在被安裝。

還可以理解，當(dāng)系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，終端可通過判斷終端中的安裝管理器是否在運(yùn)行，以判定當(dāng)前是否有系統(tǒng)應(yīng)用正在被安裝。作為一種示例，當(dāng)系統(tǒng)文件為系統(tǒng)應(yīng)用時(shí)，如圖4所示，該監(jiān)控模塊110可包括：檢測(cè)單元113和第二判定單元114。其中，檢測(cè)單元113可用于檢測(cè)占用終端的顯示屏的應(yīng)用程序是否為安裝管理器。第二判定單元114可用于在占用終端的顯示屏的應(yīng)用程序?yàn)榘惭b管理器時(shí)，判定終端中當(dāng)前有系統(tǒng)文件正在被安裝。

提取模塊120可用于在當(dāng)前有系統(tǒng)文件正在被安裝時(shí)，提取系統(tǒng)文件的文件特征。

發(fā)送模塊130可用于將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息。

接收模塊140可用于接收服務(wù)器反饋的第一通知信息。

判定模塊150可用于根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件。

控制模塊160可用于在判定模塊150判定系統(tǒng)文件為惡意文件時(shí)，控制終端停止安裝系統(tǒng)文件。

為了提高本發(fā)明的可用性以及可行性，進(jìn)一步地，在本發(fā)明的一個(gè)實(shí)施例中，接收模塊140還用于接收服務(wù)器反饋的第二通知信息，其中，第二通知信息是由服務(wù)器在判斷文件特征存在于白名單中時(shí)生成的。判定模塊150還用于根據(jù)第二通知信息判定系統(tǒng)文件為合法文件?？刂颇K160還用于在判定模塊150判定系統(tǒng)文件為合法文件時(shí)，控制終端繼續(xù)安裝系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件裝置的檢測(cè)裝置，可通過監(jiān)控模塊監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取模塊提取系統(tǒng)文件的文件特征，發(fā)送模塊將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息，之后，接收模塊可接收服務(wù)器反饋的第一通知信息，判定模塊根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，控制模塊控制終端停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出另一種惡意文件安裝的檢測(cè)方法。圖5是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件安裝的檢測(cè)方法的流程圖。需要說明的是，本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法可應(yīng)用于本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)裝置，該檢測(cè)裝置可被配置于服務(wù)器，也就是說，本實(shí)施例從服務(wù)器側(cè)進(jìn)行描述。

如圖5所示，該惡意文件安裝的檢測(cè)方法可以包括：

S510，接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的。

需要說明的是，終端可先監(jiān)控當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取該系統(tǒng)文件的文件特征，例如，該文件特征可為MD5值等，之后，可將該提取到的文件特征發(fā)送至服務(wù)器?？梢岳斫猓趯⒃撐募卣靼l(fā)送至服務(wù)器的同時(shí)，還可將終端的標(biāo)識(shí)信息(如MAC地址等)一同發(fā)送至服務(wù)器。服務(wù)器可接收終端發(fā)送的文件特征，該文件特征即為終端當(dāng)前正在安裝的系統(tǒng)文件的文件特征。

S520，判斷文件特征是否存在于預(yù)先生成的白名單中。

為了方便應(yīng)用，可以理解，在本發(fā)明的實(shí)施例中，上述白名單可以是預(yù)先生成的，作為一種示例，可以通過以下步驟預(yù)先生成白名單：

521)收集大量樣本終端的系統(tǒng)信息，并收集樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征；

其中，在本發(fā)明的實(shí)施例中，該系統(tǒng)信息可包括但不限于終端的設(shè)備型號(hào)、終端的操作系統(tǒng)的版本號(hào)等。

522)建立樣本終端的系統(tǒng)信息與樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征之間的對(duì)應(yīng)關(guān)系；

523)根據(jù)系統(tǒng)信息、已安裝的系統(tǒng)應(yīng)用的文件特征、已安裝的BIN文件的文件特征、以及對(duì)應(yīng)關(guān)系生成白名單。

具體地，可預(yù)先收集終端的系統(tǒng)信息、終端上已經(jīng)安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征，并建立終端的系統(tǒng)信息與系統(tǒng)文件的文件特征之間的對(duì)應(yīng)關(guān)系，這樣，可以確定哪種終端的哪個(gè)版本有哪些合法的系統(tǒng)應(yīng)用和BIN文件，最后，根據(jù)該對(duì)應(yīng)關(guān)系將終端的系統(tǒng)信息與系統(tǒng)文件的文件特征組合起來，以形成上述白名單。

為了完善白名單，進(jìn)一步提高檢測(cè)結(jié)果的精確度，優(yōu)選地，在本發(fā)明的一個(gè)實(shí)施例中，還可收集可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件；根據(jù)可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件更新白名單。作為一種示例，可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件，可為提權(quán)類應(yīng)用，可以理解，該提權(quán)類應(yīng)用可以安裝至終端的系統(tǒng)內(nèi)，且可以提取到該系統(tǒng)的最高管理權(quán)限。

可以理解，在實(shí)際應(yīng)用中，有一些提權(quán)類應(yīng)用是合法文件，為此，還需將這種提權(quán)類應(yīng)用添加至白名單中。也就是說，還可收集能安裝至系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用、BIN文件，并提取這些系統(tǒng)文件的文件特征，并將這些文件特征添加至白名單中，并對(duì)白名單中的文件特征進(jìn)行去重處理，以避免信息的冗余。

S530，如果文件特征不存在于白名單中，則生成第一通知信息。

也就是說，在判定該文件特征于該白名單不匹配，此時(shí)可生成第一通知信息，例如，該第一通知信息可為“該文件特征不存在于白名單中，其對(duì)應(yīng)的系統(tǒng)文件是惡意文件”。

S540，將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。

為了提高本發(fā)明的可用性以及可行性，進(jìn)一步地，在本發(fā)明的一個(gè)實(shí)施例中，該檢測(cè)方法還可包括：如果文件特征存在于白名單中，則生成第二通知信息；將第二通知信息反饋至終端，其中，終端根據(jù)第二通知信息判定系統(tǒng)文件為合法文件，并繼續(xù)安裝系統(tǒng)文件。

具體地，在判斷上述文件特征存在于白名單中，即該文件特征于白名單匹配時(shí)，可生成對(duì)應(yīng)的第二通知信息，例如，該第二通知信息可為“該文件特征存在于白名單中，其對(duì)應(yīng)的系統(tǒng)文件為合法文件”，之后可將該第二通知信息發(fā)送到對(duì)應(yīng)的終端。終端在接收到服務(wù)器反饋的第二通知信息時(shí)，可分析該第二通知信息的內(nèi)容，并根據(jù)分析結(jié)果判定當(dāng)前正在安裝的系統(tǒng)文件為合法文件，此時(shí)可控制終端繼續(xù)安裝系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件安裝的檢測(cè)方法，可接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的，并判斷文件特征是否存在于預(yù)先生成的白名單中，若否，則生成第一通知信息，最后，將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

與上述幾種實(shí)施例提供的惡意文件安裝的檢測(cè)方法相對(duì)應(yīng)，本發(fā)明的一種實(shí)施例還提供一種惡意文件安裝的檢測(cè)裝置，由于本發(fā)明實(shí)施例提供的惡意文件安裝的檢測(cè)裝置與上述幾種實(shí)施例提供的惡意文件安裝的檢測(cè)方法相對(duì)應(yīng)，因此在前述惡意文件安裝的檢測(cè)方法的實(shí)施方式也適用于本實(shí)施例提供的惡意文件安裝的檢測(cè)裝置，在本實(shí)施例中不再詳細(xì)描述。圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意文件裝置的檢測(cè)裝置的結(jié)構(gòu)示意圖。如圖6所示，該惡意文件裝置的檢測(cè)裝置可以包括：接收模塊210、判斷模塊220、生成模塊230和反饋模塊240。

具體地，接收模塊210可用于接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的。

判斷模塊220可用于判斷文件特征是否存在于預(yù)先生成的白名單中。

為了方便應(yīng)用，可以理解，在本發(fā)明的實(shí)施例中，上述白名單可以是預(yù)先生成的，作為一種示例，如圖7所示，該檢測(cè)裝置還可包括：預(yù)處理模塊250，預(yù)處理模塊250可用于預(yù)先生成白名單。其中，在本發(fā)明的實(shí)施例中，該預(yù)處理模塊250可包括：第一收集單元251、建立單元252和生成單元253。其中，第一收集單元251用于收集大量樣本終端的系統(tǒng)信息，并收集樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征。建立單元252用于建立樣本終端的系統(tǒng)信息與樣本終端上已安裝的系統(tǒng)應(yīng)用的文件特征、以及已安裝的BIN文件的文件特征之間的對(duì)應(yīng)關(guān)系。生成單元253用于根據(jù)系統(tǒng)信息、已安裝的系統(tǒng)應(yīng)用的文件特征、已安裝的BIN文件的文件特征、以及對(duì)應(yīng)關(guān)系生成白名單。

為了完善白名單，進(jìn)一步提高檢測(cè)結(jié)果的精確度，優(yōu)選地，在本發(fā)明的實(shí)施例中，如圖7所示，該預(yù)處理模塊250還可包括第二收集單元254和更新單元255。其中，第二收集單元254用于收集可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件。更新單元255用于根據(jù)可安裝到終端的操作系統(tǒng)內(nèi)的系統(tǒng)應(yīng)用以及BIN文件更新白名單。

生成模塊230可用于在文件特征不存在于白名單中時(shí)，生成第一通知信息。

反饋模塊240可用于將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。

為了提高本發(fā)明的可用性以及可行性，進(jìn)一步地，在本發(fā)明的一個(gè)實(shí)施例中，生成模塊230還用于文件特征存在于白名單中時(shí)，生成第二通知信息。反饋模塊240還用于將第二通知信息反饋至終端，其中，終端根據(jù)第二通知信息判定系統(tǒng)文件為合法文件，并繼續(xù)安裝系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的惡意文件裝置的檢測(cè)裝置，可通過可接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的，判斷模塊判斷文件特征是否存在于預(yù)先生成的白名單中，若否，則生成模塊生成第一通知信息，反饋模塊將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種終端。

圖8是根據(jù)本發(fā)明一個(gè)實(shí)施例的終端的結(jié)構(gòu)示意圖。如圖8所示，該終端可以包括：殼體81、處理器82、存儲(chǔ)器83、電路板84和電源電路85，其中，電路板84安置在殼體81圍成的空間內(nèi)部，處理器82和存儲(chǔ)器83設(shè)置在電路板84上；電源電路85，用于為終端的各個(gè)電路或器件供電；存儲(chǔ)器83用于存儲(chǔ)可執(zhí)行程序代碼；處理器82通過讀取存儲(chǔ)器83中存儲(chǔ)的可執(zhí)行程序代碼來運(yùn)行與可執(zhí)行程序代碼對(duì)應(yīng)的程序，以用于執(zhí)行以下步驟：

S810，監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝。

S820，如果當(dāng)前有系統(tǒng)文件正在被安裝，則提取系統(tǒng)文件的文件特征。

S830，將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息。

S840，接收服務(wù)器反饋的第一通知信息。

S850，根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并控制終端停止安裝系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的終端，可監(jiān)控終端中當(dāng)前是否有系統(tǒng)文件正在被安裝，若是，則提取系統(tǒng)文件的文件特征，并將系統(tǒng)文件的文件特征發(fā)送至服務(wù)器，其中，服務(wù)器在接收到文件特征時(shí)，判斷文件特征是否存在于預(yù)先生成的白名單中，并在文件特征不存在于白名單中時(shí)，生成第一通知信息，之后，可接收服務(wù)器反饋的第一通知信息，最后，根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并控制終端停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

為了實(shí)現(xiàn)上述實(shí)施例，本發(fā)明還提出了一種服務(wù)器。

圖9是根據(jù)本發(fā)明一個(gè)實(shí)施例的服務(wù)器的結(jié)構(gòu)示意圖。如圖9所示，該服務(wù)器可以包括處理器91；用于存儲(chǔ)處理器91可執(zhí)行指令的存儲(chǔ)器92；其中，處理器91被配置為：

S910，接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的。

S920，判斷文件特征是否存在于預(yù)先生成的白名單中。

S930，如果文件特征不存在于白名單中，則生成第一通知信息。

S940，將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。

根據(jù)本發(fā)明實(shí)施例的服務(wù)器，可接收終端發(fā)送的系統(tǒng)文件的文件特征，其中，文件特征是由終端在監(jiān)控當(dāng)前有系統(tǒng)文件正在被安裝時(shí)從系統(tǒng)文件中提取的，并判斷文件特征是否存在于預(yù)先生成的白名單中，若否，則生成第一通知信息，最后，將第一通知信息反饋至終端，其中，終端根據(jù)第一通知信息判定系統(tǒng)文件為惡意文件，并停止安裝系統(tǒng)文件。即通過對(duì)系統(tǒng)文件的安裝進(jìn)行監(jiān)控，以判斷該系統(tǒng)文件是否為惡意文件，能夠更加及時(shí)準(zhǔn)確地發(fā)現(xiàn)釋放到系統(tǒng)內(nèi)病毒，保證用戶的經(jīng)濟(jì)利益以及用戶隱私信息的安全，并通過將判斷終端當(dāng)前正在安裝的系統(tǒng)文件是否為惡意文件的過程放到服務(wù)器中，終端只需從正在安裝的系統(tǒng)文件中提取其文件特征，并將該文件特征發(fā)送至服務(wù)器中即可，簡(jiǎn)化了終端的操作步驟，降低了終端的負(fù)荷。

在本發(fā)明的描述中，需要理解的是，術(shù)語(yǔ)“第一”、“第二”僅用于描述目的，而不能理解為指示或暗示相對(duì)重要性或者隱含指明所指示的技術(shù)特征的數(shù)量。由此，限定有“第一”、“第二”的特征可以明示或者隱含地包括至少一個(gè)該特征。在本發(fā)明的描述中，“多個(gè)”的含義是至少兩個(gè)，例如兩個(gè)，三個(gè)等，除非另有明確具體的限定。

在本說明書的描述中，參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說明書中，對(duì)上述術(shù)語(yǔ)的示意性表述不必須針對(duì)的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。此外，在不相互矛盾的情況下，本領(lǐng)域的技術(shù)人員可以將本說明書中描述的不同實(shí)施例或示例以及不同實(shí)施例或示例的特征進(jìn)行結(jié)合和組合。

流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。

在流程圖中表示或在此以其他方式描述的邏輯和/或步驟，例如，可以被認(rèn)為是用于實(shí)現(xiàn)邏輯功能的可執(zhí)行指令的定序列表，可以具體實(shí)現(xiàn)在任何計(jì)算機(jī)可讀介質(zhì)中，以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備(如基于計(jì)算機(jī)的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指令執(zhí)行系統(tǒng)、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng))使用，或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用。就本說明書而言，"計(jì)算機(jī)可讀介質(zhì)"可以是任何可以包含、存儲(chǔ)、通信、傳播或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用的裝置。計(jì)算機(jī)可讀介質(zhì)的更具體的示例(非窮盡性列表)包括以下：具有一個(gè)或多個(gè)布線的電連接部(電子裝置)，便攜式計(jì)算機(jī)盤盒(磁裝置)，隨機(jī)存取存儲(chǔ)器(RAM)，只讀存儲(chǔ)器(ROM)，可擦除可編輯只讀存儲(chǔ)器(EPROM或閃速存儲(chǔ)器)，光纖裝置，以及便攜式光盤只讀存儲(chǔ)器(CDROM)。另外，計(jì)算機(jī)可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其他合適的介質(zhì)，因?yàn)榭梢岳缤ㄟ^對(duì)紙或其他介質(zhì)進(jìn)行光學(xué)掃描，接著進(jìn)行編輯、解譯或必要時(shí)以其他合適方式進(jìn)行處理來以電子方式獲得所述程序，然后將其存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中。

應(yīng)當(dāng)理解，本發(fā)明的各部分可以用硬件、軟件、固件或它們的組合來實(shí)現(xiàn)。在上述實(shí)施方式中，多個(gè)步驟或方法可以用存儲(chǔ)在存儲(chǔ)器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實(shí)現(xiàn)。例如，如果用硬件來實(shí)現(xiàn)，和在另一實(shí)施方式中一樣，可用本領(lǐng)域公知的下列技術(shù)中的任一項(xiàng)或他們的組合來實(shí)現(xiàn)：具有用于對(duì)數(shù)據(jù)信號(hào)實(shí)現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路，具有合適的組合邏輯門電路的專用集成電路，可編程門陣列(PGA)，現(xiàn)場(chǎng)可編程門陣列(FPGA)等。

本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。

此外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理模塊中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。

上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器，磁盤或光盤等。盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例，可以理解的是，上述實(shí)施例是示例性的，不能理解為對(duì)本發(fā)明的限制，本領(lǐng)域的普通技術(shù)人員在本發(fā)明的范圍內(nèi)可以對(duì)上述實(shí)施例進(jìn)行變化、修改、替換和變型。