客户端程序监控方法、装置及客户端的制作方法

客户端程序监控方法、装置及客户端的制作方法
【专利摘要】本发明提供了一种客户端程序监控方法、装置及客户端，所述方法包括：监控客户端处于锁定状态后程序的动作；若监控到程序的动作属于锁定状态下的危险动作，则停止该动作，所述危险动作包括程序启动上传或下载数据；其中，所述程序启动上传或下载数据通过以下方式监控：维护联网程序列表，实时记录客户端的联网状况；其中，所述联网程序列表中实时记录有客户端内正在进行上传或下载的程序，在客户端锁定的同时生成，记录锁定前已经联网的程序；查询所述联网程序列表判断是否有新增的上传或下载内容，若有，则表示有程序启动上传或下载数据，反之，则表示没有。本发明可以对处于待机等闲置状态的客户端内的程序进行监控，避免恶意程序进行危险动作。
【专利说明】客户端程序监控方法、装置及客户端
[0001]本发明专利申请是申请日为2011年06月03日、申请号为201110148851.7、名称
为“客户端程序监控方法、装置及客户端”的中国发明专利申请的分案申请。
【技术领域】
[0002]本发明涉及客户端软件信息安全检测【技术领域】，特别是涉及一种客户端程序监控方法、装置及客户端。
【背景技术】
[0003]随着计算机与手机等行业的发展，适用于计算机或手机等客户端的软件的应用越来越广泛。另外，为了更好的共享信息，一些公司提供的软件开发工具使任何人都能开发基于某些操作系统的程序，例如，Symbian操作系统。这给大部分人带来了便利，同时满足了用户对软件多样化的需求，但是这也使得部分人利用这个工具开发出针对这些手机操作系统的病毒或者木马等恶意程序。
[0004]因为一般的病毒或者木马程序在安装或者运行时，会占用系统资源，从而会造成计算机或手机等客户端运行速度变慢，甚至是死机，这种情况下，客户端用户会很容易察觉到病毒或者木马程序的存在，从而可以启动杀毒软件对病毒或者木马程序进行查杀。所以，有些病毒或者木马程序会在用户的客户端处于待机等闲置状态时进行安装或者运行，从而避免被用户察觉。而这些病毒或者木马程序通常会给客户端用户造成损失，例如，制造恶意扣费、恶意联网的木马程序序会通过自动跟互联网进行连接来产生流量，或者自动链接到某一网站，这就会增加使用费用。

【发明内容】

[0005]本发明所要解决的技术问题是提供一种客户端程序监控方法、装置及客户端，能对处于待机等闲置状态的客户端内的程序进行监控，避免恶意程序进行危险动作。
[0006]为了解决上述问题，本发明公开了一种客户端程序监控方法，包括以下步骤:
[0007]监控客户端处于锁定状态后程序的动作；
[0008]若监控到程序的动作属于锁定状态下的危险动作，则停止该动作，所述危险动作包括程序启动上传或下载数据；
[0009]其中，所述程序启动上传或下载数据通过以下方式监控:
[0010]维护联网程序列表，实时记录客户端的联网状况；其中，所述联网程序列表中实时记录有客户端内正在进行上传或下载的程序，在客户端锁定的同时生成，记录锁定前已经联网的程序；
[0011]查询所述联网程序列表判断是否有新增的上传或下载内容，若有，则表示有程序启动上传或下载数据，反之，则表示没有。
[0012]可选地，所述判断联网程序列表是否有新增的上传或下载内容的步骤包括:
[0013]预置定时器；[0014]按照所述定时器设定的监控时间，查询所述联网程序列表是否有程序在启动上传或下载内容；其中，程序是否启动上传或下载内容通过操作系统API来查找。
[0015]可选地，所述维护联网程序列表的步骤包括:
[0016]在中断程序的上传或下载数据后，对所述联网程序列表进行更新并保存。
[0017]可选地，所述锁定状态下的危险动作还包括以下一种或多种:
[0018]程序启动安装；
[0019]程序启动联网；
[0020]程序删除数据或卸载软件；
[0021]程序关闭杀毒软件、防火墙；
[0022]程序修改注册表信息；
[0023]其中，所述对程序启动安装进行监控包括:
[0024]监听程序安装通知；
[0025]判断是否有程序安装通知，若有，则表示有程序准备安装。
[0026]可选地，所述监控客户端处于锁定状态后程序的动作包括:
[0027]监控客户端的程序动作；
[0028]若监控到程序动作改变，则查询客户端是否处于锁定状态；
[0029]可选地，所述监控客户端处于锁定状态后程序的动作包括:
[0030]在客户端进入锁定状态的同时启动对客户端程序动作的监控。
[0031]可选地，所述若监控到程序的动作属于锁定状态下的危险动作，则停止该动作包括:
[0032]关闭所述程序进程；或
[0033]拦截触发所述程序动作的指令。
[0034]可选地，所述客户端锁定状态包括:待机、屏幕锁定或计算机锁定。
[0035]为了解决上述问题，本发明还公开了一种客户端程序监控装置，包括:
[0036]监控模块，用于监控客户端处于锁定状态后程序的动作；
[0037]控制模块，若监控到程序的动作属于锁定状态下的危险动作，用于停止该动作；
[0038]其中，所述危险动作包括程序启动上传或下载数据,所述控制模块包括数据上传或下载单元，用于监控程序是否启动上传或下载数据，包括:
[0039]联网程序列表，用于实时记录客户端的联网状况；其中，所述联网程序列表中实时记录有客户端内正在进行上传或下载的程序，在客户端锁定的同时生成，记录锁定前已经联网的程序。
[0040]为了解决上述问题，本发明还公开了一种客户端，包括如前所述的客户端程序监控装置。
[0041]与现有技术相比，本发明具有以下优点:
[0042]本发明的客户端程序监控方法、装置及客户端通过采用监控程序对客户端处于锁定状态时的程序动作进行监控，若监控到程序动作为危险动作时则停止该程序动作。可以避免恶意程序在客户端用户不知情的情况下进行的恶意上传、下载数据或者恶意修改注册表等危险动作，保护客户端的安全及用户的利益。【专利附图】

【附图说明】
[0043]图1是本发明的客户端程序监控方法实施例一的流程图；
[0044]图2是本发明的客户端程序监控方法实施例二的流程图；
[0045]图3是本发明的客户端程序监控方法实施例三的流程图；
[0046]图4是本发明的客户端程序监控装置实施例一的结构示意图；
[0047]图5是本发明的客户端程序监控装置实施例二的结构示意图；
[0048]图6是本发明的客户端程序监控装置中监控模块的结构示意图。
【具体实施方式】
[0049]为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0050]参照图1，示出本发明的客户端程序监控方法实施例一，包括以下步骤:
[0051]步骤101，监控客户端处于锁定状态后程序的动作。
[0052]此处的客户端指移动终端或PC机，如手机、笔记本电脑，台式计算机等具有应用程序的装置。
[0053]此处的锁定状态是指待机、屏幕锁定、计算机锁定、输入设备锁定等客户端空闲状态。
[0054]客户端处于锁定状态后程序的动作包括程序新的动态，例如，程序启动扫描、程序启动安装、程序启动上传或下载数据、程序启动联网、删除数据或卸载软件、关闭杀毒软件或防火墙、修改注册表信息等等。
[0055]进一步地，监控客户端处于锁定状态后程序的动作可以在客户端处于锁定状态之前就开始，在监控到程序动作改变后通过查询客户端是否处于锁定状态来实现，也可以在客户端进入锁定状态的同时启动对客户端程序动作的监控来实现。对于前一种方式，判断客户端是否处于锁定状态可以采用多种方式，例如，根据操作系统的运行情况来判断或者根据操作系统所存储的键盘状态条目的状态信息来判断等等。以采用Symbian操作系统的手机为例，Symbian操作系统会将一些客户端当前的状态存储在repository中,监控程序可以对repository中的键盘状态条目进行检测,如果repository中的键盘状态条目显示当前键盘处于闭锁状态，则表示客户端当前处于锁屏状态。
[0056]步骤102，若监控到程序的动作属于锁定状态下的危险动作，则停止该动作。
[0057]客户端锁定状态下的危险动作包括对系统构成危险的动作和/或在锁定状态下执行用户手动操作时才可以执行的动作。其中，对系统构成危险的动作是指无论是在锁定或是非锁定状态都会对系统构成危险的动作，如关闭杀毒软件或防火墙、notpad调用网络连接等等，这些动作可能会给客户端带来危险，如在用户不知情的情况下感染病毒，并且无法及时得知客户端感染了病毒。在锁定状态下执行用户手动操作时才可以执行的动作，如软件升级、程序启动安装、程序启动上传或下载数据、程序启动联网、删除数据或卸载软件等等，这些动作需要用户来识别是否是可以操作的动作，有些动作可能会带来病毒而有些动作则可能是被允许的。例如，启动程序安装，有可能是病毒自动安装，也有可能是某一应用程序升级后需要重新安装等等，这就需要用户来识别并确认是否可以执行。
[0058]停止锁定状态下的危险动作可以是直接终止该危险动作，例如直接停止该程序的运行或者关闭该程序。停止锁定状态下的危险动作也可以是暂停该危险动作，例如，拦截触发所述程序动作的指令。在锁定状态结束后，给出用户相应的信息，由用户来确定是否停止或执行该动作。例如，在锁定状态下监控到某一程序的升级动作，需要下载数据，那么可以暂停该升级动作，并生成提示信息，在锁定状态解除后，提示用户，该程序需要进行升级动作，那么用户可以选择继续该升级动作。
[0059]参照图2，示出本发明的客户端程序监控方法实施例二，其中，程序是否启动安装可以通过如下方式来进行:
[0060]步骤S101，监听程序安装通知；
[0061]步骤S102，判断是否有程序安装通知，若有，则表示有程序准备安装，反之，则没有。
[0062]因为在程序准备安装时，会通过特定的端口进行通知，例如，通过安装程序广播的方式，告知操作系统有程序要安装，监控程序可以通过监听程序安装通知来获取程序的安装信息，从而对程序是否安装进行监控。
[0063]参照图3，示出本发明的客户端程序监控方法实施例三，其中，程序是否启动上传或下载数据可以通过如下方式来进行:
[0064]步骤DlOl，维护联网程序列表。
[0065]联网程序列表中记录的是客户端的实时联网状况，在客户端锁定的同时生成，记录锁定前已经联网的程序。
[0066]步骤D102，判断联网程序列表是否有新增的上传或下载内容，若有，则表示有程序在启动上传或下载内容，反之，则表示没有。
[0067]进一步地，在判断是否有程序在启动上传或下载内容时，还可以增加定时器，通过定时器预设监控时间，从而使监控程序能够按照一定的时间间隔来查询联网程序列表是否有程序在启动上传或下载内容。其中，程序是否启动上传或下载内容可以通过操作系统API(Application Programming Interface,应用程序编程接口)来查找。维护的程序联网列表中会实时记录客户端内正在进行上传或下载的程序，通过查询列表中是否有上传或下载内容则可以判断是否有程序在启动上传或下载内容。
[0068]另外，在中断程序的上传或下载数据后，会对联网程序列表进行更新并存储，保证联网程序列表中都是在锁屏前进行联网的程序。
[0069]通过采用监控程序对客户端内的程序启动运行进行监控，并结合客户端是否处于锁定的待机状态来判断是人为操作还是程序自动操作，从而可以避免恶意程序在用户不知情的情况下进行危险动作，保护客户端的安全及用户的利益。
[0070]参照图4，示出本发明实施例的客户端程序监控装置，包括监控模块20及控制模块30。
[0071]监控模块20，用于监控客户端处于锁定状态后程序的动作。例如，程序启动扫描、程序启动安装、程序启动上传或下载数据、程序启动联网、删除数据或卸载软件、关闭杀毒软件或防火墙、修改注册表信息等等程序动作。
[0072]控制模块30，若监控到程序的动作属于锁定状态下的危险动作，用于停止该动作。危险动作是指可能会给客户端带来危险，如增加流量、带来病毒的程序动作，例如程序启动安装、程序启动上传或下载数据、程序启动联网、删除数据或卸载软件、关闭杀毒软件或防火墙、修改注册表信息等等。
[0073]参照图5，进一步地，控制模块30包括危险动作识别子模块31，用于识别对系统构成危险的动作和/或在锁定状态下执行用户手动操作时才可以执行的动作。
[0074]危险动作识别子模块31包括程序安装监控单元311、数据上传或下载单元312、程序联网监控单元313、数据删除监控单元314、杀毒软件、防火墙监控单元315、注册表信息监控单元316的其中一种或多种。
[0075]程序安装监控单元311，用于监控是否有程序启动安装。具体的，可以通过监听操作系统中的程序安装广播来对程序安装进行监控。
[0076]数据上传或下载单元312，用于监控程序是否启动上传或下载数据。具体的，包括联网程序列表，用于实时记录客户端内联网状况，可以通过列表中是否有新增加的上传或下载内容来判断是否有程序在进行数据上传或下载。进一步地，数据上传或下载单元312还包括定时器，用于预定查询联网程序列表的时间，使监控程序间隔一定的时间对联网程序列表进行查询。
[0077]程序联网监控单元313，用于监控是否有程序启动联网。具体的，也可以包括前述的联网程序列表，根据列表中的联网程序记录是否增加来判断是否有程序启动联网。
[0078]数据删除监控单元314，用于监控是否有数据的删除。
[0079]杀毒软件、防火墙监控单元315，用于监控杀毒软件或防火墙是否被关闭。
[0080]注册表信息监控单元316，用于监控注册表信息是否被修改。
[0081]参照图6，监控模块20包括程序动作监控单元21和客户端状态查询单元22。
[0082]程序动作监控单元21，用于监控客户端的程序动作。例如，程序启动扫描、程序启动安装、程序启动上传或下载数据、程序启动联网、删除数据或卸载软件、关闭杀毒软件或防火墙、修改注册表信息等等。
[0083]客户端状态查询单元22，用于查询客户端是否处于锁定状态。
[0084]优选地,监控模块20还包括启动单元23,用户在客户端进入锁定状态的同时启动程序动作监控单元21对客户端程序动作的监控。
[0085]基于上述的客户端程序监控装置，本发明实施例还提供了一种客户端，该客户端包括上述实施例所述的客户端程序监控装置，该客户端程序监控装置的具体结构可参见图4至图6所示示例的描述，不再详述。此处的客户端指移动终端或PC机，如手机、笔记本电脑，台式计算机等具有应用程序的装置。
[0086]本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0087]以上对本发明所提供的客户端程序监控方法、装置及客户端进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种客户端程序监控方法，其特征在于，包括以下步骤: 监控客户端处于锁定状态后程序的动作； 若监控到程序的动作属于锁定状态下的危险动作，则停止该动作，所述危险动作包括程序启动上传或下载数据； 其中，所述程序启动上传或下载数据通过以下方式监控: 维护联网程序列表，实时记录客户端的联网状况；其中，所述联网程序列表中实时记录有客户端内正在进行上传或下载的程序，在客户端锁定的同时生成，记录锁定前已经联网的程序； 查询所述联网程序列表判断是否有新增的上传或下载内容，若有，则表示有程序启动上传或下载数据，反之，则表示没有。
2.如权利要求1所述的方法，其特征在于，所述判断联网程序列表是否有新增的上传或下载内容的步骤包括: 预置定时器； 按照所述定时器设定的监控时间，查询所述联网程序列表是否有程序在启动上传或下载内容；其中，程序是否启动上传或下载内容通过操作系统API来查找。
3.根据权利要求1或2所述的方法，其特征在于，所述维护联网程序列表的步骤包括: 在中断程序的上传或下载数据后，对所述联网程序列表进行更新并保存。
4.如权利要求1所述的 方法，其特征在于，所述锁定状态下的危险动作还包括以下一种或多种: 程序启动安装； 程序启动联网； 程序删除数据或卸载软件； 程序关闭杀毒软件、防火墙； 程序修改注册表信息； 其中，所述对程序启动安装进行监控包括: 监听程序安装通知； 判断是否有程序安装通知，若有，则表示有程序准备安装。
5.如权利要求1所述的方法，其特征在于，所述监控客户端处于锁定状态后程序的动作包括: 监控客户端的程序动作； 若监控到程序动作改变，则查询客户端是否处于锁定状态。
6.如权利要求1所述的方法，其特征在于，所述监控客户端处于锁定状态后程序的动作包括: 在客户端进入锁定状态的同时启动对客户端程序动作的监控。
7.如权利要求1所述的方法，其特征在于，所述若监控到程序的动作属于锁定状态下的危险动作，则停止该动作包括: 关闭所述程序进程；或 拦截触发所述程序动作的指令。
8.如权利要求4至7任一项所述的方法，其特征在于，所述客户端锁定状态包括:待机、屏幕锁定或计算机锁定。
9.一种客户端程序监控装置，其特征在于，包括: 监控模块，用于监控客户端处于锁定状态后程序的动作； 控制模块，若监控到程序的动作属于锁定状态下的危险动作，用于停止该动作； 其中，所述危险动作包括程序启动上传或下载数据，所述控制模块包括数据上传或下载单元，用于监控程序是否启动上传或下载数据，包括: 联网程序列表，用于实时记录客户端的联网状况；其中，所述联网程序列表中实时记录有客户端内正在进行上传或下载的程序，在客户端锁定的同时生成，记录锁定前已经联网的程序。
10.一种客户端，其 特征在于，包括如上述权利要求9所述的客户端程序监控装置。
【文档编号】G06F21/56GK103500306SQ201310425097
【公开日】2014年1月8日 申请日期:2011年6月3日 优先权日:2011年6月3日
【发明者】李涛, 徐江涛, 曹建峰, 谢尧裕 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司