本發明公開了一種運行環境的檢測方法、裝置和系統，涉及計算機技術領域。該方法的一具體實施方式包括：獲取參考樣本，參考樣本包括：多個庫文件的樣本信息；當運行環境承載的應用啟動時，確定應用加載的目標庫文件的信息；根據多個庫文件的樣本信息，檢測目標庫文件的信息；當檢測的結果為目標庫文件的信息不屬于參考樣本時，確定運行環境存在動態注入的文件。該實施方式能夠比較全面的檢測出動態注入的文件，以引導解決由動態注入的文件引起的安全性問題。

技術領域

本發明涉及計算機技術領域，尤其涉及一種運行環境的檢測方法、裝置和系統。

背景技術

攻擊者往往會采用動態注入的方式攻擊應用。如攻擊者以越獄的形式向移動終端動態注入插件文件，移動終端中的應用運行過程中，通過調用該插件文件，即可竊取用戶信息；又比如，攻擊者生成一個與運行環境原始存在的庫文件同名的偽造文件，并且用該偽造文件覆蓋原始存在的庫文件，可以達到偽造目的，即需要使用庫文件的應用在運行時，就會加載偽造文件，攻擊者可以通過該偽造文件截取相關的信息等。

現有的檢測方式主要通過匹配文件名稱，來檢測是否存在動態注入，以實現對運行環境的檢測。

在實現本發明過程中，發明人發現現有技術中至少存在如下問題：

由于文件名稱可以偽造，一些影響應用的動態注入的文件很難被檢測出來，導致運行環境仍然存在由動態注入的文件引起的安全性問題。

發明內容

有鑒于此，本發明實施例提供一種運行環境的檢測方法、裝置和系統，能夠比較全面的檢測出動態注入的文件，以引導解決由動態注入的文件引起的安全性問題。

為實現上述目的，根據本發明實施例的一個方面，提供了一種運行環境的檢測方法，包括：

獲取參考樣本，所述參考樣本包括：多個庫文件的樣本信息；

在所述運行環境承載的應用啟動時，確定所述應用加載的目標庫文件的信息；

根據所述多個庫文件的樣本信息，檢測所述目標庫文件的信息；

當檢測的結果為所述目標庫文件的信息不屬于所述參考樣本時，確定所述運行環境存在動態注入的文件。

優選地，

所述樣本信息包括：庫文件相對路徑、至少一個指令集標識以及每一個所述指令集標識所對應的庫文件特征標識；

所述檢測所述目標庫文件的信息，包括：

確定所述運行環境對應的目標指令集標識；

在所述多個庫文件的樣本信息中，查找與所述目標庫文件的信息相匹配的目標庫文件相對路徑；

如果查找到，則在所述目標庫文件相對路徑下，為所述目標指令集標識匹配對應的目標庫文件特征標識；

判斷所述目標庫文件特征標識與所述目標庫文件的信息是否一致，如果否，則確定檢測的結果為所述目標庫文件的信息不屬于所述參考樣本；

如果未查找到，則確定檢測的結果為所述目標庫文件的信息不屬于所述參考樣本。

優選地，所述運行環境的檢測方法，進一步包括：

采集多個環境版本對應的全量數據；

從所述環境版本對應的全量數據中，提取所述環境版本對應的全量樣本，并存儲多個所述環境版本對應的全量樣本，所述環境版本對應的全量樣本包括：所述環境版本對應的所有庫文件的樣本信息；

所述獲取參考樣本，包括：

確定所述運行環境的目標環境版本；