本公開涉及一種惡意應用程序檢測方法、裝置、電子設備和介質。其中，惡意應用程序檢測方法，包括：實時監控進程的內存值；將所述內存值發送至應用檢測端，以使所述應用檢測端基于所述內存值確定第一預設時間內內存值變化異常的目標進程，并將所述目標進程對應的應用程序確定為惡意應用程序，其中，所述第一預設時間包括目標應用程序安裝成功的時刻，所述目標應用程序包括病毒應用程序或多個非病毒應用程序。本公開實施例通過對進程內存值的檢測，實現了對惡意應用程序的準確定位。

技術領域

本公開涉及計算機技術領域，尤其涉及一種惡意應用程序檢測方法、裝置、電子設備和介質。

背景技術

隨著通信技術的發展，移動終端，如智能手機、平板電腦等設備的應用也越來越為普遍。但是，由于安卓系統的開放性和碎片化，也帶來了一些信息安全的問題。

目前，一些惡意軟件或惡意軟件開發工具包會靜默強制安裝一些應用到用戶手機。例如，第三方應用程序接入了惡意軟件時，一般會通過系統漏洞來提安裝權限，然后靜默安裝惡意渠道的應用程序(如病毒應用程序)。又如，系統應用程序接入了惡意軟件開發工具包時，因系統應用程序具有安裝權限，所以惡意軟件開發工具包中存在的惡意代碼便可以啟動安裝動作，從而安裝惡意渠道的應用程序。因為第三方應用程序和系統應用程序較多，特別是系統應用程序具有安裝權限，所以對于如何定位到某個第三方應用程序或系統應用程序存在惡意行為是比較困難的。

發明內容

為了解決上述技術問題或者至少部分地解決上述技術問題，本公開提供了一種惡意應用程序檢測方法、裝置、電子設備和介質。

本公開提供了一種惡意應用程序檢測方法，包括：

實時監控進程的內存值；

將所述內存值發送至應用檢測端，以使所述應用檢測端基于所述內存值確定第一預設時間內內存值變化異常的目標進程，并將所述目標進程對應的應用程序確定為惡意應用程序，其中，所述第一預設時間包括目標應用程序安裝成功的時刻，所述目標應用程序包括病毒應用程序或多個非病毒應用程序。

可選的，所述應用檢測端設置在移動終端或服務器中。

可選的，當所述應用檢測端設置在服務器中時，在實時監控進程的內存值之前，還包括：

向所述應用檢測端發送監控請求；

接收所述應用檢測端響應于所述監控請求返回的開關狀態，其中所述開關狀態包括開或關；

當所述開關狀態為開時，實時監控進程的內存值；

當所述開關狀態為關時，不監控進程的內存值。

可選的，所述開關狀態基于預設管理應用程序的應用版本、終端型號和系統固件的版本號中的一個或多個進行配置。

可選的，所述惡意應用程序檢測方法還包括：

實時監聽所述目標應用程序安裝成功的廣播；

當監聽到所述目標應用程序安裝成功的廣播時，基于預設應用黑名單判斷所述目標應用程序是否為病毒應用程序，其中，所述預設應用黑名單包括一個或多個病毒應用程序的標識信息；

當所述目標應用程序為病毒應用程序時，將所述目標應用程序的相關信息發送至所述應用檢測端，以使所述應用檢測端在接收到所述目標應用程序的相關信息后，基于所述內存值確定第一預設時間內內存值變化異常的目標進程。

可選的，在基于預設應用黑名單判斷所述目標應用程序是否為病毒應用程序之前，還包括：

在觸發應用黑名單獲取事件時，從服務器獲取所述預設應用黑名單。

可選的，所述惡意應用程序檢測方法還包括：