本申請(qǐng)涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種木馬程序的檢測(cè)方法和裝置。

背景技術(shù)：

隨著電子商務(wù)的快速發(fā)展，用戶信息的價(jià)值越來越重要，很多不法分子通過盜取用戶信息牟取利益。例如，黑客通過編寫信息泄露類木馬程序，并將其植入到賣家平臺(tái)，從而盜取賣家cookie等敏感信息，并偽裝成賣家用戶從電子商務(wù)平臺(tái)盜取用戶信息。拿到用戶信息的黑客，可以利用這些用戶信息有針對(duì)性的對(duì)用戶進(jìn)行訂單欺詐、電話欺詐、信用卡欺詐等違法犯罪活動(dòng)。

黑客編寫的這種信息泄露類木馬程序，以侵入賣家平臺(tái)為手段，以盜取賣家cookie等敏感信息，繼而盜取用戶信息為目的，其不具有普通木馬程序的自我繁殖、感染等行為特征，而且信息泄露類木馬程序不危害賣家平臺(tái)的安全，不會(huì)消耗資源，不訪問敏感資源，因此，不易察覺，無法采用現(xiàn)有的安全軟件對(duì)這種泄露類木馬程序進(jìn)行查殺，從而給用戶造成巨額經(jīng)濟(jì)損失，而且還會(huì)危害賣家信譽(yù)，會(huì)對(duì)電子商務(wù)平臺(tái)造成不可逆轉(zhuǎn)的信任危機(jī)。

目前，在信息泄露類木馬程序的傳播之初，無法通過技術(shù)手段定位到信息泄露類木馬程序，只有在發(fā)生大量案件后，根據(jù)用戶舉報(bào)，人工溯源分析，才最終定位到信息泄露類木馬程序。這個(gè)過程比較漫長(zhǎng)，信息泄露類木馬程序已經(jīng)大量傳播并運(yùn)行了一段時(shí)間，已經(jīng)給大量用戶造成了經(jīng)濟(jì)損失。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)?zhí)峁┮环N木馬程序的檢測(cè)方法，所述方法包括以下步驟：

客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件；

所述客戶端將所述指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，以使服務(wù)端利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；

所述客戶端根據(jù)接收到的程序上報(bào)命令，將所述指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，以使所述服務(wù)端檢測(cè)所述程序是否為木馬程序。

所述客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件的過程，具體包括：

所述客戶端監(jiān)控到所述信息匯聚平臺(tái)查詢用戶信息時(shí)，則確定在信息匯聚平臺(tái)上發(fā)生指定事件。

所述客戶端監(jiān)控到所述信息匯聚平臺(tái)查詢用戶信息的過程，具體包括：

所述客戶端向所述信息匯聚平臺(tái)的每個(gè)進(jìn)程注入動(dòng)態(tài)鏈接庫dll程序，所述dll程序用于監(jiān)控本進(jìn)程是否有通過電子商務(wù)平臺(tái)提供的查詢接口查詢用戶信息的行為；當(dāng)通過所述dll程序監(jiān)控到有進(jìn)程通過所述查詢接口查詢用戶信息的行為時(shí)，則監(jiān)控到所述信息匯聚平臺(tái)通過所述查詢接口查詢用戶信息；

所述查詢接口包括統(tǒng)一資源定位符url接口或者應(yīng)用程序編程接口api。

所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

本申請(qǐng)?zhí)峁┮环N木馬程序的檢測(cè)方法，所述方法包括以下步驟：

服務(wù)端接收來自客戶端的驗(yàn)證信息，所述驗(yàn)證信息為客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件時(shí)，發(fā)送的所述指定事件對(duì)應(yīng)的程序的驗(yàn)證信息；

所述服務(wù)端利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；如果是，則所述服務(wù)端向所述客戶端發(fā)送程序上報(bào)命令；

所述服務(wù)端接收來自所述客戶端的所述指定事件對(duì)應(yīng)的程序；

所述服務(wù)端檢測(cè)所述程序是否為木馬程序。

所述服務(wù)端利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體包括：

所述服務(wù)端判斷預(yù)先維護(hù)的程序白名單庫內(nèi)是否存在所述驗(yàn)證信息；

如果否，則所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；

如果是，則所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序；

其中，在所述服務(wù)端上預(yù)先維護(hù)有程序白名單庫，且所述程序白名單庫內(nèi)記錄了被授權(quán)的能夠查詢用戶信息的程序的驗(yàn)證信息。

所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

所述服務(wù)端利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體包括：所述服務(wù)端判斷當(dāng)前收到的驗(yàn)證信息中是否包含簽名信息；如果否，則所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；

如果是，則所述服務(wù)端判斷簽名信息是否包含在程序白名單庫中；

如果所述簽名信息未包含在所述程序白名單庫中，則所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果所述簽名信息包含在所述程序白名單庫中，則所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。

在所述服務(wù)端確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序之后，所述方法還包括：所述服務(wù)端判斷所述驗(yàn)證信息中的簽名信息之外的其它信息是否完全包含在所述程序白名單庫中；如果否，則將所述信息匯聚平臺(tái)的信息存儲(chǔ)到監(jiān)控列表內(nèi)；所述服務(wù)端判斷所述監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生用戶信息泄露事件；如果發(fā)生，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序。

本申請(qǐng)?zhí)峁┮环N木馬程序的檢測(cè)裝置，所述木馬程序的檢測(cè)裝置應(yīng)用在客戶端上，且所述木馬程序的檢測(cè)裝置具體包括：

確定模塊，用于監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件；

信息發(fā)送模塊，用于將所述指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，以使服務(wù)端利用所述驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；

程序發(fā)送模塊，用于根據(jù)接收到的程序上報(bào)命令，將所述指定事件對(duì)應(yīng)的程序發(fā)送給所述服務(wù)端，以使所述服務(wù)端檢測(cè)所述程序是否為木馬程序。

所述確定模塊，具體用于在監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件的過程中，當(dāng)監(jiān)控到所述信息匯聚平臺(tái)查詢用戶信息時(shí)，則確定在信息匯聚平臺(tái)上發(fā)生指定事件。

所述確定模塊，具體用于在監(jiān)控到信息匯聚平臺(tái)查詢用戶信息的過程中，向信息匯聚平臺(tái)的每個(gè)進(jìn)程注入動(dòng)態(tài)鏈接庫dll程序，所述dll程序用于監(jiān)控本進(jìn)程是否有通過電子商務(wù)平臺(tái)提供的查詢接口查詢用戶信息的行為；當(dāng)通過dll程序監(jiān)控到有進(jìn)程通過所述查詢接口查詢用戶信息的行為時(shí)，則監(jiān)控到信息匯聚平臺(tái)通過所述查詢接口查詢用戶信息；

所述查詢接口包括統(tǒng)一資源定位符url接口或者應(yīng)用程序編程接口api。

所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

本申請(qǐng)?zhí)峁┮环N木馬程序的檢測(cè)裝置，所述木馬程序的檢測(cè)裝置應(yīng)用在服務(wù)端上，且所述木馬程序的檢測(cè)裝置具體包括：

信息接收模塊，用于接收來自客戶端的驗(yàn)證信息，其中，所述驗(yàn)證信息為所述客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件時(shí)，發(fā)送的所述指定事件對(duì)應(yīng)的程序的驗(yàn)證信息；

判斷模塊，用于利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；

發(fā)送模塊，用于當(dāng)判斷結(jié)果為是時(shí)，向所述客戶端發(fā)送程序上報(bào)命令；

程序接收模塊，用于接收來自所述客戶端的所述指定事件對(duì)應(yīng)的程序；

檢測(cè)模塊，用于檢測(cè)所述程序是否為木馬程序。

所述判斷模塊，具體用于在利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程中，判斷預(yù)先維護(hù)的程序白名單庫內(nèi)是否存在所述驗(yàn)證信息；如果否，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序；

其中，在所述服務(wù)端上預(yù)先維護(hù)有程序白名單庫，且所述程序白名單庫內(nèi)記錄了被授權(quán)的能夠查詢用戶信息的程序的驗(yàn)證信息。

所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

所述判斷模塊，具體用于在利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程中，判斷當(dāng)前收到的驗(yàn)證信息中是否包含簽名信息； 如果否，確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，判斷簽名信息是否包含在程序白名單庫中；如果所述簽名信息未包含在所述程序白名單庫中，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果所述簽名信息包含在所述程序白名單庫中，則確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。

所述判斷模塊，還用于在確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序之后，判斷所述驗(yàn)證信息中的簽名信息之外的其它信息是否完全包含在所述程序白名單庫中；如果否，則將所述信息匯聚平臺(tái)的信息存儲(chǔ)到監(jiān)控列表內(nèi)；

判斷所述監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生用戶信息泄露事件；如果發(fā)生，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，通過部署在信息匯聚平臺(tái)上的客戶端監(jiān)控指定事件，并將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，服務(wù)端利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序，并在是危險(xiǎn)程序時(shí)，由客戶端將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，服務(wù)端檢測(cè)程序是否為木馬程序?；谏鲜龇绞?，針對(duì)信息泄露類木馬程序，可以在木馬程序剛剛侵入信息匯聚平臺(tái)時(shí)，就通過技術(shù)手段定位到木馬程序，縮短了發(fā)現(xiàn)和響應(yīng)的時(shí)間，從而快速預(yù)警并定位木馬程序，在木馬程序大量傳播前，就可以及時(shí)的對(duì)木馬程序進(jìn)行全網(wǎng)查殺，有效降低用戶信息泄露造成的經(jīng)濟(jì)損失。

附圖說明

為了更加清楚地說明本申請(qǐng)實(shí)施例或者現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)本申請(qǐng)實(shí)施例或者現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請(qǐng)中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本申請(qǐng)一種實(shí)施方式中的木馬程序的檢測(cè)方法的流程圖；

圖2是本申請(qǐng)另一種實(shí)施方式中的木馬程序的檢測(cè)方法的流程圖；

圖3是本申請(qǐng)一種實(shí)施方式中的應(yīng)用場(chǎng)景示意圖；

圖4是本申請(qǐng)另一種實(shí)施方式中的木馬程序的檢測(cè)方法的流程圖；

圖5是本申請(qǐng)一種實(shí)施方式中的客戶端的硬件結(jié)構(gòu)圖；

圖6是本申請(qǐng)一種實(shí)施方式中的木馬程序的檢測(cè)裝置的結(jié)構(gòu)圖；

圖7是本申請(qǐng)一種實(shí)施方式中的服務(wù)端的硬件結(jié)構(gòu)圖；

圖8是本申請(qǐng)一種實(shí)施方式中的木馬程序的檢測(cè)裝置的結(jié)構(gòu)圖。

具體實(shí)施方式

在本申請(qǐng)使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的，而非限制本申請(qǐng)。本申請(qǐng)和權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其它含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，此外，所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。

本申請(qǐng)實(shí)施例的后續(xù)過程，信息匯聚平臺(tái)可以為賣家平臺(tái)，如賣家使用的pc(personalcomputer，個(gè)人計(jì)算機(jī))、移動(dòng)終端、平板電腦等，且客戶端可以部署在信息匯聚平臺(tái)上。電子商務(wù)平臺(tái)可以為服務(wù)提供商使用的服務(wù)器，如淘寶平臺(tái)使用的服務(wù)器等，且服務(wù)端可以部署在電子商務(wù)平臺(tái)上。在實(shí)際使用時(shí)，電子商務(wù)平臺(tái)可以向信息匯聚平臺(tái)提供url接口或者api等查詢接口。其中，由于賣家平臺(tái)需要獲取用戶信息，因此可以將賣家平臺(tái)稱為信息匯聚平臺(tái)。

針對(duì)現(xiàn)有技術(shù)中存在的問題，本申請(qǐng)實(shí)施例中提出一種木馬程序的檢測(cè)方法，該方法可以應(yīng)用在客戶端上，如圖1所示，該方法包括以下步驟：

步驟101，客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件。

本申請(qǐng)實(shí)施例中，客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件的過程，具體可以包括但不限于如下方式：客戶端在監(jiān)控到信息匯聚平臺(tái)查詢用戶信息時(shí)，則確定在信息匯聚平臺(tái)上發(fā)生指定事件，該指定事件就是查詢用戶信息的 事件。

本申請(qǐng)實(shí)施例中，客戶端監(jiān)控到信息匯聚平臺(tái)查詢用戶信息的過程，具體可以包括但不限于如下方式：客戶端向信息匯聚平臺(tái)的每個(gè)進(jìn)程注入dll(dynamiclinklibrary，動(dòng)態(tài)鏈接庫)程序，該dll程序用于監(jiān)控本進(jìn)程(即本dll程序所在進(jìn)程)是否有通過電子商務(wù)平臺(tái)提供的查詢接口查詢用戶信息的行為。當(dāng)通過dll程序監(jiān)控到有進(jìn)程通過查詢接口查詢用戶信息的行為時(shí)，則客戶端監(jiān)控到信息匯聚平臺(tái)通過查詢接口查詢用戶信息。其中，該查詢接口具體可以包括但不限于：url(uniformresourcelocator，統(tǒng)一資源定位符)接口或者api(applicationprogramminginterface，應(yīng)用程序編程接口)。

步驟102，客戶端將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，以使服務(wù)端利用該驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序。

其中，指定事件對(duì)應(yīng)的程序是指：當(dāng)執(zhí)行某程序?qū)е掳l(fā)生該指定事件時(shí)，將該程序作為指定事件對(duì)應(yīng)的程序。例如，當(dāng)信息匯聚平臺(tái)執(zhí)行程序1時(shí)，在該信息匯聚平臺(tái)上發(fā)生指定事件，則該指定事件對(duì)應(yīng)的程序就是程序1。

其中，該程序的驗(yàn)證信息具體可以包括但不限于以下之一或者任意組合：該程序的簽名信息、文件名、md5(messagedigestalgorithm5，消息摘要算法第五版)值、文件大小等。該簽名信息中還可以包括該程序的發(fā)布廠商。

步驟103，客戶端根據(jù)接收到的程序上報(bào)命令，將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，以使服務(wù)端檢測(cè)該程序是否為木馬程序。

其中，在服務(wù)端判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序之后，如果判斷結(jié)果為是，則服務(wù)端向客戶端發(fā)送程序上報(bào)命令，客戶端根據(jù)接收到的程序上報(bào)命令，將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端。如果判斷結(jié)果為否，則服務(wù)端不會(huì)向客戶端發(fā)送程序上報(bào)命令，結(jié)束流程。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，通過部署在信息匯聚平臺(tái)上的客戶端監(jiān)控指定事件，并將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，服務(wù)端利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序，并在是危險(xiǎn)程序時(shí)，由客戶端將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，服務(wù)端檢測(cè)程序是否為木馬程 序?；谏鲜龇绞?，針對(duì)信息泄露類木馬程序，可以在木馬程序剛剛侵入信息匯聚平臺(tái)時(shí)，就通過技術(shù)手段定位到木馬程序，縮短了發(fā)現(xiàn)和響應(yīng)的時(shí)間，從而快速預(yù)警并定位木馬程序，在木馬程序大量傳播前，就可以及時(shí)的對(duì)木馬程序進(jìn)行全網(wǎng)查殺，有效降低用戶信息泄露造成的經(jīng)濟(jì)損失。

本申請(qǐng)實(shí)施例中還提出一種木馬程序的檢測(cè)方法，該方法可以應(yīng)用在服務(wù)端上，如圖2所示，該木馬程序的檢測(cè)方法具體可以包括以下步驟：

步驟201，服務(wù)端接收來自客戶端的驗(yàn)證信息。

其中，該驗(yàn)證信息具體可以為：客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件時(shí)，客戶端向服務(wù)端發(fā)送的該指定事件對(duì)應(yīng)的程序的驗(yàn)證信息。

其中，該驗(yàn)證信息具體可以包括但不限于以下之一或者任意組合：簽名信息、文件名、md值、文件大小等。該簽名信息中還可以包括發(fā)布廠商。

步驟202，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序。如果是，則執(zhí)行步驟203；如果否，則結(jié)束對(duì)該程序的處理流程。

在一個(gè)例子中，本申請(qǐng)實(shí)施例中，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體可以包括但不限于如下方式：服務(wù)端判斷預(yù)先維護(hù)的程序白名單庫內(nèi)是否存在該驗(yàn)證信息；如果否，則服務(wù)端確定該指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則服務(wù)端確定該指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。其中，在服務(wù)端上預(yù)先維護(hù)有程序白名單庫，且該程序白名單庫內(nèi)記錄了被授權(quán)的能夠查詢用戶信息的程序的驗(yàn)證信息。

在另一個(gè)例子中，本申請(qǐng)實(shí)施例中，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體可以包括但不限于如下方式：服務(wù)端判斷當(dāng)前收到的驗(yàn)證信息中是否包含簽名信息；如果否，則服務(wù)端確定該指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則服務(wù)端判斷該驗(yàn)證信息中包含的簽名信息是否包含在程序白名單庫中；如果該簽名信息未包含在程序白名單庫中，則服務(wù)端確定指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果該簽名信息包含在程序白名單庫中，則服務(wù)端確定指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。

本申請(qǐng)實(shí)施例中，在服務(wù)端確定指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序之后， 服務(wù)端還可以判斷該驗(yàn)證信息中的簽名信息之外的其它信息，是否完全包含在程序白名單庫中；如果否，則服務(wù)端將該信息匯聚平臺(tái)的信息存儲(chǔ)到監(jiān)控列表內(nèi)。進(jìn)一步的，服務(wù)端可以判斷該監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生了用戶信息泄露事件；如果發(fā)生，則確定指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序。

步驟203，服務(wù)端向客戶端發(fā)送程序上報(bào)命令。

步驟204，服務(wù)端接收來自客戶端的該指定事件對(duì)應(yīng)的程序。

步驟205，服務(wù)端檢測(cè)該程序是否為木馬程序。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，通過部署在信息匯聚平臺(tái)上的客戶端監(jiān)控指定事件，并將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，服務(wù)端利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序，并在是危險(xiǎn)程序時(shí)，由客戶端將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，服務(wù)端檢測(cè)程序是否為木馬程序?；谏鲜龇绞?，針對(duì)信息泄露類木馬程序，可以在木馬程序剛剛侵入信息匯聚平臺(tái)時(shí)，就通過技術(shù)手段定位到木馬程序，縮短了發(fā)現(xiàn)和響應(yīng)的時(shí)間，從而快速預(yù)警并定位木馬程序，在木馬程序大量傳播前，就可以及時(shí)的對(duì)木馬程序進(jìn)行全網(wǎng)查殺，有效降低用戶信息泄露造成的經(jīng)濟(jì)損失。

以下結(jié)合圖3所示的應(yīng)用場(chǎng)景，對(duì)本申請(qǐng)實(shí)施例的技術(shù)方案進(jìn)行說明。

在圖3中，信息匯聚平臺(tái)可以為賣家平臺(tái)，如賣家使用的pc(personalcomputer，個(gè)人計(jì)算機(jī))、移動(dòng)終端、平板電腦等，且客戶端可以部署在信息匯聚平臺(tái)上。電子商務(wù)平臺(tái)可以為服務(wù)提供商使用的服務(wù)器，如淘寶平臺(tái)使用的服務(wù)器等，且服務(wù)端可以部署在電子商務(wù)平臺(tái)上。在實(shí)際使用時(shí)，電子商務(wù)平臺(tái)可以向信息匯聚平臺(tái)提供url接口或者api等查詢接口。

在電子商務(wù)交易過程中，買家用戶提交購買訂單，賣家用戶可以通過電子商務(wù)平臺(tái)提供的url接口或者api等查詢接口，查詢買家用戶的用戶信息(如商品交易信息)，并執(zhí)行后續(xù)的發(fā)貨等流程。具體的，信息匯聚平臺(tái)可以利用電子商務(wù)平臺(tái)提供的url接口或者api等查詢接口，向電子商務(wù)平臺(tái)發(fā)送用于請(qǐng)求用戶信息的消息，該消息中攜帶賣家的口令信息(如cookie，token等)，電子商務(wù)平臺(tái)接收到該消息后，如果口令信息驗(yàn)證通過，則會(huì)將用戶信息提供 給信息匯聚平臺(tái)，這樣信息匯聚平臺(tái)就可以獲取到用戶信息。

黑客通過編寫信息泄露類木馬程序，并將其植入到信息匯聚平臺(tái)，該信息泄露類木馬程序可以從信息匯聚平臺(tái)盜取賣家的cookie等敏感信息(即賣家的口令信息)，這樣，信息泄露類木馬程序就可以偽裝成賣家，通過信息匯聚平臺(tái)向電子商務(wù)平臺(tái)發(fā)送用于請(qǐng)求用戶信息的消息，該消息中攜帶賣家的口令信息，電子商務(wù)平臺(tái)接收到該消息后，如果口令信息驗(yàn)證通過，則會(huì)將用戶信息提供給信息泄露類木馬程序指定的設(shè)備，這樣就盜取了用戶信息。

基于上述特點(diǎn)(即信息泄露類木馬程序，也會(huì)通過電子商務(wù)平臺(tái)提供的url接口或者api等查詢接口，查詢用戶信息)，參見圖4，為本申請(qǐng)實(shí)施例中提出的一種木馬程序的檢測(cè)方法的流程圖，該方法可以包括以下步驟：

步驟401，客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件。

本申請(qǐng)實(shí)施例中，客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件的過程，具體可以包括但不限于如下方式：客戶端在監(jiān)控到該信息匯聚平臺(tái)查詢用戶信息(如通過電子商務(wù)平臺(tái)提供的查詢接口，查詢用戶信息)時(shí)，則確定在該信息匯聚平臺(tái)上發(fā)生指定事件，該指定事件就是指查詢用戶信息的事件。

本申請(qǐng)實(shí)施例中，將查詢用戶信息的事件定義為指定事件，如果監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件，則說明有程序查詢用戶信息，這個(gè)程序可能為賣家用戶正常使用的程序，也可能為信息泄露類木馬程序，因此，需要服務(wù)端進(jìn)行后續(xù)的區(qū)分處理。

本申請(qǐng)實(shí)施例中，客戶端監(jiān)控到信息匯聚平臺(tái)查詢用戶信息的過程，可以包括但不限于如下方式：客戶端向信息匯聚平臺(tái)的每個(gè)進(jìn)程注入dll程序，該dll程序用于監(jiān)控本進(jìn)程是否有通過電子商務(wù)平臺(tái)提供的查詢接口查詢用戶信息的行為。當(dāng)通過dll程序監(jiān)控到有進(jìn)程通過查詢接口查詢用戶信息的行為時(shí)，則監(jiān)控到信息匯聚平臺(tái)通過查詢接口查詢用戶信息。

其中，該查詢接口具體可以包括但不限于：url接口或者api。

其中，客戶端可以部署在信息匯聚平臺(tái)，并負(fù)責(zé)監(jiān)控信息匯聚平臺(tái)的所有進(jìn)程，客戶端可以通過向所有進(jìn)程中的每個(gè)進(jìn)程分別注入一個(gè)dll程序，以達(dá)到 監(jiān)控是否有進(jìn)程通過查詢接口查詢用戶信息的行為的目的。

其中，針對(duì)使用dll程序監(jiān)控是否有進(jìn)程通過查詢接口查詢用戶信息的行為的過程，由客戶端將dll程序hook(鉤子)到每一個(gè)進(jìn)程來實(shí)現(xiàn)。hook的本質(zhì)是一段用以處理消息的程序，允許應(yīng)用程序截獲并處理發(fā)往指定窗口的消息或特定事件，其監(jiān)視的窗口可以是本進(jìn)程內(nèi)的窗口或者其它進(jìn)程創(chuàng)建的窗口?；趆ook技術(shù)的dll程序，當(dāng)有進(jìn)程通過查詢接口查詢用戶信息時(shí)，該進(jìn)程內(nèi)注入的dll程序就會(huì)監(jiān)測(cè)到這一行為的發(fā)生，并將這一行為的信息通知給客戶端，這樣，客戶端就監(jiān)控到在信息匯聚平臺(tái)上發(fā)生了指定事件，而且客戶端知道哪個(gè)進(jìn)程有通過查詢接口查詢用戶信息的行為，也就知道了使用該進(jìn)程的程序正在通過查詢接口查詢用戶信息，該程序有可能為木馬程序。

步驟402，客戶端將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端。

其中，指定事件對(duì)應(yīng)的程序是指：當(dāng)執(zhí)行某程序?qū)е掳l(fā)生該指定事件時(shí)，將該程序作為指定事件對(duì)應(yīng)的程序。例如，當(dāng)信息匯聚平臺(tái)執(zhí)行程序1時(shí)，在該信息匯聚平臺(tái)上發(fā)生指定事件，則該指定事件對(duì)應(yīng)的程序就是程序1。

其中，驗(yàn)證信息具體可以包括但不限于以下之一或者任意組合：簽名信息、文件名、md5值、文件大小等。該簽名信息中還可以包括發(fā)布廠商。

此外，客戶端還可以將指定事件的標(biāo)識(shí)(如事件a)發(fā)送給服務(wù)端。

在一個(gè)例子中，客戶端可以將指定事件的標(biāo)識(shí)(如事件a)、程序的簽名信息s1、文件名n1、md5值m1、文件大小b1等信息發(fā)送給服務(wù)端。而且，客戶端可以將這些信息組合成數(shù)據(jù)包，并對(duì)該數(shù)據(jù)包進(jìn)行加密處理，具體加密方式在此不再贅述，并將加密處理后的數(shù)據(jù)包發(fā)送給服務(wù)端。

步驟403，服務(wù)端接收來自客戶端的驗(yàn)證信息。

步驟404，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序。如果是，則執(zhí)行步驟405；如果否，則結(jié)束對(duì)該程序的處理流程。

在一個(gè)例子中，本申請(qǐng)實(shí)施例中，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體可以包括但不限于如下方式：服務(wù)端判斷預(yù)先維護(hù)的程序白名單庫內(nèi)是否存在該驗(yàn)證信息；如果否，則服務(wù)端確定 該指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則服務(wù)端確定該指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。其中，在服務(wù)端上預(yù)先維護(hù)有程序白名單庫，且該程序白名單庫內(nèi)記錄了被授權(quán)的能夠查詢用戶信息的程序的驗(yàn)證信息。

在另一個(gè)例子中，本申請(qǐng)實(shí)施例中，服務(wù)端利用該驗(yàn)證信息判斷該指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程，具體可以包括但不限于如下方式：服務(wù)端判斷當(dāng)前收到的驗(yàn)證信息中是否包含簽名信息；如果否，則服務(wù)端確定該指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則服務(wù)端判斷該驗(yàn)證信息中包含的簽名信息是否包含在程序白名單庫中；如果該簽名信息未包含在程序白名單庫中，則服務(wù)端確定指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果該簽名信息包含在程序白名單庫中，則服務(wù)端確定指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。

本申請(qǐng)實(shí)施例中，在服務(wù)端確定指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序之后，服務(wù)端還可以判斷該驗(yàn)證信息中的簽名信息之外的其它信息，是否完全包含在程序白名單庫中；如果否，則服務(wù)端將該信息匯聚平臺(tái)的信息存儲(chǔ)到監(jiān)控列表內(nèi)。進(jìn)一步的，服務(wù)端可以判斷該監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生了用戶信息泄露事件；如果發(fā)生，則確定指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序。

以下結(jié)合一個(gè)例子對(duì)步驟404進(jìn)行詳細(xì)說明。在本例子中，驗(yàn)證信息可以包括簽名信息s1、文件名n1、md5值m1、文件大小b1等。程序白名單庫記錄的被授權(quán)的能夠查詢用戶信息的程序(即所有被授權(quán)的可以訪問查詢接口的第三方程序或者插件)的驗(yàn)證信息包括：簽名信息s、文件名n、md5值m、文件大小b等，例如，(簽名信息x、文件名x、md5值x、文件大小x)、(簽名信息y、文件名y、md5值y、文件大小y)等。

本申請(qǐng)實(shí)施例中，可以根據(jù)程序自身的特點(diǎn)(如簽名信息等驗(yàn)證信息)判斷程序的風(fēng)險(xiǎn)等級(jí)。在本例子中，可以將指定事件對(duì)應(yīng)的程序劃分為四個(gè)風(fēng)險(xiǎn)等級(jí)，當(dāng)程序?yàn)榈谝伙L(fēng)險(xiǎn)等級(jí)或者第二風(fēng)險(xiǎn)等級(jí)時(shí)，表示程序是危險(xiǎn)程序，當(dāng)程序?yàn)榈谌L(fēng)險(xiǎn)等級(jí)或者第四風(fēng)險(xiǎn)等級(jí)時(shí)，表示程序不是危險(xiǎn)程序。

如果當(dāng)前收到的驗(yàn)證信息中不包含簽名信息s1(s1＝null)，則服務(wù)端直接確定程序是危險(xiǎn)程序，且程序?yàn)榈谝伙L(fēng)險(xiǎn)等級(jí)(即最高風(fēng)險(xiǎn)等級(jí))。

如果驗(yàn)證信息中包含簽名信息s1，但是簽名信息s1沒有包含在程序白名單庫中則服務(wù)端確定程序是危險(xiǎn)程序，且程序?yàn)榈诙L(fēng)險(xiǎn)等級(jí)。

如果驗(yàn)證信息中包含簽名信息s1，且簽名信息s1包含在程序白名單庫中，則服務(wù)端確定程序不是危險(xiǎn)程序，并比較文件名n1、md5值m1、文件大小b1是否完全包含在程序白名單庫中。如果有任意一個(gè)或者多個(gè)未包含在程序白名單庫中(s1∈s，oror)，則服務(wù)端確定程序?yàn)榈谌L(fēng)險(xiǎn)等級(jí)，并將信息匯聚平臺(tái)的信息(如標(biāo)識(shí)等)存儲(chǔ)到監(jiān)控列表內(nèi)。

如果驗(yàn)證信息中包含簽名信息s1，且簽名信息s1包含在程序白名單庫中，則服務(wù)端確定程序不是危險(xiǎn)程序，并比較文件名n1、md5值m1、文件大小b1是否完全包含在程序白名單庫中。如果文件名n1、md5值m1、文件大小b1均包含在程序白名單庫中(s1∈s，n1∈nandm1∈mandb1∈b)，服務(wù)端確定程序?yàn)榈谒娘L(fēng)險(xiǎn)等級(jí)(最低風(fēng)險(xiǎn)等級(jí))，程序一定不是木馬程序。

針對(duì)第一風(fēng)險(xiǎn)等級(jí)和第二風(fēng)險(xiǎn)等級(jí)的程序，還可以將程序存入風(fēng)險(xiǎn)庫。

針對(duì)第三風(fēng)險(xiǎn)等級(jí)的程序，服務(wù)端還可以查詢監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生用戶信息泄露事件(如定期查詢是否發(fā)生用戶信息泄露事件，或者，在有信息匯聚平臺(tái)發(fā)生用戶信息泄露事件時(shí)，查詢?cè)撔畔R聚平臺(tái)是否在監(jiān)控列表內(nèi))。如果發(fā)生，則服務(wù)端確定對(duì)應(yīng)的程序是危險(xiǎn)程序，并確定該程序?yàn)榈谝伙L(fēng)險(xiǎn)等級(jí)或者第二風(fēng)險(xiǎn)等級(jí)。如果沒有發(fā)生，則服務(wù)端確定對(duì)應(yīng)的程序不是危險(xiǎn)程序，該程序?yàn)榈谌L(fēng)險(xiǎn)等級(jí)。其中，如果有用戶舉報(bào)信息匯聚平臺(tái)發(fā)生用戶信息泄露事件，則說明匯聚平臺(tái)發(fā)生用戶信息泄露事件。

步驟405，服務(wù)端向客戶端發(fā)送程序上報(bào)命令。

其中，該程序上報(bào)命令用于指示客戶端上報(bào)指定事件對(duì)應(yīng)的程序。

步驟406，客戶端根據(jù)接收到的程序上報(bào)命令，將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端。其中，客戶端在接收到程序上報(bào)命令時(shí)，從該程序上報(bào)命令中解析出指定事件對(duì)應(yīng)的程序的信息，并將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端。

步驟407，服務(wù)端接收來自客戶端的該指定事件對(duì)應(yīng)的程序。

步驟408，服務(wù)端檢測(cè)該程序是否為木馬程序。

其中，服務(wù)端在接收到該程序后，可以將該程序提供給分析人員(可以稱為白帽子)，由分析人員分析該程序是否為木馬程序，并將該程序是否為木馬程序的結(jié)果提供給服務(wù)端，由服務(wù)端檢測(cè)出該程序是否為木馬程序。

服務(wù)端在檢測(cè)出程序?yàn)槟抉R程序之后，分析該木馬程序的木馬特征，并基于該木馬特征在全網(wǎng)查殺木馬程序，從而保證這種木馬程序被及時(shí)刪除。

基于上述技術(shù)方案，本申請(qǐng)實(shí)施例中，通過部署在信息匯聚平臺(tái)上的客戶端監(jiān)控指定事件，并將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，服務(wù)端利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序，并在是危險(xiǎn)程序時(shí)，由客戶端將指定事件對(duì)應(yīng)的程序發(fā)送給服務(wù)端，服務(wù)端檢測(cè)程序是否為木馬程序。基于上述方式，針對(duì)信息泄露類木馬程序，可以在木馬程序剛剛侵入信息匯聚平臺(tái)時(shí)，就通過技術(shù)手段定位到木馬程序，縮短了發(fā)現(xiàn)和響應(yīng)的時(shí)間，從而快速預(yù)警并定位木馬程序，在木馬程序大量傳播前，就可以及時(shí)的對(duì)木馬程序進(jìn)行全網(wǎng)查殺，有效降低用戶信息泄露造成的經(jīng)濟(jì)損失。

基于與上述方法同樣的申請(qǐng)構(gòu)思，本申請(qǐng)實(shí)施例中還提供了一種木馬程序的檢測(cè)裝置，應(yīng)用在客戶端上。該木馬程序的檢測(cè)裝置可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在的客戶端的處理器，讀取非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言，如圖5所示，為本申請(qǐng)?zhí)岢龅哪抉R程序的檢測(cè)裝置所在的客戶端的一種硬件結(jié)構(gòu)圖，除了圖5所示的處理器、非易失性存儲(chǔ)器外，客戶端還可以包括其他硬件，如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該客戶端還可能是分布式設(shè)備，可能包括多個(gè)接口卡，以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。

如圖6所示，為本申請(qǐng)?zhí)岢龅哪抉R程序的檢測(cè)裝置的結(jié)構(gòu)圖，所述木馬程序的檢測(cè)裝置應(yīng)用在客戶端上，且所述木馬程序的檢測(cè)裝置具體包括：

確定模塊11，用于監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件；

信息發(fā)送模塊12，用于將指定事件對(duì)應(yīng)的程序的驗(yàn)證信息發(fā)送給服務(wù)端，以使服務(wù)端利用所述驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；

程序發(fā)送模塊13，用于根據(jù)接收到的程序上報(bào)命令，將所述指定事件對(duì)應(yīng)的程序發(fā)送給所述服務(wù)端，以使所述服務(wù)端檢測(cè)所述程序是否為木馬程序。

所述確定模塊11，具體用于在監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件的過程中，當(dāng)監(jiān)控到所述信息匯聚平臺(tái)查詢用戶信息時(shí)，則確定在信息匯聚平臺(tái)上發(fā)生指定事件。

所述確定模塊11，具體用于在監(jiān)控到信息匯聚平臺(tái)查詢用戶信息的過程中，向信息匯聚平臺(tái)的每個(gè)進(jìn)程注入動(dòng)態(tài)鏈接庫dll程序，所述dll程序用于監(jiān)控本進(jìn)程是否有通過電子商務(wù)平臺(tái)提供的查詢接口查詢用戶信息的行為；當(dāng)通過dll程序監(jiān)控到有進(jìn)程通過所述查詢接口查詢用戶信息的行為時(shí)，則監(jiān)控到信息匯聚平臺(tái)通過所述查詢接口查詢用戶信息；

所述查詢接口包括統(tǒng)一資源定位符url接口或者應(yīng)用程序編程接口api。

本申請(qǐng)實(shí)施例中，所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

其中，本申請(qǐng)裝置的各個(gè)模塊可以集成于一體，也可以分離部署。上述模塊可以合并為一個(gè)模塊，也可以進(jìn)一步拆分成多個(gè)子模塊。

基于與上述方法同樣的申請(qǐng)構(gòu)思，本申請(qǐng)實(shí)施例中還提供了一種木馬程序的檢測(cè)裝置，應(yīng)用在服務(wù)端上。該木馬程序的檢測(cè)裝置可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在的服務(wù)端的處理器，讀取非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言，如圖7所示，為本申請(qǐng)?zhí)岢龅哪抉R程序的檢測(cè)裝置所在的服務(wù)端的一種硬件結(jié)構(gòu)圖，除了圖7所示的處理器、非易失性存儲(chǔ)器外，服務(wù)端還可以包括其他硬件，如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片、網(wǎng)絡(luò)接口、內(nèi)存等；從硬件結(jié)構(gòu)上來講，該服務(wù)端還可能是分布式設(shè)備，可能包括多個(gè)接口卡，以便在硬件層面進(jìn)行報(bào)文處理的擴(kuò)展。

如圖8所示，為本申請(qǐng)?zhí)岢龅哪抉R程序的檢測(cè)裝置的結(jié)構(gòu)圖，所述木馬程序的檢測(cè)裝置應(yīng)用在服務(wù)端上，且所述木馬程序的檢測(cè)裝置具體包括：

信息接收模塊21，用于接收來自客戶端的驗(yàn)證信息，其中，所述驗(yàn)證信息 為所述客戶端監(jiān)控到在信息匯聚平臺(tái)上發(fā)生指定事件時(shí)，發(fā)送的所述指定事件對(duì)應(yīng)的程序的驗(yàn)證信息；

判斷模塊22，用于利用驗(yàn)證信息判斷指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序；

發(fā)送模塊23，用于當(dāng)判斷結(jié)果為是時(shí)，向所述客戶端發(fā)送程序上報(bào)命令；

程序接收模塊24，用于接收來自客戶端的所述指定事件對(duì)應(yīng)的程序；

檢測(cè)模塊25，用于檢測(cè)所述程序是否為木馬程序。

所述判斷模塊22，具體用于在利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程中，判斷預(yù)先維護(hù)的程序白名單庫內(nèi)是否存在所述驗(yàn)證信息；如果否，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，則確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序；

其中，在所述服務(wù)端上預(yù)先維護(hù)有程序白名單庫，且所述程序白名單庫內(nèi)記錄了被授權(quán)的能夠查詢用戶信息的程序的驗(yàn)證信息。

本申請(qǐng)實(shí)施例中，所述驗(yàn)證信息包括以下之一或者任意組合：簽名信息、文件名、md5值、文件大小。

所述判斷模塊22，具體用于在利用所述驗(yàn)證信息判斷所述指定事件對(duì)應(yīng)的程序是否為危險(xiǎn)程序的過程中，判斷當(dāng)前收到的驗(yàn)證信息中是否包含簽名信息；如果否，確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果是，判斷簽名信息是否包含在程序白名單庫中；如果所述簽名信息未包含在所述程序白名單庫中，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序；如果所述簽名信息包含在所述程序白名單庫中，則確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序。

所述判斷模塊22，還用于在確定所述指定事件對(duì)應(yīng)的程序不是危險(xiǎn)程序之后，判斷所述驗(yàn)證信息中的簽名信息之外的其它信息是否完全包含在所述程序白名單庫中；如果否，則將所述信息匯聚平臺(tái)的信息存儲(chǔ)到監(jiān)控列表內(nèi)；

判斷所述監(jiān)控列表內(nèi)的信息匯聚平臺(tái)是否發(fā)生用戶信息泄露事件；如果發(fā)生，則確定所述指定事件對(duì)應(yīng)的程序是危險(xiǎn)程序。

其中，本申請(qǐng)裝置的各個(gè)模塊可以集成于一體，也可以分離部署。上述模塊可以合并為一個(gè)模塊，也可以進(jìn)一步拆分成多個(gè)子模塊。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請(qǐng)可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式。基于這樣的理解，本申請(qǐng)的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例所述的方法。本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖，附圖中的模塊或流程并不一定是實(shí)施本申請(qǐng)所必須的。

本領(lǐng)域技術(shù)人員可以理解實(shí)施例中的裝置中的模塊可以按照實(shí)施例描述進(jìn)行分布于實(shí)施例的裝置中，也可以進(jìn)行相應(yīng)變化位于不同于本實(shí)施例的一個(gè)或多個(gè)裝置中。上述實(shí)施例的模塊可以合并為一個(gè)模塊，也可進(jìn)一步拆分成多個(gè)子模塊。上述本申請(qǐng)實(shí)施例序號(hào)僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

以上公開的僅為本申請(qǐng)的幾個(gè)具體實(shí)施例，但是，本申請(qǐng)并非局限于此，任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本申請(qǐng)的保護(hù)范圍。