一种应用程序操作检测方法、装置、电子设备和存储介质

技术领域

本发明涉及安全技术领域，具体涉及一种应用程序操作检测方法、装置、电子设备和存储介质。

背景技术

随着互联网技术的快速发展，用户在自己的电子设备中常常会安装各种各样的应用程序以满足自己的日常使用需求。但是，存在一些应用程序会执行对用户的隐私及电子设备的安全造成风险的操作。

目前，在检测应用程序的风险操作时采取的主要方法是，通过提取应用程序的代码，分析应用程序的代码中是否存在与风险操作相关的代码。但是采用这种方法，需要能够准确地分析应用程序的代码，以及对于与风险操作有关的代码有充足的认识。因此，这种对于应用程序的检测方法可能存在检测不够准确的问题。

发明内容

本发明实施例提供一种应用程序操作检测方法、装置、电子设备和存储介质，可以在不影响应用程序正常运行以及操作系统设备的性能的情况下，提升对应用程序的操作检测的准确性。

本发明实施例提供一种应用程序操作检测方法，包括：

获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定；

向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数；

响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息；

将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

相应的，本发明实施例提供一种应用程序操作检测装置，包括：

目标信息获取单元，用于获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定；

回调函数注册单元，用于向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数；

操作信息获取单元，用于响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息；

检测结果确定单元，用于将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还包括应用选择单元，用于获取当前处于运行状态的至少一个候选应用程序的应用进程信息；

基于各所述应用进程信息，显示应用选择页面，所述应用选择页面中包括至少一个应用选择控件，一个所述应用选择控件与一个所述候选应用程序对应；

响应于针对至少一个应用选择控件的应用选择操作，将所述应用选择控件对应的候选应用程序作为目标检测应用。

在一些可选的实施例中，所述应用选择单元，用于基于各所述应用进程信息，确定各所述应用进程信息对应的应用程序提示信息；

根据所述应用程序提示信息生成应用选择页面并显示，所述应用选择页面中包括所述应用程序提示信息。

在一些可选的实施例中，所述检测结果确定单元，用于将所述操作进程信息与所述目标应用进程信息进行对比，若所述操作进程信息与所述目标应用进程信息相同，记录所述文件操作的操作参数，以及确定所述目标检测应用的操作检测结果为存在风险操作；

本发明实施例提供的应用程序操作检测装置还包括提示页面显示单元，用于基于所述操作参数，显示风险操作提示页面，所述风险操作提示页面包括所述目标检测应用的应用标识信息。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还包括应用管理单元，用于响应于针对所述应用管理控件的应用管理操作，对所述目标检测应用进行管理。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还包括操作管理单元，用于若所述目标检测应用的操作检测结果为存在风险操作，基于针对所述目标检测应用预设的操作权限信息，确定所述文件操作的风险程度；

根据所述风险程度，对所述文件操作进行管理。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还包括安装提示单元，用于基于所述操作参数，生成所述目标检测应用的应用提示信息；

将所述应用提示信息发送到服务器，以使得所述服务器将所述应用提示信息与所述目标检测应用对应存储，以及在接收到针对所述目标检测应用的安装请求时，将所述应用提示信息发送给所述安装请求对应的电子设备进行显示。

相应的，本发明实施例还提供一种电子设备，包括存储器和处理器；所述存储器存储有应用程序，所述处理器用于运行所述存储器内的应用程序，以执行本发明实施例所提供的任一种应用程序操作检测方法中的步骤。

相应的，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有多条指令，所述指令适于处理器进行加载，以执行本发明实施例所提供的任一种应用程序操作检测方法中的步骤。

此外，本发明实施例还提供一种计算机程序产品，包括计算机程序或指令，所述计算机程序或指令被处理器执行时实现本发明实施例所提供的任一种应用程序操作检测方法中的步骤。

采用本发明实施例的方案，可以获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定，向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数，响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息，将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果；由于在本发明实施例中，可以通过在目标检测应用发生文件操作时，通过回调函数获取文件操作对应的操作进程信息，进而确定目标检测应用的操作是否为风险操作，因此，可以在不影响应用程序正常运行以及操作系统设备的性能的情况下，提升对应用程序的操作检测的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的应用程序操作检测方法的场景示意图；

图2是本发明实施例提供的应用程序操作检测方法的流程图；

图3是本发明实施例提供的应用程序操作检测装置的结构示意图；

图4是本发明实施例提供的应用程序操作检测装置的另一结构示意图；

图5是本发明实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种应用程序操作检测方法、装置、电子设备和计算机可读存储介质。具体地，本发明实施例提供适用于应用程序操作检测装置的应用程序操作检测方法，该应用程序操作检测装置可以集成在电子设备中。

该电子设备可以为终端等设备，包括但不限于移动终端和固定终端，例如移动终端包括但不限于智能手机、智能手表、平板电脑、笔记本电脑、智能车载等，其中，固定终端包括但不限于台式电脑、智能电视等。

该电子设备还可以为服务器等设备，该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器，但并不局限于此。

本发明实施例的应用程序操作检测方法，可以由服务器实现，也可以由终端和服务器共同实现。

下面以终端和服务器共同实现该应用程序操作检测方法为例，对该方法进行说明。

如图1所示，本发明实施例提供的应用程序操作检测系统包括终端10和服务器20等；终端10与服务器20之间通过网络连接，比如，通过有线或无线网络连接等，其中，终端10可以作为用户的安装了目标检测应用的终端存在。

其中，终端10可以用于获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定，向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数，响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息。

终端10可以将操作进程信息发送给服务器20，服务器20可以用于将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

可以理解的是，在一些实施例中，服务器20执行的对比操作进程信息和目标应用进程信息的步骤也可以由终端10执行，本发明实施例对此不做限定。

以下分别进行详细说明。需要说明的是，以下实施例的描述顺序不作为对实施例优选顺序的限定。

本发明实施例将从应用程序操作检测装置的角度进行描述，该应用程序操作检测装置具体可以集成在服务器或终端中。

如图2所示，本实施例的应用程序操作检测方法的具体流程可以如下：

201、获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定。

具体的，目标检测应用可以是安装在用户的电子设备中的应用程序。目标检测应用可以是即时通讯应用、游戏应用等等，本发明实施例对于目标检测应用的类型不做限定。

其中，目标应用进程信息可以为目标检测应用的进程的标识信息。例如，目标应用进程信息可以包括但不限于目标检测应用的进程名、目标检测应用的进程的Process ID等等。

在一些可选的实施例中，目标检测应用可以是为电子设备中正在运行的所有应用程序。

在另一些可选的实施例中，用户可以从电子设备中的应用程序中选择若干个应用程序作为目标检测应用。也就是说，步骤“获取目标检测应用的应用进程信息”之前，本发明实施例提供的应用程序操作检测方法还可以包括：

获取当前处于运行状态的至少一个候选应用程序的应用进程信息；

基于各所述应用进程信息，显示应用选择页面，所述应用选择页面中包括至少一个应用选择控件，一个所述应用选择控件与一个所述候选应用程序对应；

响应于针对至少一个应用选择控件的应用选择操作，将所述应用选择控件对应的候选应用程序作为目标检测应用。

例如，用户可以启动应用程序操作检测程序(比如可命名为io_monitor_prog)，io_monitor_prog通过读取系统目录/proc/,获取系统当前运行的所有应用程序对应的应用进程信息(主要包括进程的ProcessID和进程名等)，生成列表显示在给用户界面，即显示应用选择页面。

用户可以通过应用选择页面指定要监控的进程(如process_2)，将选择的进程的候选应用程序作为目标检测应用。

在一些示例中，为了便于用户判断具体要选择哪些进程或者应用程序进行检测，可以将应用进程信息转化为用户更熟悉的形式，例如，将进程名转换为应用程序的名称，等等。也就是说，步骤“基于各所述应用进程信息，显示应用选择页面”，具体可以包括：

基于各所述应用进程信息，确定各所述应用进程信息对应的应用程序提示信息；

根据所述应用程序提示信息生成应用选择页面并显示，所述应用选择页面中包括所述应用程序提示信息。

其中，应用程序提示信息可以是应用程序的桌面图标、汉字名称等等。

202、向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数。

其中，内核静态跟踪点可以是tracepoint，tracepoint是预先在函数的插入点中插桩，当执行到函数的插入点，则执行插桩函数，进而触发与插入点预先绑定的probe函数，probe函数可以是一个或者多个，probe函数可以定义为任意的行为，从而可以起到对函数内部观测的作用。

具体的，文件操作回调函数可以是对文件操作做出响应的回调函数。回调函数是一个通过函数指针调用的函数。如果把函数的指针(地址)作为参数传递给另一个函数，当这个指针被用来调用其所指向的函数时，就说这是回调函数。回调函数不是由该函数的实现方直接调用，而是在特定的事件或条件发生时由另外的一方调用的，用于对该事件或条件进行响应。

例如，io_monitor_prog可以通过LinuxeBPF框架向内核中文件IO的tracepoint注册回调函数。

其中，eBPF即extendedBerkeleyPacketFilter，扩展伯克利包过滤器，LINUX内核事件处理的框架。

203、响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息。

具体的，文件操作可以是对电子设备中的文件的读取、修改、删除、新建等操作。例如，文件操作可以是在电子设备中创建快捷方式的操作。

其中，操作进程信息可以包括但不限于具体的文件操作的类型、对应的进程的Process ID等信息。

例如，当系统发生文件打开、读写操作，内核触发对应的tracepoint的回调函数调用,通知io_monitor_prog文件操作事件的类型、对应进程的ProcessID等信息。

目前市面上有大量的应用软件，当中一些软件包系统安全风险的行为，其中包括了在用户非授权状态下读写涉及用户隐私的文件(如照片、视频文件、文档等)和以及恶意的读取甚至修改系统文件。

目前针对应用软件的安全检测方法包括静态检测和动态检测。静态检测利用相应的逆向(反编译)工具提取应用程序的静态特征如特征汇编代码、签名等特性进行分析,评估软件安全。在动态分析技术中,应用程序被部署在虚拟机上或改造过的设备上进行运行时的模拟和监控。

但是，静态检测方法和动态检测方法对软件安全风险行为的检测都存在一些不足：

静态检测方法不直接运行软件，检测的准确性受限于反编译代码语义分析的准确性和恶意的软件样本多少；动态方法需要有虚拟机环境，虚拟机对系统资源消耗较大，很多虚拟机是运行在PC上而非安卓系统的手机上，通用性较差。

而本发明实施例不修改应用程序文件和电子设备操作系统的代码，没有对监控的应用程序对应的程序文件进行静态分析，也并没有创建虚拟运行环境，应用程序直接运行在电子设备的操作系统上。

204、将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

例如，io_monitor_prog可以比对tracepoint通知的ProcessID和被监控进程的ProcessID，如果相同，说明文件操作就是被检测的应用程序进程触发的。

在一些可选的实施例中，步骤“将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果”，具体可以包括：

将所述操作进程信息与所述目标应用进程信息进行对比，若所述操作进程信息与所述目标应用进程信息相同，记录所述文件操作的操作参数，以及确定所述目标检测应用的操作检测结果为存在风险操作。

其中，文件操作的操作参数可以包括但不限于文件操作的时间戳和文件操作的相关参数。

相应的，本发明实施例提供的应用程序操作检测方法还可以包括：

基于所述操作参数，显示风险操作提示页面，所述风险操作提示页面包括所述目标检测应用的应用标识信息。

例如，风险操作提示页面可以提示目标检测应用正在进行风险操作，或者目标检测应用执行了哪种或者哪些风险操作，等等。

在一些示例中，风险操作提示页面可以包括应用管理控件，本发明实施例提供的应用程序操作检测方法还可以包括：

响应于针对所述应用管理控件的应用管理操作，对所述目标检测应用进行管理。

其中，应用管理控件可以是可供用户触发以对目标检测应用进行管理的控件。

具体的，应用管理操作可以是允许目标检测应用继续运行，或者，可以是中断目标检测应用的运行，等等。例如，如果应用管理操作为中断目标检测应用的运行，则可以结束目标检测应用的进程。

或者，应用管理操作还可以是卸载目标检测应用，或者限制目标检测应用的某些权限，等等。

在实际应用过程中，可以根据目标检测应用的文件操作的风险程度，自动对文件操作进行处理，也就是说，本发明实施例提供的应用程序操作检测方法还可以包括：

若所述目标检测应用的操作检测结果为存在风险操作，基于针对所述目标检测应用预设的操作权限信息，确定所述文件操作的风险程度；

根据所述风险程度，对所述文件操作进行管理。

其中，操作权限信息可以是用户或者技术人员对目标检测应用设置的可以在设备中执行的操作的权限的相关信息。例如，操作权限信息可以是目标检测应用可以执行或者不可以执行的操作的信息，如允许读取设备中的图像文件、不允许获取设备的位置信息等等。

例如，如果目标检测应用预先被设置为允许读取文件但不允许删除文件，则如果目标检测应用的文件操作为读取文件，此时，可以认为文件操作的风险程度较低，对文件操作的管理可以是允许执行该文件操作；如果目标检测应用的文件操作为删除文件，此时，可以认为文件操作的风险程度较高，对文件操作的管理可以是终止文件操作。

在一些可选的实施例中，为了便于其他用户注意到目标检测应用执行的操作所带来的风险，提高设备的安全性，本发明实施例提供的应用程序操作检测方法还可以包括：

基于所述操作参数，生成所述目标检测应用的应用提示信息；

将所述应用提示信息发送到服务器，以使得所述服务器将所述应用提示信息与所述目标检测应用对应存储，以及在接收到针对所述目标检测应用的安装请求时，将所述应用提示信息发送给所述安装请求对应的电子设备进行显示。

例如，如果一电子设备向服务器发送了目标检测应用的安装请求，此时，服务器可以将目标检测应用的应用提示信息发送给电子设备，以使得电子设备的用户选择是否要继续安装该目标检测应用。

具体的，应用提示信息可以包括但不限于目标检测应用可能执行的文件操作、文件操作的风险程度，等等。

由上可知，本发明实施例可以获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定，向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数，响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息，将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果；由于在本发明实施例中，可以通过在目标检测应用发生文件操作时，通过回调函数获取文件操作对应的操作进程信息，进而确定目标检测应用的操作是否为风险操作，因此，可以在不影响应用程序正常运行以及操作系统设备的性能的情况下，提升对应用程序的操作检测的准确性。

为了更好地实施以上方法，相应的，本发明实施例还提供一种应用程序操作检测装置。

参考图3，该装置包括：

目标信息获取单元301，可以用于获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定；

回调函数注册单元302，可以用于向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数；

操作信息获取单元303，可以用于响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息；

检测结果确定单元304，可以用于将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

在一些可选的实施例中，如图4所示，本发明实施例提供的应用程序操作检测装置还可以包括应用选择单元305，可以用于获取当前处于运行状态的至少一个候选应用程序的应用进程信息；

基于各所述应用进程信息，显示应用选择页面，所述应用选择页面中可以包括至少一个应用选择控件，一个所述应用选择控件与一个所述候选应用程序对应；

响应于针对至少一个应用选择控件的应用选择操作，将所述应用选择控件对应的候选应用程序作为目标检测应用。

在一些可选的实施例中，所述应用选择单元305，可以用于基于各所述应用进程信息，确定各所述应用进程信息对应的应用程序提示信息；

根据所述应用程序提示信息生成应用选择页面并显示，所述应用选择页面中可以包括所述应用程序提示信息。

在一些可选的实施例中，所述检测结果确定单元304，可以用于将所述操作进程信息与所述目标应用进程信息进行对比，若所述操作进程信息与所述目标应用进程信息相同，记录所述文件操作的操作参数，以及确定所述目标检测应用的操作检测结果为存在风险操作；

本发明实施例提供的应用程序操作检测装置还可以包括提示页面显示单元306，可以用于基于所述操作参数，显示风险操作提示页面，所述风险操作提示页面可以包括所述目标检测应用的应用标识信息。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还可以包括应用管理单元307，可以用于响应于针对所述应用管理控件的应用管理操作，对所述目标检测应用进行管理。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还可以包括操作管理单元308，可以用于若所述目标检测应用的操作检测结果为存在风险操作，基于针对所述目标检测应用预设的操作权限信息，确定所述文件操作的风险程度；

根据所述风险程度，对所述文件操作进行管理。

在一些可选的实施例中，本发明实施例提供的应用程序操作检测装置还可以包括安装提示单元，可以用于基于所述操作参数，生成所述目标检测应用的应用提示信息；

将所述应用提示信息发送到服务器，以使得所述服务器将所述应用提示信息与所述目标检测应用对应存储，以及在接收到针对所述目标检测应用的安装请求时，将所述应用提示信息发送给所述安装请求对应的电子设备进行显示。

由上可知，通过应用程序操作检测装置，可以获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定，向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数，响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息，将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果；由于在本发明实施例中，可以通过在目标检测应用发生文件操作时，通过回调函数获取文件操作对应的操作进程信息，进而确定目标检测应用的操作是否为风险操作，因此，可以在不影响应用程序正常运行以及操作系统设备的性能的情况下，提升对应用程序的操作检测的准确性。

此外，本发明实施例还提供一种电子设备，该电子设备可以为终端或者服务器等等，如图5所示，其示出了本发明实施例所涉及的电子设备的结构示意图，具体来讲：

该电子设备可以包括射频(RF，Radio Frequency)电路501、包括有一个或一个以上计算机可读存储介质的存储器502、输入单元503、显示单元504、传感器505、音频电路506、无线保真(WiFi，Wireless Fidelity)模块507、包括有一个或者一个以上处理核心的处理器508、以及电源509等部件。本领域技术人员可以理解，图5中示出的电子设备结构并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

其中：

RF电路501可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，交由一个或者一个以上处理器508处理；另外，将涉及上行的数据发送给基站。通常，RF电路501包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM，Subscriber Identity Module)卡、收发信机、耦合器、低噪声放大器(LNA，Low Noise Amplifier)、双工器等。此外，RF电路501还可以通过无线通信与网络和其他设备通信。无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(GSM，Global System of Mobile communication)、通用分组无线服务(GPRS，GeneralPacket Radio Service)、码分多址(CDMA，Code Division Multiple Access)、宽带码分多址(WCDMA，Wideband Code Division Multiple Access)、长期演进(LTE，Long TermEvolution)、电子邮件、短消息服务(SMS，Short Messaging Service)等。

存储器502可用于存储软件程序以及模块，处理器508通过运行存储在存储器502的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器502可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器502可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器502还可以包括存储器控制器，以提供处理器508和输入单元503对存储器502的访问。

输入单元503可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，在一个具体的实施例中，输入单元503可包括触敏表面以及其他输入设备。触敏表面，也称为触摸显示屏或者触控板，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面上或在触敏表面附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触敏表面可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器508，并能接收处理器508发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面。除了触敏表面，输入单元503还可以包括其他输入设备。具体地，其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元504可用于显示由用户输入的信息或提供给用户的信息以及电子设备的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元504可包括显示面板，可选的，可以采用液晶显示器(LCD，Liquid CrystalDisplay)、有机发光二极管(OLED，Organic Light-Emitting Diode)等形式来配置显示面板。进一步的，触敏表面可覆盖显示面板，当触敏表面检测到在其上或附近的触摸操作后，传送给处理器508以确定触摸事件的类型，随后处理器508根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图5中，触敏表面与显示面板是作为两个独立的部件来实现输入和输入功能，但是在某些实施例中，可以将触敏表面与显示面板集成而实现输入和输出功能。

电子设备还可包括至少一种传感器505，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板的亮度，接近传感器可在电子设备移动到耳边时，关闭显示面板和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于电子设备还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路506、扬声器，传声器可提供用户与电子设备之间的音频接口。音频电路506可将接收到的音频数据转换后的电信号，传输到扬声器，由扬声器转换为声音信号输出；另一方面，传声器将收集的声音信号转换为电信号，由音频电路506接收后转换为音频数据，再将音频数据输出处理器508处理后，经RF电路501以发送给比如另一电子设备，或者将音频数据输出至存储器502以便进一步处理。音频电路506还可能包括耳塞插孔，以提供外设耳机与电子设备的通信。

WiFi属于短距离无线传输技术，电子设备通过WiFi模块507可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图5示出了WiFi模块507，但是可以理解的是，其并不属于电子设备的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器508是电子设备的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器502内的软件程序和/或模块，以及调用存储在存储器502内的数据，执行电子设备的各种功能和处理数据。可选的，处理器508可包括一个或多个处理核心；优选的，处理器508可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器508中。

电子设备还包括给各个部件供电的电源509(比如电池)，优选的，电源可以通过电源管理系统与处理器508逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源509还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。

尽管未示出，电子设备还可以包括摄像头、蓝牙模块等，在此不再赘述。具体在本实施例中，电子设备中的处理器508会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器502中，并由处理器508来运行存储在存储器502中的应用程序，从而实现各种功能，如下：

获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定；

向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数；

响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息；

将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。

为此，本发明实施例提供一种计算机可读存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一种应用程序操作检测方法中的步骤。例如，该指令可以执行如下步骤：

获取目标检测应用的目标应用进程信息，所述目标检测应用基于应用选择操作从电子设备中安装的若干个应用程序中确定；

向与文件输入输出相关的内核静态跟踪点注册文件操作回调函数；

响应于文件操作，调用所述文件操作回调函数，得到所述文件操作对应的操作进程信息；

将所述操作进程信息与所述目标应用进程信息进行对比，基于对比结果，确定所述目标检测应用的操作检测结果。

以上各个操作的具体实施可参见前面的实施例，在此不再赘述。

其中，该计算机可读存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

由于该计算机可读存储介质中所存储的指令，可以执行本发明实施例所提供的任一种应用程序操作检测方法中的步骤，因此，可以实现本发明实施例所提供的任一种应用程序操作检测方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

根据本申请的一个方面，还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行上述实施例中的各种可选实现方式中提供的方法。

以上对本发明实施例所提供的一种应用程序操作检测方法、装置、电子设备和存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。