本发明专利技术实施例公开了一种Android恶意程序检测方法,包括:监控应用程序对于ACTIVITY的调用;判断所述调用是否符合预设规则;如果是,则认定所述程序为恶意程序。本发明专利技术还公开了一种Android恶意程序检测装置,以及一种智能终端设备。通过实施本发明专利技术技术方案,能够准确检测出用户移动设备操作系统中是否安装了通过控制用户桌面、阻止用户进行卸载,达到勒索讹诈用户目的的恶意应用,提高了系统的安全性。
【技术实现步骤摘要】
一种Android恶意程序检测方法、装置及设备
本专利技术涉及移动互联网信息安全
,尤其涉及一种恶意程序检测方法、装置及设备。
技术介绍
随着Android系统的发展,Android系统中的应用程序也越来越多,通常情况下,在基于Android系统的移动终端设备中,所有安装的应用程序都可以在系统设置中进行管理,其中包括应用程序的停止、卸载等。由于Android系统应用程序的来源比较广泛,用户通常对安装的应用程序是否为恶意程序没有辨别能力,而恶意应用程序一旦安装之后,将会对用户带来诸多的不便。一个典型的例子便是如Cryptolocker之类的恶意应用程序,该类恶意应用会控制用户设备桌面,并不断要求用户支付罚款以解除锁定,用户必须完成付款之后才能解除锁定使设备恢复正常使用,如果用户试图进行其他点击或者操作来卸载该恶意应用,则该恶意应用会自动取消用户行为并再度要求用户付费。因此,一旦用户设备操作系统感染此类恶意应用病毒,用户将无法移除该恶意应用,用户设备将会变成完全不可用状态,唯一的解决办法只能送回原厂进行重置。而重置行为将完全摧毁用户存储的资料,给用户带来不可弥补的损失。
技术实现思路
本专利技术实施例提供一种Android恶意应用检测方法,能够准确检测出用户移动设备操作系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载,达到勒索讹诈用户目的的恶意应用。本专利技术实施例提供一种Android恶意程序检测方法,包括:监控应用程序对于ACTIVITY的调用;判断所述调用是否符合预设规则;如果是,则认定所述程序为恶意程序。相应的,本专利技术实施例还提供一种Android恶意程序装置,包括:监控模块,用于监控应用程序对于ACTIVITY的调用;判断模块,用于判断所述调用是否符合预设规则;以及认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。实施本专利技术实施例,具有如下有益效果:通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用程序对ACTIVITY的调用符合预设的规则时,即可判定该应用程序为占据用户桌面、阻止用户进行卸载的恶意程序。通过本专利技术实施例,可准确检测出此类Android恶意应用程序,以便于进一步对该类恶意程序进行处理,保护用户设备安全。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种Android恶意应用检测方法的流程示意图;图2是本专利技术实施例提供的一种Android恶意应用检测方法的另一流程示意图;图3是本专利技术实施例提供的一种Android恶意程序检测装置的结构示意图;图4是本专利技术实施例提供的一种Android恶意程序检测装置的另一结构示意图;图5是本专利技术实施例提供的删除模块205的结构示意图;图6是本专利技术实施例提供的删除模块205的另一结构示意图;图7是本专利技术实施例提供的一种Android恶意程序检测装置的另一结构示意图;图8是本专利技术实施例提供的一种Android恶意程序检测装置的另一结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service服务,ContentProvider内容提供者,BroadcastReceiver广播接收器)之一。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,在一个android应用中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件,也可以监听并处理用户的事件做出响应。在android中,Activity拥有四种基本状态:一个新Activity启动入栈后,它显示在屏幕最前端,处理是处于栈的最顶端(Activity栈顶),此时它处于可见并可和用户交互的激活状态,叫做活动状态或者运行状态(activeORrunning)。当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放置在栈顶,此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器保持连接,Activity依然保持活力(保持所有的状态,成员信息,和窗口管理器保持连接),但是在系统内存极端低下的时候将被强行终止掉。所以它仍然可见,但已经失去了焦点故不可与用户进行交互。如果一个Activity被另外的Activity完全覆盖掉,叫做停止状态(Stopped)。它依然保持所有状态和成员信息,但是它不再可见,所以它的窗口被隐藏,当系统内存需要被用在其他地方的时候,Stopped的Activity将被强行终止掉。如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删除,Android系统采用两种方式进行删除,要么要求该Activity结束,要么直接终止它的进程。当该Activity再次显示给用户时,它必须重新开始和重置前面的状态。Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端,当前台的Activity因为异常或其它原因被销毁时,处于栈第二层的Activity将被激活,上浮到栈顶。当新的Activity启动入栈时,原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。Cryptolocker以及类似恶意应用即利用了Activity的这种特性,通过不停调用新的Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Activity覆盖用户点击的其他应用的Activity,这样该类应用就占据了用户桌面,用户将无法移除该恶意应用,用户设备将会变成完全不可用状态。针对上述类似恶意应用,本专利技术提出了一种Android恶意应用检测方法,请参见图1,图1是本专利技术实施例提供的一种Android恶意应用检测方法的流程示意图,在本专利技术实施例中,该方法包括:S100、监控应用程序对于ACTIVITY的调用;此类恶意应用程序主要是利用了ACTIVITY栈的特性,本专利技术主要通过监控ACTIVITY的调用行为,判定其是否恶意占据用户桌面。S101、判断所述调用是否符合预设规则;进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;进一步的,所述预设规则由本地或服务器端获得。S102、如果是,则认定所述程序为恶意程序。通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使用其他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应用程序为恶意程序。图2是本专利技术实施例提供的一种Android恶意应用本文档来自技高网...
【技术保护点】
一种Android恶意程序检测方法,其特征在于,包括:监控应用程序对于ACTIVITY的调用;判断所述调用是否符合预设规则;如果是,则认定所述程序为恶意程序。
【技术特征摘要】
1.一种Android恶意程序检测方法,其特征在于,包括:监控应用程序对于ACTIVITY的调用;判断所述调用是否符合预设规则,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY;如果所述应用程序周期性的调用所述ACTIVITY,则认定所述应用程序为恶意程序。2.如权利要求1所述的方法,其特征在于,所述预设规则由本地或服务器端获得。3.如权利要求1所述的方法,其特征在于,在所述认定所述应用程序为恶意程序之前,所述方法还包括:上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。4.如权利要求3所述的方法,其特征在于,所述方法还包括:接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。5.如权利要求4所述的方法,其特征在于,所述删除所述应用程序具体为:提示用户所述应用程序存在风险,引导用户手动删除所述应用程序。6.如权利要求4所述的方法,其特征在于,所述删除所述应用程序具体为:直接删除所述应用程序,并在删除该应用程序之后告知用户。7.如权利要求3所述的方法,其特征在于,所述特征信息包括所述应用程序的包名和/或MD5值。8.如权利要求4所述的方法,其特征在于,在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。9.如权利要求1所述的方法,其特征在于,向服务器上传所述恶意程序所在设备的设备信息。10.一种Android恶意程序检测装置,其特征在于,包括:监控模块,用于监控应用程序对于ACTIVITY的调用;判断...
【专利技术属性】
技术研发人员:陈章群,沈江波,张楠,赵闵,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。