2024年5月7日发(作者:过阳夏)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.4
(22)申请日 2014.05.08
(71)申请人 北京金山安全软件有限公司
地址 100085 北京市海淀区小营西路33号二层东区
(72)发明人 陈章群 沈江波 张楠 赵闵
(74)专利代理机构 北京清亦华知识产权代理事务所(普通合伙)
代理人 张大威
(51)
G06F21/56
权利要求说明书 说明书 幅图
(10)申请公布号 CN 104036188 A
(43)申请公布日 2014.09.10
(54)发明名称
一种Android恶意程序检测方法、
装置及设备
(57)摘要
本发明实施例公开了一种Android
恶意程序检测方法,包括:监控应用程序
对于ACTIVITY的调用;判断所述调用是
否符合预设规则;如果是,则认定所述程
序为恶意程序。本发明还公开了一种
Android恶意程序检测装置,以及一种智能
终端设备。通过实施本发明技术方案,能
够准确检测出用户移动设备操作系统中是
否安装了通过控制用户桌面、阻止用户进
行卸载,达到勒索讹诈用户目的的恶意应
用,提高了系统的安全性。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种Android恶意程序检测方法,其特征在于,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则;
如果是,则认定所述程序为恶意程序。
2.如权利要求1所述的方法,其特征在于,所述预设规则包括:所述应用程序周期
性的
3.如权利要求1所述的方法,其特征在于,所述预设规则由本地或服务器端获得。
4.如权利要求1所述的方法,其特征在于,在所述认定所述程序为恶意程序之前,
所述 方法还包括:上传所述应用程序对应的特征信息至服务器,以
判断所述应用程序是否为恶意程序。
调用所述ACTIVITY。
便于服务器基于所述特征信息
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应用程序为恶
意程
6.如权利要求5所述的方法,其特征在于,所述删除所述应用程序具体为:
提示用户所述应用程序存在风险,引导用户手动删除所述应用程序。
7.如权利要求5所述的方法,其特征在于,所述删除所述应用程序具体为:
直接删除所述应用程序,并在删除该应用程序之后告知用户。
8.如权利要求4所述的方法,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
9.如权利要求5所述的方法,其特征在于,在删除应用程序成功之后,向服务器上
传
所述恶意程序的处理结果。
序时,删除所述应用程序。
10.如权利要求1所述的方法,其特征在于,向服务器上传所述恶意程序所在设备
的设
11.一种Android恶意程序检测装置,其特征在于,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则;以及
认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
12.如权利要求11所述的装置,其特征在于,所述预设规则包括:所述应用程序周
期性
13.如权利要求11所述的装置,其特征在于,所述预设规则由本地或服务器端获得。
14.如权利要求11所述的装置,其特征在于,所述装置还包括:
的调用所述ACTIVITY。
备信息。
第一上传模块,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基
于所
15.如权利要求14所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述服务器发送的恶意程序判断结果;
删除模块,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程
序。
16.如权利要求15所述的装置,其特征在于,所述删除模块包括:
提示模块,用于提示用户所述应用程序存在风险;
引导模块,引导用户手动删除所述应用程序。
17.如权利要求15所述的装置,其特征在于,所述删除模块包括:
第一删除模块,用于直接删除所述应用程序;
告知模块,用于在删除该应用程序之后告知用户。
述特征信息判断所述应用程序是否为恶意程序。
18.如权利要求14所述的装置,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
19.如权利要求15所述的装置,其特征在于,还包括:
第二上传模块,用于在删除应用程序成功之后,向服务器上传所述恶意程序的处理
结果。
20.如权利要求11所述的装置,其特征在于,还包括:
第三上传模块,用于向服务器上传所述恶意程序所在设备的设备信息。
21.一种智能终端设备,包含权利要求11-20所述的装置。
说 明 书
技术领域
本发明涉及移动互联网信息安全技术领域,尤其涉及一种恶意程序检测方法、装置
及设
背景技术
随着Android系统的发展,Android系统中的应用程序也越来越多,通常情况下,
在基于 Android系统的移动终端设备中,所有安装的应用程序都可以
括应用程序的停止、卸载等。
备。
在系统设置中进行管理,其中包
由于Android系统应用程序的来源比较广泛,用户通常对安装的应用程序是否为恶
意程 序没有辨别能力,而恶意应用程序一旦安装之后,将会对用户带来诸
例子便是如Cryptolocker之类的恶意应用程序,
要求用户支付罚款以解除锁
如果用
多的不便。一个典型的
该类恶意应用会控制用户设备桌面,并不断
定,用户必须完成付款之后才能解除锁定使设备恢复正常使用,
户试图进行其他点击或者操作来卸载该恶意应用,则该恶意应用会自动取消用户行
为 并再度要求用户付费。因此,一旦用户设备操作系统感染此类恶意应
除该恶意应用,用户设备将会变成完全不可用状
而重置行为将完全摧毁用户
用病毒,用户将无法移
态,唯一的解决办法只能送回原厂进行重置。
存储的资料,给用户带来不可弥补的损失。
发明内容
本发明实施例提供一种Android恶意应用检测方法,能够准确检测出用户移动设备
操作 系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载,达到
意应用。 勒索讹诈用户目的的恶
本发明实施例提供一种Android恶意程序检测方法,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则;
如果是,则认定所述程序为恶意程序。
相应的,本发明实施例还提供一种Android恶意程序装置,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则;以及
认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
实施本发明实施例,具有如下有益效果:
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用
程序对 ACTIVITY的调用符合预设的规则时,即可判定该应用程序为
卸载的恶意程序。通过本发明实施例,可
一步对该类恶意程序
占据用户桌面、阻止用户进行
准确检测出此类Android恶意应用程序,以便于进
进行处理,保护用户设备安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有
技术 描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的
些实施例,对于本领域普通技术人员来讲,在不
附图获得其他的附图。
附图仅仅是本发明的一
付出创造性劳动的前提下,还可以根据这些
图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图;
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图;
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图;
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图5是本发明实施例提供的删除模块205的结构示意图;
图6是本发明实施例提供的删除模块205的另一结构示意图;
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整
地描 述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部
的实施例。基于本发明 中的实施例,本领域普通技术人员在没有做出创
都属于本发明保护的范围。造性劳动前提下所获得的所有其他实施例,
Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service服
务,
Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,在一个
android 应用中,一个Activity通常就是一个单独的屏幕,它上面可以
处理用户的事件做出响应。
ContentProvider内容提供者,BroadcastReceiver广播接收器)之一。
显示一些控件,也可以监听并
在android中,Activity拥有四种基本状态:
一个新Activity启动入栈后,它显示在屏幕最前端,处理是处于栈的最顶端
(Activity 栈顶),此时它处于可见并可和用户交互的激活状态,叫做活动
running)。 状态或者运行状态(activeOR
当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放
置在 栈顶,此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器
然保持活力(保持所有的状态,成员信息,和窗
下的时候将被强行终止掉。
保持连接,Activity依
口管理器保持连接),但是在系统内存极端低
所以它仍然可见,但已经失去了焦点故不可与用户进行交互。
如果一个Activity被另外的Activity完全覆盖掉,叫做停止状态(Stopped)。它依然
保持 所有状态和成员信息,但是它不再可见,所以它的窗口被隐藏,当系
地方的时候,Stopped的Activity将被强行终止统内存需要被用在其他
掉。
如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删
除, Android系统采用两种方式进行删除,要么要求该Activity结束,要
该Activity再次显示给用户时,它必须重新开始
么直接终止它的进程。当
和重置前面的状态。
Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状
态 决定它在栈中的位置。处于前台的Activity总是在栈的顶端,当前台
其它原因被销毁时,处于栈第二层的Activity将
入栈时,原Activity会被压
同状态
的Activity因为异常或
被激活,上浮到栈顶。当新的Activity启动
入到栈的第二层。一个Activity在栈中的位置变化反映了它在不
间的转换。
Cryptolocker以及类似恶意应用即利用了Activity的这种特性,通过不停调用新的
Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Activity
其他应用的Activity,这样该类应用就占据了用户桌面,
备将会变成完全不可用状态。
覆盖用户点击的
用户将无法移除该恶意应用,用户设
针对上述类似恶意应用,本发明提出了一种Android恶意应用检测方法,请参见图
1,图 1是本发明实施例提供的一种Android恶意应用检测方法的流程示意
该方法包括: 图,在本发明实施例中,
S100、监控应用程序对于ACTIVITY的调用;
此类恶意应用程序主要是利用了ACTIVITY栈的特性,本发明主要通过监控
ACTIVITY
S101、判断所述调用是否符合预设规则;
的调用行为,判定其是否恶意占据用户桌面。
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S102、如果是,则认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使
用其 他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应
用程序为恶意程序。
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图。在
本发
S200、监控应用程序对于ACTIVITY的调用;
S201、判断所述调用是否符合预设规则;
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S202、上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征
信息判
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器
进行
判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
断所述应用程序是否为恶意程序;
明实施例中,该方法包括:
S203、接收所述服务器发送的恶意程序判断结果,根据判定结果执行预设操作。
进一步的,接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应
用程
可选的,所述删除所述应用程序具体为:提示用户所述应用程序存在风险,引导用
户手
可选的,所述删除所述应用程序具体为:直接删除所述应用程序,并在删除该应用
程序
可选的,在本发明其他实施例中,所述方法还可以包括,在删除应用程序成功之后,
向
向服务器上传所述恶意程序所在设备的设备信息。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程
序的 特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用
服务器上传所述恶意程序的处理结果。以及
之后告知用户。
动删除所述应用程序。
序为恶意程序时,删除所述应用程序。
程序是否为恶意程序。
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图,在本发
明实
监控模块100,用于监控应用程序对于ACTIVITY的调用;
判断模块101,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
施例中,该装置包括:
进一步的,所述预设规则由本地或服务器端获得。
认定模块102,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使
用其 他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应
用程序为恶意程序。
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块200,用于监控应用程序对于ACTIVITY的调用;
判断模块201,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块203,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器
进行
进一步的,所述装置还可以包括:
判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
于所述特征信息判断所述应用程序是否为恶意程序。
明实施例中,该装置包括:
接收模块204,用于接收所述服务器发送的恶意程序判断结果;
删除模块205,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程
序的 特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用
然后进一步删除该恶意应用。
序。
程序是否为恶意程序,
图5为本发明实施例提供的删除模块205的结构示意图,在本发明实施例中,所述
删除
提示模块301,用于提示用户所述应用程序存在风险;
引导模块302,引导用户手动删除所述应用程序。
图6为本发明实施例提供的删除模块205的另一结构示意图,在本发明实施例中,
所述
第一删除模块401,用于直接删除所述应用程序;
告知模块402,用于在删除该应用程序之后告知用户。
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块500,用于监控应用程序对于ACTIVITY的调用;
明实施例中,该装置包括:
删除模块205具体包括:
模块205具体包括:
判断模块501,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块502,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块503,用于接收所述服务器发送的恶意程序判断结果;
删除模块504,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
第二上传模块505,用于在删除应用程序成功之后,向服务器上传所述恶意程序的
处理
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块600,用于监控应用程序对于ACTIVITY的调用;
判断模块601,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
明实施例中,该装置包括:
结果。
序。
于所述特征信息判断所述应用程序是否为恶意程序。
第一上传模块602,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块603,用于接收所述服务器发送的恶意程序判断结果;
删除模块604,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
第二上传模块605,用于在删除应用程序成功之后,向服务器上传所述恶意程序的
处理
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用
程序对 ACTIVITY的调用符合预设的规则时,即可判定该应用程序为
卸载的恶意程序。通过本发明实施例,可
一步对该类恶意程序
结果。
序。
于所述特征信息判断所述应用程序是否为恶意程序。
占据用户桌面、阻止用户进行
准确检测出此类Android恶意应用程序,以便于进
进行处理,保护用户设备安全。
需要说明的是,本说明书中的各个实施例着重描述与其他实施例不同之处,各个实
施例 之间相同相似的部分互相参见即可。尤其对于装置实施例而言,由于
例,所以描述得比较简单,相关之处参见方法实
其基本相似于方法实施
施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通
过计 算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可
序在执行时,可包括如上述各方法的实施例的流读取存储介质中,该程
程。其中,所述的存储介质可为磁碟、光盘、 只读存储记忆体(Read-
RAM)OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,
等。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利
范围, 本领域普通技术人员可以理解实现上述实施例的全部或部分流
的等同变化,仍属于发明所涵盖的范围。程,并依本发明权利要求所作
2024年5月7日发(作者:过阳夏)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.4
(22)申请日 2014.05.08
(71)申请人 北京金山安全软件有限公司
地址 100085 北京市海淀区小营西路33号二层东区
(72)发明人 陈章群 沈江波 张楠 赵闵
(74)专利代理机构 北京清亦华知识产权代理事务所(普通合伙)
代理人 张大威
(51)
G06F21/56
权利要求说明书 说明书 幅图
(10)申请公布号 CN 104036188 A
(43)申请公布日 2014.09.10
(54)发明名称
一种Android恶意程序检测方法、
装置及设备
(57)摘要
本发明实施例公开了一种Android
恶意程序检测方法,包括:监控应用程序
对于ACTIVITY的调用;判断所述调用是
否符合预设规则;如果是,则认定所述程
序为恶意程序。本发明还公开了一种
Android恶意程序检测装置,以及一种智能
终端设备。通过实施本发明技术方案,能
够准确检测出用户移动设备操作系统中是
否安装了通过控制用户桌面、阻止用户进
行卸载,达到勒索讹诈用户目的的恶意应
用,提高了系统的安全性。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种Android恶意程序检测方法,其特征在于,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则;
如果是,则认定所述程序为恶意程序。
2.如权利要求1所述的方法,其特征在于,所述预设规则包括:所述应用程序周期
性的
3.如权利要求1所述的方法,其特征在于,所述预设规则由本地或服务器端获得。
4.如权利要求1所述的方法,其特征在于,在所述认定所述程序为恶意程序之前,
所述 方法还包括:上传所述应用程序对应的特征信息至服务器,以
判断所述应用程序是否为恶意程序。
调用所述ACTIVITY。
便于服务器基于所述特征信息
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应用程序为恶
意程
6.如权利要求5所述的方法,其特征在于,所述删除所述应用程序具体为:
提示用户所述应用程序存在风险,引导用户手动删除所述应用程序。
7.如权利要求5所述的方法,其特征在于,所述删除所述应用程序具体为:
直接删除所述应用程序,并在删除该应用程序之后告知用户。
8.如权利要求4所述的方法,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
9.如权利要求5所述的方法,其特征在于,在删除应用程序成功之后,向服务器上
传
所述恶意程序的处理结果。
序时,删除所述应用程序。
10.如权利要求1所述的方法,其特征在于,向服务器上传所述恶意程序所在设备
的设
11.一种Android恶意程序检测装置,其特征在于,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则;以及
认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
12.如权利要求11所述的装置,其特征在于,所述预设规则包括:所述应用程序周
期性
13.如权利要求11所述的装置,其特征在于,所述预设规则由本地或服务器端获得。
14.如权利要求11所述的装置,其特征在于,所述装置还包括:
的调用所述ACTIVITY。
备信息。
第一上传模块,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基
于所
15.如权利要求14所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述服务器发送的恶意程序判断结果;
删除模块,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程
序。
16.如权利要求15所述的装置,其特征在于,所述删除模块包括:
提示模块,用于提示用户所述应用程序存在风险;
引导模块,引导用户手动删除所述应用程序。
17.如权利要求15所述的装置,其特征在于,所述删除模块包括:
第一删除模块,用于直接删除所述应用程序;
告知模块,用于在删除该应用程序之后告知用户。
述特征信息判断所述应用程序是否为恶意程序。
18.如权利要求14所述的装置,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
19.如权利要求15所述的装置,其特征在于,还包括:
第二上传模块,用于在删除应用程序成功之后,向服务器上传所述恶意程序的处理
结果。
20.如权利要求11所述的装置,其特征在于,还包括:
第三上传模块,用于向服务器上传所述恶意程序所在设备的设备信息。
21.一种智能终端设备,包含权利要求11-20所述的装置。
说 明 书
技术领域
本发明涉及移动互联网信息安全技术领域,尤其涉及一种恶意程序检测方法、装置
及设
背景技术
随着Android系统的发展,Android系统中的应用程序也越来越多,通常情况下,
在基于 Android系统的移动终端设备中,所有安装的应用程序都可以
括应用程序的停止、卸载等。
备。
在系统设置中进行管理,其中包
由于Android系统应用程序的来源比较广泛,用户通常对安装的应用程序是否为恶
意程 序没有辨别能力,而恶意应用程序一旦安装之后,将会对用户带来诸
例子便是如Cryptolocker之类的恶意应用程序,
要求用户支付罚款以解除锁
如果用
多的不便。一个典型的
该类恶意应用会控制用户设备桌面,并不断
定,用户必须完成付款之后才能解除锁定使设备恢复正常使用,
户试图进行其他点击或者操作来卸载该恶意应用,则该恶意应用会自动取消用户行
为 并再度要求用户付费。因此,一旦用户设备操作系统感染此类恶意应
除该恶意应用,用户设备将会变成完全不可用状
而重置行为将完全摧毁用户
用病毒,用户将无法移
态,唯一的解决办法只能送回原厂进行重置。
存储的资料,给用户带来不可弥补的损失。
发明内容
本发明实施例提供一种Android恶意应用检测方法,能够准确检测出用户移动设备
操作 系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载,达到
意应用。 勒索讹诈用户目的的恶
本发明实施例提供一种Android恶意程序检测方法,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则;
如果是,则认定所述程序为恶意程序。
相应的,本发明实施例还提供一种Android恶意程序装置,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则;以及
认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
实施本发明实施例,具有如下有益效果:
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用
程序对 ACTIVITY的调用符合预设的规则时,即可判定该应用程序为
卸载的恶意程序。通过本发明实施例,可
一步对该类恶意程序
占据用户桌面、阻止用户进行
准确检测出此类Android恶意应用程序,以便于进
进行处理,保护用户设备安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有
技术 描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的
些实施例,对于本领域普通技术人员来讲,在不
附图获得其他的附图。
附图仅仅是本发明的一
付出创造性劳动的前提下,还可以根据这些
图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图;
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图;
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图;
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图5是本发明实施例提供的删除模块205的结构示意图;
图6是本发明实施例提供的删除模块205的另一结构示意图;
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整
地描 述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部
的实施例。基于本发明 中的实施例,本领域普通技术人员在没有做出创
都属于本发明保护的范围。造性劳动前提下所获得的所有其他实施例,
Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service服
务,
Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,在一个
android 应用中,一个Activity通常就是一个单独的屏幕,它上面可以
处理用户的事件做出响应。
ContentProvider内容提供者,BroadcastReceiver广播接收器)之一。
显示一些控件,也可以监听并
在android中,Activity拥有四种基本状态:
一个新Activity启动入栈后,它显示在屏幕最前端,处理是处于栈的最顶端
(Activity 栈顶),此时它处于可见并可和用户交互的激活状态,叫做活动
running)。 状态或者运行状态(activeOR
当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放
置在 栈顶,此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器
然保持活力(保持所有的状态,成员信息,和窗
下的时候将被强行终止掉。
保持连接,Activity依
口管理器保持连接),但是在系统内存极端低
所以它仍然可见,但已经失去了焦点故不可与用户进行交互。
如果一个Activity被另外的Activity完全覆盖掉,叫做停止状态(Stopped)。它依然
保持 所有状态和成员信息,但是它不再可见,所以它的窗口被隐藏,当系
地方的时候,Stopped的Activity将被强行终止统内存需要被用在其他
掉。
如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删
除, Android系统采用两种方式进行删除,要么要求该Activity结束,要
该Activity再次显示给用户时,它必须重新开始
么直接终止它的进程。当
和重置前面的状态。
Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状
态 决定它在栈中的位置。处于前台的Activity总是在栈的顶端,当前台
其它原因被销毁时,处于栈第二层的Activity将
入栈时,原Activity会被压
同状态
的Activity因为异常或
被激活,上浮到栈顶。当新的Activity启动
入到栈的第二层。一个Activity在栈中的位置变化反映了它在不
间的转换。
Cryptolocker以及类似恶意应用即利用了Activity的这种特性,通过不停调用新的
Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Activity
其他应用的Activity,这样该类应用就占据了用户桌面,
备将会变成完全不可用状态。
覆盖用户点击的
用户将无法移除该恶意应用,用户设
针对上述类似恶意应用,本发明提出了一种Android恶意应用检测方法,请参见图
1,图 1是本发明实施例提供的一种Android恶意应用检测方法的流程示意
该方法包括: 图,在本发明实施例中,
S100、监控应用程序对于ACTIVITY的调用;
此类恶意应用程序主要是利用了ACTIVITY栈的特性,本发明主要通过监控
ACTIVITY
S101、判断所述调用是否符合预设规则;
的调用行为,判定其是否恶意占据用户桌面。
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S102、如果是,则认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使
用其 他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应
用程序为恶意程序。
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图。在
本发
S200、监控应用程序对于ACTIVITY的调用;
S201、判断所述调用是否符合预设规则;
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S202、上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征
信息判
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器
进行
判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
断所述应用程序是否为恶意程序;
明实施例中,该方法包括:
S203、接收所述服务器发送的恶意程序判断结果,根据判定结果执行预设操作。
进一步的,接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应
用程
可选的,所述删除所述应用程序具体为:提示用户所述应用程序存在风险,引导用
户手
可选的,所述删除所述应用程序具体为:直接删除所述应用程序,并在删除该应用
程序
可选的,在本发明其他实施例中,所述方法还可以包括,在删除应用程序成功之后,
向
向服务器上传所述恶意程序所在设备的设备信息。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程
序的 特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用
服务器上传所述恶意程序的处理结果。以及
之后告知用户。
动删除所述应用程序。
序为恶意程序时,删除所述应用程序。
程序是否为恶意程序。
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图,在本发
明实
监控模块100,用于监控应用程序对于ACTIVITY的调用;
判断模块101,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
施例中,该装置包括:
进一步的,所述预设规则由本地或服务器端获得。
认定模块102,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使
用其 他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应
用程序为恶意程序。
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块200,用于监控应用程序对于ACTIVITY的调用;
判断模块201,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块203,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器
进行
进一步的,所述装置还可以包括:
判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
于所述特征信息判断所述应用程序是否为恶意程序。
明实施例中,该装置包括:
接收模块204,用于接收所述服务器发送的恶意程序判断结果;
删除模块205,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程
序的 特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用
然后进一步删除该恶意应用。
序。
程序是否为恶意程序,
图5为本发明实施例提供的删除模块205的结构示意图,在本发明实施例中,所述
删除
提示模块301,用于提示用户所述应用程序存在风险;
引导模块302,引导用户手动删除所述应用程序。
图6为本发明实施例提供的删除模块205的另一结构示意图,在本发明实施例中,
所述
第一删除模块401,用于直接删除所述应用程序;
告知模块402,用于在删除该应用程序之后告知用户。
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块500,用于监控应用程序对于ACTIVITY的调用;
明实施例中,该装置包括:
删除模块205具体包括:
模块205具体包括:
判断模块501,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块502,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块503,用于接收所述服务器发送的恶意程序判断结果;
删除模块504,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
第二上传模块505,用于在删除应用程序成功之后,向服务器上传所述恶意程序的
处理
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在
本发
监控模块600,用于监控应用程序对于ACTIVITY的调用;
判断模块601,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
明实施例中,该装置包括:
结果。
序。
于所述特征信息判断所述应用程序是否为恶意程序。
第一上传模块602,用于上传所述应用程序对应的特征信息至服务器,以便于服务
器基
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块603,用于接收所述服务器发送的恶意程序判断结果;
删除模块604,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应
用程
第二上传模块605,用于在删除应用程序成功之后,向服务器上传所述恶意程序的
处理
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用
程序对 ACTIVITY的调用符合预设的规则时,即可判定该应用程序为
卸载的恶意程序。通过本发明实施例,可
一步对该类恶意程序
结果。
序。
于所述特征信息判断所述应用程序是否为恶意程序。
占据用户桌面、阻止用户进行
准确检测出此类Android恶意应用程序,以便于进
进行处理,保护用户设备安全。
需要说明的是,本说明书中的各个实施例着重描述与其他实施例不同之处,各个实
施例 之间相同相似的部分互相参见即可。尤其对于装置实施例而言,由于
例,所以描述得比较简单,相关之处参见方法实
其基本相似于方法实施
施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通
过计 算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可
序在执行时,可包括如上述各方法的实施例的流读取存储介质中,该程
程。其中,所述的存储介质可为磁碟、光盘、 只读存储记忆体(Read-
RAM)OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,
等。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利
范围, 本领域普通技术人员可以理解实现上述实施例的全部或部分流
的等同变化,仍属于发明所涵盖的范围。程,并依本发明权利要求所作