CN104036188B - 一种Android恶意程序检测方法、装置及设备 - Google Patents
一种Android恶意程序检测方法、装置及设备 Download PDFInfo
- Publication number
- CN104036188B CN104036188B CN201410193738.4A CN201410193738A CN104036188B CN 104036188 B CN104036188 B CN 104036188B CN 201410193738 A CN201410193738 A CN 201410193738A CN 104036188 B CN104036188 B CN 104036188B
- Authority
- CN
- China
- Prior art keywords
- application program
- program
- rogue
- module
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种Android恶意程序检测方法,包括:监控应用程序对于ACTIVITY的调用;判断所述调用是否符合预设规则;如果是,则认定所述程序为恶意程序。本发明还公开了一种Android恶意程序检测装置,以及一种智能终端设备。通过实施本发明技术方案,能够准确检测出用户移动设备操作系统中是否安装了通过控制用户桌面、阻止用户进行卸载,达到勒索讹诈用户目的的恶意应用,提高了系统的安全性。
Description
技术领域
本发明涉及移动互联网信息安全技术领域,尤其涉及一种恶意程序检测方法、装置及设备。
背景技术
随着Android系统的发展,Android系统中的应用程序也越来越多,通常情况下,在基于Android系统的移动终端设备中,所有安装的应用程序都可以在系统设置中进行管理,其中包括应用程序的停止、卸载等。
由于Android系统应用程序的来源比较广泛,用户通常对安装的应用程序是否为恶意程序没有辨别能力,而恶意应用程序一旦安装之后,将会对用户带来诸多的不便。一个典型的例子便是如Cryptolocker之类的恶意应用程序,该类恶意应用会控制用户设备桌面,并不断要求用户支付罚款以解除锁定,用户必须完成付款之后才能解除锁定使设备恢复正常使用,如果用户试图进行其他点击或者操作来卸载该恶意应用,则该恶意应用会自动取消用户行为并再度要求用户付费。因此,一旦用户设备操作系统感染此类恶意应用病毒,用户将无法移除该恶意应用,用户设备将会变成完全不可用状态,唯一的解决办法只能送回原厂进行重置。而重置行为将完全摧毁用户存储的资料,给用户带来不可弥补的损失。
发明内容
本发明实施例提供一种Android恶意应用检测方法,能够准确检测出用户移动设备操作系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载,达到勒索讹诈用户目的的恶意应用。
本发明实施例提供一种Android恶意程序检测方法,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则;
如果是,则认定所述程序为恶意程序。
相应的,本发明实施例还提供一种Android恶意程序装置,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则;以及
认定模块,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
实施本发明实施例,具有如下有益效果:
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用程序对ACTIVITY的调用符合预设的规则时,即可判定该应用程序为占据用户桌面、阻止用户进行卸载的恶意程序。通过本发明实施例,可准确检测出此类Android恶意应用程序,以便于进一步对该类恶意程序进行处理,保护用户设备安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图;
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图;
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图;
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图5是本发明实施例提供的删除模块205的结构示意图;
图6是本发明实施例提供的删除模块205的另一结构示意图;
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图;
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service服务,ContentProvider内容提供者,BroadcastReceiver广播接收器)之一。
Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,在一个android应用中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件,也可以监听并处理用户的事件做出响应。
在android中,Activity拥有四种基本状态:
一个新Activity启动入栈后,它显示在屏幕最前端,处理是处于栈的最顶端(Activity栈顶),此时它处于可见并可和用户交互的激活状态,叫做活动状态或者运行状态(activeORrunning)。
当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放置在栈顶,此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器保持连接,Activity依然保持活力(保持所有的状态,成员信息,和窗口管理器保持连接),但是在系统内存极端低下的时候将被强行终止掉。所以它仍然可见,但已经失去了焦点故不可与用户进行交互。
如果一个Activity被另外的Activity完全覆盖掉,叫做停止状态(Stopped)。它依然保持所有状态和成员信息,但是它不再可见,所以它的窗口被隐藏,当系统内存需要被用在其他地方的时候,Stopped的Activity将被强行终止掉。
如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删除,Android系统采用两种方式进行删除,要么要求该Activity结束,要么直接终止它的进程。当该Activity再次显示给用户时,它必须重新开始和重置前面的状态。
Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端,当前台的Activity因为异常或其它原因被销毁时,处于栈第二层的Activity将被激活,上浮到栈顶。当新的Activity启动入栈时,原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。
Cryptolocker以及类似恶意应用即利用了Activity的这种特性,通过不停调用新的Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Activity覆盖用户点击的其他应用的Activity,这样该类应用就占据了用户桌面,用户将无法移除该恶意应用,用户设备将会变成完全不可用状态。
针对上述类似恶意应用,本发明提出了一种Android恶意应用检测方法,请参见图1,图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图,在本发明实施例中,该方法包括:
S100、监控应用程序对于ACTIVITY的调用;
此类恶意应用程序主要是利用了ACTIVITY栈的特性,本发明主要通过监控ACTIVITY的调用行为,判定其是否恶意占据用户桌面。
S101、判断所述调用是否符合预设规则;
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S102、如果是,则认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使用其他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应用程序为恶意程序。
图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图。在本发明实施例中,该方法包括:
S200、监控应用程序对于ACTIVITY的调用;
S201、判断所述调用是否符合预设规则;
进一步的,所述预设规包括:所述应用程序周期性的调用所述ACTIVITY;
进一步的,所述预设规则由本地或服务器端获得。
S202、上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序;
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器进行判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
S203、接收所述服务器发送的恶意程序判断结果,根据判定结果执行预设操作。
进一步的,接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
可选的,所述删除所述应用程序具体为:提示用户所述应用程序存在风险,引导用户手动删除所述应用程序。
可选的,所述删除所述应用程序具体为:直接删除所述应用程序,并在删除该应用程序之后告知用户。
可选的,在本发明其他实施例中,所述方法还可以包括,在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。以及
向服务器上传所述恶意程序所在设备的设备信息。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程序的特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用程序是否为恶意程序。
图3是本发明实施例提供的一种Android恶意程序检测装置的结构示意图,在本发明实施例中,该装置包括:
监控模块100,用于监控应用程序对于ACTIVITY的调用;
判断模块101,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
认定模块102,用于当所述调用是符合预设规则时,认定所述程序为恶意程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,使得用户无法正常使用其他应用,并且无法通过正常方式卸载该应用,则可以初步判定所述应用程序为恶意程序。
图4是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在本发明实施例中,该装置包括:
监控模块200,用于监控应用程序对于ACTIVITY的调用;
判断模块201,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块203,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。
为了进一步确认该应用程序的恶意性,可将所述应用程序的特征信息上传至服务器进行判定,具体的所述特征信息包括所述应用程序的包名和/或MD5值。
进一步的,所述装置还可以包括:
接收模块204,用于接收所述服务器发送的恶意程序判断结果;
删除模块205,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
通过监控所述应用程序确实是周期性频繁的调用ACTIVITY,以及上传所述应用程序的特征信息到服务器进行判断,结合判定结果则可以准确判定所述应用程序是否为恶意程序,然后进一步删除该恶意应用。
图5为本发明实施例提供的删除模块205的结构示意图,在本发明实施例中,所述删除模块205具体包括:
提示模块301,用于提示用户所述应用程序存在风险;
引导模块302,引导用户手动删除所述应用程序。
图6为本发明实施例提供的删除模块205的另一结构示意图,在本发明实施例中,所述删除模块205具体包括:
第一删除模块401,用于直接删除所述应用程序;
告知模块402,用于在删除该应用程序之后告知用户。
图7是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在本发明实施例中,该装置包括:
监控模块500,用于监控应用程序对于ACTIVITY的调用;
判断模块501,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块502,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块503,用于接收所述服务器发送的恶意程序判断结果;
删除模块504,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
第二上传模块505,用于在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。
图8是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图,在本发明实施例中,该装置包括:
监控模块600,用于监控应用程序对于ACTIVITY的调用;
判断模块601,用于判断所述调用是否符合预设规则;
具体的,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY。
进一步的,所述预设规则由本地或服务器端获得。
第一上传模块602,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。
具体的所述特征信息包括所述应用程序的包名和/或MD5值。
接收模块603,用于接收所述服务器发送的恶意程序判断结果;
删除模块604,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
第二上传模块605,用于在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。
通过监控应用程序对于ACTIVITY的调用,能够定位到具体的应用程序,当应用程序对ACTIVITY的调用符合预设的规则时,即可判定该应用程序为占据用户桌面、阻止用户进行卸载的恶意程序。通过本发明实施例,可准确检测出此类Android恶意应用程序,以便于进一步对该类恶意程序进行处理,保护用户设备安全。
需要说明的是,本说明书中的各个实施例着重描述与其他实施例不同之处,各个实施例之间相同相似的部分互相参见即可。尤其对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (19)
1.一种Android恶意程序检测方法,其特征在于,包括:
监控应用程序对于ACTIVITY的调用;
判断所述调用是否符合预设规则,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY;
如果所述应用程序周期性的调用所述ACTIVITY,则认定所述应用程序为恶意程序。
2.如权利要求1所述的方法,其特征在于,所述预设规则由本地或服务器端获得。
3.如权利要求1所述的方法,其特征在于,在所述认定所述应用程序为恶意程序之前,所述方法还包括:上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的恶意程序判断结果,当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
5.如权利要求4所述的方法,其特征在于,所述删除所述应用程序具体为:
提示用户所述应用程序存在风险,引导用户手动删除所述应用程序。
6.如权利要求4所述的方法,其特征在于,所述删除所述应用程序具体为:
直接删除所述应用程序,并在删除该应用程序之后告知用户。
7.如权利要求3所述的方法,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
8.如权利要求4所述的方法,其特征在于,在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。
9.如权利要求1所述的方法,其特征在于,向服务器上传所述恶意程序所在设备的设备信息。
10.一种Android恶意程序检测装置,其特征在于,包括:
监控模块,用于监控应用程序对于ACTIVITY的调用;
判断模块,用于判断所述调用是否符合预设规则,所述预设规则包括:所述应用程序周期性的调用所述ACTIVITY;以及
认定模块,用于当所述应用程序周期性的调用所述ACTIVITY时,认定所述应用程序为恶意程序。
11.如权利要求10所述的装置,其特征在于,所述预设规则由本地或服务器端获得。
12.如权利要求10所述的装置,其特征在于,所述装置还包括:
第一上传模块,用于上传所述应用程序对应的特征信息至服务器,以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。
13.如权利要求12所述的装置,其特征在于,所述装置还包括:
接收模块,用于接收所述服务器发送的恶意程序判断结果;
删除模块,用于当所述判断结果表明所述应用程序为恶意程序时,删除所述应用程序。
14.如权利要求13所述的装置,其特征在于,所述删除模块包括:
提示模块,用于提示用户所述应用程序存在风险;
引导模块,引导用户手动删除所述应用程序。
15.如权利要求13所述的装置,其特征在于,所述删除模块包括:
第一删除模块,用于直接删除所述应用程序;
告知模块,用于在删除该应用程序之后告知用户。
16.如权利要求12所述的装置,其特征在于,
所述特征信息包括所述应用程序的包名和/或MD5值。
17.如权利要求13所述的装置,其特征在于,还包括:
第二上传模块,用于在删除应用程序成功之后,向服务器上传所述恶意程序的处理结果。
18.如权利要求10所述的装置,其特征在于,还包括:
第三上传模块,用于向服务器上传所述恶意程序所在设备的设备信息。
19.一种智能终端设备,包含权利要求10-18中任一项所述的装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410193738.4A CN104036188B (zh) | 2014-05-08 | 2014-05-08 | 一种Android恶意程序检测方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410193738.4A CN104036188B (zh) | 2014-05-08 | 2014-05-08 | 一种Android恶意程序检测方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104036188A CN104036188A (zh) | 2014-09-10 |
CN104036188B true CN104036188B (zh) | 2017-05-24 |
Family
ID=51466956
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410193738.4A Active CN104036188B (zh) | 2014-05-08 | 2014-05-08 | 一种Android恶意程序检测方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104036188B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104375938B (zh) * | 2014-11-20 | 2017-09-05 | 工业和信息化部电信研究院 | 安卓应用程序的动态行为监测方法及系统 |
CN106874757A (zh) * | 2015-12-10 | 2017-06-20 | 北京奇虎科技有限公司 | 恶意软件的卸载方法、恶意软件的卸载系统和终端 |
CN108197462A (zh) * | 2016-12-08 | 2018-06-22 | 武汉安天信息技术有限责任公司 | 一种安卓系统下勒索应用检测系统及方法 |
CN107291517A (zh) * | 2017-07-26 | 2017-10-24 | 广东小天才科技有限公司 | 一种应用的卸载方法、装置及终端设备 |
CN110213443B (zh) * | 2019-05-30 | 2021-11-02 | 努比亚技术有限公司 | 防止第三方桌面应用自启动方法、移动终端及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
-
2014
- 2014-05-08 CN CN201410193738.4A patent/CN104036188B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN104036188A (zh) | 2014-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104036188B (zh) | 一种Android恶意程序检测方法、装置及设备 | |
CN105335654B (zh) | 一种Android恶意程序检测和处理方法、装置及设备 | |
CN104123498B (zh) | 一种安卓系统Activity的安全性确定方法及装置 | |
CN104376263B (zh) | 应用程序行为拦截的方法和装置 | |
EP3610404B1 (en) | Methods and apparatus to monitor permission-controlled hidden sensitive application behavior at run-time | |
CN104394009B (zh) | 一种故障信息的处理方法及装置 | |
WO2016019893A1 (zh) | 应用安装的方法和装置 | |
CN106201468B (zh) | 一种截屏的处理方法、装置及电子设备 | |
CN105657712B (zh) | 一种WiFi热点的访问控制方法和装置 | |
US20230367914A1 (en) | Systems, devices, and methods for prevention of recording content | |
CN104284009B (zh) | 未接电话图标清理方法和装置 | |
CN106227585A (zh) | 一种应用程序启动方法、装置及设备 | |
CN110011822A (zh) | 边缘服务器的升级方法、装置、管理服务器及系统 | |
CN109800571B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
CN102799801A (zh) | 利用移动存储器查杀移动设备病毒的方法和系统 | |
CN102508768A (zh) | 应用程序监控方法及装置 | |
CN105554227A (zh) | 提高终端信息安全的方法、装置及终端 | |
CN107872446B (zh) | 一种通信帐号的管理方法、装置及服务器 | |
CN113867585B (zh) | 界面显示方法、装置、电子设备和存储介质 | |
CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
CN106778173B (zh) | 一种基于智能操作系统的应用锁设置的方法及装置 | |
CN104008338B (zh) | 一种Android恶意程序处理方法、装置及设备 | |
KR20140055897A (ko) | 사용자 단말기, 신뢰성 관리 서버, 부정 원격 조작 방지 방법, 및 부정 원격 조작 방지 프로그램이 기록된, 컴퓨터로 판독 가능한 기록매체 | |
CN109784041B (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
CN109756539B (zh) | 一种截屏控制方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |