CN106203084A - 一种卸载软件的处理方法、装置及电子设备 - Google Patents

一种卸载软件的处理方法、装置及电子设备 Download PDF

Info

Publication number
CN106203084A
CN106203084A CN201610495325.0A CN201610495325A CN106203084A CN 106203084 A CN106203084 A CN 106203084A CN 201610495325 A CN201610495325 A CN 201610495325A CN 106203084 A CN106203084 A CN 106203084A
Authority
CN
China
Prior art keywords
function
uninstall
function address
call stack
address list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610495325.0A
Other languages
English (en)
Other versions
CN106203084B (zh
Inventor
李文靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201610495325.0A priority Critical patent/CN106203084B/zh
Publication of CN106203084A publication Critical patent/CN106203084A/zh
Application granted granted Critical
Publication of CN106203084B publication Critical patent/CN106203084B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提出了一种卸载软件的处理方法、装置及电子设备,可以解决如何增强对恶意卸载软件的拦截的问题。本发明方法包括:获取卸载操作的调用栈中的函数地址列表;查询所述函数地址列表中各个函数地址对应的模块名称;判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。本发明通过对调用栈中信息的梳理,能够对卸载操作的全过程进行监督,增强了对恶意卸载软件的拦截。

Description

一种卸载软件的处理方法、装置及电子设备
技术领域
本发明涉及系统安全技术领域,尤其涉及一种卸载软件的处理方法、装置及电子设备。
背景技术
随着互联网技术发展,病毒,木马等恶意程序技术层出不穷,个别恶意程序利用特殊手段调起安全软件的卸载程序进行卸载。若安全软件被卸载,则用户的设备没有了安全软件的保护,处于极度危险之中。
现有技术是通过修改毒霸的卸载程序(uniOnst.exe),判断调起的父进程是否为无卸载权限的软件,若是直接退出卸载程序,以此来达到反卸载的功能。
现有技术中用户的卸载是允许的,用户的卸载时,父进程是桌面进程程序explorer.exe,现有技术方案是对这个进程名是允许的。
那么,现有技术中就会存在不足之处,一旦无卸载权限的软件把自身模块注入到explorer进程中再进行卸载的话,现有技术方案由于对于父进程是桌面进程程序explorer.exe是允许卸载的,因此,在这种情况下无卸载权限的软件就会被允许卸载,对无卸载权限的软件的拦截就失败了。
发明内容
本发明实施例提出了一种卸载软件的处理方法、装置及电子设备,可以解决如何增强对恶意卸载软件的拦截的问题。
在第一方面,本发明实施例提供了一种恶意卸载软件的处理方法,包括:
获取卸载操作的调用栈中的函数地址列表;
查询所述函数地址列表中各个函数地址对应的模块名称;
判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。
进一步地,所述允许卸载软件具体为:在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数;所述禁止卸载软件具体为:在钩子函数NewNtCreateSection里,禁止调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。
进一步地,所述获取卸载操作的调用栈中的函数地址列表具体为:调用内核函数RtlWalkFrameChain获取卸载操作的调用栈中的函数地址列表。
进一步地,所述获取卸载操作的调用栈中的函数地址列表之前,还判断在NewNtCreateSection函数中,参数AllocationAttributes是否为SEC_IMAGE,若是,进行后续操作,否则结束操作。
进一步地,所述获取卸载操作的调用栈中的函数地址列表之前,还判断正在打开的文件路径中是否包含uniOnst.exe,若是,进行后续操作,否则结束操作。
进一步地,所述确定所述正在打开的文件路径具体为:在NewNtCreateSection函数中,调用内核函数ObReferenceObjectByHandle获取文件对象指针,获取所述指针结构里保存的正在打开的文件路径。
在第二方面,本发明实施例提供了一种卸载软件的处理装置,包括:
用于获取卸载操作的调用栈中的函数地址列表的模块;
用于查询所述函数地址列表中各个函数地址对应的模块名称的模块;
用于判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时禁止卸载软件,当不包括所述预设字符串时允许卸载软件的模块。
进一步地,所述允许卸载软件具体为:在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数;所述禁止卸载软件具体为:在钩子函数NewNtCreateSection里,禁止调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。
进一步地,所述获取卸载操作的调用栈中的函数地址列表具体为:调用内核函数RtlWalkFrameChain获取卸载操作的调用栈中的函数地址列表。
进一步地,该装置还包括:
用于在所述获取卸载操作的调用栈中的函数地址列表之前,判断在NewNtCreateSection函数中,参数AllocationAttributes是否为SEC_IMAGE,若是,进行后续操作,否则结束操作的模块。
进一步地,该装置还包括:
用于在所述获取卸载操作的调用栈中的函数地址列表之前,判断正在打开的文件路径中是否包含uniOnst.exe,若是,进行后续操作,否则结束操作的模块。
进一步地,确定所述正在打开的文件路径具体为:在NewNtCreateSection函数中,调用内核函数ObReferenceObjectByHandle获取文件对象指针,获取所述指针结构里保存的正在打开的文件路径。
在第三方面,本发明实施例提供了一种电子设备,包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作:
获取卸载操作的调用栈中的函数地址列表;
查询所述函数地址列表中各个函数地址对应的模块名称;
判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。
在第四方面,本发明实施例提供了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种卸载软件的处理方法。
在第五方面,本发明实施例提供了一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种卸载软件的处理方法。
有益效果如下:
由于本发明实施例中获取了卸载操作的调用栈中的函数地址列表,查询所述函数地址列表中各个函数地址对应的模块名称,判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。可以看出,本发明实施例是通过栈回溯技术,无需判断父进程,栈回溯找出调用模块名称,再确定是否要拦截恶意卸载安全软件。从而避免了无卸载权限的软件把自身模块注入到explorer进程中再进行卸载时能够成功卸载的情况。通过对调用栈中信息的梳理,能够对卸载操作的全过程进行监督,增强了对恶意卸载软件的拦截。
附图说明
下面将参照附图描述本发明的具体实施例,其中:
图1示出了本发明实施例中卸载软件的处理方法的流程示意图;
图2示出了本发明一个实例中卸载软件的处理方法的具体实现流程示意图;
图3示出了本发明实施例中电子设备的结构示意图。
具体实施方式
为了使本发明的技术方案及优点更加清楚明白,以下结合附图对本发明的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本发明的一部分实施例,而不是所有实施例的穷举。并且在不冲突的情况下,本说明中的实施例及实施例中的特征可以互相结合。
本发明实施例提出了一种卸载软件的处理方法、装置及电子设备,下面进行说明。
图1示出了本发明实施例中卸载软件的处理方法,包括:
步骤101,获取卸载操作的调用栈中的函数地址列表;
步骤102,查询函数地址列表中各个函数地址对应的模块名称;
步骤103,判断所述模块名称中是否包括预设字符串,若是,即当包括所述预设字符串时,进行步骤104;否则,即当不包括所述预设字符串时,进行步骤105;
具体地,该预设字符串可以根据经验设置,其中可包括被确认对安全软件具有恶意的程序的相关信息,具体来说,可以包括竞品软件的相关信息。
步骤104,禁止卸载软件;
步骤105,允许卸载软件。
为了便于本发明的实施,下面以安全软件毒霸作为实例进行说明。
本实例是应用于PC个人电脑终端上的,运行于内核层驱动程序上,即是毒霸的驱动程序上。毒霸现有方案中有一个挂钩NtCreateSection的函数,NtCreateSection函数的作用就是打开映射文件前的一个创建会话函数,创建会话失败就会打开文件失败,所以可以在这函数实现一些打开文件的拦截功能。
现有方案挂钩这函数,钩子函数是NewNtCreateSection,本实例就是在NewNtCreateSection钩子函数上实现栈回溯并拦截恶意卸载毒霸。本实例中卸载软件的处理方法如图2所示,包括:
步骤201,判断在NewNtCreateSection函数中,参数AllocationAttributes是否为SEC_IMAGE,若是,进行步骤202,否则结束。
在NewNtCreateSection函数中,参数AllocationAttributes是保存配置属性信息的,如果此函数是SEC_IMAGE,意为可执行文件映射,才有进一步处理的必要,可进行后续操作。
步骤202,判断正在打开的文件路径中是否包含uniOnst.exe,若是,进行步骤203,否则结束。
上述正在打开的文件路径具体可以为:在NewNtCreateSection函数中,调用内核函数ObReferenceObjectByHandle获取文件对象指针,获取所述指针结构里保存的正在打开的文件路径。
uniOnst.exe是毒霸卸载程序,若正在打开的文件路径中是否包含uniOnst.exe,说明当前执行的是毒霸卸载程序,有必要进行拦截,若不包括uniOnst.exe,则说明当前执行的不是毒霸卸载程序,没有后续处理的必要。
步骤201和202,通过判断能够在一些判断条件下结束流程,节省系统的处理量,步骤201和202没有一定的先后顺序,也并非一定要进行的操作。
步骤203,调用内核函数RtlWalkFrameChain获取调用栈函数列表;
调用内核函数RtlWalkFrameChain可以获取调用栈函数列表,这个调用栈可以获取到从应用层到内核层的调用栈,如下列表:
0x8a335f5b Kisknl!NewNtCreateSection+0xl 83
0xa73d448c Nt!NtCreateSection+0xf2---以上是内核层模块,以下是应用层模块
0x773d33cc Ndll!NtCreateSecion+0x12
0x56d3478 360killq+Ox188
0x4653076 360safe+0xc3
RtlWalkFrameChain函数获取到的就是0x8a335f5b,0xa73d448c,0x773d33cc,0x56d3478,0x4653076等等的整个调用栈函数地址。
步骤204,查询函数地址列表中各个函数地址对应的模块名称。
通过ZwQueryVirtualMemory函数可以查询到地址对应的模块名称。
步骤205,判断获得的模块名称中是否包括预设字符串,若是,进行步骤206,否则进行步骤207。
如果包括预设字符串,即认为是在恶意调起毒霸卸载程序。预设字符串可以从一处配置文件读取到的,并可以扩展。
步骤206,禁止卸载软件。
禁止卸载软件即拦截,在钩子函数NewNtCreateSection里,不调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。这样系统就不会执行到真正的打开文件会话函数,文件打开就会失败,在到拦截的效果。
步骤207,允许卸载软件。
允许卸载软件即在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数。
本实例是一种全面有效的拦截方法,无需判断调起毒霸卸载程序的父进程名,通过栈回溯方式更能准确判断恶意卸载毒霸,这对毒霸自身反卸载能力有很大的提高,对系统安全有积极意义。
基于同一发明构思,本发明实施例中还提供了一种卸载软件的处理装置,由于这些设备解决问题的原理与一种卸载软件的处理方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例中卸载软件的处理装置,包括:
用于获取卸载操作的调用栈中的函数地址列表的模块;
用于查询上述函数地址列表中各个函数地址对应的模块名称的模块;
用于判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时禁止卸载软件,当不包括所述预设字符串时允许卸载软件的模块。
进一步地,上述允许卸载软件具体为:在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数;上述禁止卸载软件具体为:在钩子函数NewNtCreateSection里,禁止调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。
进一步地,上述获取卸载操作的调用栈中的函数地址列表可以为:调用内核函数RtlWalkFrameChain获取卸载操作的调用栈中的函数地址列表。
进一步地,上述的装置还可以包括:
用于在获取卸载操作的调用栈中的函数地址列表之前,判断在NewNtCreateSection函数中,参数AllocationAttributes是否为SEC_IMAGE,若是,进行后续操作,否则结束操作的模块。
进一步地,上述的装置还可以包括:
用于在获取卸载操作的调用栈中的函数地址列表之前,判断正在打开的文件路径中是否包含uniOnst.exe,若是,进行后续操作,否则结束操作的模块。
进一步地,确定上述正在打开的文件路径具体为:在NewNtCreateSection函数中,调用内核函数ObReferenceObjectByHandle获取文件对象指针,获取该指针结构里保存的正在打开的文件路径。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于电子设备解决问题的原理与一种阻止恶意加载驱动的方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,本发明实施例提供的电子设备,包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板上34;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作:
获取卸载操作的调用栈中的函数地址列表;
查询所述函数地址列表中各个函数地址对应的模块名称;
判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。
本发明实施例提供了一种存储介质,其中,该存储介质用于存储应用程序,所述应用程序用于在运行时执行本发明实施例所述的一种卸载软件的处理方法。
本发明实施例提供了一种应用程序,其中,该应用程序用于在运行时执行本发明实施例所述的一种卸载软件的处理方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、设备(系统)、或计算机程序产品。本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

Claims (10)

1.一种卸载软件的处理方法,其特征在于,包括:
获取卸载操作的调用栈中的函数地址列表;
查询所述函数地址列表中各个函数地址对应的模块名称;
判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。
2.如权利要求1所述的方法,其特征在于,所述允许卸载软件具体为:在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数;所述禁止卸载软件具体为:在钩子函数NewNtCreateSection里,禁止调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。
3.如权利要求1所述的方法,其特征在于,所述获取卸载操作的调用栈中的函数地址列表具体为:调用内核函数RtlWalkFrameChain获取卸载操作的调用栈中的函数地址列表。
4.如权利要求1所述的方法,其特征在于,所述获取卸载操作的调用栈中的函数地址列表之前,还判断在NewNtCreateSection函数中,参数AllocationAttributes是否为SEC_IMAGE,若是,进行后续操作,否则结束操作。
5.如权利要求1所述的方法,其特征在于,所述获取卸载操作的调用栈中的函数地址列表之前,还判断正在打开的文件路径中是否包含uniOnst.exe,若是,进行后续操作,否则结束操作。
6.如权利要求5所述的方法,其特征在于,所述确定所述正在打开的文件路径具体为:在NewNtCreateSection函数中,调用内核函数ObReferenceObjectByHandle获取文件对象指针,获取所述指针结构里保存的正在打开的文件路径。
7.一种卸载软件的处理装置,其特征在于,包括:
用于获取卸载操作的调用栈中的函数地址列表的模块;
用于查询所述函数地址列表中各个函数地址对应的模块名称的模块;
用于判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时禁止卸载软件,当不包括所述预设字符串时允许卸载软件的模块。
8.如权利要求7所述的装置,其特征在于,所述允许卸载软件具体为:在钩子函数NewNtCreateSection里,调用NtCreateSection原始函数;所述禁止卸载软件具体为:在钩子函数NewNtCreateSection里,禁止调用NtCreateSection原始函数,返回拒绝访问状态并退出函数。
9.如权利要求7所述的装置,其特征在于,所述获取卸载操作的调用栈中的函数地址列表具体为:调用内核函数RtlWalkFrameChain获取卸载操作的调用栈中的函数地址列表。
10.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作:
获取卸载操作的调用栈中的函数地址列表;
查询所述函数地址列表中各个函数地址对应的模块名称;
判断所述模块名称中是否包括预设字符串,当包括所述预设字符串时,禁止卸载软件;当不包括所述预设字符串时,允许卸载软件。
CN201610495325.0A 2016-06-29 2016-06-29 一种卸载软件的处理方法、装置及电子设备 Active CN106203084B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610495325.0A CN106203084B (zh) 2016-06-29 2016-06-29 一种卸载软件的处理方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610495325.0A CN106203084B (zh) 2016-06-29 2016-06-29 一种卸载软件的处理方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN106203084A true CN106203084A (zh) 2016-12-07
CN106203084B CN106203084B (zh) 2019-05-10

Family

ID=57461775

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610495325.0A Active CN106203084B (zh) 2016-06-29 2016-06-29 一种卸载软件的处理方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN106203084B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102662667A (zh) * 2012-03-31 2012-09-12 奇智软件(北京)有限公司 一种软件卸载方法及装置
CN103383719A (zh) * 2012-05-02 2013-11-06 腾讯科技(深圳)有限公司 卸载程序的方法和设备
CN103824016A (zh) * 2013-11-28 2014-05-28 北京奇虎科技有限公司 应用防卸载方法及设备
CN103971056A (zh) * 2013-01-31 2014-08-06 腾讯科技(深圳)有限公司 一种防止操作系统中应用程序被卸载的方法和装置
CN104933332A (zh) * 2015-06-10 2015-09-23 北京北信源软件股份有限公司 一种防止软件被非法卸载的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102662667A (zh) * 2012-03-31 2012-09-12 奇智软件(北京)有限公司 一种软件卸载方法及装置
CN103383719A (zh) * 2012-05-02 2013-11-06 腾讯科技(深圳)有限公司 卸载程序的方法和设备
CN103971056A (zh) * 2013-01-31 2014-08-06 腾讯科技(深圳)有限公司 一种防止操作系统中应用程序被卸载的方法和装置
CN103824016A (zh) * 2013-11-28 2014-05-28 北京奇虎科技有限公司 应用防卸载方法及设备
CN104933332A (zh) * 2015-06-10 2015-09-23 北京北信源软件股份有限公司 一种防止软件被非法卸载的方法及装置

Also Published As

Publication number Publication date
CN106203084B (zh) 2019-05-10

Similar Documents

Publication Publication Date Title
US9576147B1 (en) Security policy application through data tagging
EP2715589B1 (en) System and method for preserving references in sandboxes
CN104680084B (zh) 计算机中保护用户隐私的方法和系统
US9177155B2 (en) Hybrid analysis of vulnerable information flows
CN110941552B (zh) 一种基于动态污点分析的内存分析方法及装置
CN104298913B (zh) 一种通用的智能终端安全启动方法
CN104361285B (zh) 移动设备应用程序的安全检测方法及装置
EP2891104B1 (en) Detecting a malware process
WO2021055290A1 (en) Controlled access to data stored in a secure partition
CN107111728A (zh) 安全密钥导出功能
CN108399319A (zh) 源代码保护方法、应用服务器及计算机可读存储介质
CN109600387A (zh) 攻击事件的追溯方法及装置、存储介质、计算机设备
CN107239698A (zh) 一种基于信号处理机制的反调试方法和装置
CA2872443A1 (en) A method for dynamic generation and modification of an electronic entity architecture
CN107678834A (zh) 一种基于硬件配置的安卓模拟器检测方法及装置
CN109376529A (zh) 应用程序运行方法及装置
CN107122656A (zh) 一种通过自调试防止外部调试的方法和装置
Lancia et al. Java card virtual machine compromising from a bytecode verified applet
Jaramillo et al. Virtualization techniques for mobile systems
Bousquet et al. Mandatory access control for the android dalvik virtual machine
Kudo et al. Access control for plugins in Cordova-based hybrid applications
CN106203084A (zh) 一种卸载软件的处理方法、装置及电子设备
CN102254121A (zh) 数据处理方法、装置及系统
CN109802955A (zh) 权限控制方法及装置、存储介质、计算机设备
CN109508550A (zh) 基于SEAndroid的用户隐私保护方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181207

Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Applicant after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100085 East District, Second Floor, 33 Xiaoying West Road, Haidian District, Beijing

Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant