CN108197462A - 一种安卓系统下勒索应用检测系统及方法 - Google Patents
一种安卓系统下勒索应用检测系统及方法 Download PDFInfo
- Publication number
- CN108197462A CN108197462A CN201611123325.4A CN201611123325A CN108197462A CN 108197462 A CN108197462 A CN 108197462A CN 201611123325 A CN201611123325 A CN 201611123325A CN 108197462 A CN108197462 A CN 108197462A
- Authority
- CN
- China
- Prior art keywords
- application program
- activity
- information
- behavior
- new installation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/72406—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by software upgrading or downloading
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Human Computer Interaction (AREA)
- Stored Programmes (AREA)
Abstract
本发明提出一种安卓系统下勒索应用检测系统及方法,包括:行为触发模块,用于触发应用程序、激活设备管理器;行为监控模块,用于应用程序被触发后动态获取系统中的执行信息;勒索应用判定模块,用于根据执行信息判定系统中是否存在勒索应用。本发明通过行为触发及动态监控实现对勒索应用的有效检测,具备较高准确性,且通过黑名单的维护为后续检测及深度分析提供基础。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种安卓系统下勒索应用检测系统及方法。
背景技术
随着移动终端的发展,各种新的应用给用户带来乐趣和便利,但一些恶意应用也在影响用户的使用,甚至给用户造成财产损失。有一类恶意应用为手机勒索应用,这类应用使用户的移动设备不能正常使用,并要求用户支付一定费用来解锁设备。
手机勒索应用在设备上的主要现象有返回和HOME等按键失效、频繁置顶窗口无法切换到正常应用、设置锁屏密码其用户无法解锁等,且重启后勒索应用仍会自动运行。另外手机勒索应用会在置顶窗口的视图文本中显示一些文字信息,主要是联系方式或支付方法,例如QQ号、邮箱、解锁密码、购买等字样,用于受害者联系并支付解锁费用。
上述几种勒索方式的实现方法大致如下:
1.应用窗口全屏,部分按键无效。Android应用的每个Activity组件都关联一个窗口,窗口中有视图用于实现UI和布局,该方法主要是通过设置窗口中视图的布局的类型实现视图总显示在其他所有窗口的上面,另外通过设置视图属性实现全屏显示;
2.频繁置顶窗口,导致无法正常切换应用。该方法主要是通过检测当前置顶的Activity是否为勒索软件自身的Activity,如果不是就会启动勒索软件自身的Activity;
3.手机设置锁屏密码。应用需要激活设备管理器,申请设置锁屏密码的权限,然后通过设置新的锁屏密码并锁屏,达到锁住手机屏幕的目的。通常锁屏后勒索应用会创建一个悬浮窗口里面包含联系方式等文本信息。
发明内容
针对上述现有技术中存在的威胁隐患,本发明提出一种安卓系统下勒索应用检测系统及方法,当有应用程序安装到系统中后,触发新安装的应用程序;动态获取系统中的执行信息;根据执行信息判定系统中是否存在勒索应用。
具体发明内容包括:
一种安卓系统下勒索应用检测系统,包括:
行为触发模块,用于触发应用程序、激活设备管理器;
行为监控模块,用于应用程序被触发后动态获取应用的执行信息;所述执行信息包括:行为信息、布局类型信息、视图属性信息、视图文本信息;
勒索应用判定模块,用于根据执行信息判定系统中是否存在勒索应用。
进一步地,所述勒索应用判定模块,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用,否则执行其他判定规则。
进一步地,所述行为触发模块具体用于:当有应用程序安装到系统中后,触发新安装的应用程序,获取系统中顶层Activity窗口,判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity;有些勒索行为,例如设置锁屏密码等,需要激活设备管理器才能实现,而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器,但是为了判断其是否有相应的行为,则需要启动其他应用程序的Activity来进行验证。
进一步地,所述行为信息包括:新安装应用程序的行为信息、系统中其他应用程序的行为信息;其中,新安装应用程序的行为信息具体包括:新安装应用程序中Activity的启动次数、Activity类名;其中,系统中其他应用程序的行为信息具体包括:行为触发模块启动系统中其他应用程序Activity的启动次数。
进一步地,所述勒索应用判定模块,其判定规则还包括:根据系统中其他应用程序Activity启动时间及启动次数和新安装应用程序中Activity的启动时间与启动次数,判断新安装应用程序的Activity在每次行为触发模块触发系统中其他应用程序的Activity后是否会自动启动,若是则视为相应的新安装应用程序为勒索应用。
进一步地,还包括黑名单模块,用于提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,启动行为触发模块,并由行为监控模块提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则执行勒索应用判定模块;所述特征信息包括:视图文本信息、Activity类名。
一种安卓系统下勒索应用检测方法,包括:
当有应用程序安装到系统中后,触发新安装的应用程序;
获取系统中顶层Activity窗口,判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity;有些勒索行为,例如设置锁屏密码等,需要激活设备管理器才能实现,而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器,但是为了判断其是否有相应的行为,则需要启动其他应用程序的Activity来进行验证;
动态获取系统中的执行信息;所述执行信息包括:行为信息、视图属性信息、视图文本信息;
根据执行信息判定系统中是否存在勒索应用。
进一步地,所述判定系统中是否存在勒索应用,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用,否则执行其他判定规则。
进一步地,所述行为信息包括:新安装应用程序的行为信息、系统中其他应用程序的行为信息;其中,新安装应用程序的行为信息具体包括:新安装应用程序中Activity的启动次数、Activity类名;其中,系统中其他应用程序的行为信息具体包括:行为触发模块启动系统中其他应用程序Activity的启动次数。
进一步地,所述判定系统中是否存在勒索应用,其判定规则还包括:根据系统中其他应用程序Activity启动次数和新安装应用程序中Activity的启动次数,判断新安装应用程序的Activity在每次系统中其他应用程序Activity启动后是否会自动启动,若是则视为相应的新安装应用程序为勒索应用。
进一步地,还包括:提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,触发新安装的应用程序,动态获取系统中的执行信息,提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则根据执行信息判定系统中是否存在勒索应用;所述特征信息包括:视图文本信息、Activity类名。
本发明的有益效果是:
本发明针对勒索应用的各种勒索方法,通过行为触发及动态监控实现对勒索应用的有效检测,具备较高准确性;不同勒索应用可能有相同勒索界面,通过对勒索应用信息提取形成黑名单,可用于提升同类勒索的检测速度并为后续检测及深度分析提供基础。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种安卓系统下勒索应用检测的系统结构图;
图2为本发明一种安卓系统下勒索应用检测的方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种安卓系统下勒索应用检测的系统实施例,如图1所示,包括:
行为触发模块101,用于触发应用程序、激活设备管理器;
行为监控模块102,用于应用程序被触发后动态获取系统中的执行信息;其主要监控对象监控以及获取的数据包括如下几个方面:
监控添加视图的行为,同时获取视图的类型和属性以及添加视图时窗口内所有视图的文本信息;Android应用使用WindowManager的addView接口来给窗口添加视图,该接口方法的第一个参数为视图对象本身,第二个参数为LayoutParams对象,获取LayoutParams对象的type成员和flags成员的值; Android中的常见视图对象有Button,TextView等,ViewGroup类型也为视图对象,该类型的视图可以包含多个子视图,可以使用递归方式来获取全部视图的文本信息,不是ViewGroup类型的视图,则采用视图的getText方法来获取文本信息,若是ViewGroup视图,则递归遍历所有的子视图,获取全部的文本信息;
监控启动Activity行为,获取行为的时间点,以及Activity名称;通过监控Android提供的一系列启动Activity的方法,在启动Activity时记录启动时间,同时获取被启动的Activity的类名,最后可以得到每个Activity的启动次数;
监控设置锁屏密码行为和锁屏行为以及行为发生时间,监控DevicePolicyManager类中的resetPassword方法和lockNow方法的调用,其中resetPassword用于设置锁屏密码,lockNow用于锁屏。
勒索应用判定模块103,用于根据执行信息判定系统中是否存在勒索应用。
优选地,所述勒索应用判定模块,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用,否则执行其他判定规则;
其中,所述判断新安装的应用程序是否存在强制应用窗口全屏的行为,其判断过程可参考下述方法:若监控到添加视图行为,视图的type值为2010则表示类型为TYPE_SYSTEM_ERROR,并且flags与十六进制0x500进行与操作后的值仍然为0x500,则表示视图属性为FLAG_FULLSCREEN和FLAG_LAYOUT_IN_SCREEN,若以上三个条件同时成立,则可判断当前应用程序存在强制应用窗全屏的行为;
其中,所述判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,其规定时间可根据具体环境及需求由开发人员进行调整和设定,根据已知此类勒索应用程序样本,在勒索应用程序被启动后会很快进行设置密码和/或锁屏操作,时间通常以毫秒计算,所以所述规定时间可以设定为应用程序触发后的多少毫秒(例如30ms);此类勒索应用中,有些应用程序会在进行设置锁屏密码后马上执行锁屏操作,此时间间隔也很短,所以还可以通过判断存在设置锁屏密码行为时在规定时间内是否存在锁屏行为来判定相应应用程序是否为勒索应用,该规定时间可根据具体环境及需求由开发人员进行调整和设定,例如1s。
优选地,所述行为触发模块具体用于:当有应用程序安装到系统中后,触发新安装的应用程序,获取系统中顶层Activity窗口,判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity;有些勒索行为,例如设置锁屏密码等,需要激活设备管理器才能实现,而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器,但是为了判断其是否有相应的行为,则需要启动其他应用程序的Activity来进行验证;
行为触发模块针对不同的勒索方式触发应用的相关行为,加强判定的准确性;有些勒索行为,例如设置锁屏密码等,需要激活设备管理器才能实现,而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器,但是为了判断其是否有相应的行为,则需要启动其他应用程序的Activity来进行验证;
所述判断活动行为是否为请求启动设备管理器,其判断过程可以参考下述方法:Android的测试框架uiautomator用于对应用进行测试,该测试框架中的UiDevice类有getCurrentActivityName方法,使用该方法可以获取当前置顶Activity的名称,若Activity名称包含DeviceAdminAdd则为激活设备管理器界面,利用uiaotumator的测试框架找到界面上的激活按钮对应的UiObject对象,然后执行该对象的click方法即可实现激活设备管理器;
所述按规定触发系统中其他应用程序Activity,需根据具体环境和需求由开发人员调整、设定,一般为按规定数量触发系统中非新安装应用程序的Activity,且每次启动Activity可以设置一定的时间间隔,并记录启动时间和启动次数,设定的时间间隔可依据已知频繁置顶窗口类勒索应用中连续两次置顶窗口的时间间隔来设定;
其中,触发系统中其他应用程序Activity,其触发过程可参考下述过程:通过adbshell命令来执行am命令,可以启动应用的Activity,具体为adb shell am start –n <packageName>/<activityName>,其中packageName为应用的包名,activityName为要启动的activity类名,通常Android设备上会有一些系统应用,可以通过启动系统应用的Activity来触发被测试应用的置顶窗口行为。
优选地,所述执行信息还包括:新安装应用程序的行为信息,其中包含了新安装应用程序中Activity的启动行为信息,如启动次数和Activity类名;行为触发模块启动系统中其他应用程序Activity的启动次数。
优选地,所述勒索应用判定模块,其判定规则还包括:根据系统中其他应用程序Activity启动次数和新安装应用程序中Activity的启动次数,判断新安装应用程序的Activity在每次行为触发模块触发系统中其他应用程序的Activity后是否会自动启动,若是则视为相应的新安装应用程序为勒索应用;
其中,判断新安装应用程序的Activity在每次行为触发模块触发系统中其他应用程序的Activity后是否会自动启动,其判断过程可参考下述方法:从行为监控模块获取到新安装应用程序的Activity启动行为,以及启动时间和Activity的类名,依据Activity的类名,获取该Activity启动次数数据,对比行为触发模块中启动设备其他应用程序Activity的总次数,若上述两个次数相同,则判断新安装应用程序的Activity在每次行为触发模块触发系统中其他应用程序的Activity的同时都自动启动;
优选地,还包括黑名单模块,用于提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,启动行为触发模块,并由行为监控模块提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则执行勒索应用判定模块;所述特征信息包括:视图文本信息、Activity类名。
本发明针对勒索应用的各种勒索方法,通过行为触发及动态监控实现对勒索应用的有效检测,具备较高准确性;不同勒索应用可能有相同勒索界面,通过对勒索应用信息提取形成黑名单,可用于提升同类勒索的检测速度并为后续检测及深度分析提供基础。
本发明还给出了一种安卓系统下勒索应用检测的方法实施例,如图2所示,包括:
S201:当有应用程序安装到系统中后,触发新安装的应用程序;
S202:获取系统中顶层Activity窗口;
S203:判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity;有些勒索行为,例如设置锁屏密码等,需要激活设备管理器才能实现,而应用窗口全屏和频繁置顶窗口等行为则不需要启动设备管理器,但是为了判断其是否有相应的行为,则需要启动其他应用程序的Activity来进行验证;
S204:动态获取系统中的执行信息;所述执行信息包括:行为信息、视图属性信息、视图文本信息;
S205:根据执行信息判定系统中是否存在勒索应用。
优选地,所述判定系统中是否存在勒索应用,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用,否则执行其他判定规则。
优选地,所述行为信息包括:新安装应用程序的行为信息、系统中其他应用程序的行为信息;其中,新安装应用程序的行为信息具体包括:新安装应用程序中Activity的启动次数、Activity类名;其中,系统中其他应用程序的行为信息具体包括:行为触发模块启动系统中其他应用程序Activity的启动次数。
优选地,所述判定系统中是否存在勒索应用,其判定规则还包括:根据系统中其他应用程序Activity启动次数和新安装应用程序中Activity的启动次数,判断新安装应用程序的Activity在每次系统中其他应用程序Activity启动后是否会自动启动,若是则视为相应的新安装应用程序为勒索应用。
优选地,还包括:提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,触发新安装的应用程序,动态获取系统中的执行信息,提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则根据执行信息判定系统中是否存在勒索应用;所述特征信息包括:视图文本信息、Activity类名。
本说明书中系统的实施例采用递进的方式描述,对于方法的实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见系统实施例的部分说明即可。针对现有技术中存在的信息安全隐患,本发明提出一种安卓系统下勒索应用检测系统及方法,包括:行为触发模块,用于触发应用程序、激活设备管理器;行为监控模块,用于应用程序被触发后动态获取系统中的执行信息;勒索应用判定模块,用于根据执行信息判定系统中是否存在勒索应用。本发明通过行为触发及动态监控实现对勒索应用的有效检测,具备较高准确性,且通过黑名单的维护为后续检测及深度分析提供基础。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (11)
1.一种安卓系统下勒索应用检测系统,其特征在于,包括:
行为触发模块,用于触发应用程序、激活设备管理器;
行为监控模块,用于应用程序启动后后动态获取应用的执行信息;所述执行信息包括:行为信息、布局类型信息、视图属性信息、视图文本信息;
勒索应用判定模块,用于根据执行信息判定系统中是否存在勒索应用。
2.如权利要求1所述的系统,其特征在于,所述勒索应用判定模块,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用。
3.如权利要求1所述的系统,其特征在于,所述行为触发模块具体用于:当有应用程序安装到系统中后,触发新安装的应用程序,获取系统中顶层Activity窗口,判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity,并记录该Activity的启动次数。
4.如权利要求3所述的系统,其特征在于,所述行为信息包括:新安装应用程序的行为信息、系统中其他应用程序的行为信息;其中,新安装应用程序的行为信息具体包括:新安装应用程序中Activity类名以及该Activity的启动次数;其中,系统中其他应用程序的行为信息具体包括:行为触发模块启动系统中其他应用程序Activity的启动次数。
5.如权利要求4所述的系统,其特征在于,所述勒索应用判定模块,其判定规则还包括:根据系统中其他应用程序Activity启动次数和新安装应用程序中每个Activity的启动次数,判断新安装应用程序中是否有Activity在每次行为触发模块触发系统中其他应用程序Activity后都会自动启动,若存在这样的Activity则视为相应的新安装应用程序为勒索应用。
6.如上述权利要求1至5任一所述的系统,其特征在于,还包括黑名单模块,用于提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,启动行为触发模块,并由行为监控模块提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则执行勒索应用判定模块;所述特征信息包括:视图文本信息、Activity类名。
7.一种安卓系统下勒索应用检测方法,其特征在于,包括:
当有应用程序安装到系统中后,触发新安装的应用程序;
获取系统中顶层Activity窗口,判断活动行为是否为请求启动设备管理器,若是,则激活设备管理器;否则按规定触发系统中其他应用程序的Activity,并记录启动次数;
动态获取系统中的执行信息;所述执行信息包括:行为信息、布局类型信息、视图属性信息、视图文本信息;
根据执行信息判定系统中是否存在勒索应用。
8.如权利要求7所述的方法,其特征在于,所述判定系统中是否存在勒索应用,其判定规则包括:根据执行信息中的布局类型信息及视图属性信息,判断新安装的应用程序是否存在强制应用窗口全屏的行为,若是则视为相应的新安装应用程序为勒索应用;
或者,根据新安装应用程序的行为信息,判断新安装的应用程序在规定时间内是否存在设置锁屏密码和/或锁屏的行为,若是则视为相应的新安装应用程序为勒索应用,否则执行其他判定规则。
9.如权利要求8所述的方法,其特征在于,所述行为信息包括:新安装应用程序的行为信息、系统中其他应用程序的行为信息;其中,新安装应用程序的行为信息具体包括:新安装应用程序中Activity类名以及该Activity的启动次数;其中,系统中其他应用程序的行为信息具体包括:行为触发模块启动系统中其他应用程序Activity的启动次数。
10.如权利要求9所述的方法,其特征在于,所述判定系统中是否存在勒索应用,其判定规则还包括:根据系统中其他应用程序Activity启动次数和新安装应用程序中每个Activity的启动次数,判断新安装应用程序中是否有Activity在每次行为触发模块触发系统中其他应用程序Activity后都会自动启动,若存在这样的Activity则视为相应的新安装应用程序为勒索应用。
11.如上述权利要求7至10任一所述的方法,其特征在于,还包括:提取勒索应用特征信息,写入黑名单;当有应用程序安装到系统中后,触发新安装的应用程序,动态获取系统中的执行信息,提取新安装应用程序的特征信息,并与黑名单匹配,若匹配成功则视为相应的新安装应用程序为勒索应用,否则根据执行信息判定系统中是否存在勒索应用;所述特征信息包括:视图文本信息、Activity类名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611123325.4A CN108197462A (zh) | 2016-12-08 | 2016-12-08 | 一种安卓系统下勒索应用检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611123325.4A CN108197462A (zh) | 2016-12-08 | 2016-12-08 | 一种安卓系统下勒索应用检测系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108197462A true CN108197462A (zh) | 2018-06-22 |
Family
ID=62572721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611123325.4A Pending CN108197462A (zh) | 2016-12-08 | 2016-12-08 | 一种安卓系统下勒索应用检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108197462A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213443A (zh) * | 2019-05-30 | 2019-09-06 | 努比亚技术有限公司 | 防止第三方桌面应用自启动方法、移动终端及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140181973A1 (en) * | 2012-12-26 | 2014-06-26 | National Taiwan University Of Science And Technology | Method and system for detecting malicious application |
| CN104008338A (zh) * | 2014-05-08 | 2014-08-27 | 北京金山安全软件有限公司 | 一种Android恶意程序处理方法、装置及设备 |
| CN104036188A (zh) * | 2014-05-08 | 2014-09-10 | 北京金山安全软件有限公司 | 一种Android恶意程序检测方法、装置及设备 |
| CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
| CN105335654A (zh) * | 2014-06-27 | 2016-02-17 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
-
2016
- 2016-12-08 CN CN201611123325.4A patent/CN108197462A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140181973A1 (en) * | 2012-12-26 | 2014-06-26 | National Taiwan University Of Science And Technology | Method and system for detecting malicious application |
| CN104008338A (zh) * | 2014-05-08 | 2014-08-27 | 北京金山安全软件有限公司 | 一种Android恶意程序处理方法、装置及设备 |
| CN104036188A (zh) * | 2014-05-08 | 2014-09-10 | 北京金山安全软件有限公司 | 一种Android恶意程序检测方法、装置及设备 |
| CN105335654A (zh) * | 2014-06-27 | 2016-02-17 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 张昊: ""手机锁屏勒索国内首现身"", 《360核心安全技术博客HTTPS://BLOGS.360.CN/POST/ANALYSIS_OF_RANSOMWARE.HTML》 * |
| 网友: ""查杀手机锁屏勒索恶意软件"", 《百度经验》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213443A (zh) * | 2019-05-30 | 2019-09-06 | 努比亚技术有限公司 | 防止第三方桌面应用自启动方法、移动终端及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109117250B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| CN102779255B (zh) | 判断恶意程序的方法及装置 | |
| CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| CN102347941B (zh) | 一种基于开放平台的安全应用控制方法 | |
| CN103944757B (zh) | 网络异常检测的方法和装置 | |
| WO2016008414A1 (zh) | 一种安卓系统Activity的安全性确定方法及装置 | |
| CN107079004A (zh) | 一种验证码获取方法、装置和终端 | |
| CN109062667B (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| CN107346390A (zh) | 一种恶意样本检测方法及装置 | |
| CN104361281A (zh) | 一种安卓平台钓鱼攻击的解决方法 | |
| CN106155746B (zh) | 一种安装文件处理方法及装置、服务器 | |
| CN106155685A (zh) | 应用程序的管理方法、管理装置及移动终端 | |
| CN107766068B (zh) | 应用系统补丁安装方法、装置、计算机设备和存储介质 | |
| CN111431735A (zh) | 连接池的管理方法、设备、装置及存储介质 | |
| CN109977671A (zh) | 一种基于编译器修改的Android锁屏型勒索软件检测方法 | |
| CN108197462A (zh) | 一种安卓系统下勒索应用检测系统及方法 | |
| CN109614797A (zh) | 车载信息娱乐系统的锁屏勒索软件查杀方法、装置及设备 | |
| CN111309622A (zh) | 应用程序测试方法、装置、终端设备以及存储介质 | |
| CN105488414A (zh) | 一种防止恶意代码探测虚拟环境的方法及系统 | |
| CN108108618B (zh) | 伪造攻击的应用界面检测方法及装置 | |
| KR101060596B1 (ko) | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 | |
| CN110138780A (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
| CN103679017A (zh) | 防止用户界面被劫持的装置及方法 | |
| CN110619211A (zh) | 一种基于动态特征的恶意软件识别方法、系统及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180622 |