WO2016008355A1 - 一种利用Android设备管理器对抗卸载的软件的识别方法及装置 - Google Patents

一种利用Android设备管理器对抗卸载的软件的识别方法及装置 Download PDF

Info

Publication number
WO2016008355A1
WO2016008355A1 PCT/CN2015/082378 CN2015082378W WO2016008355A1 WO 2016008355 A1 WO2016008355 A1 WO 2016008355A1 CN 2015082378 W CN2015082378 W CN 2015082378W WO 2016008355 A1 WO2016008355 A1 WO 2016008355A1
Authority
WO
WIPO (PCT)
Prior art keywords
feature
device manager
software
result
decompilation
Prior art date
Application number
PCT/CN2015/082378
Other languages
English (en)
French (fr)
Inventor
沈江波
张楠
陈勇
Original Assignee
北京金山安全软件有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 北京金山安全软件有限公司 filed Critical 北京金山安全软件有限公司
Publication of WO2016008355A1 publication Critical patent/WO2016008355A1/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

一种利用Android设备管理器对抗卸载的软件的识别方法,应用于服务器,执行步骤:对目标软件的APK进行反编译操作,得到反编译结果(S101);对所述反编译结果进行检测(S102),所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征(S102a),和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征(S102b);根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件(S103)。由于整个识别过程由服务器完成,与现有技术相比,不需要大量的分析人员,人力成本降低,识别效率也比较高。

Description

一种利用Android设备管理器对抗卸载的软件的识别方法及装置
本申请要求于2014年07月18日提交中国专利局、申请号为201410345647.8发明名称为“一种利用Android设备管理器对抗卸载的软件的识别方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及移动安全领域,特别涉及一种利用Android设备管理器对抗卸载的软件的识别方法及装置。
背景技术
Android系统提供了一个叫设备管理器的设备,其作用是当用户激活软件为设备管理器后,用户将无法直接将其卸载,只有先将该软件取消激活设备管理器后,才能将其卸载。
一些软件正是利用该原理,通过阻止用户取消激活设备管理器来达到对抗卸载的目的。这些软件中有很大一部分是恶意软件,这些恶意软件在自动或欺骗用户激活其为设备管理器后,用户就无法对其取消激活设备管理器,从而无法被卸载,给用户造成危害。因此,能识别出这些利用设备管理器对抗卸载的软件就显得极为重要。
目前,对这些利用设备管理器对抗卸载的软件的识别还停留在人工分析提取特征的阶段,这种识别方式需要大量的分析人员,人力成本很高,效率也比较低。
发明内容
本申请提供了一种利用Android设备管理器对抗卸载的软件的识别方法及装置,用于解决现有技术需要大量的分析人员,人力成本很高,效率也比较低的问题。技术方案如下:
本申请实施例第一方面提供了一种利用Android设备管理器对抗卸载的软件的识别方法,应用于服务器,执行步骤:
对目标软件的APK进行反编译操作,得到反编译结果;
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
在本申请的一种优选实施方式中,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测具体为:
检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;
在所述反编译结果不具有所述第一特征的情况下,检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在本申请的一种优选实施方式中,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测具体为:
检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在所述反编译结果不具有所述第二特征的情况下,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
在本申请的一种优选实施方式中,在所述识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,进一步包括:
对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类:
当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其划分为安全软件;
当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其划分为恶意软件;
当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
在本申请的一种优选实施方式中,所述检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,包括:
检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
android.app.action.DEVICE_ADMIN_ENABLED属性;
在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件没有添加
android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
在本申请的一种优选实施方式中,所述检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,包括:
根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;
根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
检测所述BroadcastReceiver代码中是否存在
onDisableRequested函数和onDisabled函数;
在onDisableRequested函数和onDisabled函数不都存在的情况下,
确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二特征;
在仅存在onDisableRequested函数的情况下,
进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
在仅存在onDisabled函数的情况下,
进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在onDisableRequested函数和onDisabled函数都存在的情况下,
进一步检测
所述onDisableRequested函数及其调用的子函数、所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在本申请的一种优选实施方式中,所述对抗特征包括:调用系统锁屏函数、返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
本申请实施例第二方面提供了一种利用Android设备管理器对抗卸载的软件的识别装置,应用于服务器,所述装置包括:
反编译单元,用于对目标软件的APK进行反编译操作,得到反编译结果;
反编译结果检测单元,用于对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
对抗卸载软件识别单元,用于根据检测结果是否具有第一特征或第二特 征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
在本申请的一种优选实施方式中,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述反编译结果检测单元包括第一特征检测子单元,第二特征检测子单元;
所述第一特征检测子单元用于检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;
并在所述反编译结果不具有所述第一特征的情况下,触发所述第二特征检测子单元检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在本申请的一种优选实施方式中,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述反编译结果检测单元包括第一特征检测子单元,第二特征检测子单元;
所述第二特征检测子单元用于检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
并在所述反编译结果不具有所述第二特征的情况下,触发所述第一特征检测子单元检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
在本申请的一种优选实施方式中,还包括软件分类单元,用于在所述对抗卸载软件识别单元识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类:
当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其划分为安全软件;
当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其划分为恶意软件;
当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
在本申请的一种优选实施方式中,所述反编译结果检测单元检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,包括:
检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
android.app.action.DEVICE_ADMIN_ENABLED属性;
在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件没有添加
android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
在本申请的一种优选实施方式中,所述反编译结果检测单元检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,包括:
根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;
根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
检测所述BroadcastReceiver代码中是否存在
onDisableRequested函数和onDisabled函数;
在onDisableRequested函数和onDisabled函数不都存在的情况下,
确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第 二特征;
在仅存在onDisableRequested函数的情况下,
进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
在仅存在onDisabled函数的情况下,
进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在onDisableRequested函数和onDisabled函数都存在的情况下,
进一步检测所述onDisableRequested函数、onDisabled函数、onDisableRequested函数调用的子函数或onDisabled函数调用的子函数中是否存在对抗特征;
在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在本申请的一种优选实施方式中,所述对抗特征包括:调用系统锁屏函数、返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
本申请实施例第三方面提供了一种电子设备,包括:
处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行本申请实施例所提供的任意一种利用Android设备管理器对抗卸载的软件的识别方法。
本申请实施例第四方面提供了一种存储介质,用于存储应用程序,所述应用程序用于执行本申请实施例所提供的任意一种利用Android设备管理器对抗卸载的软件的识别方法。
本申请实施例第五方面提供了一种应用程序,用于执行本申请实施例所提供的任意一种利用Android设备管理器对抗卸载的软件的识别方法。
由上述的技术方案可见,本申请通过由服务器对目标软件的APK进行反编译后,检测其否具有利用设备管理器漏洞和/或是否具有通过接收取消激活设备管理器广播对抗卸载,并根据检测结果识别出利用Android设备管理器对抗卸载的软件。
由于整个识别过程由服务器完成,与现有技术相比,不需要大量的分析人员,人力成本降低,识别效率也比较高。
附图说明
为了更清楚地说明本发明实施例和现有技术的技术方案,下面对实施例和现有技术中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的第一种利用Android设备管理器对抗卸载的软件的识别方法流程图;
图2为本申请提供的第二种利用Android设备管理器对抗卸载的软件的识别方法流程图;
图3为本申请提供的第三种利用Android设备管理器对抗卸载的软件的识别方法流程图;
图4为本申请提供的第一种利用Android设备管理器对抗卸载的软件的识别装置示意图;
图5为本申请提供的第二种利用Android设备管理器对抗卸载的软件的识别装置结构示意图;
图6为本申请提供的第三种利用Android设备管理器对抗卸载的软件的识 别装置结构示意图。
具体实施方式
为使本申请的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本申请进一步详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着Android系统的不断普及,针对Android系统的恶意软件的数量成上升趋势。在这些恶意软件中,有一部分是专门针对Android系统的设备管理器设计的。
Android系统设备管理器的作用是,当用户激活软件为设备管理器后,用户将无法直接将其卸载,只有先将该软件取消激活设备管理器后,才能将其卸载。这些恶意软件正是利用该原理,通过阻止用户取消激活设备管理器来对抗卸载,进而危害用户。
本申请申请人通过研究发现,软件阻止用户取消激活设备管理器目前有两种方法:
第一种是软件利用设备管理器漏洞将其标识信息从设备管理器列表隐藏掉。
在Android系统中,当一个软件激活为设备管理器后,它会注册
android.app.action.DEVICE_ADMIN_ENABLED属性,
这样该软件就会在设备管理器列表中显示其标识信息,这里所说标识信息是指能将该软件与其它软件相区别的信息,例如该软件的名称等。当用户想卸载该软件时,就可以在设备管理器列表中找到该软件的标识信息,并将其取消激活设备管理器,然后进行卸载。
而设备管理器的漏洞就在于如果一个软件不注册
android.app.action.DEVICE_ADMIN_ENABLED属性,
它仍然可以激活为设备管理器,并且其标识信息可以不在设备管理器列表中显示。在这种情况下,用户想卸载该软件,会由于在设备管理器列表中找不到该软件的标识信息而无法对其取消激活设备管理器,也就无法对其进行卸载。
第二种是软件注册BroadcastReceiver(广播接收者)接收取消激活设备管理器广播,并调用锁屏、启动其他界面、返回桌面等相关代码,阻止用户进行一步的取消激活设备管理器操作。
针对上述的两种阻止用户取消激活设备管理器的方法,本申请提供了一种利用Android设备管理器对抗卸载的软件的识别方法,应用于服务器,可以执行步骤:
对目标软件的APK进行反编译操作,得到反编译结果;
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在所述反编译结果具有第一特征或第二特征中任意一项的情况下,识别所述目标软件为利用Android设备管理器对抗卸载的软件。
本申请通过由服务器对目标软件的APK进行反编译后,检测其否具有利用设备管理器漏洞和/或是否具有通过接收取消激活设备管理器广播对抗卸载,并根据检测结果识别出该目标软件是否为利用Android设备管理器对抗卸载的软件。
由于整个识别过程由服务器完成,与现有技术相比,不需要大量的分析人员,人力成本降低,识别效率也比较高。
下面将结合本申请施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,一种利用Android设备管理器对抗卸载的软件的识别方法,应用于服务器,可以执行步骤:
S101,对目标软件的APK进行反编译操作,得到反编译结果。
S102,对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
S103,根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
根据前面对软件阻止用户取消激活设备管理器所采用的两种方法的分析,本申请实施例具体实施过程中,可以包括四种方案。
第一种方案是:当在服务器下载了一个未知的软件后,可以将其设定为目标软件,并由服务器自动对其进行如下处理:
对目标软件的APK进行反编译操作,得到反编译结果,然后检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,如果反编译结果具有第一特征,那么就可以识别所述目标软件为利用Android设备管理器对抗卸载的软件。如果反编译结果不具有第一特征,那么就可以识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
在实际检测过程中,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征的方法,可以包括:
检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
android.app.action.DEVICE_ADMIN_ENABLED属性;
在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件没有添加
android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
第二种方案是:当在服务器下载了一个未知的软件后,可以将其设定为目标软件,并由服务器自动对其进行如下处理:
对目标软件的APK进行反编译操作,得到反编译结果,然后检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;如果反编译结果具有第二特征,那么就可以识别所述目标软件为利用Android设备管理器对抗卸载的软件。如果反编译结果不具有第二特征,那么就可以识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
由于软件在注册Android系统设备管理器时,会注册BroadcastReceiver来接收系统发出的广播,通常该BroadcastReceiver会有onDisableRequested和onDisabled两个函数处理系统发出的不同广播。
当用户点击取消激活设备管理器,系统会发送一条广播,该软件的onDisableRequested函数会处理该广播。当设备管理器取消激活成功后,该软件的onDisabled函数会处理对应的广播。所以,恶意软件会在这两个函数添加对抗特征来阻止用户取消激活设备管理器。
因此,在实际检测过程中,检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的方法,可以包括:
根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;
根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
检测所述BroadcastReceiver代码中是否存在
onDisableRequested函数和onDisabled函数;
在onDisableRequested函数和onDisabled函数不都存在的情况下,
确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二特征;
在仅存在onDisableRequested函数的情况下,
进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
在仅存在onDisabled函数的情况下,
进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在onDisableRequested函数和onDisabled函数都存在的情况下,
进一步检测
所述onDisableRequested函数及其调用的子函数、所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在此方案中的对抗特征优选为:调用系统锁屏函数、返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
可以理解的是,这些对抗特征表现在函数中就是与之相应的代码,本领域技术人员可以根据本申请在此对对抗特征的描述而知晓与之相对应的代码。
如图2所示,第三种方案是:在服务器下载了一个未知的软件后,可以 将其设定为目标软件,并由服务器自动对其进行如下处理:
首先执行S101,对目标软件的APK进行反编译操作,得到反编译结果,然后执行S102a,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,如果反编译结果具有第一特征,那么就可以执行S103,识别所述目标软件为利用Android设备管理器对抗卸载的软件。
如果反编译结果不具有第一特征,则执行S102b,进一步检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;如果反编译结果具有第二特征,那么就可以执行S103,识别所述目标软件为利用Android设备管理器对抗卸载的软件。
如果反编译结果不具有第二特征,那么就可以执行S104,识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
当然,可以理解的是,在上述的第三种方案中,也可以先检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在所述反编译结果不具有所述第二特征的情况下,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
第四种方案是:在服务器下载了一个未知的软件后,就可以将其设定为目标软件,并由服务器自动对其进行如下处理:
首先对目标软件的APK进行反编译操作,得到反编译结果;
然后,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,得到第一次检测结果;
再检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,得到第二次检测结果;
综合两次检测结果,如果在两次检测结果中,反编译结果具有第一特征或第二特征中任意一项,就识别所述目标软件为利用Android设备管理器对抗 卸载的软件。如果在两次检测结果中,反编译结果既不具有第一特征,也不具有第二特征,就识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
当然,可以理解的是,在上述的第四种方案中,也可以先检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
再检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
需要说明的是,在第三种方案及第四种方案中,对反编译结果是否具有利用设备管理器漏洞的第一特征的检测,可以采用第一种方案中相应的检测方法。
在第三种方案及第四种方案中,对反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的检测,可以采用第二种方案中相应的检测方法。
在实际应用中,有些杀毒软件以及监控类软件,为了防止被恶意卸载,也会阻止取消激活设备管理器。这些杀毒软件以及监控类软件是安全的,不会对用户造成危害,因此,需要将其与恶意软件进行区分。
为达到上述的目的,在本申请的一种优选实施方式,如图3所示,还可以增加一个分类机制,即在执行S103,根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,执行S105,对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类。分类目的是要将对用户无害的安全软件与对用户用害的恶意软件进行区别,可以采用现有技术的相关技术方案实现,本申请在此不作具体限定。
例如,当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,可以将其划分为安全软件;
当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,可 以将其划分为恶意软件;
当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
分类后,对于安全软件,可以不去处理,对于恶意软件,可以将其记录在恶意软件的数据库中,以便进行进一步的处理,例如对该软件进行查杀等。对于可疑软件,需要对其进一步的人工分析,以确定其是否为恶意软件。
需要说明的是,本申请以上各实施方案,即可以单独实施,也可以结合在一起实施,具体采用何种实施方式,本领域技术人员可以自行确定,本申请在此不作具体限定。
相应于上面的方法实施例,本申请还提供了一种利用Android设备管理器对抗卸载的软件的识别装置,应用于服务器,如图4所示,该装置与图1所示的方法流程对应,可以包括:
反编译单元101,用于对目标软件的APK进行反编译操作,得到反编译结果;
反编译结果检测单元102,用于对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
对抗卸载软件识别单元103,用于根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
本申请通过由服务器对目标软件的APK进行反编译后,检测其否具有利用设备管理器漏洞和/或是否具有通过接收取消激活设备管理器广播对抗卸载,并根据检测结果识别出目标软件是否为利用Android设备管理器对抗卸载的软件。
由于整个识别过程由服务器完成,与现有技术相比,不需要大量的分析人员,人力成本降低,识别效率也比较高。
在本申请实施例的一种优选实施方案中,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征的情况下,反编译结果检测单元102具体可以用于检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
在所述反编译结果具有利用设备管理器漏洞的第一特征的情况下,触发对抗卸载软件识别单元103识别所述目标软件为利用Android设备管理器对抗卸载的软件。在所述反编译结果不具有利用设备管理器漏洞的第一特征的情况下,触发对抗卸载软件识别单元103识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
在本申请实施例的一种优选实施方案中,在所述检测包括检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,反编译结果检测单元102具体可以用于检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征情况下,触发对抗卸载软件识别单元103识别所述目标软件为利用Android设备管理器对抗卸载的软件。在所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征情况下,触发对抗卸载软件识别单元103识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
在本申请实施例的一种优选实施方案中,如图5所示,可以跟图2所示的方法流程对应,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,反编译结果检测单元102可以包括第一特征检测子单元102a,第二特征检测子单元102b;第一特征检测子单元102a 用于检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;
在所述反编译结果具有所述第一特征的情况下,触发对抗卸载软件识别单元103识别所述目标软件为利用Android设备管理器对抗卸载的软件。
在所述反编译结果不具有所述第一特征的情况下,触发所述第二特征检测子单元102b检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
在所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征情况下,触发对抗卸载软件识别单元103识别所述目标软件为利用Android设备管理器对抗卸载的软件。
在所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征情况下,触发对抗卸载软件识别单元103识别所述目标软件为非利用Android设备管理器对抗卸载的软件。
当然,也可以由第二特征检测子单元102b先检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
并在所述反编译结果不具有所述第二特征的情况下,触发所述第一特征检测子单元102a检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
第一特征检测子单元102a检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,然后由第二特征检测子单元102b检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
如果在两次检测结果中,反编译结果具有第一特征或第二特征中任意一项,则触发对抗卸载软件识别单元103识别所述目标软件为利用Android设备管理器对抗卸载的软件。如果在两次检测结果中,反编译结果既不具有第一特征,也不具有第二特征,则触发对抗卸载软件识别单元103识别所述目标 软件为非利用Android设备管理器对抗卸载的软件。
当然,也可以由第二特征检测子单元102b先检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;然后由第一特征检测子单元102a检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
在本申请上述的各实施方案中,反编译结果检测单元102检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,可以包括:
检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
android.app.action.DEVICE_ADMIN_ENABLED属性;
在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
在所述目标软件没有添加
android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
可以理解的是,也可以采用其它方法来检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,本领域技术人员可以根据实际情况进行选择。
在本申请上述的各实施方案中,反编译结果检测单元102检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,可以包括:根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类 的位置;
根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
检测所述BroadcastReceiver代码中是否存在
onDisableRequested函数和onDisabled函数;
在onDisableRequested函数和onDisabled函数不都存在的情况下,
确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二特征;
在仅存在onDisableRequested函数的情况下,
进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
在仅存在onDisabled函数的情况下,
进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
在onDisableRequested函数和onDisabled函数都存在的情况下,
进一步检测所述onDisableRequested函数、onDisabled函数、onDisableRequested函数调用的子函数或onDisabled函数调用的子函数中是否存在对抗特征;
在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
可以理解的是,也可以采用其它方法来检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,本领域技术人员可以根据实际情况进行选择。
在上述检测第二特征的过程中,对抗特征优选为:调用系统锁屏函数、 返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
在本申请实施例的一种优选实施方案中,如图6所示,可以跟图3所示的方法流程对应,还包括软件分类单元105,用于在对抗卸载软件识别单元103识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类。
分类目的是要将对用户无害的安全软件与对用户用害的恶意软件进行区别,可以采用现有技术的相关技术方案实现,本申请在此不作具体限定,
例如,当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其划分为安全软件;
当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其划分为恶意软件;
当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
分类后,对于安全软件,可以不去处理,对于恶意软件,可以将其记录在一个恶意软件的数据库中,以便进行进一步的处理,例如对该软件进行查杀等。对于可疑软件,需要对其进一步的人工分析,以确定其是否为恶意软件。
对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,本申请实施例还提供了一种电子设备,可以包括:
处理器、存储器、通信接口和总线;
所述处理器、所述存储器和所述通信接口通过所述总线连接并完成相互间的通信;
所述存储器存储可执行程序代码;
所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法;其中,本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法可以包括:
对目标软件的APK进行反编译操作,得到反编译结果;
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
另外,本申请实施例还提供了一种存储介质,用于存储应用程序,所述应用程序用于执行本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法;其中,本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法可以包括:
对目标软件的APK进行反编译操作,得到反编译结果;
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
另外,本申请实施例还提供了一种应用程序,用于执行本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法;其中,本申请实施例所提供的一种利用Android设备管理器对抗卸载的软件的识别方法可以包括:
对目标软件的APK进行反编译操作,得到反编译结果;
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (14)

  1. 一种利用Android设备管理器对抗卸载的软件的识别方法,其特征在于,应用于服务器,执行步骤:
    对目标软件的APK进行反编译操作,得到反编译结果;
    对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
  2. 如权利要求1所述的方法,其特征在于,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测具体为:
    检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;
    在所述反编译结果不具有所述第一特征的情况下,检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
  3. 如权利要求1所述的方法,其特征在于,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测具体为:
    检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    在所述反编译结果不具有所述第二特征的情况下,检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
  4. 如权利要求1所述的方法,其特征在于,在所述识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,进一步包括:
    对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类:
    当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其划分为安全软件;
    当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其划分为恶意软件;
    当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
  5. 如权利要求1-4中任意一项所述的方法,其特征在于,所述检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,包括:
    检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
    在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
    在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
    android.app.action.DEVICE_ADMIN_ENABLED属性;
    在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
    在所述目标软件没有添加
    android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
  6. 如权利要求1-4中任意一项所述的方法,其特征在于,所述检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,包括:
    根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;
    根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
    检测所述BroadcastReceiver代码中是否存在
    onDisableRequested函数和onDisabled函数;
    在onDisableRequested函数和onDisabled函数不都存在的情况下,
    确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二特征;
    在仅存在onDisableRequested函数的情况下,
    进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
    在仅存在onDisabled函数的情况下,
    进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
    在onDisableRequested函数和onDisabled函数都存在的情况下,
    进一步检测
    所述onDisableRequested函数及其调用的子函数、所述onDisabled函数及其调用的子函数中是否存在对抗特征;
    在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
  7. 如权利要求6所述的方法,其特征在于,所述对抗特征包括:调用系统锁屏函数、返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
  8. 一种利用Android设备管理器对抗卸载的软件的识别装置,其特征在于,应用于服务器,所述装置包括:
    反编译单元,用于对目标软件的APK进行反编译操作,得到反编译结果;
    反编译结果检测单元,用于对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    对抗卸载软件识别单元,用于根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。
  9. 如权利要求8所述的装置,其特征在于,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述反编译结果检测单元包括第一特征检测子单元,第二特征检测子单元;
    所述第一特征检测子单元用于检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;
    并在所述反编译结果不具有所述第一特征的情况下,触发所述第二特征检测子单元检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
  10. 如权利要求8所述的装置,其特征在于,在所述检测包括检测所述反编译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述反编译结果检测单元包括第一特征检测子单元,第二特征检测子单元;
    所述第二特征检测子单元用于检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    并在所述反编译结果不具有所述第二特征的情况下,触发所述第一特征检测子单元检测所述反编译结果是否具有利用设备管理器漏洞的第一特征。
  11. 如权利要求8所述的装置,其特征在于,还包括软件分类单元,用于在所述对抗卸载软件识别单元识别所述目标软件是否为利用Android设备管理器对抗卸载的软件之后,对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设的黑名单进行分类:
    当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其划分为安全软件;
    当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其划分为恶意软件;
    当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又不符合预设的黑名单时,将其划分为可疑软件。
  12. 如权利要求8-11中任意一项所述的装置,其特征在于,所述反编译结果检测单元检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,包括:
    检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;
    在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
    在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,进一步检测所述目标软件是否添加
    android.app.action.DEVICE_ADMIN_ENABLED属性;
    在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;
    在所述目标软件没有添加
    android.app.action.DEVICE_ADMIN_ENABLED属性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。
  13. 如权利要求8-11中任意一项所述的装置,其特征在于,所述反编译结果检测单元检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,包括:
    根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;
    根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;
    检测所述BroadcastReceiver代码中是否存在
    onDisableRequested函数和onDisabled函数;
    在onDisableRequested函数和onDisabled函数不都存在的情况下,
    确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二特征;
    在仅存在onDisableRequested函数的情况下,
    进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗特征;
    在仅存在onDisabled函数的情况下,
    进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;
    在onDisableRequested函数和onDisabled函数都存在的情况下,
    进一步检测所述onDisableRequested函数、onDisabled函数、onDisableRequested函数调用的子函数或onDisabled函数调用的子函数中是否存在对抗特征;
    在不存在对抗特征的情况下,确定所述反编译结果不具有通过接收取消激活设备管理器广播对抗卸载的第二特征;
    在存在对抗特征的情况下,确定所述反编译结果具有通过接收取消激活设备管理器广播对抗卸载的第二特征。
  14. 如权利要求13所述的装置,其特征在于,所述对抗特征包括:调用系统锁屏函数、返回桌面、启动其他Activity覆盖当前窗口、启动悬浮窗覆盖当期窗口以及调用系统激活设备管理器界面中的至少一项。
PCT/CN2015/082378 2014-07-18 2015-06-25 一种利用Android设备管理器对抗卸载的软件的识别方法及装置 WO2016008355A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201410345647.8A CN104123499B (zh) 2014-07-18 2014-07-18 一种利用Android设备管理器对抗卸载的软件的识别方法及装置
CN201410345647.8 2014-07-18

Publications (1)

Publication Number Publication Date
WO2016008355A1 true WO2016008355A1 (zh) 2016-01-21

Family

ID=51768907

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2015/082378 WO2016008355A1 (zh) 2014-07-18 2015-06-25 一种利用Android设备管理器对抗卸载的软件的识别方法及装置

Country Status (2)

Country Link
CN (1) CN104123499B (zh)
WO (1) WO2016008355A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104123499B (zh) * 2014-07-18 2017-09-01 北京金山安全软件有限公司 一种利用Android设备管理器对抗卸载的软件的识别方法及装置
CN106909809A (zh) * 2015-12-23 2017-06-30 北京奇虎科技有限公司 建立设备管理器的方法及装置
CN106934290B (zh) * 2015-12-31 2020-07-07 阿里巴巴集团控股有限公司 漏洞检测方法及装置
CN107203369A (zh) 2016-03-16 2017-09-26 阿里巴巴集团控股有限公司 基于Android的弹框提示方法及装置
CN105955789B (zh) * 2016-05-18 2019-08-16 Oppo 广东移动通信有限公司 一种应用程序卸载方法、装置及设备
CN110826068B (zh) * 2019-11-01 2022-03-18 海南车智易通信息技术有限公司 安全检测方法和安全检测系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
CN103218566A (zh) * 2013-01-25 2013-07-24 江南大学 基于Android平台软件行为检测的主动防御系统
CN103824016A (zh) * 2013-11-28 2014-05-28 北京奇虎科技有限公司 应用防卸载方法及设备
CN104123499A (zh) * 2014-07-18 2014-10-29 北京金山安全软件有限公司 一种利用Android设备管理器对抗卸载的软件的识别方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101154258A (zh) * 2007-08-14 2008-04-02 电子科技大学 恶意程序动态行为自动化分析系统与方法
CN103218566A (zh) * 2013-01-25 2013-07-24 江南大学 基于Android平台软件行为检测的主动防御系统
CN103824016A (zh) * 2013-11-28 2014-05-28 北京奇虎科技有限公司 应用防卸载方法及设备
CN104123499A (zh) * 2014-07-18 2014-10-29 北京金山安全软件有限公司 一种利用Android设备管理器对抗卸载的软件的识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Zpsemo [original] Virus analysis for an apk disguised as a bank plug-in (attached source code", 12 November 2013 (2013-11-12), pages 1 - 9, Retrieved from the Internet <URL:http://bbs.pediy.com/showthread.php?t=181324> *

Also Published As

Publication number Publication date
CN104123499A (zh) 2014-10-29
CN104123499B (zh) 2017-09-01

Similar Documents

Publication Publication Date Title
WO2016008355A1 (zh) 一种利用Android设备管理器对抗卸载的软件的识别方法及装置
US10382468B2 (en) Malware identification via secondary file analysis
US10389740B2 (en) Detecting a malicious file infection via sandboxing
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
Zhang et al. Semantics-aware android malware classification using weighted contextual api dependency graphs
EP3420489B1 (en) Cybersecurity systems and techniques
US8782791B2 (en) Computer virus detection systems and methods
US8719935B2 (en) Mitigating false positives in malware detection
US10496826B2 (en) Device based automated threat detection and response
US20130232576A1 (en) Systems and methods for cyber-threat detection
US20140053267A1 (en) Method for identifying malicious executables
US9323925B2 (en) Method and system for prevention of windowless screen capture
US20210019398A1 (en) System and method for creating antivirus records for antivirus applications
US11200317B2 (en) Systems and methods for protecting a computing device against malicious code
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
US10853492B2 (en) Systems and methods for protecting a computing device against malicious code
US10489593B2 (en) Mitigation of malicious actions associated with graphical user interface elements
Lim et al. Mal-ONE: A unified framework for fast and efficient malware detection
US10880316B2 (en) Method and system for determining initial execution of an attack
WO2020134033A1 (zh) 用于确定应用程序在运行时的安全性的方法及其装置
Short et al. Android smartphone third party advertising library data leak analysis
KR101880689B1 (ko) 악성코드 진단장치 및 방법
Shen et al. Toward efficient dynamic analysis and testing for Android malware
US10606965B2 (en) System and method for emulation of unprivileged code in a simulated environment

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15821612

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC ( EPO FORM 1205A DATED 23/05/2017 )

122 Ep: pct application non-entry in european phase

Ref document number: 15821612

Country of ref document: EP

Kind code of ref document: A1