一種Android惡意程序檢測和處理方法、裝置及設備的制造方法
【技術領域】
[0001]本發(fā)明涉及移動互聯網信息安全技術領域���,尤其涉及一種惡意病毒檢測和處理方法�、裝置及設備。
【背景技術】
[0002]隨著Android系統的發(fā)展����,Android系統中的應用程序也越來越多,通常情況下���,在基于Android系統的移動終端設備中�����,所有安裝的應用程序都可以在系統設置中進行管理,其中包括應用程序的停止�����、卸載等���。
[0003]由于Android系統應用程序的來源比較廣泛�����,用戶通常對安裝的應用程序是否為惡意程序沒有辨別能力����,而惡意應用程序一旦安裝之后,將會對用戶帶來諸多的不便���。一個典型的例子便是如Cryptolocker之類的惡意應用程序�,該類惡意應用會控制用戶設備桌面并不斷要求用戶支付罰款以解除鎖定�����;另外還會使用加密算法對用戶設備中的數據文件進行加密���,常見的加密數據對象包括用戶的音頻��、視頻文件����,使用戶無法正常訪問和使用這些數據文件�。用戶必須完成付款之后才能解除鎖定,解密音頻視頻文件��,使設備恢復正常使用�,如果用戶試圖進行其他點擊或者操作來卸載該惡意應用,則該惡意應用會自動取消用戶行為并再度要求用戶付費�����。通常一旦用戶設備操作系統感染此類惡意應用病毒,用戶將無法移除該惡意應用��,用戶設備將會變成完全不可用狀態(tài)�,唯一的解決辦法只能送回原廠進行重置,而重置行為將完全摧毀用戶存儲的資料���,給用戶帶來不可彌補的損失�����。進一步的�����,即使用戶卸載了該惡意程序,但是被惡意程序加密過的文件依然不能正常使用�����,用戶資料只能作為無用文件進行處理���,這樣也給用戶帶來了很多困擾����。
【發(fā)明內容】
[0004]本發(fā)明實施例提供一種Android惡意應用檢測和處理方法,能夠準確檢測出用戶移動設備操作系統中是否安裝了此類通過控制用戶桌面�、阻止用戶進行卸載,并對用戶文件進行加密�����,達到勒索訛詐用戶目的的惡意應用���。
[0005]本發(fā)明實施例提供一種Android惡意程序檢測方法���,包括:
[0006]監(jiān)控應用程序對于ACTIVITY的調用是否符合預設規(guī)則,以及�����,系統中是否存在與所述應用程序對應的特定類型文件���;
[0007]基于所述監(jiān)控的結果確定所述應用程序是否為惡意程序�。
[0008]本發(fā)明實施例還提供一種Android惡意程序處理方法��,所述方法適用于上述的惡意程序���,所述方法包括:
[0009]監(jiān)控所述惡意程序對于ACTIVITY的第一調用周期T1 ���;
[0010]設置第二調用周期T2�,其中T2小于T1 �;
[0011]啟動惡意程序刪除引導程序,使所述惡意程序刪除引導程序以第二調用周期T2調用 ACTIVITY �;
[0012]調用預設解密算法函數,使用預設密鑰字符串對所述惡意程序加密過的文件進行解密��。
[0013]相應的�,本發(fā)明實施例還提供一種Android惡意程序裝置,包括:
[0014]第一監(jiān)控模塊�,用于監(jiān)控應用程序對于ACTIVITY的調用是否符合預設規(guī)則,以及��,系統中是否存在與所述應用程序對應的特定類型文件�����;
[0015]判斷模塊�,用于基于所述監(jiān)控的結果確定所述應用程序是否為惡意程序���。
[0016]相應的�,本發(fā)明實施例還提供一種Android惡意程序處理裝置,所述裝置適用于處理上述惡意程序�,所述裝置包括:
[0017]第二監(jiān)控模塊,用于監(jiān)控所述惡意程序對于ACTIVITY的第一調用周期T1 �;
[0018]設置模塊,用于設置第二調用周期T2�����,其中T2小于T1 �����;
[0019]啟動模塊�,用于啟動惡意程序刪除引導程序,使惡意程序刪除引導程序以第二調用周期T2調用ACTIVITY ���;
[0020]解密模塊�����,用于調用預設解密算法函數����,使用預設密鑰字符串對所述惡意程序加密過的文件進行解密。
[0021]實施本發(fā)明實施例��,具有如下有益效果:
[0022]通過監(jiān)控應用程序對于ACTIVITY的調用���,能夠定位到具體的應用程序����,當應用程序對ACTIVITY的調用符合預設的規(guī)則��,并且監(jiān)控中系統中存在于所述應用程序對應的特定類型文件時���,即可判定該應用程序為占據用戶桌面���、阻止用戶進行卸載、并對用戶文件進行加密的惡意程序�。通過本發(fā)明實施例,可準確檢測和處理此類Android惡意應用程序�����,保護用戶設備安全����。
【附圖說明】
[0023]為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹���,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例����,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下����,還可以根據這些附圖獲得其他的附圖。
[0024]圖1是本發(fā)明實施例提供的一種Android惡意應用檢測方法的流程示意圖���;
[0025]圖2是本發(fā)明實施例提供的一種Android惡意應用檢測方法的另一流程示意圖��;
[0026]圖3是本發(fā)明實施例提供的一種Android惡意程序處理方法流程示意圖�����;
[0027]圖4是本發(fā)明實施例提供的一種Android惡意程序檢測裝置的結構示意圖����;
[0028]圖5是本發(fā)明實施例提供的一種Android惡意程序檢測裝直的另一結構意圖;
[0029]圖6是本發(fā)明實施例提供的一種Android惡意程序處理裝置結構示意圖����。
【具體實施方式】
[0030]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚����、完整地描述,顯然���,所描述的實施例僅是本發(fā)明的一部分實施例���,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍。
[0031]Activity是Android組件中最基本也是最為常見用的四大組件(Activity,Service 服務�����,Content Provider 內容提供者����,BroadcastReceiver 廣播接收器)之一����。
[0032]Activity中所有操作都與用戶密切相關�����,是一個負責與用戶交互的組件�,在一個android應用中����,一個Activity通常就是一個單獨的屏幕,它上面可以顯示一些控件,也可以監(jiān)聽并處理用戶的事件做出響應�。
[0033]在android中,Activity擁有四種基本狀態(tài):
[0034]一個新Activity啟動入棧后����,它顯示在屏幕最前端,處理是處于棧的最頂端(Activity棧頂)����,此時它處于可見并可和用戶交互的激活狀態(tài),叫做活動狀態(tài)或者運行狀態(tài)(active OR running)�����。
[0035]當Activity失去焦點,被一個新的非全屏的Activity或者一個透明的Activity被放置在棧頂,此時的狀態(tài)叫做暫停狀態(tài)(Paused)�。此時它依然與窗口管理器保持連接,Activity依然保持活力(保持所有的狀態(tài)����,成員信息,和窗口管理器保持連接)�����,但是在系統內存極端低下的時候將被強行終止掉����。所以它仍然可見,但已經失去了焦點故不可與用戶進行交互�����。
[0036]如果一個Activity被另外的Activity完全覆蓋掉�,叫做停止狀態(tài)(Stopped)。它依然保持所有狀態(tài)和成員信息����,但是它不再可見����,所以它的窗口被隱藏��,當系統內存需要被用在其他地方的時候�,Stopped的Activity將被強行終止掉。
[0037]如果一個Activity是Paused或者Stopped狀態(tài),系統可以將該Activity從內存中刪除�����,Android系統采用兩種方式進行刪除�,要么要求該Activity結束����,要么直接終止它的進程。當該Activity再次顯示給用戶時���,它必須重新開始和重置前面的狀態(tài)����。
[0038]Android是通過一種Activity棧的方式來管理Activity的,一個Activity的實例的狀態(tài)決定它在棧中的位置���。處于前臺的Activity總是在棧的頂端���,當前臺的Activity因為異?���;蚱渌虮讳N毀時��,處于棧第二層的Activity將被激活��,上浮到棧頂�。當新的Activity啟動入棧時,原Activity會被壓入到棧的第二層���。一個Activity在棧中的位置變化反映了它在不同狀態(tài)間的轉換���。
[0039]Cryptolocker以及類似惡意應用即利用了 Activity的這種特性,通過不停調用新的Activity,生成新的屏幕,當用戶點擊其他操作時該應用會調用新的Act