[0085]進(jìn)一步可選的�,所述裝置還可以包括:
[0086]第一接收模塊203,用于接收所述服務(wù)器發(fā)送的惡意程序判斷結(jié)果�;
[0087]刪除模塊204,用于當(dāng)所述判斷結(jié)果表明所述應(yīng)用程序為惡意程序時�����,刪除所述應(yīng)用程序���。
[0088]通過監(jiān)控所述應(yīng)用程序確實是周期性頻繁的調(diào)用ACTIVITY�、系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件��,以及上傳所述應(yīng)用程序的特征信息到服務(wù)器進(jìn)行判斷���,結(jié)合判定結(jié)果則可以準(zhǔn)確判定所述應(yīng)用程序是否為惡意程序�,然后進(jìn)一步刪除該惡意應(yīng)用���。
[0089]進(jìn)一步可選的�����,所述裝置還可以包括:
[0090]第二接收模塊205��,用于接收所述服務(wù)器發(fā)送的惡意程序處理信息���;
[0091]解密模塊206���,用于當(dāng)所述處理信息表明所述文件為惡意程序加密過的文件時,根據(jù)所述惡意程序處理信息對所述文件進(jìn)行解密��。
[0092]進(jìn)一步可選的��,所述裝置還可以包括:
[0093]第二上傳模塊207����,用于向服務(wù)器上傳所述惡意程序的處理結(jié)果。
[0094]圖6是本發(fā)明實施例提供的一種Android惡意程序處理裝置結(jié)構(gòu)示意圖�,在本發(fā)明實施例中,該裝置包括:
[0095]第二監(jiān)控模塊300�,用于監(jiān)控所述惡意程序?qū)τ贏CTIVITY的第一調(diào)用周期T1 ;
[0096]設(shè)置模塊301�����,用于設(shè)置第二調(diào)用周期T2,其中T2小于T1 �����;
[0097]啟動模塊302��,用于啟動惡意程序刪除引導(dǎo)程序��,使惡意程序刪除引導(dǎo)程序以第二調(diào)用周期T2調(diào)用ACTIVITY;
[0098]解密模塊303����,用于調(diào)用預(yù)設(shè)解密算法函數(shù)����,使用預(yù)設(shè)密鑰字符串對所述惡意程序加密過的文件進(jìn)行解密。
[0099]具體的��,所述預(yù)設(shè)解密算法函數(shù)和預(yù)設(shè)密鑰字符串由本地或服務(wù)器端獲得����。
[0100]需要說明的是,本說明書中的各個實施例著重描述與其他實施例不同之處�,各個實施例之間相同相似的部分互相參見即可。尤其對于裝置實施例而言����,由于其基本相似于方法實施例�����,所以描述得比較簡單����,相關(guān)之處參見方法實施例的部分說明即可����。
[0101]本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成����,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時��,可包括如上述各方法的實施例的流程�����。其中����,所述的存儲介質(zhì)可為磁碟�����、光盤��、只讀存儲記憶體(Read-Only Memory, ROM)或隨機(jī)存儲記憶體(Random AccessMemory, RAM)等。
[0102]以上所揭露的僅為本發(fā)明一種較佳實施例而已��,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍��,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分流程�����,并依本發(fā)明權(quán)利要求所作的等同變化��,仍屬于發(fā)明所涵蓋的范圍��。
【主權(quán)項】
1.一種Android惡意程序檢測方法�����,其特征在于���,包括: 監(jiān)控應(yīng)用程序?qū)τ贏CTIVITY的調(diào)用是否符合預(yù)設(shè)規(guī)則��,以及��,系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件���; 基于所述監(jiān)控的結(jié)果確定所述應(yīng)用程序是否為惡意程序�。2.如權(quán)利要求1所述的方法�����,其特征在于�����,所述預(yù)設(shè)規(guī)則包括: 所述應(yīng)用程序周期性的調(diào)用所述ACTIVITY�����。3.如權(quán)利要求1所述的方法����,其特征在于,監(jiān)控系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件包括: 監(jiān)控所述系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定文件夾����。4.如權(quán)利要求1所述的方法�,其特征在于���,監(jiān)控系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件包括: 監(jiān)控所述系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定擴(kuò)展名文件����。5.如權(quán)利要求1所述的方法���,其特征在于,在基于所述監(jiān)控的結(jié)果確定所述應(yīng)用程序是否為惡意程序之前����,所述方法還包括: 上傳所述應(yīng)用程序?qū)?yīng)的特征信息至服務(wù)器,用以在服務(wù)器端基于所述特征信息判斷所述應(yīng)用程序是否為惡意程序���。6.如權(quán)利要求5所述的方法�����,其特征在于���,所述方法還包括: 接收所述服務(wù)器發(fā)送的惡意程序判斷結(jié)果�����,當(dāng)所述判斷結(jié)果表明所述應(yīng)用程序為惡意程序時�����,刪除所述應(yīng)用程序�。7.如權(quán)利要求5所述的方法�����,其特征在于����,所述方法還包括: 接收所述服務(wù)器發(fā)送的惡意程序處理信息,當(dāng)所述處理信息表明所述文件為惡意程序加密過的文件時���,根據(jù)所述惡意程序處理信息對所述文件進(jìn)行解密����。8.如權(quán)利要求6或7所述的方法���,其特征在于�����,所述方法還包括:向服務(wù)器上傳所述惡意程序的處理結(jié)果�。9.一種Android惡意程序處理方法,其特征在于�,所述方法適用于處理權(quán)利要求1至8中任一權(quán)利要求所述的惡意程序,所述方法包括: 監(jiān)控所述惡意程序?qū)τ贏CTIVITY的第一調(diào)用周期T1 ��; 設(shè)置第二調(diào)用周期T2�,其中T2小于T1 ; 啟動惡意程序刪除引導(dǎo)程序���,使所述惡意程序刪除引導(dǎo)程序以第二調(diào)用周期T2調(diào)用ACTIVITY �; 調(diào)用預(yù)設(shè)解密算法函數(shù)��,使用預(yù)設(shè)密鑰字符串對所述惡意程序加密過的文件進(jìn)行解Γ t I ο10.如權(quán)利要求9所述的方法����,其特征在于��,所述預(yù)設(shè)解密算法函數(shù)和預(yù)設(shè)密鑰字符串由本地或服務(wù)器端獲得�。11.一種Android惡意程序檢測裝置,其特征在于����,包括: 第一監(jiān)控模塊��,用于監(jiān)控應(yīng)用程序?qū)τ贏CTIVITY的調(diào)用是否符合預(yù)設(shè)規(guī)則�,以及�,系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件; 判斷模塊��,用于基于所述監(jiān)控的結(jié)果確定所述應(yīng)用程序是否為惡意程序�����。12.如權(quán)利要求11所述的裝置���,其特征在于�����,所述預(yù)設(shè)規(guī)則包括:所述應(yīng)用程序周期性的調(diào)用所述ACTIVITY���。13.如權(quán)利要求11所述的裝置,其特征在于�����,所述第一監(jiān)控模塊具體用于監(jiān)控所述系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定文件夾。14.如權(quán)利要求11所述的裝置��,其特征在于����,所述第一監(jiān)控模塊具體還用于監(jiān)控所述系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定擴(kuò)展名文件。15.如權(quán)利要求11所述的裝置����,其特征在于,所述裝置還包括: 第一上傳模塊����,用于上傳所述應(yīng)用程序?qū)?yīng)的特征信息至服務(wù)器,用以在服務(wù)器端基于所述特征信息判斷所述應(yīng)用程序是否為惡意程序�����。16.如權(quán)利要求11所述的裝置��,其特征在于�����,所述裝置還包括: 第一接收模塊�����,用于接收所述服務(wù)器發(fā)送的惡意程序判斷結(jié)果��; 刪除模塊��,用于當(dāng)所述判斷結(jié)果表明所述應(yīng)用程序為惡意程序時����,刪除所述應(yīng)用程序。17.如權(quán)利要求11所述的裝置��,其特征在于�,所述裝置還包括: 第二接收模塊,用于接收所述服務(wù)器發(fā)送的惡意程序處理信息����; 解密模塊,用于當(dāng)所述處理信息表明所述文件為惡意程序加密過的文件時���,根據(jù)所述惡意程序處理信息對所述文件進(jìn)行解密���。18.如權(quán)利要求16或17所述的裝置,其特征在于,所述裝置還包括: 第二上傳模塊�,用于向服務(wù)器上傳所述惡意程序的處理結(jié)果。19.一種Android惡意程序處理裝置����,其特征在于,所述裝置適用于處理權(quán)利要求1至8中任一權(quán)利要求所述的惡意程序�,所述裝置包括: 第二監(jiān)控模塊,用于監(jiān)控所述惡意程序?qū)τ贏CTIVITY的第一調(diào)用周期T1 ����; 設(shè)置模塊,用于設(shè)置第二調(diào)用周期T2����,其中T2小于T1 ; 啟動模塊����,用于啟動惡意程序刪除引導(dǎo)程序,使惡意程序刪除引導(dǎo)程序以第二調(diào)用周期 T2 調(diào)用 ACTIVITY �����; 解密模塊����,用于調(diào)用預(yù)設(shè)解密算法函數(shù),使用預(yù)設(shè)密鑰字符串對所述惡意程序加密過的文件進(jìn)行解密�����。20.如權(quán)利要求19所述的裝置�����,其特征在于����,所述預(yù)設(shè)解密算法函數(shù)和預(yù)設(shè)密鑰字符串由本地或服務(wù)器端獲得。21.—種終端設(shè)備�,其特征在于,包含如權(quán)利要求11-20中任一項所述的裝置�。
【專利摘要】本發(fā)明實施例公開了一種Android惡意程序檢測方法,包括:監(jiān)控應(yīng)用程序?qū)τ贏CTIVITY的調(diào)用是否符合預(yù)設(shè)規(guī)則��,以及����,系統(tǒng)中是否存在與所述應(yīng)用程序?qū)?yīng)的特定類型文件;基于所述監(jiān)控的結(jié)果確定所述應(yīng)用程序是否為惡意程序�。本發(fā)明還公開了一種Android惡意程序檢測裝置,以及一種Android惡意程序處理方法和裝置和一種智能終端設(shè)備。通過實施本發(fā)明技術(shù)方案����,能夠準(zhǔn)確檢測和處理用戶移動設(shè)備操作系統(tǒng)中安裝的通過控制用戶桌面、阻止用戶進(jìn)行卸載��、對用戶文件進(jìn)行加密���,達(dá)到勒索訛詐用戶目的的惡意應(yīng)用�����,提高了系統(tǒng)的安全性���。
【IPC分類】G06F21/56
【公開號】CN105335654
【申請?zhí)枴緾N201410302960
【發(fā)明人】沈江波, 陳章群, 張楠, 陳勇
【申請人】北京金山安全軟件有限公司
【公開日】2016年2月17日
【申請日】2014年6月27日
【公告號】WO2015196982A1