一種Android惡意程序檢測和處理方法、裝置及設備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動互聯(lián)網(wǎng)信息安全技術(shù)領(lǐng)域，尤其涉及一種惡意病毒檢測和處理方法、裝置及設備。
【背景技術(shù)】
[0002]隨著Android系統(tǒng)的發(fā)展，Android系統(tǒng)中的應用程序也越來越多，通常情況下，在基于Android系統(tǒng)的移動終端設備中，所有安裝的應用程序都可以在系統(tǒng)設置中進行管理，其中包括應用程序的停止、卸載等。
[0003]由于Android系統(tǒng)應用程序的來源比較廣泛，用戶通常對安裝的應用程序是否為惡意程序沒有辨別能力，而惡意應用程序一旦安裝之后，將會對用戶帶來諸多的不便。一個典型的例子便是如Cryptolocker之類的惡意應用程序，該類惡意應用會控制用戶設備桌面并不斷要求用戶支付罰款以解除鎖定；另外還會使用加密算法對用戶設備中的數(shù)據(jù)文件進行加密，常見的加密數(shù)據(jù)對象包括用戶的音頻、視頻文件，使用戶無法正常訪問和使用這些數(shù)據(jù)文件。用戶必須完成付款之后才能解除鎖定，解密音頻視頻文件，使設備恢復正常使用，如果用戶試圖進行其他點擊或者操作來卸載該惡意應用，則該惡意應用會自動取消用戶行為并再度要求用戶付費。通常一旦用戶設備操作系統(tǒng)感染此類惡意應用病毒，用戶將無法移除該惡意應用，用戶設備將會變成完全不可用狀態(tài)，唯一的解決辦法只能送回原廠進行重置，而重置行為將完全摧毀用戶存儲的資料，給用戶帶來不可彌補的損失。進一步的，即使用戶卸載了該惡意程序，但是被惡意程序加密過的文件依然不能正常使用，用戶資料只能作為無用文件進行處理，這樣也給用戶帶來了很多困擾。

【發(fā)明內(nèi)容】

[0004]本發(fā)明實施例提供一種Android惡意應用檢測和處理方法，能夠準確檢測出用戶移動設備操作系統(tǒng)中是否安裝了此類通過控制用戶桌面、阻止用戶進行卸載，并對用戶文件進行加密，達到勒索訛詐用戶目的的惡意應用。
[0005]本發(fā)明實施例提供一種Android惡意程序檢測方法，包括:
[0006]監(jiān)控應用程序?qū)τ贏CTIVITY的調(diào)用是否符合預設規(guī)則，以及，系統(tǒng)中是否存在與所述應用程序?qū)奶囟愋臀募?br>[0007]基于所述監(jiān)控的結(jié)果確定所述應用程序是否為惡意程序。
[0008]本發(fā)明實施例還提供一種Android惡意程序處理方法，所述方法適用于上述的惡意程序，所述方法包括:
[0009]監(jiān)控所述惡意程序?qū)τ贏CTIVITY的第一調(diào)用周期T1 ；
[0010]設置第二調(diào)用周期T2，其中T2小于T1 ；
[0011]啟動惡意程序刪除引導程序，使所述惡意程序刪除引導程序以第二調(diào)用周期T2調(diào)用 ACTIVITY ；
[0012]調(diào)用預設解密算法函數(shù)，使用預設密鑰字符串對所述惡意程序加密過的文件進行解密。
[0013]相應的，本發(fā)明實施例還提供一種Android惡意程序裝置，包括:
[0014]第一監(jiān)控模塊，用于監(jiān)控應用程序?qū)τ贏CTIVITY的調(diào)用是否符合預設規(guī)則，以及，系統(tǒng)中是否存在與所述應用程序?qū)奶囟愋臀募?br>[0015]判斷模塊，用于基于所述監(jiān)控的結(jié)果確定所述應用程序是否為惡意程序。
[0016]相應的，本發(fā)明實施例還提供一種Android惡意程序處理裝置，所述裝置適用于處理上述惡意程序，所述裝置包括:
[0017]第二監(jiān)控模塊，用于監(jiān)控所述惡意程序?qū)τ贏CTIVITY的第一調(diào)用周期T1 ；
[0018]設置模塊，用于設置第二調(diào)用周期T2，其中T2小于T1 ；
[0019]啟動模塊，用于啟動惡意程序刪除引導程序，使惡意程序刪除引導程序以第二調(diào)用周期T2調(diào)用ACTIVITY ；
[0020]解密模塊，用于調(diào)用預設解密算法函數(shù)，使用預設密鑰字符串對所述惡意程序加密過的文件進行解密。
[0021]實施本發(fā)明實施例，具有如下有益效果:
[0022]通過監(jiān)控應用程序?qū)τ贏CTIVITY的調(diào)用，能夠定位到具體的應用程序，當應用程序?qū)CTIVITY的調(diào)用符合預設的規(guī)則，并且監(jiān)控中系統(tǒng)中存在于所述應用程序?qū)奶囟愋臀募r，即可判定該應用程序為占據(jù)用戶桌面、阻止用戶進行卸載、并對用戶文件進行加密的惡意程序。通過本發(fā)明實施例，可準確檢測和處理此類Android惡意應用程序，保護用戶設備安全。
【附圖說明】
[0023]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0024]圖1是本發(fā)明實施例提供的一種Android惡意應用檢測方法的流程示意圖；
[0025]圖2是本發(fā)明實施例提供的一種Android惡意應用檢測方法的另一流程示意圖；
[0026]圖3是本發(fā)明實施例提供的一種Android惡意程序處理方法流程示意圖；
[0027]圖4是本發(fā)明實施例提供的一種Android惡意程序檢測裝置的結(jié)構(gòu)示意圖；
[0028]圖5是本發(fā)明實施例提供的一種Android惡意程序檢測裝直的另一結(jié)構(gòu)意圖；
[0029]圖6是本發(fā)明實施例提供的一種Android惡意程序處理裝置結(jié)構(gòu)示意圖。
【具體實施方式】
[0030]下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅是本發(fā)明的一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
[0031]Activity是Android組件中最基本也是最為常見用的四大組件(Activity,Service 服務，Content Provider 內(nèi)容提供者，BroadcastReceiver 廣播接收器)之一。
[0032]Activity中所有操作都與用戶密切相關(guān)，是一個負責與用戶交互的組件，在一個android應用中，一個Activity通常就是一個單獨的屏幕,它上面可以顯示一些控件，也可以監(jiān)聽并處理用戶的事件做出響應。
[0033]在android中，Activity擁有四種基本狀態(tài):
[0034]一個新Activity啟動入棧后，它顯示在屏幕最前端，處理是處于棧的最頂端(Activity棧頂)，此時它處于可見并可和用戶交互的激活狀態(tài)，叫做活動狀態(tài)或者運行狀態(tài)(active OR running)。
[0035]當Activity失去焦點,被一個新的非全屏的Activity或者一個透明的Activity被放置在棧頂，此時的狀態(tài)叫做暫停狀態(tài)(Paused)。此時它依然與窗口管理器保持連接，Activity依然保持活力(保持所有的狀態(tài)，成員信息，和窗口管理器保持連接)，但是在系統(tǒng)內(nèi)存極端低下的時候?qū)⒈粡娦薪K止掉。所以它仍然可見，但已經(jīng)失去了焦點故不可與用戶進行交互。
[0036]如果一個Activity被另外的Activity完全覆蓋掉，叫做停止狀態(tài)(Stopped)。它依然保持所有狀態(tài)和成員信息，但是它不再可見，所以它的窗口被隱藏，當系統(tǒng)內(nèi)存需要被用在其他地方的時候，Stopped的Activity將被強行終止掉。
[0037]如果一個Activity是Paused或者Stopped狀態(tài),系統(tǒng)可以將該Activity從內(nèi)存中刪除，Android系統(tǒng)采用兩種方式進行刪除，要么要求該Activity結(jié)束，要么直接終止它的進程。當該Activity再次顯示給用戶時，它必須重新開始和重置前面的狀態(tài)。
[0038]Android是通過一種Activity棧的方式來管理Activity的,一個Activity的實例的狀態(tài)決定它在棧中的位置。處于前臺的Activity總是在棧的頂端，當前臺的Activity因為異?；蚱渌虮讳N毀時，處于棧第二層的Activity將被激活，上浮到棧頂。當新的Activity啟動入棧時，原Activity會被壓入到棧的第二層。一個Activity在棧中的位置變化反映了它在不同狀態(tài)間的轉(zhuǎn)換。
[0039]Cryptolocker以及類似惡意應用即利用了 Activity的這種特性,通過不停調(diào)用新的Activity,生成新的屏幕,當用戶點擊其他操作時該應用會調(diào)用新的Act