一种Android恶意程序检测和处理方法、装置及设备的制造方法

一种Android恶意程序检测和处理方法、装置及设备的制造方法
【技术领域】
[0001]本发明涉及移动互联网信息安全技术领域，尤其涉及一种恶意病毒检测和处理方法、装置及设备。
【背景技术】
[0002]随着Android系统的发展，Android系统中的应用程序也越来越多，通常情况下，在基于Android系统的移动终端设备中，所有安装的应用程序都可以在系统设置中进行管理，其中包括应用程序的停止、卸载等。
[0003]由于Android系统应用程序的来源比较广泛，用户通常对安装的应用程序是否为恶意程序没有辨别能力，而恶意应用程序一旦安装之后，将会对用户带来诸多的不便。一个典型的例子便是如Cryptolocker之类的恶意应用程序，该类恶意应用会控制用户设备桌面并不断要求用户支付罚款以解除锁定；另外还会使用加密算法对用户设备中的数据文件进行加密，常见的加密数据对象包括用户的音频、视频文件，使用户无法正常访问和使用这些数据文件。用户必须完成付款之后才能解除锁定，解密音频视频文件，使设备恢复正常使用，如果用户试图进行其他点击或者操作来卸载该恶意应用，则该恶意应用会自动取消用户行为并再度要求用户付费。通常一旦用户设备操作系统感染此类恶意应用病毒，用户将无法移除该恶意应用，用户设备将会变成完全不可用状态，唯一的解决办法只能送回原厂进行重置，而重置行为将完全摧毁用户存储的资料，给用户带来不可弥补的损失。进一步的，即使用户卸载了该恶意程序，但是被恶意程序加密过的文件依然不能正常使用，用户资料只能作为无用文件进行处理，这样也给用户带来了很多困扰。

【发明内容】

[0004]本发明实施例提供一种Android恶意应用检测和处理方法，能够准确检测出用户移动设备操作系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载，并对用户文件进行加密，达到勒索讹诈用户目的的恶意应用。
[0005]本发明实施例提供一种Android恶意程序检测方法，包括:
[0006]监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；
[0007]基于所述监控的结果确定所述应用程序是否为恶意程序。
[0008]本发明实施例还提供一种Android恶意程序处理方法，所述方法适用于上述的恶意程序，所述方法包括:
[0009]监控所述恶意程序对于ACTIVITY的第一调用周期T1 ；
[0010]设置第二调用周期T2，其中T2小于T1 ；
[0011]启动恶意程序删除引导程序，使所述恶意程序删除引导程序以第二调用周期T2调用 ACTIVITY ；
[0012]调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。
[0013]相应的，本发明实施例还提供一种Android恶意程序装置，包括:
[0014]第一监控模块，用于监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；
[0015]判断模块，用于基于所述监控的结果确定所述应用程序是否为恶意程序。
[0016]相应的，本发明实施例还提供一种Android恶意程序处理装置，所述装置适用于处理上述恶意程序，所述装置包括:
[0017]第二监控模块，用于监控所述恶意程序对于ACTIVITY的第一调用周期T1 ；
[0018]设置模块，用于设置第二调用周期T2，其中T2小于T1 ；
[0019]启动模块，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY ；
[0020]解密模块，用于调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。
[0021]实施本发明实施例，具有如下有益效果:
[0022]通过监控应用程序对于ACTIVITY的调用，能够定位到具体的应用程序，当应用程序对ACTIVITY的调用符合预设的规则，并且监控中系统中存在于所述应用程序对应的特定类型文件时，即可判定该应用程序为占据用户桌面、阻止用户进行卸载、并对用户文件进行加密的恶意程序。通过本发明实施例，可准确检测和处理此类Android恶意应用程序，保护用户设备安全。
【附图说明】
[0023]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0024]图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图；
[0025]图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图；
[0026]图3是本发明实施例提供的一种Android恶意程序处理方法流程示意图；
[0027]图4是本发明实施例提供的一种Android恶意程序检测装置的结构示意图；
[0028]图5是本发明实施例提供的一种Android恶意程序检测装直的另一结构意图；
[0029]图6是本发明实施例提供的一种Android恶意程序处理装置结构示意图。
【具体实施方式】
[0030]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0031]Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service 服务，Content Provider 内容提供者，BroadcastReceiver 广播接收器)之一。
[0032]Activity中所有操作都与用户密切相关，是一个负责与用户交互的组件，在一个android应用中，一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件，也可以监听并处理用户的事件做出响应。
[0033]在android中，Activity拥有四种基本状态:
[0034]一个新Activity启动入栈后，它显示在屏幕最前端，处理是处于栈的最顶端(Activity栈顶)，此时它处于可见并可和用户交互的激活状态，叫做活动状态或者运行状态(active OR running)。
[0035]当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放置在栈顶，此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器保持连接，Activity依然保持活力(保持所有的状态，成员信息，和窗口管理器保持连接)，但是在系统内存极端低下的时候将被强行终止掉。所以它仍然可见，但已经失去了焦点故不可与用户进行交互。
[0036]如果一个Activity被另外的Activity完全覆盖掉，叫做停止状态(Stopped)。它依然保持所有状态和成员信息，但是它不再可见，所以它的窗口被隐藏，当系统内存需要被用在其他地方的时候，Stopped的Activity将被强行终止掉。
[0037]如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删除，Android系统采用两种方式进行删除，要么要求该Activity结束，要么直接终止它的进程。当该Activity再次显示给用户时，它必须重新开始和重置前面的状态。
[0038]Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端，当前台的Activity因为异常或其它原因被销毁时，处于栈第二层的Activity将被激活，上浮到栈顶。当新的Activity启动入栈时，原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。
[0039]Cryptolocker以及类似恶意应用即利用了 Activity的这种特性,通过不停调用新的Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Act