一种Android恶意程序处理方法、装置及设备的制作方法

一种Android恶意程序处理方法、装置及设备的制作方法
【专利摘要】本发明实施例公开了一种Android恶意程序处理方法，包括：监控所述恶意程序对于ACTIVITY的第一调用周期T1；设置第二调用周期T2，其中T2小于T1；启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。本发明还公开了一种Android恶意程序处理装置以及一种智能终端设备。通过实施本发明技术方案，能够成功卸载用户移动设备操作系统中安装的通过控制用户桌面、阻止用户进行卸载，达到勒索讹诈用户目的的恶意应用，提高系统安全性。
【专利说明】—种Android恶意程序处理方法、装置及设备
【技术领域】
[0001]本发明涉及移动互联网信息安全【技术领域】，尤其涉及一种Android恶意程序处理方法、装置及设备。
【背景技术】
[0002]随着Android系统的发展，Android系统中的应用程序也越来越多，通常情况下，在基于Android系统的移动终端设备中，所有安装的应用程序都可以在系统设置中进行管理，其中包括应用程序的停止、卸载等。
[0003]由于Android系统应用程序的来源比较广泛，用户一旦安装恶意应用，会带来各种危害。一个典型的例子便是如Cryptolocker之类的恶意应用程序，该类恶意应用会控制用户设备桌面，并不断要求用户支付罚款以解除锁定，用户必须完成付款之后才能解除锁定使设备恢复正常使用，如果用户试图进行其他点击或者操作来卸载该恶意应用，则该恶意应用会自动取消用户行为并再度要求用户付费。因此，一旦用户设备操作系统感染此类恶意应用病毒，用户将无法移除该恶意应用，用户设备将会变成完全不可用状态，唯一的解决办法只能送回原厂进行重置。而重置行为将完全摧毁用户存储的资料，给用户带来不可弥补的损失。

【发明内容】

[0004]本发明实施例提供一种Android恶意应用处理方法，能够成功卸载用户移动设备操作系统中安装的此类通过控制用户桌面、阻止用户进行卸载，达到勒索讹诈用户目的的恶意应用。
[0005]本发明实施例提供一种Android恶意程序检测方法，包括:
[0006]监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0007]设置第二调用周期T2，其中T2小于Tl ;
[0008]启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
[0009]相应的，本发明实施例还提供一种Android恶意程序装置，包括:
[0010]监控模块，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0011]设置模块，用于设置第二调用周期T2，其中T2小于Tl ；
[0012]启动模块，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
[0013]实施本发明实施例，具有如下有益效果:
[0014]针对占据用户桌面、阻止用户进行卸载的恶意程序周期性调用ACTIVITY的特性，本发明设置在小于其周期内启动恶意程序删除引导程序，调用卸载程序的ACTIVITY，帮助用户成功卸载此类恶意应用，保证用户设备正常使用。【专利附图】

【附图说明】
[0015]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1是本发明实施例提供的一种Android恶意应用处理方法的流程示意图；
[0017]图2是本发明实施例提供的一种Android恶意应用处理方法的另一流程示意图；
[0018]图3是本发明实施例提供的一种Android恶意程序处理装置的结构示意图；
[0019]图4是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图；
[0020]图5是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图；
[0021]图6是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图。
【具体实施方式】
[0022]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0023]Activity是Android组件中最基本也是最为常见用的四大组件(Activity,Service 服务，Content Provider 内容提供者，BroadcastReceiver 广播接收器)之一。
[0024]Activity中所有操作都与用户密切相关，是一个负责与用户交互的组件，在一个android应用中，一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件，也可以监听并处理用户的事件做出响应。
[0025]在android中，Activity拥有四种基本状态:
[0026]一个新Activity启动入栈后，它显示在屏幕最前端，处理是处于栈的最顶端(Activity栈顶)，此时它处于可见并可和用户交互的激活状态，叫做活动状态或者运行状态(active OR running)。
[0027]当Activity失去焦点,被一个新的非全屏的Activity或者一个透明的Activity被放置在栈顶，此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器保持连接，Activity依然保持活力(保持所有的状态，成员信息，和窗口管理器保持连接)，但是在系统内存极端低下的时候将被强行终止掉。所以它仍然可见，但已经失去了焦点故不可与用户进行交互。
[0028]如果一个Activity被另外的Activity完全覆盖掉，叫做停止状态(Stopped)。它依然保持所有状态和成员信息，但是它不再可见，所以它的窗口被隐藏，当系统内存需要被用在其他地方的时候，Stopped的Activity将被强行终止掉。
[0029]如果一个Activity是Paused或者Stopped状态,系统可以将该Activity从内存中删除，Android系统采用两种方式进行删除，要么要求该Activity结束，要么直接终止它的进程。当该Activity再次显示给用户时，它必须重新开始和重置前面的状态。
[0030]Android是通过一种Activity栈的方式来管理Activity的,一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端，当前台的Activity因为异常或其它原因被销毁时，处于栈第二层的Activity将被激活，上浮到栈顶。当新的Activity启动入栈时,原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。
[0031]Cryptolocker以及类似恶意应用即利用了 Activity的这种特性,通过不停调用新的Activity,生成新的屏幕,当用户点击其他操作时该应用会调用新的Activity覆盖用户点击的其他应用的Activity，这样该类应用就占据了用户桌面，用户将无法移除该恶意应用，用户设备将会变成完全不可用状态。
[0032]针对上述类似恶意应用，本发明提出了一种Android恶意应用处理方法，请参见图1，图1是本发明实施例提供的一种Android恶意应用处理方法的流程示意图，在本发明实施例中，该方法包括:
[0033]S100、监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0034]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0035]S101、设置第二调用周期T2，其中T2小于Tl ；
[0036]S103、启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用 ACTIVITY。
[0037]设置小于Tl的调用周期T2，目的在于抢先在所述恶意程序之前调用卸载程序的ACTIVITY实例，为用户创造条件卸载该恶意应用程序。
[0038]进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
[0039]具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。
[0040]启动恶意程序删除引导程序时，该引导程序会调用卸载程序的ACTIVITY实例，此时该卸载程序的ACTIVITY实例置于ACTIVITY栈顶，用户可见，因此用户可以点击卸载程序卸载该恶意程序，如果用户在所述Tl周期内未能及时点击卸载程序，则该恶意程序会在下一周期调用自身的ACTIVITY实例，此时由于恶意程序删除引导程序的调用周期T2小于恶意程序的调用周期Tl，则恶意程序删除引导程序再次启动，以第二调用周期T2调用卸载程序的ACTIVITY实例。因此，能保证恶意程序删除引导程序始终可以在所述恶意程序之前调用删除程序，帮助用户卸载该恶意应用程序。
[0041]图2是本发明实施例提供的一种Android恶意应用处理方法的另一流程示意图。在本发明实施例中，该方法包括:
[0042]S200、监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0043]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0044]S201、设置第二调用周期T2，其中T2小于Tl ；
[0045]S202、检查系统是否安装所述恶意程序删除引导程序；如果是则执行S203，否则执行S204 ；
[0046]S203、若系统已经安装所述恶意程序删除引导程序，则自行启动所述恶意程序删除引导程序；[0047]进一步的，如果用户设备操作系统中已经安装了安全软件，则可以通过服务器端将所述恶意程序删除引导程序推送到用户设备中。
[0048]S204、若系统没有安装所述恶意程序删除引导程序，则通过通知栏提示用户安装所述恶意程序删除引导程序；
[0049]具体的，可以通过第三方应用程序在通知栏提示用户安装所述恶意程序删除引导程序。
[0050]可选的，用户还可以通过网页安装所述恶意程序删除引导程序。
[0051]S205、在所述恶意程序删除引导程序安装完成之后，在通知栏中设置启动按钮，用户通过所述启动按钮完成所述恶意程序删除引导程序的启动。
[0052]具体的，启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2 调用 ACTIVITY。
[0053]启动恶意程序删除引导程序之后，能保证恶意程序删除引导程序始终可以在所述恶意程序之前调用删除程序，帮助用户卸载该恶意应用程序。
[0054]可选的，在本发明其他实施例中，上述方法还可以包括，在删除应用程序成功之后，向服务器上传所述恶意程序的处理结果。以及
[0055]向服务器上传所述恶意程序所在设备的设备信息。
[0056]通过上述后续处理方式，可以方便的对恶意程序的传播情况以及所感染的设备系统信息进行统计。
[0057]图3是本发明实施例提供的一种Android恶意程序处理装置的结构示意图，在本发明实施例中，该装置包括:
[0058]监控模块100，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0059]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0060]设置模块101，用于设置第二调用周期T2，其中T2小于Tl ；
[0061]启动模块102，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
[0062]设置小于Tl的调用周期，目的在于抢先在所述恶意程序之前调用删除程序的ACTIVITY实例，为用户创造条件卸载该恶意应用程序。
[0063]进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
[0064]具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。
[0065]启动恶意程序删除引导程序时，该引导程序会调用卸载程序的ACTIVITY实例，此时该卸载程序的ACTIVITY实施例置于ACTIVITY栈顶，用户可见，因此用户可以点击卸载程序卸载该恶意程序，如果用户在所述Tl周期内未能及时点击卸载程序，则该恶意程序会在下一周期调用自身的ACTIVITY实例，此时由于恶意程序删除引导程序的调用周期T2小于恶意程序的调用周期Tl，则恶意程序删除引导程序再次启动，以第二调用周期T2调用卸载程序的ACTIVITY实例。因此，能保证恶意程序删除引导程序始终可以在所述恶意程序之前调用删除程序，帮助用户卸载该恶意应用程序。[0066]图4是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图，在本发明实施例中，该装置包括:
[0067]监控模块200，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0068]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0069]设置模块201，用于设置第二调用周期T2，其中T2小于Tl ；
[0070]检查模块202，用于检查系统是否安装所述恶意程序删除引导程序；
[0071]第一启动模块203，若系统已经安装所述恶意程序删除引导程序，则自行启动所述恶意程序删除引导程序；
[0072]进一步的，如果用户设备操作系统中已经安装了安全软件，则可以通过服务器端将所述恶意程序删除引导程序推送到用户设备中。
[0073]提示模块204，用于当系统没有安装所述恶意程序删除引导程序时，通过通知栏提示用户安装所述恶意程序删除引导程序；
[0074]具体的，可以通过第三方应用程序在通知栏提示用户安装所述恶意程序删除引导程序。
[0075]可选的，用户还可以通过网页安装所述恶意程序删除引导程序。
[0076]第一设置模块205，用于在所述恶意程序删除引导程序安装完成之后，在通知栏中设置启动按钮，用户通过所述启动按钮完成所述恶意程序删除引导程序的启动。
[0077]具体的，启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2 调用 ACTIVITY。
[0078]启动恶意程序删除引导程序之后，能保证恶意程序删除引导程序始终可以在所述恶意程序之前调用删除程序，帮助用户卸载该恶意应用程序。
[0079]进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序；
[0080]具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。
[0081]图5是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图，在本发明实施例中，该装置包括:
[0082]监控模块300，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0083]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0084]设置模块301，用于设置第二调用周期T2，其中T2小于Tl ；
[0085]启动模块302，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
[0086]设置小于Tl的调用周期，目的在于抢先在所述恶意程序之前调用删除程序的ACTIVITY实例，为用户创造条件卸载该恶意应用程序。
[0087]进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
[0088]具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除；
[0089]第一上传模块303，用于删除应用程序成功之后，向服务器上传所述恶意程序的处理结果；因此服务器端可以方便的对恶意程序的传播情况进行统计。
[0090]图6是本发明实施例提供的一种Android恶意程序处理装置的另一结构示意图，在本发明实施例中，该装置包括:
[0091]监控模块400，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ；
[0092]所述恶意应用程序主要是利用了 ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期Tl ；
[0093]设置模块401，用于设置第二调用周期T2，其中T2小于Tl ；
[0094]启动模块402，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
[0095]设置小于Tl的调用周期，目的在于抢先在所述恶意程序之前调用删除程序的ACTIVITY实例，为用户创造条件卸载该恶意应用程序。
[0096]进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
[0097]具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除；
[0098]第二上传模块403，用于向服务器上传所述恶意程序所在设备的设备信息；因服务器端可以方便的对恶意程序所感染的设备系统信息进行统计。
[0099]通过实施本发明技术方案，能够成功卸载用户移动设备操作系统中安装的通过控制用户桌面、阻止用户进行卸载，达到勒索讹诈用户目的的恶意应用，提高系统安全性。
[0100]需要说明的是，本说明书中的各个实施例着重描述与其他实施例不同之处，各个实施例之间相同相似的部分互相参见即可。尤其对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。
[0101]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(RandomAccessMemory, RAM)等。
[0102]以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。
【权利要求】
1.一种Android恶意程序处理方法，其特征在于，包括: 监控所述恶意程序对于ACTIVITY的第一调用周期Tl ； 设置第二调用周期T2，其中T2小于Tl ； 启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。
2.如权利要求1所述的方法，其特征在于，在所述启动恶意程序删除引导程序之前，还包括: 检查系统是否安装所述恶意程序删除引导程序。
3.如权利要求2所述的方法，其特征在于， 若系统已经安装所述恶意程序删除引导程序，则自行启动所述恶意程序删除引导程序。
4.如权利要求3所述的方法，其特征在于， 若系统没有安装所述恶 意程序删除引导程序，则通过通知栏提示用户安装所述恶意程序删除引导程序。
5.如权利要求4所述的方法，其特征在于， 在所述恶意程序删除引导程序安装完成之后，在通知栏中设置启动按钮，用户通过所述启动按钮完成所述恶意程序删除引导程序的启动。
6.如权利要求1或3或5所述的方法，其特征在于，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
7.如权利要求6所述的方法，其特征在于，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。
8.如权利要求4所述的方法，其特征在于， 用户通过网页安装所述恶意程序删除引导程序。
9.如权利要求1所述的方法，其特征在于，在删除应用程序成功之后，向服务器上传所述恶意程序的处理结果。
10.如权利要求1所述的方法，其特征在于，向服务器上传所述恶意程序所在设备的设备信息。
11.一种Android恶意程序处理装置，其特征在于，包括: 监控模块，用于监控所述恶意程序对于ACTIVITY的第一调用周期Tl ； 设置模块，用于设置第二调用周期T2，其中T2小于Tl ； 启动模块，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期 T2 调用 ACTIVITY。
12.如权利要求11所述的装置，其特征在于，还包括: 检查模块，用于检查系统是否安装所述恶意程序删除引导程序。
13.如权利要求12所述的装置，其特征在于，还包括: 第一启动模块，若系统已经安装所述恶意程序删除引导程序，则自行启动所述恶意程序删除引导程序。
14.如权利要求13所述的装置，其特征在于，还包括: 提示模块，用于当系统没有安装所述恶意程序删除引导程序时，通过通知栏提示用户安装所述恶意程序删除引导程序。
15.如权利要求14所述的装置，其特征在于，还包括: 第一设置模块，用于在所述恶意程序删除引导程序安装完成之后，在通知栏中设置启动按钮，用户通过所述启动按钮完成所述恶意程序删除引导程序的启动。
16.如权利要求11或13或15所述的装置，其特征在于，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。
17.如权利要求16所述的装置，其特征在于，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。
18.如权利要求14所述的装置，其特征在于， 用户通过网页安装所述恶意程序删除引导程序。
19.如权利要求11所述的装置，其特征在于，还包括: 第一上传模块，用于删除应用程序成功之后，向服务器上传所述恶意程序的处理结果。
20.如权利要 求11所述的装置，其特征在于，还包括: 第二上传模块，用于向服务器上传所述恶意程序所在设备的设备信息。
21.一种智能终端设备，包含权利要求11-20所述的装置。
【文档编号】G06F9/445GK104008338SQ201410193306
【公开日】2014年8月27日 申请日期:2014年5月8日 优先权日:2014年5月8日
【发明者】陈章群, 沈江波, 张楠, 赵闵 申请人:北京金山安全软件有限公司