将用户信息进行多次处理之后再 进行发送,根据上述流程,依然能够追溯到原始的用户信息,从而能够准确检测出该应用程 序是否为恶意应用程序。
[0074] 本发明实施例中,对于应用程序包含的发送类API,如果其执行参数与提取的移动 终端中的用户信息匹配,则直接确定该应用程序为恶意应用程序,否则,根据其执行参数和 非发送类API的结果变量,在非发送类中递归查找执行参数与提取的用户信息匹配的非发 送类API,如果查找到,则确定该应用程序为恶意应用程序。上述过程中,如果发送类API的 执行参数与提取的用户信息不匹配时,也可W从非发送类API中追溯到该执行参数在被处 理之前的原始信息,因此,即使应用程序将获取的用户信息进行加密等处理,也能够确定出 其是否为恶意应用程序,从而,提高了应用程序检测的确定性。
[00巧]基于同一发明构思,本发明实施例中还提供了一种恶意应用程序检测装置,由于 上述装置解决问题的原理与恶意应用程序检测方法相似,因此上述装置的实施可W参见方 法的实施,重复之处不再赏述。
[0076] 如图4所示,为本发明实施例提供的恶意应用程序检测装置的结构示意图,包括:
[0077] 提取单元41,用于提取移动终端中的所有用户信息;
[0078] 获取单元42,用于获取移动终端安装的应用程序所包含的各应用程序编程接口 API的参数变量,所述参数变量包括执行参数,或者,执行参数和结果变量,其中,各API根 据是否发送消息,被划分为发送类API和非发送类API ;
[0079] 确定单元43,用于将获取的发送类API的执行参数与提取的所有用户信息或者获 取的非发送类API的结果变量进行匹配,根据匹配结果确定所述应用程序是否为恶意应用 程序。
[0080] 其中,确定单元43,可W包括:
[0081] 判断子单元,用于针对所述应用程序包含的每一发送类API,判断提取的用户信息 中是否存在与该发送类API的执行参数匹配的用户信息;
[0082] 确定子单元,用于在所述判断子单元的判断结果为是时,确定所述应用程序为恶 意应用程序;或者用于在查找子单元从非发送类API中查找到执行参数与提取的用户信息 匹配的非发送类API时,确定所述应用程序为恶意应用程序;
[0083] 查找子单元,用于在所述判断子单元的判断结果为否时,根据所述发送类API的 执行参数和所述应用程序包含的非发送类API的结果变量,从非发送类API中递归查找是 否存在执行参数与提取的用户信息匹配的非发送类API。
[0084] 较佳的,查找子单元,可W包括:
[00财查找模块,用于根据所述发送类API的执行参数,从所述非发送类API中查找是否 存在结果变量与所述发送类API的执行参数一致的目标API 及用于在判断模块的判断 结果为否时,根据目标API的执行参数,从未遍历的非发送类API中继续递归查找是否存在 结果变量与目标API的执行参数一致的非发送类API,直至查找到执行参数与提取的用户 信息匹配的非发送类API或者遍历所有非发送类API为止;
[0086] 判断模块,用于在所述查找模块查找到所述目标API时,判断目标API的执行参数 否是与提取的至少一个用户信息匹配;
[0087] 第一确定模块,用于在所述判断模块的判断结果为是时,确定所述非发送类API 中存在执行参数与提取的用户信息匹配的非发送类API。
[0088] 较佳的,获取单元42,可W包括:
[0089] 逆向反编译子单元,用于对所述应用程序进行逆向反编译,得到所述应用程序对 应的源码;
[0090] 获取子单元,用于根据所述源码获取所述应用程序包含的各API变量参数。
[0091] 其中,获取子单元,包括:
[0092] 标记模块,用于针对每一 API,分别在该所述源码中、该API执行前和执行后插入 标记代码,所述标记代码包括API分类标记代码;
[0093] 记录模块,用于记录每一 API的执行信息,根据该API的执行信息和该API的标记 代码,获取该API的类别和该API的参数变量。
[0094] 其中,获取子单元,可W用于通过用于记录所述各API的执行信息的日志,获取所 述各API的参数变量。
[0095] 具体实施时,本发明实施例提供的恶意应用程序检测装置,还可W包括:
[009引输出单元,用于输出记录各API的执行信息的日志。
[0097] 具体实施时,判断子单元,可W包括:
[0098] 比较模块,用于依次比较该发送类的执行参数与提取的每一用户信息;
[0099] 第二确定模块,用于如果该发送类的执行参数与当前比较的用户信息相同,则确 定提取的用户信息中存在与该发送类API的执行参数匹配的用户信息;如果该发送类的执 行参数与提取的每一用户信息均不相同,则确定提取的用户信息中不存在与该发送类API 的执行参数匹配的用户信息。
[0100] 为了描述的方便,W上各部分按照功能划分为各模块(或单元)分别描述。当然, 在实施本发明时可W把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
[0101] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序 产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产 品的形式。
[0102] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一 流程和/或方框、W及流程图和/或方框图中的流程和/或方框的结合。可提供送些计算 机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理 器W产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生 用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能 的装置。
[0103] 送些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备W特 定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。
[0104] 送些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计 算机或其他可编程设备上执行一系列操作步骤W产生计算机实现的处理,从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图 一个方框或多个方框中指定的功能的步骤。
[0105] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造 性概念,则可对送些实施例做出另外的变更和修改。所W,所附权利要求意欲解释为包括优 选实施例W及落入本发明范围的所有变更和修改。
[0106] 显然,本领域的技术人员可W对本发明进行各种改动和变型而不脱离本发明的精 神和范围。送样,倘若本发明的送些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含送些改动和变型在内。
【主权项】
1. 一种恶意应用程序检测方法,其特征在于,包括: 提取移动终端中的所有用户信息; 获取移动终端安装的应用程序所包含的各API的参数变量,所述参数变量包括执行参 数,或者,执行参数和结果变量,其中,各API根据是否发送消息