一种Android恶意程序检测和处理方法、装置及设备

1.一种Android恶意程序处理方法，其特征在于，所述方法包括：
监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；所述预设规则包括：所述应用程序周期性的调用所述ACTIVITY；
基于所述监控的结果确定所述应用程序是否为恶意程序；
监控所述恶意程序对于ACTIVITY的第一调用周期T1；
设置第二调用周期T2，其中T2小于T1；
启动恶意程序删除引导程序，使所述恶意程序删除引导程序以第二调用周期T2调用ACTIVITY；
调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。
2.如权利要求1所述的方法，其特征在于，监控系统中是否存在与所述应用程序对应的特定类型文件包括：
监控所述系统中是否存在与所述应用程序对应的特定文件夹。
3.如权利要求1所述的方法，其特征在于，监控系统中是否存在与所述应用程序对应的特定类型文件包括：
监控所述系统中是否存在与所述应用程序对应的特定扩展名文件。
4.如权利要求1所述的方法，其特征在于，在基于所述监控的结果确定所述应用程序是否为恶意程序之前，所述方法还包括：
上传所述应用程序对应的特征信息至服务器，用以在服务器端基于所述特征信息判断所述应用程序是否为恶意程序。
5.如权利要求4所述的方法，其特征在于，所述方法还包括：
接收所述服务器发送的恶意程序判断结果，当所述判断结果表明所述应用程序为恶意程序时，删除所述应用程序。
6.如权利要求4所述的方法，其特征在于，所述方法还包括：
接收所述服务器发送的恶意程序处理信息，当所述处理信息表明所述文件为恶意程序加密过的文件时，根据所述恶意程序处理信息对所述文件进行解密。
7.如权利要求5或6所述的方法，其特征在于，所述方法还包括：向服务器上传所述恶意程序的处理结果。
8.如权利要求1所述的方法，其特征在于，所述预设解密算法函数和预设密钥字符串由本地或服务器端获得。
9.一种Android恶意程序处理装置，其特征在于，所述装置包括：
第一监控模块，用于监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；所述预设规则包括：所述应用程序周期性的调用所述ACTIVITY；
判断模块，用于基于所述监控的结果确定所述应用程序是否为恶意程序；
第二监控模块，用于监控所述恶意程序对于ACTIVITY的第一调用周期T1；
设置模块，用于设置第二调用周期T2，其中T2小于T1；
启动模块，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY；
解密模块，用于调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。
10.如权利要求9所述的装置，其特征在于，所述第一监控模块具体用于监控所述系统中是否存在与所述应用程序对应的特定文件夹。
11.如权利要求9所述的装置，其特征在于，所述第一监控模块具体还用于监控所述系统中是否存在与所述应用程序对应的特定扩展名文件。
12.如权利要求9所述的装置，其特征在于，所述装置还包括：
第一上传模块，用于上传所述应用程序对应的特征信息至服务器，用以在服务器端基于所述特征信息判断所述应用程序是否为恶意程序。
13.如权利要求9所述的装置，其特征在于，所述装置还包括：
第一接收模块，用于接收服务器发送的恶意程序判断结果；
删除模块，用于当所述判断结果表明所述应用程序为恶意程序时，删除所述应用程序。
14.如权利要求9所述的装置，其特征在于，所述装置还包括：
第二接收模块，用于接收服务器发送的恶意程序处理信息；
解密模块，用于当所述处理信息表明所述文件为恶意程序加密过的文件时，根据所述恶意程序处理信息对所述文件进行解密。
15.如权利要求13或14所述的装置，其特征在于，所述装置还包括：
第二上传模块，用于向服务器上传所述恶意程序的处理结果。
16.如权利要求9所述的装置，其特征在于，所述预设解密算法函数和预设密钥字符串由本地或服务器端获得。
17.一种终端设备，其特征在于，包含如权利要求9-16中任一项所述的装置。

一种Android恶意程序检测和处理方法、装置及设备\n技术领域\n[0001] 本发明涉及移动互联网信息安全技术领域，尤其涉及一种恶意病毒检测和处理方法、装置及设备。\n背景技术\n[0002] 随着Android系统的发展，Android系统中的应用程序也越来越多，通常情况下，在基于Android系统的移动终端设备中，所有安装的应用程序都可以在系统设置中进行管理，其中包括应用程序的停止、卸载等。\n[0003] 由于Android系统应用程序的来源比较广泛，用户通常对安装的应用程序是否为恶意程序没有辨别能力，而恶意应用程序一旦安装之后，将会对用户带来诸多的不便。一个典型的例子便是如Cryptolocker之类的恶意应用程序，该类恶意应用会控制用户设备桌面并不断要求用户支付罚款以解除锁定；另外还会使用加密算法对用户设备中的数据文件进行加密，常见的加密数据对象包括用户的音频、视频文件，使用户无法正常访问和使用这些数据文件。用户必须完成付款之后才能解除锁定，解密音频视频文件，使设备恢复正常使用，如果用户试图进行其他点击或者操作来卸载该恶意应用，则该恶意应用会自动取消用户行为并再度要求用户付费。通常一旦用户设备操作系统感染此类恶意应用病毒，用户将无法移除该恶意应用，用户设备将会变成完全不可用状态，唯一的解决办法只能送回原厂进行重置，而重置行为将完全摧毁用户存储的资料，给用户带来不可弥补的损失。进一步的，即使用户卸载了该恶意程序，但是被恶意程序加密过的文件依然不能正常使用，用户资料只能作为无用文件进行处理，这样也给用户带来了很多困扰。\n发明内容\n[0004] 本发明实施例提供一种Android恶意应用检测和处理方法，能够准确检测出用户移动设备操作系统中是否安装了此类通过控制用户桌面、阻止用户进行卸载，并对用户文件进行加密，达到勒索讹诈用户目的的恶意应用。\n[0005] 本发明实施例提供一种Android恶意程序检测方法，包括：\n[0006] 监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；\n[0007] 基于所述监控的结果确定所述应用程序是否为恶意程序。\n[0008] 本发明实施例还提供一种Android恶意程序处理方法，所述方法适用于上述的恶意程序，所述方法包括：\n[0009] 监控所述恶意程序对于ACTIVITY的第一调用周期T1；\n[0010] 设置第二调用周期T2，其中T2小于T1；\n[0011] 启动恶意程序删除引导程序，使所述恶意程序删除引导程序以第二调用周期T2调用ACTIVITY；\n[0012] 调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。\n[0013] 相应的，本发明实施例还提供一种Android恶意程序装置，包括：\n[0014] 第一监控模块，用于监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；\n[0015] 判断模块，用于基于所述监控的结果确定所述应用程序是否为恶意程序。\n[0016] 相应的，本发明实施例还提供一种Android恶意程序处理装置，所述装置适用于处理上述恶意程序，所述装置包括：\n[0017] 第二监控模块，用于监控所述恶意程序对于ACTIVITY的第一调用周期T1；\n[0018] 设置模块，用于设置第二调用周期T2，其中T2小于T1；\n[0019] 启动模块，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY；\n[0020] 解密模块，用于调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。\n[0021] 实施本发明实施例，具有如下有益效果：\n[0022] 通过监控应用程序对于ACTIVITY的调用，能够定位到具体的应用程序，当应用程序对ACTIVITY的调用符合预设的规则，并且监控中系统中存在于所述应用程序对应的特定类型文件时，即可判定该应用程序为占据用户桌面、阻止用户进行卸载、并对用户文件进行加密的恶意程序。通过本发明实施例，可准确检测和处理此类Android恶意应用程序，保护用户设备安全。\n附图说明\n[0023] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。\n[0024] 图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图；\n[0025] 图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图；\n[0026] 图3是本发明实施例提供的一种Android恶意程序处理方法流程示意图；\n[0027] 图4是本发明实施例提供的一种Android恶意程序检测装置的结构示意图；\n[0028] 图5是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图；\n[0029] 图6是本发明实施例提供的一种Android恶意程序处理装置结构示意图。\n具体实施方式\n[0030] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。\n[0031] Activity是Android组件中最基本也是最为常见用的四大组件(Activity，Service服务，Content Provider内容提供者，BroadcastReceiver广播接收器)之一。\n[0032] Activity中所有操作都与用户密切相关，是一个负责与用户交互的组件，在一个android应用中，一个Activity通常就是一个单独的屏幕，它上面可以显示一些控件，也可以监听并处理用户的事件做出响应。\n[0033] 在android中，Activity拥有四种基本状态：\n[0034] 一个新Activity启动入栈后，它显示在屏幕最前端，处理是处于栈的最顶端(Activity栈顶)，此时它处于可见并可和用户交互的激活状态,叫做活动状态或者运行状态(active OR running)。\n[0035] 当Activity失去焦点，被一个新的非全屏的Activity或者一个透明的Activity被放置在栈顶，此时的状态叫做暂停状态(Paused)。此时它依然与窗口管理器保持连接，Activity依然保持活力(保持所有的状态，成员信息，和窗口管理器保持连接)，但是在系统内存极端低下的时候将被强行终止掉。所以它仍然可见，但已经失去了焦点故不可与用户进行交互。\n[0036] 如果一个Activity被另外的Activity完全覆盖掉，叫做停止状态(Stopped)。它依然保持所有状态和成员信息，但是它不再可见，所以它的窗口被隐藏，当系统内存需要被用在其他地方的时候，Stopped的Activity将被强行终止掉。\n[0037] 如果一个Activity是Paused或者Stopped状态，系统可以将该Activity从内存中删除，Android系统采用两种方式进行删除，要么要求该Activity结束，要么直接终止它的进程。当该Activity再次显示给用户时，它必须重新开始和重置前面的状态。\n[0038] Android是通过一种Activity栈的方式来管理Activity的，一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端，当前台的Activity因为异常或其它原因被销毁时，处于栈第二层的Activity将被激活，上浮到栈顶。当新的Activity启动入栈时，原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。\n[0039] Cryptolocker以及类似恶意应用即利用了Activity的这种特性，通过不停调用新的Activity，生成新的屏幕，当用户点击其他操作时该应用会调用新的Activity覆盖用户点击的其他应用的Activity，这样该类应用就占据了用户桌面，用户将无法移除该恶意应用，用户设备将会变成完全不可用状态。\n[0040] 除此之外，升级版的Cryptolocker还使用了公开的加密算法AES算法，对用户常用的个人文件进行加密，比如用户的视频、音频文件加密之后，用户无法正常打开和使用，只有当用户付费给病毒作者才能解密这些文件。\n[0041] 针对上述类似恶意应用，本发明提出了一种Android恶意应用检测方法，请参见图\n1，图1是本发明实施例提供的一种Android恶意应用检测方法的流程示意图，在本发明实施例中，该方法包括：\n[0042] S100、监控应用程序对于ACTIVITY的调用；\n[0043] 此类恶意应用程序主要是利用了ACTIVITY栈的特性，周期性的调用所述ACTIVITY，本发明主要通过监控ACTIVITY的调用行为，判定其是否恶意占据用户桌面。\n[0044] 进一步的，所述预设规包括：所述应用程序周期性的调用所述ACTIVITY；所述预设规则由本地或服务器端获得\n[0045] S101、监控系统中是否存在与所述应用程序对应的特定类型文件；\n[0046] 针对此类恶意病毒的行为，主要监控用户设备系统中是否存在被该恶意程序加密的文件，包括监控所述系统中是否存在与所述应用程序对应的特定文件夹，比如针对特定应用的特定文件夹；还包括监控所述系统中是否存在与所述应用程序对应的特定扩展名文件，病毒程序对用户文件加密之后会改变用户文件后缀扩展名，比如修改原本的视频或者音频文件为enc文件。\n[0047] S102、基于所述监控的结果确定所述应用程序是否为恶意程序。\n[0048] 通过监控所述应用程序确实是周期性频繁的调用ACTIVITY，使得用户无法正常使用其他应用，并且无法通过正常方式卸载该应用；则可以初步判定所述应用程序为恶意程序；\n[0049] 可选的，当进一步监控到用户设备系统中是否存在被该恶意程序加密的文件，比如存在与所述应用程序对应的特定文件夹，或者存在与所述应用程序对应的特定扩展名文件，则可以判定所述应用程序为恶意程序。\n[0050] 图2是本发明实施例提供的一种Android恶意应用检测方法的另一流程示意图。在本发明实施例中，该方法包括：\n[0051] S200、监控应用程序对于ACTIVITY的调用；\n[0052] S201、监控系统中是否存在与所述应用程序对应的特定类型文件；\n[0053] S202、上传所述应用程序对应的特征信息至服务器，以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序；\n[0054] 为了确认该应用程序的恶意性，可将所述应用程序的特征信息上传至服务器进行判定，具体的所述特征信息包括所述应用程序的包名和/或MD5值，进一步可选的，还可以包括所述应用程序的行为特征信息。\n[0055] S203、接收所述服务器发送的恶意程序判断结果，根据判定结果执行预设操作。\n[0056] 具体的，接收所述服务器发送的恶意程序判断结果，当所述判断结果表明所述应用程序为恶意程序时，删除所述应用程序。\n[0057] 进一步可选的，接收所述服务器发送的恶意程序处理信息，当所述处理信息表明所述文件为恶意程序加密过的文件时，根据所述恶意程序处理信息对所述文件进行解密。\n[0058] 可选的，在本发明其他实施例中，所述方法还可以包括，在删除应用程序成功之后，向服务器上传所述恶意程序的处理结果。以及向服务器上传所述恶意程序所在设备的设备信息。\n[0059] 通过监控所述应用程序确实是周期性频繁的调用ACTIVITY以及系统中是否存在与所述应用程序对应的特定类型文件进行初步判定；然后上传所述应用程序的特征信息到服务器进行进一步的确认，结合初步判定结果则可以准确判定所述应用程序是否为恶意程序；或者\n[0060] 通过监控所述应用程序确实是周期性频繁的调用ACTIVITY以及系统中是否存在与所述应用程序对应的特定类型文件，上传所述应用程序的这些特征信息到服务器，可以判定所述应用程序是否为恶意程序。\n[0061] 图3为本发明实施例提供的一种Android恶意程序处理方法流程示意图，本发明实施例的方法适用于图1及图2所示方法中的恶意程序，本实施例方法包括：\n[0062] S300、监控所述恶意程序对于ACTIVITY的第一调用周期T1；\n[0063] 所述恶意应用程序主要是利用了ACTIVITY栈的特性，周期性的调用ACTIVITY，以占据用户桌面，因此可以监控所述恶意应用程序，获取其ACTIVITY的调用周期T1；\n[0064] S301、设置第二调用周期T2，其中T2小于T1；\n[0065] S302、启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY。\n[0066] 设置小于T1的调用周期T2，目的在于抢先在所述恶意程序之前调用卸载程序的ACTIVITY实例，为用户创造条件卸载该恶意应用程序。\n[0067] 进一步的，所述恶意程序删除引导程序接收用户的恶意程序删除指令，删除所述恶意程序。\n[0068] 具体的，所述恶意程序删除引导程序通过调用Android系统的删除程序来完成所述恶意程序的删除。\n[0069] 启动恶意程序删除引导程序时，该引导程序会调用卸载程序的ACTIVITY实例，此时该卸载程序的ACTIVITY实例置于ACTIVITY栈顶，用户可见，因此用户可以点击卸载程序卸载该恶意程序，如果用户在所述T1周期内未能及时点击卸载程序，则该恶意程序会在下一周期调用自身的ACTIVITY实例，此时由于恶意程序删除引导程序的调用周期T2小于恶意程序的调用周期T1，则恶意程序删除引导程序再次启动，以第二调用周期T2调用卸载程序的ACTIVITY实例。因此，能保证恶意程序删除引导程序始终可以在所述恶意程序之前调用删除程序，帮助用户卸载该恶意应用程序。\n[0070] S303、调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。\n[0071] 所述预设解密算法函数和预设密钥字符串由本地或服务器端获得。具体的，通过对上述恶意程序的apk文件进行解包和反编译，定位到恶意程序所使用的加密算法的函数，比如AES加密函数；对加密算法的函数进行分析，可以获取到加密函数所使用的密钥信息。\n因此，可以调用加密函数所对应的解密函数，使用所得到的密钥信息，就可以对恶意程序所加密过的用户文件进行解密。\n[0072] 图4是本发明实施例提供的一种Android恶意程序检测装置的结构示意图，在本发明实施例中，该装置包括：\n[0073] 第一监控模块100，用于监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；\n[0074] 判断模块101，用于根据所述监控的结果确定所述应用程序是否为恶意程序；\n[0075] 具体的，所述预设规则包括：所述应用程序周期性的调用所述ACTIVITY。\n[0076] 进一步的，所述预设规则由本地或服务器端获得。\n[0077] 通过监控所述应用程序确实是周期性频繁的调用ACTIVITY，使得用户无法正常使用其他应用且无法通过正常方式卸载该应用，若进一步监控到对用户数据文件进行加密，则可以初步判定所述应用程序为恶意程序。\n[0078] 图5是本发明实施例提供的一种Android恶意程序检测装置的另一结构示意图，在本发明实施例中，该装置包括：\n[0079] 第一监控模块200，用于监控应用程序对于ACTIVITY的调用是否符合预设规则，以及，系统中是否存在与所述应用程序对应的特定类型文件；\n[0080] 判断模块201，用于根据所述监控的结果确定所述应用程序是否为恶意程序；\n[0081] 具体的，所述预设规则包括：所述应用程序周期性的调用所述ACTIVITY。\n[0082] 进一步的，所述预设规则由本地或服务器端获得。\n[0083] 第一上传模块202，用于上传所述应用程序对应的特征信息至服务器，以便于服务器基于所述特征信息判断所述应用程序是否为恶意程序。\n[0084] 为了进一步确认该应用程序的恶意性，可将所述应用程序的特征信息上传至服务器进行判定，具体的所述特征信息包括所述应用程序的包名和/或MD5值。\n[0085] 进一步可选的，所述装置还可以包括：\n[0086] 第一接收模块203，用于接收所述服务器发送的恶意程序判断结果；\n[0087] 删除模块204，用于当所述判断结果表明所述应用程序为恶意程序时，删除所述应用程序。\n[0088] 通过监控所述应用程序确实是周期性频繁的调用ACTIVITY、系统中是否存在与所述应用程序对应的特定类型文件，以及上传所述应用程序的特征信息到服务器进行判断，结合判定结果则可以准确判定所述应用程序是否为恶意程序，然后进一步删除该恶意应用。\n[0089] 进一步可选的，所述装置还可以包括：\n[0090] 第二接收模块205，用于接收所述服务器发送的恶意程序处理信息；\n[0091] 解密模块206，用于当所述处理信息表明所述文件为恶意程序加密过的文件时，根据所述恶意程序处理信息对所述文件进行解密。\n[0092] 进一步可选的，所述装置还可以包括：\n[0093] 第二上传模块207，用于向服务器上传所述恶意程序的处理结果。\n[0094] 图6是本发明实施例提供的一种Android恶意程序处理装置结构示意图，在本发明实施例中，该装置包括：\n[0095] 第二监控模块300，用于监控所述恶意程序对于ACTIVITY的第一调用周期T1；\n[0096] 设置模块301，用于设置第二调用周期T2，其中T2小于T1；\n[0097] 启动模块302，用于启动恶意程序删除引导程序，使恶意程序删除引导程序以第二调用周期T2调用ACTIVITY；\n[0098] 解密模块303，用于调用预设解密算法函数，使用预设密钥字符串对所述恶意程序加密过的文件进行解密。\n[0099] 具体的，所述预设解密算法函数和预设密钥字符串由本地或服务器端获得。\n[0100] 需要说明的是，本说明书中的各个实施例着重描述与其他实施例不同之处，各个实施例之间相同相似的部分互相参见即可。尤其对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。\n[0101] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。\n[0102] 以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。