[发明专利]一种恶意应用程序的检测方法及系统

说明书

本发明公开了一种恶意应用程序的检测方法及系统，所述方法包括：监听到安装APK，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息；监听到系统调用表被修改，获取引起系统调用表被修改的第二bundle文件的包名；将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序。本发明将OSGI服务应用于Android系统，并当监听到系统调用表被修改时，判断引起修改的bundle文件是否新安装的APK对应的bundle文件，以判定所述APK是否为恶意程序，解决了现有恶意应用程序检测方法无法及时确定新型恶意代码的特征码，以使得对于新型恶意代码处理存在滞后性。

技术领域

本发明涉及智能终端技术领域，特别涉及一种恶意应用程序的检测方法及系统。

背景技术

随着移动终端的不断发展,移动终端的应用场景不再局限于生活娱乐,其在办公、支付和金融等领域的应用也愈发成熟。移动设备开始承载着越来越多的“附属价值”。与此同时,移动设备的迅猛发展所带来的“信息价值”使得基于Android平台的恶意代码也日益增多。早期Android平台的恶意代码大都以恶意扣费、偷跑流量等方式损害消费者利益。而现今恶意代码开始着眼于恶意推广或捆绑安装软件,以窃取用户隐私数据(如通信录)等方式谋求非法利益。然而，目前Android系统的恶意应用程序检测方法普遍是通过静态扫描特征码和校验文件签名等方式来实现恶意代码检测。但是，现有恶意应用程序检测方法无法及时确定新型恶意代码的特征码，以使得对于新型恶意代码处理存在滞后性。

因而现有技术还有待改进和提高。

发明内容

本发明要解决的技术问题在于，针对现有技术的不足，提供一种恶意应用程序的检测方法及系统，以解决现有恶意软件检测方法对于新型恶意代码处理的滞后性高的问题。

为了解决上述技术问题，本发明所采用的技术方案如下：

一种恶意应用程序的检测方法，其包括：

监听到APK安装时，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息及用于监控系统调用表修改的回调接口；

监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名；

将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序。

所述恶意应用程序的检测方法，其中，所述监听到APK安装时，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息及用于监控系统调用表修改的回调接口具体包括：

监听到系统安装APK，解析所述APK并将其反编译为jar文件；

向所述jar文件内写入预设元数据以得到所述第一bundle文件，并将所述包名信息以及用于监控系统调用表修改的回调接口注册入所述第一bundle文件内。

所述恶意应用程序的检测方法，其中，所述监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名之前具体包括：

获取BundleContext接口，并通过所述BundleContext接口启动所述第一bundle文件。

所述恶意应用程序的检测方法，其中，所述将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序具体包括：

通过监控系统调用表修改的回调接口回调系统调用表被修改状态，其中，所述被修改状态为已修改和未修改；