(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号 CN 104123499 A
(43)申请公布日 2014.10.29
(21)申请号 CN201410345647.8
(22)申请日 2014.07.18
(71)申请人 北京金山安全软件有限公司
    地址 100085 北京市海淀区小营西路33号金山大厦
(72)发明人 沈江波 张楠 陈勇
(74)专利代理机构 北京柏杉松知识产权代理事务所(普通合伙)
    代理人 马敬
(51)Int.CI
      G06F21/56
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      一种利用Android设备管理器对抗卸载的软件的识别方法及装置
(57)摘要
      本发明实施例公开了一种利用Android设备管理器对抗卸载的软件的识别方法,应用于服务器,执行步骤:对目标软件的APK进行反编译操作,得到反编译结果;对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征;根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软件是否为利用Android设备管理器对抗卸载的软件。由于整个识别过程由服务器完成,与现有技术相比,不需要大量的分析人员,人力成本降低,识别效率也比较高。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种利用Android设备管理器对抗卸载的软件的识别方法,其特征在于,            应用于服务器,执行步骤:           
对目标软件的APK进行反编译操作,得到反编译结果;           
对所述反编译结果进行检测,所述检测包括:检测所述反编译结果是否具            有利用设备管理器漏洞的第一特征,和/或检测所述反编译结果是否具有通过接            收取消激活设备管理器广播对抗卸载的第二特征;           
根据检测结果是否具有第一特征或第二特征中任意一项,识别所述目标软            件是否为利用Android设备管理器对抗卸载的软件。           
2.如权利要求1所述的方法,其特征在于,在所述检测包括检测所述反编            译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具            有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测            具体为:           
检测所述反编译结果是否具有利用设备管理器漏洞的第一特征;           
在所述反编译结果不具有所述第一特征的情况下,检测所述反编译结果是            否具有通过接收取消激活设备管理器广播对抗卸载的第二特征。           
3.如权利要求1所述的方法,其特征在于,在所述检测包括检测所述反编            译结果是否具有利用设备管理器漏洞的第一特征和检测所述反编译结果是否具            有通过接收取消激活设备管理器广播对抗卸载的第二特征的情况下,所述检测            具体为:           
检测所述反编译结果是否具有通过接收取消激活设备管理器广播对抗卸载            的第二特征;           
在所述反编译结果不具有所述第二特征的情况下,检测所述反编译结果是            否具有利用设备管理器漏洞的第一特征。           
4.如权利要求1所述的方法,其特征在于,在所述识别所述目标软件是否            为利用Android设备管理器对抗卸载的软件之后,进一步包括:           
对所述利用Android设备管理器对抗卸载的软件,根据预设的白名单及预设                            的黑名单进行分类:           
当所述利用Android设备管理器对抗卸载的软件符合预设的白名单时,将其            划分为安全软件;           
当所述利用Android设备管理器对抗卸载的软件符合预设的黑名单时,将其            划分为恶意软件;           
当所述利用Android设备管理器对抗卸载的软件既不符合预设的白名单,又            不符合预设的黑名单时,将其划分为可疑软件。           
5.如权利要求1-4中任意一项所述的方法,其特征在于,所述检测所述反编            译结果是否具有利用设备管理器漏洞的第一特征,包括:           
检测所述目标软件的AndroidManifest文件是否具有注册设备管理器特征;           
在所述目标软件的AndroidManifest文件不具有注册设备管理器特征的情况            下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;           
在所述目标软件的AndroidManifest文件具有注册设备管理器特征的情况下,            进一步检测所述目标软件是否添加           
android.app.action.DEVICE_ADMIN_ENABLED属性;           
在所述目标软件添加android.app.action.DEVICE_ADMIN_ENABLED属性的            情况下,确定所述反编译结果不具有利用设备管理器漏洞的第一特征;           
在所述目标软件没有添加android.app.action.DEVICE_ADMIN_ENABLED属            性的情况下,确定所述反编译结果具有利用设备管理器漏洞的第一特征。           
6.如权利要求1-4中任意一项所述的方法,其特征在于,所述检测所述反编            译结果是否具有通过接收取消激活设备管理器广播对抗卸载的第二特征,包括:           
根据所述目标软件的AndroidManifest文件定位BroadcastReceiver类的位置;           
根据所述BroadcastReceiver类的位置,定位BroadcastReceiver代码;           
检测所述BroadcastReceiver代码中是否存在           
onDisableRequested函数和onDisabled函数;           
在onDisableRequested函数和onDisabled函数不都存在的情况下,           
确定所述反编译结果不具有接收取消激活设备管理器广播对抗卸载的第二            特征;           
在仅存在onDisableRequested函数的情况下,           
进一步检测所述onDisableRequested函数及其调用的子函数中是否存在对抗            特征;           
在仅存在onDisabled函数的情况下,           
进一步检测所述onDisabled函数及其调用的子函数中是否存在对抗特征;           
在onDisableRequested函数和onDisabled函数都存在的情况下,           
进一步检测           
android11系统更新包下载
所述onDisableRequested函数及其调用的子函数、所述onDisabled函数及其调            用的子函数中是否存在对抗特征;