一种ANDROID系统恶意程序处理方法和装置.pdf

摘要
申请专利号：	CN201410256763.2	申请日：	2014.06.10
公开号：	CN104091120A	公开日：	2014.10.08
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 21/56申请日:20140610\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	北京金山安全软件有限公司
发明人：	陈章群; 沈江波
地址：	100085 北京市海淀区小营西路33号二层东区
优先权：
专利代理机构：	北京清亦华知识产权代理事务所(普通合伙) 11201	代理人：	张大威
PDF下载：	PDF下载

内容摘要

本发明公开了一种Android系统恶意程序处理方法，包括：接收恶意程序的处理指令；执行设备管理器的取消操作；以及在设备管理器取消成功之后，执行所述恶意程序的清理操作。本发明还公开了一种Android系统恶意程序处理装置。基于本发明的方法可以有效地清除顽固木马程序。

权利要求书

1.  一种Android系统恶意程序处理方法，其特征在于，包括：
接收恶意程序的处理指令；
执行设备管理器的取消操作；以及
在设备管理器取消成功之后，执行所述恶意程序的清理操作。

2.  根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括：
判断所述设备管理器所在的图层是否处于图层的顶端；
若否，则将所述设备管理器所在的图层置顶。

3.  根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括：
判断所述系统是否处于锁屏状态；
若是，则取消所述系统的锁屏服务，并显示所述系统内的内容。

4.  根据权利要求2所述的方法，其特征在于，所述将所述设备管理器所在的图层置顶包括：
将所述设备管理器所对应的Activity在Activity栈中置顶。

5.  根据权利要求2所述的方法，其特征在于，所述执行设备管理器的取消操作包括：
停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。

6.  根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括：
显示所述设备管理器的取消界面；
接收用户在所述取消界面的取消操作；以及
执行用户对所述设备管理器的取消操作。

7.  根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括：
在后台执行设备管理器的取消操作。

8.  根据权利要求1所述的方法，其特征在于，所述恶意程序的清理操作包括：
调用系统卸载界面；
接收用户对所述恶意程序的卸载指令；
基于所述卸载指令执行对所述恶意程序的卸载操作。

9.  根据权利要求8所述的方法，其特征在于，所述恶意程序的清理操作包括：
监控所述系统卸载界面是否处于系统图层的最顶端；
若否，则将所述系统卸载界面所对应的Activity进行置顶。

10.  根据权利要求1所述的方法，其特征在于，所述恶意程序的清理操作包括：
提取所述恶意程序的特征信息；
基于所述特征信息判断所述恶意程序是否需要强制卸载；
若是，则直接删除所述恶意程序。

11.  一种Android系统恶意程序处理装置，其特征在于，包括：
接收模块，用于接收恶意程序的处理指令；
执行模块，用于执行设备管理器的取消操作；以及
清理模块，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。

12.  根据权利要求11所述的装置，其特征在于，所述执行模块还包括：
第一判断模块，用于判断所述设备管理器所在的图层是否处于图层的顶端；
第一置顶模块，用于当所述设备管理器不处于图层的顶端时，将所述设备管理器所在的图层置顶。

13.  根据权利要求12所述的装置，其特征在于，所述第一判断模块包括：
第二判断模块，用于判断所述系统是否处于锁屏状态；
第一执行模块，用于所述系统是否处于锁屏状态时，取消所述系统的锁屏服务，并显示所述系统内的内容。

14.  根据权利要求12所述的装置，其特征在于，所述第一置顶模块具体用于
将所述设备管理器所对应的Activity在Activity栈中置顶。

15.  根据权利要求12所述的装置，其特征在于，所述第一执行模块还用于停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。

16.  根据权利要求11所述的装置，其特征在于，所述执行模块包括：
显示模块，用于显示所述设备管理器的取消界面；
第一接收模块，用于接收用户在所述取消界面的取消操作；以及
第二执行模块，执行用户对所述设备管理器的取消操作。

17.  根据权利要求11所述的装置，其特征在于，所述执行模块还用于在后台执行设备管理器的取消操作。

18.  根据权利要求11所述的装置，其特征在于，所述清理模块包括：
调用模块，用于调用系统卸载界面；
第二接收模块，用于接收用户对所述恶意程序的卸载指令；
第三执行模块，用于基于所述卸载指令执行对所述恶意程序的卸载操作。

19.  根据权利要求18所述的装置，其特征在于，所述清理模块还用于：
监控所述系统卸载界面是否处于系统图层的最顶端；
当所述系统卸载界面是不处于系统图层的最顶端时，将所述系统卸载界面所对应的Activity进行置顶。

20.  根据权利要求11所述的装置，其特征在于，所述清理模块包括：
提取模块，用于提取所述恶意程序的特征信息；
第三判断单元，用于基于所述特征信息判断所述恶意程序是否需要强制卸载；
删除单元，用于当所述恶意程序需要强制卸载时，直接删除所述恶意程序。

21.  一种便携式设备，包含如权利要求11-20中任一项所述的装置。

说明书

一种Android系统恶意程序处理方法和装置
技术领域
本发明涉及移动互联网安全技术领域，尤其涉及一种Android系统恶意程序处理方法和装置。
背景技术
随着Android系统的不断普及，Android木马的数量成上升趋势，并且木马对抗安全软件的手段也在不断加强。Android系统提供了一个叫设备管理器的设备，当用户激活应用程序为设备管理器后，可以实现锁屏、擦除用户数据等功能，并且用户无法使用常规的卸载方式对其卸载，此时用户需要先取消激活设备管理器。
目前各大安全厂商对上述顽固木马的清除方案如下：调取系统的取消激活设备管理器的对话框，让用户手动点击取消激活设备管理器；取消激活后调用卸载应用的对话框，让用户选择卸载应用。该方法对一般的注册设备管理器的木马有效，但是某些木马会采取锁屏、强制返回桌面、调用其他界面覆盖取消激活的对话框等一系列对抗措施让用户无法取消激活设备管理器，进而达到对抗的卸载的目的。此时采用现有技术方案根本无法有效清除顽固木马。
发明内容
为了解决上述技术问题，本发明实施例提供一种Android系统恶意程序处理方法，使用一系列对抗措施来清除顽固木马。
本发明实施例提供一种Android系统恶意程序处理方法，包括：
接收恶意程序的处理指令；
执行设备管理器的取消操作；以及
在设备管理器取消成功之后，执行所述恶意程序的清理操作。
本发明实施例还提供一种Android系统恶意程序处理装置，包括：
接收模块，用于接收恶意程序的处理指令；
执行模块，用于执行设备管理器的取消操作；以及
清理模块，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。
实施本发明实施例，具有如下有益效果：
为有效清除顽固木马，本发明提供了一系列对抗措施来清除顽固木马。在调取系统的取消激活设备管理器的对话框后，本发明实施例采取如下措施：停止系统锁屏服务阻止木马锁屏；强制将取消激活的对话框移到前台让用户点击，防止该对话框被木马所覆盖；在后台不断的杀死木马相关的进程和服务，阻止木马的其他对抗措施。通过以上措施，本发明可以有效地清除顽固木马。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种Android系统恶意程序处理方法流程图；
图2为本发明实施例提供的一种取消激活设备管理器方法流程图；
图3为本发明实施例提供的一种恶意程序清理方法流程图；
图4为本发明实施例提供的另一种恶意程序清理方法流程图；
图5为本发明实施例提供的一种Android系统恶意程序处理装置结构示意图；
图6为本发明实施例提供的执行模块101的结构示意图；
图7为本发明实施例提供的执行模块101的另一结构示意图；
图8为本发明实施例提供的清理模块102的结构示意图；
图9为本发明实施例提供的清理模块102的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明技术方案中，顽固木马是指无法直接清除(卸载)的一类恶意程序；本发明中，当应用程序注册为设备管理器后，该应用程序将无法直接卸载，需要手动取消该设备管理器然后才能实现卸载该应用程序。
图1为本发明实施例提供的一种Android系统恶意程序处理方法流程图，如图1所示，所示方法包括：
S100、接收恶意程序的处理指令；
S101、执行设备管理器的取消操作；
可选的，所述执行设备管理器的取消操作包括：判断所述设备管理器所在的图层是否处于图层的顶端；具体的，所述将所述设备管理器所在的图层置顶包括：将所述设备管理器所对应的Activity在Activity栈中置顶。若否，则将所述设备管理器所在的图层置顶。
可选的，所述执行设备管理器的取消操作还可以包括：判断所述系统是否处于锁屏状态；若是，则取消所述系统的锁屏服务，并显示所述系统内的内容。
可选的，所述执行设备管理器的取消操作还可以包括：停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。
具体的，所述执行设备管理器的取消操作包括：显示所述设备管理器的取消界面；接收用户在所述取消界面的取消操作；以及执行用户对所述设备管理器的取消操作。
可选的，所述执行设备管理器的取消操作为在后台执行设备管理器的取消操作。
S102、在设备管理器取消成功之后，执行所述恶意程序的清理操作。
可选的，所述恶意程序的清理操作包括：调用系统卸载界面；接收用户对所述恶意程序的卸载指令；基于所述卸载指令执行对所述恶意程序的卸载操作。
可选的，所述恶意程序的清理操作包括：监控所述系统卸载界面是否处于系统图层的最顶端；若否，则将所述系统卸载界面所对应的Activity进行置顶。
进一步的，所述恶意程序的清理操作包括：提取所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。
图2为本发明实施例提供的一种取消激活设备管理器方法流程图，如图1所示，所述方法包括：
S200、调用系统取消激活设备管理器界面；
S201、开启防御措施；
调用系统的取消激活设备管理器界面后，本发明实施例将开启防御措施，以反击顽固木马的对抗手段；
本发明实施例的防御措施会不断执行取消锁屏、移动设备管理器界面到前台、杀死顽固木马进程等方法，直到取消激活设备管理器成功后关闭防御措施为止。具体来说，所述防御措施可以包括但不限于以下方式：
1、取消锁屏，具体来说，调用系统的disableKeyguard函数来结束手机的锁屏服务，并且不断申请释放唤醒锁来点亮屏幕，让用户可以操作手机。
2、移动设备管理器界面到前台。通常顽固木马通常会采取频繁锁屏、调用其他界面等措施覆盖取消激活设备管理器的界面阻止用户点击确认激活设备管理器的按钮。本发明实施例循环判断手机前台界面，当发现不是设备管理器时，从Activity栈将设备管理器的 Activity移动到前台，让用户可以点击。
因为Android是通过一种Activity栈的方式来管理Activity的，一个Activity的实例的状态决定它在栈中的位置。处于前台的Activity总是在栈的顶端，当前台的Activity因为异常或其它原因被销毁时，处于栈第二层的Activity将被激活，上浮到栈顶。当新的Activity启动入栈时，原Activity会被压入到栈的第二层。一个Activity在栈中的位置变化反映了它在不同状态间的转换。
3、杀死顽固木马进程。因为某些木马会调用一个全屏的悬浮窗覆盖整个屏幕，并且屏蔽所有按键消息，用户遇到这种情况后，只能重启手机。本发明实施例可以枚举系统的服务和进程，不断的停止木马相关的服务，并且杀死其后台进程，进而关掉木马启动的全屏悬浮窗。
S202、判断用户是否取消激活设备管理器；如果否则继续执行所述步骤S201中的防御措施；如果是则执行步骤S203；
S203、关闭防御措施；
关闭防御措施，能够减少手机资源消耗，此时取消激活设备管理器已经完成，可以进行下一步的恶意程序处理，比如调用系统的卸载应用界面对恶意程序进行卸载。
图3为本发明实施例提供的一种恶意程序清理方法流程图，如图3所示，所示方法包括：
S300、调用系统卸载界面；
具体的，监控所述系统卸载界面是否处于系统图层的最顶端；若否，则将所述系统卸载界面所对应的Activity进行置顶。
S301、接收用户对所述恶意程序的卸载指令；
S302、基于所述卸载指令执行对所述恶意程序的卸载操作。
可选的，提取所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。
图4为本发明实施例提供的另一种恶意程序清理方法流程图，如图4所示，所述方法包括：
S400、调用系统卸载界面；
具体的，监控所述系统卸载界面是否处于系统图层的最顶端；
若否，则将所述系统卸载界面所对应的Activity进行置顶。
S401、接收用户的卸载指令；
S402、判断卸载程序是否完成；如果已经完成则卸载处理完毕；否则执行步骤S404；
S403、卸载处理完成；
S404、判断处理逻辑，是否需要强制卸载恶意程序；
可选的，提取所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。
可选的，当用户选择不强行卸载应用后，本发明实施例将不会强行卸载应用。
因为取消激活设备管理器后，系统会发送一个广播通知所有应用，已经取消激活了木马程序的设备管理器。某些木马程序收到该广播后，会强行不断启动重新激活设备管理器的界面，直到用户确认重新激活为止。
针对这类顽固木马程序，本发明实施例会不断弹出系统的卸载应用的界面，直到用户卸载应用为止。当用户选择不强行卸载应用后，本发明实施例将不会强行卸载应用。
图5为本发明实施例提供的一种Android系统恶意程序处理装置结构示意图，如图5所示，所示装置包括：
接收模块100，用于接收恶意程序的处理指令；
执行模块101，用于执行设备管理器的取消操作；以及
清理模块102，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。
图6为本发明实施例提供的执行模块101的结构示意图，如图6所示，所示执行模块101包括：
第一判断模块1011，用于判断所述设备管理器所在的图层是否处于图层的顶端；
第一置顶模块1013，用于当所述设备管理器不处于图层的顶端时，将所述设备管理器所在的图层置顶。
可选的，所示执行模块101还包括：
第二判断模块1015，用于判断所述系统是否处于锁屏状态；
第一执行模块1017，用于所述系统是否处于锁屏状态时，取消所述系统的锁屏服务，并显示所述系统内的内容。
图7为本发明实施例提供的执行模块101的另一结构示意图，如图7所示，所示执行模块101包括：
显示模块1012，用于显示所述设备管理器的取消界面；
第一接收模块1014，用于接收用户在所述取消界面的取消操作；以及
第二执行模块1016，执行用户对所述设备管理器的取消操作。
图8为本发明实施例提供的清理模块102的结构示意图，如图8所示，所示清理模块102包括：
调用模块1021，用于调用系统卸载界面；
第二接收模块1023，用于接收用户对所述恶意程序的卸载指令；
第三执行模块1025，用于基于所述卸载指令执行对所述恶意程序的卸载操作。
图9为本发明实施例提供的清理模块102的另一结构示意图，如图9所示，所示清理模块102包括：
提取模块1022，用于提取所述恶意程序的特征信息；
第三判断单元1024，用于基于所述特征信息判断所述恶意程序是否需要强制卸载；
删除单元1026，用于当所述恶意程序需要强制卸载时，直接删除所述恶意程序。
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

资源描述

《一种ANDROID系统恶意程序处理方法和装置.pdf》由会员分享，可在线阅读，更多相关《一种ANDROID系统恶意程序处理方法和装置.pdf（13页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104091120A43申请公布日20141008CN104091120A21申请号201410256763222申请日20140610G06F21/5620130171申请人北京金山安全软件有限公司地址100085北京市海淀区小营西路33号二层东区72发明人陈章群沈江波74专利代理机构北京清亦华知识产权代理事务所普通合伙11201代理人张大威54发明名称一种ANDROID系统恶意程序处理方法和装置57摘要本发明公开了一种ANDROID系统恶意程序处理方法，包括接收恶意程序的处理指令；执行设备管理器的取消操作；以及在设备管理器取消成功之后，执行所述恶意程序的清理操作。本发明还。

2、公开了一种ANDROID系统恶意程序处理装置。基于本发明的方法可以有效地清除顽固木马程序。51INTCL权利要求书2页说明书6页附图4页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图4页10申请公布号CN104091120ACN104091120A1/2页21一种ANDROID系统恶意程序处理方法，其特征在于，包括接收恶意程序的处理指令；执行设备管理器的取消操作；以及在设备管理器取消成功之后，执行所述恶意程序的清理操作。2根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括判断所述设备管理器所在的图层是否处于图层的顶端；若否，则将所述设备管理器所。

3、在的图层置顶。3根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括判断所述系统是否处于锁屏状态；若是，则取消所述系统的锁屏服务，并显示所述系统内的内容。4根据权利要求2所述的方法，其特征在于，所述将所述设备管理器所在的图层置顶包括将所述设备管理器所对应的ACTIVITY在ACTIVITY栈中置顶。5根据权利要求2所述的方法，其特征在于，所述执行设备管理器的取消操作包括停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。6根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括显示所述设备管理器的取消界面；接收用户在所述取消界面的取消操作；以及执行用户对所。

4、述设备管理器的取消操作。7根据权利要求1所述的方法，其特征在于，所述执行设备管理器的取消操作包括在后台执行设备管理器的取消操作。8根据权利要求1所述的方法，其特征在于，所述恶意程序的清理操作包括调用系统卸载界面；接收用户对所述恶意程序的卸载指令；基于所述卸载指令执行对所述恶意程序的卸载操作。9根据权利要求8所述的方法，其特征在于，所述恶意程序的清理操作包括监控所述系统卸载界面是否处于系统图层的最顶端；若否，则将所述系统卸载界面所对应的ACTIVITY进行置顶。10根据权利要求1所述的方法，其特征在于，所述恶意程序的清理操作包括提取所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要。

5、强制卸载；若是，则直接删除所述恶意程序。11一种ANDROID系统恶意程序处理装置，其特征在于，包括接收模块，用于接收恶意程序的处理指令；执行模块，用于执行设备管理器的取消操作；以及清理模块，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。12根据权利要求11所述的装置，其特征在于，所述执行模块还包括第一判断模块，用于判断所述设备管理器所在的图层是否处于图层的顶端；第一置顶模块，用于当所述设备管理器不处于图层的顶端时，将所述设备管理器所在权利要求书CN104091120A2/2页3的图层置顶。13根据权利要求12所述的装置，其特征在于，所述第一判断模块包括第二判断模块，用于判断所述系。

6、统是否处于锁屏状态；第一执行模块，用于所述系统是否处于锁屏状态时，取消所述系统的锁屏服务，并显示所述系统内的内容。14根据权利要求12所述的装置，其特征在于，所述第一置顶模块具体用于将所述设备管理器所对应的ACTIVITY在ACTIVITY栈中置顶。15根据权利要求12所述的装置，其特征在于，所述第一执行模块还用于停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。16根据权利要求11所述的装置，其特征在于，所述执行模块包括显示模块，用于显示所述设备管理器的取消界面；第一接收模块，用于接收用户在所述取消界面的取消操作；以及第二执行模块，执行用户对所述设备管理器的取消操作。17根据权利要求。

7、11所述的装置，其特征在于，所述执行模块还用于在后台执行设备管理器的取消操作。18根据权利要求11所述的装置，其特征在于，所述清理模块包括调用模块，用于调用系统卸载界面；第二接收模块，用于接收用户对所述恶意程序的卸载指令；第三执行模块，用于基于所述卸载指令执行对所述恶意程序的卸载操作。19根据权利要求18所述的装置，其特征在于，所述清理模块还用于监控所述系统卸载界面是否处于系统图层的最顶端；当所述系统卸载界面是不处于系统图层的最顶端时，将所述系统卸载界面所对应的ACTIVITY进行置顶。20根据权利要求11所述的装置，其特征在于，所述清理模块包括提取模块，用于提取所述恶意程序的特征信息；第三判。

8、断单元，用于基于所述特征信息判断所述恶意程序是否需要强制卸载；删除单元，用于当所述恶意程序需要强制卸载时，直接删除所述恶意程序。21一种便携式设备，包含如权利要求1120中任一项所述的装置。权利要求书CN104091120A1/6页4一种ANDROID系统恶意程序处理方法和装置技术领域0001本发明涉及移动互联网安全技术领域，尤其涉及一种ANDROID系统恶意程序处理方法和装置。背景技术0002随着ANDROID系统的不断普及，ANDROID木马的数量成上升趋势，并且木马对抗安全软件的手段也在不断加强。ANDROID系统提供了一个叫设备管理器的设备，当用户激活应用程序为设备管理器后，可以实现锁。

9、屏、擦除用户数据等功能，并且用户无法使用常规的卸载方式对其卸载，此时用户需要先取消激活设备管理器。0003目前各大安全厂商对上述顽固木马的清除方案如下调取系统的取消激活设备管理器的对话框，让用户手动点击取消激活设备管理器；取消激活后调用卸载应用的对话框，让用户选择卸载应用。该方法对一般的注册设备管理器的木马有效，但是某些木马会采取锁屏、强制返回桌面、调用其他界面覆盖取消激活的对话框等一系列对抗措施让用户无法取消激活设备管理器，进而达到对抗的卸载的目的。此时采用现有技术方案根本无法有效清除顽固木马。发明内容0004为了解决上述技术问题，本发明实施例提供一种ANDROID系统恶意程序处理方法，使用。

10、一系列对抗措施来清除顽固木马。0005本发明实施例提供一种ANDROID系统恶意程序处理方法，包括0006接收恶意程序的处理指令；0007执行设备管理器的取消操作；以及0008在设备管理器取消成功之后，执行所述恶意程序的清理操作。0009本发明实施例还提供一种ANDROID系统恶意程序处理装置，包括0010接收模块，用于接收恶意程序的处理指令；0011执行模块，用于执行设备管理器的取消操作；以及0012清理模块，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。0013实施本发明实施例，具有如下有益效果0014为有效清除顽固木马，本发明提供了一系列对抗措施来清除顽固木马。在调取系统的取。

11、消激活设备管理器的对话框后，本发明实施例采取如下措施停止系统锁屏服务阻止木马锁屏；强制将取消激活的对话框移到前台让用户点击，防止该对话框被木马所覆盖；在后台不断的杀死木马相关的进程和服务，阻止木马的其他对抗措施。通过以上措施，本发明可以有效地清除顽固木马。附图说明0015为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现说明书CN104091120A2/6页5有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。0016图1为本发明实施例提供的。

12、一种ANDROID系统恶意程序处理方法流程图；0017图2为本发明实施例提供的一种取消激活设备管理器方法流程图；0018图3为本发明实施例提供的一种恶意程序清理方法流程图；0019图4为本发明实施例提供的另一种恶意程序清理方法流程图；0020图5为本发明实施例提供的一种ANDROID系统恶意程序处理装置结构示意图；0021图6为本发明实施例提供的执行模块101的结构示意图；0022图7为本发明实施例提供的执行模块101的另一结构示意图；0023图8为本发明实施例提供的清理模块102的结构示意图；0024图9为本发明实施例提供的清理模块102的另一结构示意图。具体实施方式0025下面将结合本发明。

13、实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。0026本发明技术方案中，顽固木马是指无法直接清除卸载的一类恶意程序；本发明中，当应用程序注册为设备管理器后，该应用程序将无法直接卸载，需要手动取消该设备管理器然后才能实现卸载该应用程序。0027图1为本发明实施例提供的一种ANDROID系统恶意程序处理方法流程图，如图1所示，所示方法包括0028S100、接收恶意程序的处理指令；0029S101、执行设。

14、备管理器的取消操作；0030可选的，所述执行设备管理器的取消操作包括判断所述设备管理器所在的图层是否处于图层的顶端；具体的，所述将所述设备管理器所在的图层置顶包括将所述设备管理器所对应的ACTIVITY在ACTIVITY栈中置顶。若否，则将所述设备管理器所在的图层置顶。0031可选的，所述执行设备管理器的取消操作还可以包括判断所述系统是否处于锁屏状态；若是，则取消所述系统的锁屏服务，并显示所述系统内的内容。0032可选的，所述执行设备管理器的取消操作还可以包括停止所述恶意程序的相关服务，并清理所述恶意程序的后台进程。0033具体的，所述执行设备管理器的取消操作包括显示所述设备管理器的取消界面；。

15、接收用户在所述取消界面的取消操作；以及执行用户对所述设备管理器的取消操作。0034可选的，所述执行设备管理器的取消操作为在后台执行设备管理器的取消操作。0035S102、在设备管理器取消成功之后，执行所述恶意程序的清理操作。0036可选的，所述恶意程序的清理操作包括调用系统卸载界面；接收用户对所述恶意程序的卸载指令；基于所述卸载指令执行对所述恶意程序的卸载操作。说明书CN104091120A3/6页60037可选的，所述恶意程序的清理操作包括监控所述系统卸载界面是否处于系统图层的最顶端；若否，则将所述系统卸载界面所对应的ACTIVITY进行置顶。0038进一步的，所述恶意程序的清理操作包括提取。

16、所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。0039图2为本发明实施例提供的一种取消激活设备管理器方法流程图，如图1所示，所述方法包括0040S200、调用系统取消激活设备管理器界面；0041S201、开启防御措施；0042调用系统的取消激活设备管理器界面后，本发明实施例将开启防御措施，以反击顽固木马的对抗手段；0043本发明实施例的防御措施会不断执行取消锁屏、移动设备管理器界面到前台、杀死顽固木马进程等方法，直到取消激活设备管理器成功后关闭防御措施为止。具体来说，所述防御措施可以包括但不限于以下方式00441、取消锁屏，具体来说，调。

17、用系统的DISABLEKEYGUARD函数来结束手机的锁屏服务，并且不断申请释放唤醒锁来点亮屏幕，让用户可以操作手机。00452、移动设备管理器界面到前台。通常顽固木马通常会采取频繁锁屏、调用其他界面等措施覆盖取消激活设备管理器的界面阻止用户点击确认激活设备管理器的按钮。本发明实施例循环判断手机前台界面，当发现不是设备管理器时，从ACTIVITY栈将设备管理器的ACTIVITY移动到前台，让用户可以点击。0046因为ANDROID是通过一种ACTIVITY栈的方式来管理ACTIVITY的，一个ACTIVITY的实例的状态决定它在栈中的位置。处于前台的ACTIVITY总是在栈的顶端，当前台的AC。

18、TIVITY因为异常或其它原因被销毁时，处于栈第二层的ACTIVITY将被激活，上浮到栈顶。当新的ACTIVITY启动入栈时，原ACTIVITY会被压入到栈的第二层。一个ACTIVITY在栈中的位置变化反映了它在不同状态间的转换。00473、杀死顽固木马进程。因为某些木马会调用一个全屏的悬浮窗覆盖整个屏幕，并且屏蔽所有按键消息，用户遇到这种情况后，只能重启手机。本发明实施例可以枚举系统的服务和进程，不断的停止木马相关的服务，并且杀死其后台进程，进而关掉木马启动的全屏悬浮窗。0048S202、判断用户是否取消激活设备管理器；如果否则继续执行所述步骤S201中的防御措施；如果是则执行步骤S203；。

19、0049S203、关闭防御措施；0050关闭防御措施，能够减少手机资源消耗，此时取消激活设备管理器已经完成，可以进行下一步的恶意程序处理，比如调用系统的卸载应用界面对恶意程序进行卸载。0051图3为本发明实施例提供的一种恶意程序清理方法流程图，如图3所示，所示方法包括0052S300、调用系统卸载界面；0053具体的，监控所述系统卸载界面是否处于系统图层的最顶端；若否，则将所述系统卸载界面所对应的ACTIVITY进行置顶。0054S301、接收用户对所述恶意程序的卸载指令；说明书CN104091120A4/6页70055S302、基于所述卸载指令执行对所述恶意程序的卸载操作。0056可选的，提。

20、取所述恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。0057图4为本发明实施例提供的另一种恶意程序清理方法流程图，如图4所示，所述方法包括0058S400、调用系统卸载界面；0059具体的，监控所述系统卸载界面是否处于系统图层的最顶端；0060若否，则将所述系统卸载界面所对应的ACTIVITY进行置顶。0061S401、接收用户的卸载指令；0062S402、判断卸载程序是否完成；如果已经完成则卸载处理完毕；否则执行步骤S404；0063S403、卸载处理完成；0064S404、判断处理逻辑，是否需要强制卸载恶意程序；0065可选的，提取所述。

21、恶意程序的特征信息；基于所述特征信息判断所述恶意程序是否需要强制卸载；若是，则直接删除所述恶意程序。0066可选的，当用户选择不强行卸载应用后，本发明实施例将不会强行卸载应用。0067因为取消激活设备管理器后，系统会发送一个广播通知所有应用，已经取消激活了木马程序的设备管理器。某些木马程序收到该广播后，会强行不断启动重新激活设备管理器的界面，直到用户确认重新激活为止。0068针对这类顽固木马程序，本发明实施例会不断弹出系统的卸载应用的界面，直到用户卸载应用为止。当用户选择不强行卸载应用后，本发明实施例将不会强行卸载应用。0069图5为本发明实施例提供的一种ANDROID系统恶意程序处理装置结构。

22、示意图，如图5所示，所示装置包括0070接收模块100，用于接收恶意程序的处理指令；0071执行模块101，用于执行设备管理器的取消操作；以及0072清理模块102，用于在设备管理器取消成功之后，执行所述恶意程序的清理操作。0073图6为本发明实施例提供的执行模块101的结构示意图，如图6所示，所示执行模块101包括0074第一判断模块1011，用于判断所述设备管理器所在的图层是否处于图层的顶端；0075第一置顶模块1013，用于当所述设备管理器不处于图层的顶端时，将所述设备管理器所在的图层置顶。0076可选的，所示执行模块101还包括0077第二判断模块1015，用于判断所述系统是否处于锁屏。

23、状态；0078第一执行模块1017，用于所述系统是否处于锁屏状态时，取消所述系统的锁屏服务，并显示所述系统内的内容。0079图7为本发明实施例提供的执行模块101的另一结构示意图，如图7所示，所示执行模块101包括0080显示模块1012，用于显示所述设备管理器的取消界面；0081第一接收模块1014，用于接收用户在所述取消界面的取消操作；以及说明书CN104091120A5/6页80082第二执行模块1016，执行用户对所述设备管理器的取消操作。0083图8为本发明实施例提供的清理模块102的结构示意图，如图8所示，所示清理模块102包括0084调用模块1021，用于调用系统卸载界面；008。

24、5第二接收模块1023，用于接收用户对所述恶意程序的卸载指令；0086第三执行模块1025，用于基于所述卸载指令执行对所述恶意程序的卸载操作。0087图9为本发明实施例提供的清理模块102的另一结构示意图，如图9所示，所示清理模块102包括0088提取模块1022，用于提取所述恶意程序的特征信息；0089第三判断单元1024，用于基于所述特征信息判断所述恶意程序是否需要强制卸载；0090删除单元1026，用于当所述恶意程序需要强制卸载时，直接删除所述恶意程序。0091在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例。

25、描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。0092此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两。

26、个，三个等，除非另有明确具体的限定。0093流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。0094在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备如基于计算机的系统、包括处理器。

27、的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质“可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例非穷尽性列表包括以下具有一个或多个布线的电连接部电子装置，便携式计算机盘盒磁装置，随机存取存储器RAM，只读存储器ROM，可擦除可编辑只读存储器EPROM或闪速存储器，光纤装置，以及便携式光盘只读存储器CDROM。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对。

28、纸或其他介质进行光学扫描，接着进行编辑、解译或必说明书CN104091120A6/6页9要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。0095应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列PGA，现场可编程门阵列FPGA等。0096本技。

29、术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。0097此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。0098上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。说明书CN104091120A1/4页10图1图2说明书附图CN104091120A102/4页11图3图4说明书附图CN104091120A113/4页12图5图6图7图8说明书附图CN104091120A124/4页13图9说明书附图CN104091120A13。

展开阅读全文