[发明专利]应用程序自我保护、主动防御方法与装置

权利要求书

1.一种应用程序主动防御方法，其特征在于，包括以下步骤：

由注册到系统底层的卸载服务进程截获卸载该应用程序的行为，所述卸载服务进程通过钩子函数挂钩包管理服务进程的与卸载应用程序相关的函数的运行入口点而截获所述卸载应用程序的行为；

由卸载服务进程将该行为通知与其通信的客户端服务进程；

由客户端服务进程还原由该应用程序处理的至少部分数据后，通过向该相关的函数的调用者返回自定义数据而恢复所述包管理服务进程的运行，以通知该卸载服务进程放行所述卸载应用程序的行为。

2.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述卸载服务进程基于获取Root权限为前提而被添加到系统底层。

3.根据权利要求2所述的应用程序主动防御方法，其特征在于，通过调用SystemService.addService()函数而将所述卸载服务进程添加到系统底层。

4.根据权利要求1所述的应用程序主动防御方法，其特征在于，该钩子函数具体通过监控包管理服务进程调用deletePackage()函数而截获所述的行为。

5.根据权利要求1所述的应用程序主动防御方法，其特征在于，当且仅当所述客户端服务进程从其接收到的通知中判断出待卸载的应用程序为该客户端服务进程所属的应用程序时，才执行所述由客户端服务进程还原由该应用程序处理的至少部分数据后，通知该卸载服务进程放行所述卸载应用程序的行为的步骤，否则通知所述卸载服务进程直接放行卸载所述应用程序。

6.根据权利要求5所述的应用程序主动防御方法，其特征在于，通过比较所述通知中所包含的包名与所述客户端服务进程所属应用程序的包名是否相同，而确定待卸载应用程序是否为该客户端服务进程所属的应用程序。

7.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述客户端服务进程收到卸载服务进程的通知后，弹出询问窗口，当且仅当接收到通过该窗口输入的表征允许卸载所述应用程序的指令时，才执行所述由客户端服务进程还原由该应用程序处理的至少部分数据后，通知该卸载服务进程放行所述卸载应用程序的行为的步骤；否则通知所述卸载服务进程阻止卸载所述应用程序。

8.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述卸载服务进程与所述客户端服务进程之间基于Binder机制进行通信。

9.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述还原由该应用程序处理的至少部分数据的过程，包括执行如下操作中的一种或任意多种：

清除由该应用程序增添的数据；

恢复由该应用程序修改的数据；

恢复由该应用程序删除的数据；

通过停止由该应用程序注册的服务进程而恢复系统的服务进程注册数据。

10.根据权利要求9所述的应用程序主动防御方法，其特征在于，所述由该应用程序修改的数据包括其他应用程序在活动管理服务进程注册的数据。

11.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述客户端服务进程独立于所述应用程序而运行。

12.根据权利要求1所述的应用程序主动防御方法，其特征在于，所述客户端服务进程接收到卸载服务进程的通知后，调用浏览器访问预设链接的网页。

13.一种应用程序主动防御装置，其特征在于，包括：

卸载服务单元，预注册到系统底层，用于截获卸载该应用程序的行为，且将该行为通知与其通信的客户端服务进程，所述卸载服务进程通过钩子函数挂钩包管理服务进程的与卸载应用程序相关的函数的运行入口点而截获所述卸载应用程序的行为，并通过向该相关函数的调用者返回自定义数据而恢复所述包管理服务进程的运行；

客户端服务单元，用于还原由该应用程序处理的至少部分数据后，通知该卸载服务进程放行所述卸载应用程序的行为。

14.根据权利要求13所述的应用程序主动防御装置，其特征在于，所述卸载服务单元基于获取Root权限为前提而被添加到系统底层。

15.根据权利要求14所述的应用程序主动防御装置，其特征在于，包括注册单元，用于通过调用SystemService.addService()函数将所述卸载服务单元注册到系统底层。