[发明专利]一种移动终端应用程序处理方法

权利要求书

1.一种移动终端应用程序处理方法，其特征在于，包括：

在移动终端下载安装包之前，对安装包依次进行静态检测、动态检测以及木马检测，在移动终端从应用网站下载安装包之后，利用安装包中的安全认证模块对安装包进行二次签名。

2.根据权利要求1所述的方法，其特征在于，所述移动终端的安装包中的安全认证模块包括嵌入安装包的安装器中的验证接口、安全代理和公钥证书存储区组成，其中安全代理实现验证核心工作的后台应用；

所述安全认证模块利用公钥和私钥，对待安装的安装包进行二次签名验证，在安装包系统签名之上，基于信任链传递机制进行二次签名算法，以操作系统原生签名为信任根，将信任不断向上传递到安装包的签名流程；

所述静态检测基于安全规则库的设计，以安装包反编译和面向对象语言的源代码静态分析技术为核心发现已知恶意代码片段，其中所述安全规则库是从源代码角度对操作系统应用中的耗费、隐私窃取的恶意行为的关键API调用进行总结和风险评级，以设定相应的检测规则；

所述静态检测首先利用反编译器对移动终端应用程序的虚拟机执行文件、系统描述文件进行反编译；其次，对反编译后Java源代码进行词法、语法解析，将分析结果转换成抽象语法树，匹配静态安全规则库中API对语法树进行控制流、数据流分析，然后查询引起恶意行为的关键API调用，数据流追踪被引入敏感数据的API，精确定位到程序中可能出现恶意行为的关键代码段；最后，输出静态检测结果；

所述动态检测分析包括在受控环境中运行应用程序并检测其行为，在程序运行期间对尚未添加入恶意代码库的新型程序进行识别，包括对应用软件的自动安装、启动、运行测试、卸载应用程序，并对整个测试过程的界面进行截图保存；从Linux内核层安全监控出发，利用系统调用拦截机制，内核层的安全监控模块动态加载到系统内核中，在动态测试的过程中，监控应用程序运行中的恶意行为，其包括发送短信、窃取用户隐私文件、后台自动联网；当安装包应用有调用行为时，内核层监控模块会记录调用行为，通过通信套接字，将信息传递给用户态的程序，并保存相应的检测报告。