[发明专利]一种应用程序检测方法及装置

权利要求书

1.一种应用程序检测方法，其特征在于，所述方法应用于移动终端，所述移动终端中配置有安卓Android系统，所述Android系统中安装有待检测应用程序和基于应用劫持Xposed框架实现的检测模块，所述方法包括：

通过所述检测模块，获取预设的恶意应用程序对应的应用程序接口API，作为关键API；

获取预设历史时间段内，待检测应用程序调用的API，作为待检测API；

基于所述关键API和所述待检测API，确定所述待检测应用程序是否存在恶意行为；

所述通过所述检测模块，获取预设的恶意应用程序对应的应用程序接口API，作为关键API，包括：

通过所述检测模块，针对每一恶意应用程序，获取该恶意应用程序的目标程序标识；其中，所述目标程序标识表示该恶意应用程序执行的恶意行为；

基于各恶意应用程序各自的目标程序标识和各预设类型标识，对各恶意应用程序进行分组，得到多个应用程序分组；其中，各应用程序分组与各预设类型标识一一对应；

确定每一应用程序分组中的恶意应用程序，在执行该应用程序分组的预设类型标识对应的恶意行为时调用的API，作为关键API；

所述基于各恶意应用程序各自的目标程序标识和各预设类型标识，对各恶意应用程序进行分组，得到多个应用程序分组，包括：

针对每一恶意应用程序，计算该恶意应用程序的目标程序标识与每一预设类型标识的距离，作为目标距离；

确定与该恶意应用程序的目标程序标识的目标距离最小的预设类型标识，作为该恶意应用程序的预设类型标识；

确定各恶意应用程序中，具有相同预设类型标识的恶意应用程序，作为一个应用程序分组。

2.根据权利要求1所述的方法，其特征在于，所述基于所述关键API和所述待检测API，确定所述待检测应用程序是否存在恶意行为，包括：

如果所述待检测API中不存在所述关键API，确定所述待检测应用程序不存在恶意行为；

如果所述待检测API中存在所述关键API，确定所述待检测API中包含的各关键API，作为目标关键API；

针对每一目标关键API，确定该目标关键API所属的API调用序列，作为待处理API调用序列；其中，一个待处理API调用序列包括：响应针对所述待检测应用程序的同一指令的各API；

基于各待处理API调用序列和预设的恶意序列检测条件，确定所述待检测应用程序是否存在恶意行为。

3.根据权利要求2所述的方法，其特征在于，所述基于各待处理API调用序列和预设的恶意序列检测条件，确定所述待检测应用程序是否存在恶意行为，包括：

针对每一待处理API调用序列，确定该待处理API调用序列所响应的针对所述待检测应用程序的指令，作为目标指令；

确定预设的用于响应所述目标指令的API调用序列，作为该待处理API调用序列对应的标准API调用序列；

判断各待处理API调用序列中，是否存在与对应的标准API调用序列不一致的待处理API调用序列；

如果各待处理API调用序列中不存在与对应的标准API调用序列不一致的待处理API调用序列，确定所述待检测应用程序不存在恶意行为；

如果各待处理API调用序列中存在与对应的标准API调用序列不一致的待处理API调用序列，确定所述待检测应用程序存在恶意行为。

4.根据权利要求1所述的方法，其特征在于，在所述获取预设历史时间段内，待检测应用程序调用的API，作为待检测API之后，所述方法还包括：

获取所述待检测API之间传递的参数，作为待检测参数；

所述基于所述关键API和所述待检测API，确定所述待检测应用程序是否存在恶意行为，包括：

如果所述待检测API中不存在所述关键API，确定所述待检测应用程序不存在恶意行为；

如果所述待检测API中存在所述关键API，确定所述待检测API中包含的各关键API，作为目标关键API；

针对每一目标关键API，确定该目标关键API所属的API调用序列，作为待处理API调用序列；其中，一个待处理API调用序列包括：响应针对所述待检测应用程序的同一指令的各API；

基于各待处理API调用序列中的各API之间传递的待检测参数，确定所述待检测应用程序是否存在恶意行为。