[发明专利]一种应用程序检测方法及装置

说明书

本发明实施例提供了一种应用程序检测方法及装置，该方法应用于移动终端，移动终端中配置有安卓系统，安卓系统中安装有待检测应用程序和基于Xposed框架实现的检测模块。通过检测模块获取预设的恶意应用程序对应的关键API。获取预设历史时间段内，待检测应用程序调用的待检测API。基于关键API和待检测API，确定待检测应用程序是否存在恶意行为。基于上述处理，基于Xposed框架实现的检测模块的兼容性较高，支持目前已发布的所有版本的安卓系统，可以提高应用程序检测方法的适用范围。另外，本发明实例中检测模块不是安装于虚拟安卓系统，而是安装于真实的移动终端中配置的安卓系统，可以提高应用程序检测方法的有效性。

技术领域

本发明涉及软件安全技术领域，特别是涉及一种应用程序检测方法及装置。

背景技术

随着移动互联网技术的快速发展，移动终端为用户提供的功能也越来越多。移动终端中安装有多个APP(Application，应用程序)，移动终端中安装的多个应用程序中可能存在恶意应用程序。恶意应用程序在未经过用户允许的情况下，会执行向付费服务发送确认短信、向用户推送广告、在移动终端中安装其他应用程序，以及窃取用户隐私信息(例如，窃取用户短信内容、通话记录)等恶意行为，严重威胁了用户的隐私信息与财产安全。因此，为了保障用户的隐私信息与财产安全，需要对应用程序进行检测，以确定应用程序是否存在上述恶意行为。

现有技术中，在对应用程序(可以称为待检测应用程序)进行检测时，可以通过DroidBox(安卓沙盒)框架，模拟包含检测程序的虚拟Android(安卓)系统，进而，可以将待检测应用程序安装于虚拟Android系统，并通过虚拟Android系统中的检测程序，对待检测应用程序进行检测，以确定待检测应用程序是否存在恶意行为。

然而，通过DroidBox框架，仅能模拟Android4.1.1版本的Android系统，而随着互联网技术的快速发展，Android系统和应用程序均在快速地更新，许多应用程序已经不兼容Android4.1.1版本的Android系统。因此，基于DroidBox框架的应用程序检测方法，无法对不兼容Android4.1.1版本的Android系统的应用程序进行检测。另外，部分恶意应用程序可以检测其运行的环境是否为虚拟Android系统，在确定运行的环境为虚拟Android系统时，会停止执行恶意行为，此时无法检测出恶意行为。因此，现有技术中应用程序检测方法的有效性不高。

发明内容

本发明实施例的目的在于提供一种应用程序检测方法及装置，以提高应用程序检测方法的有效性。具体技术方案如下：

第一方面，为了达到上述目的，本发明实施例提供了一种应用程序检测方法，所述方法应用于移动终端，所述移动终端中配置有Android系统，所述Android系统中安装有待检测应用程序和基于应用劫持Xposed框架实现的检测模块，所述方法包括：通过所述检测模块，获取预设的恶意应用程序对应的应用程序接口API，作为关键API；获取预设历史时间段内，待检测应用程序调用的API，作为待检测API；基于所述关键API和所述待检测API，确定所述待检测应用程序是否存在恶意行为。

可选的，所述基于所述关键API和所述待检测API，确定所述待检测应用程序是否存在恶意行为，包括：如果所述待检测API中不存在所述关键API，确定所述待检测应用程序不存在恶意行为；如果所述待检测API中存在所述关键API，确定所述待检测API中包含的各关键API，作为目标关键API；针对每一目标关键API，确定该目标关键API所属的API调用序列，作为待处理API调用序列；其中，一个待处理API调用序列包括：响应针对所述待检测应用程序的同一指令的各API；基于各待处理API调用序列和预设的恶意序列检测条件，确定所述待检测应用程序是否存在恶意行为。