[发明专利]一种恶意应用程序的检测方法及系统

权利要求书

1.一种恶意应用程序的检测方法，其特征在于，其包括：

监听到APK安装时，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息及用于监控系统调用表修改的回调接口；

监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名；

将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序。

2.根据权利要求1所述恶意应用程序的检测方法，其特征在于，所述监听到APK安装时，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息及用于监控系统调用表修改的回调接口具体包括：

监听到系统安装APK，解析所述APK并将其反编译为jar文件；

向所述jar文件内写入预设元数据以得到所述第一bundle文件，并将所述包名信息以及用于监控系统调用表修改的回调接口注册入所述第一bundle文件内。

3.根据权利要求1所述恶意应用程序的检测方法，其特征在于，所述监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名之前具体包括：

获取BundleContext接口，并通过所述BundleContext接口启动所述第一bundle文件。

4.根据权利要求3所述恶意应用程序的检测方法，其特征在于，所述将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序具体包括：

通过监控系统调用表修改的回调接口回调系统调用表被修改状态，其中，所述被修改状态为已修改和未修改；

当所述系统调用表被修改状态为已修改时，将所述第二bundle文件的包名与第一bundle文件的包名进行比较；

若相同，则判定所述第一bundle文件对应的APK为恶意应用程序。

5.根据权利要求1所述恶意应用程序的检测方法，其特征在于，所述监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名具体包括：

将系统的当前系统调用表与预设的备份系统调用表进行比较；

当两者不同时，判定所述系统调用表被修改，并获取引起系统调用表被修改的第二bundle文件的包名。

6.一种恶意应用程序的检测系统，其特征在于，其包括：

转换模块，用于监听到APK安装时，将所述APK转换为第一bundle文件，其中，所述第一bundle文件携带所述APK的包名信息及用于监控系统调用表修改的回调接口；

获取模块，用于当监听到系统调用表被修改时，获取引起系统调用表被修改的第二bundle文件的包名；

判定模块，用于将所述第二bundle文件的包名与所述第一bundle文件的包名进行比较，若相同，则判定所述第一bundle文件对应的APK为恶意应用程序。

7.根据权利要求6所述恶意应用程序的检测系统，其特征在于，所述转换模块具体包括：

解析单元，用于监听到系统安装APK，解析所述APK并将其反编译为jar文件；

写入单元，用于向所述jar文件内写入预设元数据以得到所述第一bundle文件，并将所述包名信息以及用于监控系统调用表修改的回调接口注册入所述第一bundle文件内。

8.根据权利要求6所述恶意应用程序的检测系统，其特征在于，其还包括：

启动模块，用于获取BundleContext接口，并通过所述BundleContext接口启动所述第一bundle文件。