[发明专利]对被可疑应用感染的设备进行恢复的方法及相关设备

权利要求书

1.一种对被可疑应用感染的设备进行恢复的方法，其特征在于，该方法由所述设备上的恢复应用执行，包括：

响应于监听到在所述设备上安装新应用的事件，对该新应用进行静态检测，得到静态检测结果；

响应于确定所述静态检测结果指示所述新应用为可疑应用，将所述新应用的信息加至监控名单中；

响应于确定所述监控名单不为空，通过定期查询来获取所述设备上正在运行的进程的信息；

响应于确定所述进程与所述监控名单中的监控应用相关，检查所述设备是否被设置了恶意锁机密码；

响应于确定所述设备被设置了恶意锁机密码,终止所述进程的运行，并删除所述设备上在第一预定目录下的锁机密码文件,以恢复所述设备；

在终止所述进程的运行后，响应于确定所述设备上在第二预定目录下存在与白名单中的所有应用都无关的日志文件，从一个所述日志文件获取密钥和被恶意加密的文件的列表，并利用所述密钥对所述被恶意加密的文件进行解密，

其中，在所述设备上首次运行所述恢复应用时，将所述监控名单初始化为空，而将所述白名单初始化为包含所述设备上已安装的所有应用的信息。

2.根据权利要求1所述的方法，其特征在于，所述设备运行于Android操作系统下,所述进程包括Activity组件和/或Service组件。

3.根据权利要求2所述的方法，其特征在于，所述第一预定目录为/data/system/，所述锁机密码文件包括/data/system/目录下的password.key文件或gesture.key文件。

4.根据权利要求2所述的方法，其特征在于，所述第二预定目录为/sdcard/，所述日志文件为/sdcard/目录下扩展名为log的文件。

5.根据权利要求4所述的方法，其特征在于，所述日志文件是通过Xposed框架下的APIHook工具获取的。

6.一种对被可疑应用感染的设备进行恢复的装置，其特征在于，该装置安装在所述设备上，包括：

检测模块，被配置为：响应于监听到在所述设备上安装新应用的事件，对该新应用进行静态检测，得到静态检测结果；

名单更新模块，被配置为：响应于确定所述静态检测结果指示所述新应用为可疑应用，将所述新应用的信息加至监控名单中；

获取模块，被配置为：响应于确定所述监控名单不为空，通过定期查询来获取所述设备上正在运行的进程的信息；

检查模块，被配置为：响应于确定所述进程与所述监控名单中的监控应用相关，检查所述设备是否被设置了恶意锁机密码；

设备恢复模块，被配置为：响应于所述检查模块确定所述设备被设置了恶意锁机密码,终止所述进程的运行，并删除所述设备上在第一预定目录下的锁机密码文件,以恢复所述设备；

文件解密模块，被配置为：在所述设备恢复模块终止所述进程的运行后，响应于确定所述设备上在第二预定目录下存在与白名单中的所有应用都无关的日志文件，从一个所述日志文件获取密钥和被恶意加密的文件的列表，并利用所述密钥对所述被恶意加密的文件进行解密，

其中，在所述设备上首次启动所述装置时，将所述监控名单初始化为空，而将所述白名单初始化为包含所述设备上已安装的所有应用的信息。

7.一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任意一项所述的方法。

8.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令在被计算机执行时，用于使所述计算机实现根据权利要求1至5中任一所述的方法。