CN103198255A - 一种Android软件敏感行为监控与拦截方法及系统 - Google Patents
一种Android软件敏感行为监控与拦截方法及系统 Download PDFInfo
- Publication number
- CN103198255A CN103198255A CN2013101159222A CN201310115922A CN103198255A CN 103198255 A CN103198255 A CN 103198255A CN 2013101159222 A CN2013101159222 A CN 2013101159222A CN 201310115922 A CN201310115922 A CN 201310115922A CN 103198255 A CN103198255 A CN 103198255A
- Authority
- CN
- China
- Prior art keywords
- responsive behavior
- software
- android
- monitor module
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明属于智能手机安全技术领域,涉及一种Android系统的安全加固方法,特别是涉及一种Android软件敏感行为监控与拦截方法及系统。本发明的Android软件敏感行为监控和拦截方法,用于监控和拦截Android软件运行期间的敏感行为,其中,所述的监控和拦截方法是基于Android系统的Binder进程间通信机制的,所述的监控与拦截系统,包括:注入器模块、监视器模块、拦截规则管理模块、用户交互模块。本发明不需要对系统进行任何修改,即能实时、准确地监控软件的敏感行为,并能根据用户的需要对敏感行为进行拦截,对及时发现和阻止恶意软件侵害用户的隐私和财产安全是非常有效的。
Description
技术领域
本发明属于智能手机安全技术领域,涉及一种Android系统的安全加固方法,特别是涉及一种Android软件敏感行为监控与拦截方法及系统。
背景技术
Android是一种以嵌入式Linux为基础的开放源码的移动操作系统,主要应用与智能手机、平板电脑等移动智能终端,中文一般称为“安卓”。Android系统是由四个逻辑层次构成的,从底到上依次是Linux内核层、C/C++函数库层、应用程序框架层、应用程序层。Android平台上的软件也称为Android应用或者Android应用程序。
Android软件的敏感行为是指可能给用户带来潜在安全威胁的行为,比如读取GPS数据获得用户地理位置、后台发送短信、拨打电话等。这类行为可能由正常软件产生,也可能由恶意软件产生。Android将系统服务托管在系统进程com.android.phone,system_server和/system/bin/mediaserver中,软件敏感行为的执行过程本质上是向系统服务发送请求并传递相关参数,系统服务进行操作后返回结果,采用的是C/S(Client/Server)模式。
随着搭载Android系统的移动智能终端,特别是智能手机的普及,针对Android用户的恶意软件威胁越来越严重,逐渐形成了一条黑色产业链。这些恶意软件通常伪装成正常的应用软件或者游戏,欺骗用户安装。一旦进入用户手机,就在后台运行,悄悄收集用户的隐私信息,或者自动发送短信、拨打电话定制付费业务,甚至窃取用户的网银密码,极大危害了用户的隐私和财产安全。根据《2013年1月手机安全报告》(报告地址:http://msm.qq.com/scan/news/secure_news_detail.jsp?id=139)显示,一个月内新增的Android恶意软件有26367个,数目非常多。
软件行为监控和拦截技术在传统的PC平台上较为成熟,已经被广泛应用于各类安全软件上,能够及时发现和阻止恶意软件的危险行为。但是目前在Android平台上,软件行为监控和拦截技术尚不成熟。已有的Smali Hook技术需要事先对软件进行修改,静态插入监控代码,破坏了软件完整性和可用性,可能会导致软件无法正常安装和运行;而且由于需要重新安装系统中已经存在的软件,使用起来非常不方便;同时也无法实现对敏感行为的有效拦截,不能及时阻止恶意行为的执行。
发明内容
本发明提供了一种Android软件敏感行为监控与拦截方法及系统,以解决无法及时发现并阻止恶意软件敏感行为的问题。
为了达到上述目的,本发明公开了一种Android软件敏感行为监控与拦截方法,其特征在于,包括以下步骤:
步骤1:查找Android系统中com.android.phone,system_server,/system/bin/meidaserver三个进程的进程号Process ID,即PID;
步骤2:根据所述的PID分别对所述的三个进程的运行状态进行修改,执行加载监视器模块指令,开辟内存空间并将用来加载监视器模块的指令写入其中;
步骤3:分别更改所述的三个进程的寄存器状态,使CPU跳转执行所述的指令;
步骤4:根据所述的指令,加载监视器模块到注入器模块的内存空间中,所述的监视器模块开始初始化操作;
步骤5:监视器模块在初始化结束后,查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
步骤6:修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
步骤7:软件执行敏感行为时,会通过ioctl与com.android.phone,system_server,/system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
步骤8:所述的监视器模块写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
步骤9:所述的监视器模块监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
步骤10:所述的用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给所述的监视器模块;
步骤11:所述的监视器模块获取所述的用户选择的结果,若用户选择同意则使敏感行为继续执行;若用户选择拒绝则终止敏感行为的继续执行。
本发明还公开了一种Android软件敏感行为监控与拦截系统,其特征在于,包括:注入器模块、监视器模块、拦截规则管理模块、用户交互模块;
所述的注入器模块:
用于查找Android系统中com.android.phone,system_server,/system/bin/meidaserver三个进程的进程号Process ID,即PID;
用于根据所述的PID分别对所述的三个进程的运行状态进行修改,加载监视器模块,开辟内存空间并将用来加载监视器模块的指令写入其中;
用于分别更改所述的三个进程的寄存器状态,使CPU跳转执行所述的加载监视器模块的指令;
用于根据所述的指令,加载监视器模块到注入器模块的内存空间中;
所述的监视器模块:
用于执行监视器模块初始化操作;
用于查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
用于修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
用于软件执行敏感行为时,通过ioctl与com.android.phone,system_server,/system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
用于写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
用于监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
用于获取所述的用户选择的结果,若用户选择同意则使敏感行为继续执行,若用户选择拒绝则终止敏感行为的继续执行;
所述的用户交互模块:
用于当拦截规则未设置时,提示用户选择允许或者拒绝软件的敏感行为的执行,用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给所述的监视器模块;
所述的拦截规则管理模块:
用于设置每种敏感行为的拦截规则,所述的拦截规则为允许敏感行为的执行或者拒绝敏感行为的执行。
相对于现有技术,本发明具有以下特点:
首先,本发明不对软件本身做任何修改,而是利用Android系统的Binder进程间通信机制,在软件执行敏感行为与系统服务交换数据的过程中截获并解析数据,实现在软件运行期间对软件敏感行的精确监控,保证了软件的完整性和可用性,完全不影响软件的正常安装和运行。
其次,本发明不需要重新安装任何系统已经存在的软件,消除了已有技术重装软件给用户带来的不便。
最后,本发明不仅能对软件的敏感行为进行监控,还能对其及时进行拦截,有效阻止恶意软件的恶意行为,保护用户的隐私和财产安全。
附图说明
图1:为本发明Android软件的Binder进程间通信机制示意图。
图2:为本发明实施例Hook ioctl函数Hook前的示意图。
图3:为本发明实施例Hook ioctl函数Hook后的示意图。
图4:为本发明实施例进程注入的流程图。
图5:为本发明涉及的Binder进程间通信机制的关键数据结构示意图。
图6:为本发明的Android软件敏感行为监控与拦截系统的框架示意图。
具体实施方式
本发明主要提供了一种Android软件敏感行为监控与拦截方法及系统,为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实例对本发明做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明公开了一种Android软件敏感行为监控与拦截方法,包括以下步骤:
步骤1:查找Android系统中com.android.phone,system_server,/system/bin/meidaserver三个进程的进程号Process ID,即PID;
步骤2:根据PID分别对三个进程的运行状态进行修改,执行加载监视器模块指令,开辟内存空间并将用来加载监视器模块的指令写入其中;
步骤3:分别更改三个进程的寄存器状态,使CPU跳转执行指令;
步骤4:根据指令,加载监视器模块到注入器模块的内存空间中,监视器模块开始初始化操作;
步骤5:监视器模块在初始化结束后,查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
步骤6:修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
步骤7:软件执行敏感行为时,会通过ioctl与com.android.phone,system_server,/system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
步骤8:监视器模块写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
步骤9:监视器模块监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
步骤10:用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给监视器模块,若用户在一定时间范围内没有做出选择,监视器模块默认按照拒绝命令处理敏感行为;
步骤11:监视器模块获取用户选择的结果,若用户选择同意则使敏感行为继续执行;若用户选择拒绝则终止敏感行为的继续执行;用户也可以预先通过设置拦截规则,告诉监视器模块对具体软件的具体敏感行为进行拦截,监视器模块不再发送消息给用户并等待用户选择。
本发明的Android软件敏感行为监控和拦截方法,用于监控和拦截Android软件运行期间的敏感行为。其中,所述监控和拦截方法是基于Android系统的Binder进程间通信机制的,利用该机制的原因有以下两点:
1.Android系统中诸如短信操作,电话操作,视频音频捕获,传感器等都以服务(Service)的形式提供,并由相应的Server负责管理,应用程序作为Client只需要与这些Server建立连接并发送请求便能使用这些服务。因此,开发者完全不必关心Service的实现细节,直接与Server建立连接然后使用其提供的接口即可。为了保证系统安全性,提高通信效率以及提供对C/S模式的支持,Android采用了基于共享内存的进程间通信机制——Binder机制;
2.Client和Server使用Binder机制进行进程间通信时,通过分析Client发往Server的数据或者分析Server读取的Client的请求数据,便可以识别出Client的具体行为。例如,当Client想要得到定位信息,请求LocationServer获取定位数据时,会访问LocationServer的ILocationManager接口,发往LocationServer中的有效负载数据中包含“android.location.ILocationManager”字符串。所以我们分析LocationServer读取的Client发来的请求数据,判断其中是否包含“android.location.ILocationManager”,我们就可以知道Client是否正在试图访问用户的地理位置信息。因此,可以通过对Binder进程间通信的操作实现对软件敏感行为的监控和拦截。
Binder进程间通信机制的示意图如附图1所示:Android在内核挂载了一个虚拟的设备/dev/binder。Client和Server进程运行在用户空间,使用Binder机制进行进程间通信时,双方看起来是“直接”通信的,实际上通过/dev/binder的驱动程序即Binder驱动进行了数据的中转。Binder机制的本质是共享内存,共享内存区的管理完全由Binder驱动来完成,对应用层的Client和Server来说是完全透明的。Client和Server均通过函数ioctl与Binder驱动进行数据交互。
因此,Hook ioctl函数并分析其中的数据,从而识别软件的敏感行为,是本发明的关键之一。请见附图2和附图3,本实施例以监控和拦截录音、拍照行为时关注的mediaserver进程为例,说明Hook ioctl函数的方法:mediaserver进程加载了libbiner.so共享库模块,该模块中又依赖libc.so共享库,并从libc.so共享库中导入ioctl函数;libbinder.so为了使用ioctl函数,会在自己的GOT(Global Objects Table,全局符号表)中保存ioctl函数的地址。因此,只需要用hooked_ioctl函数的地址替换ioctl函数在libbinder.so共享库的GOT中的地址,就能达到对ioctl函数的Hook。这样,在mediaserver每次调用ioctl函数进行Binder进程间通信时,实际上调用的是hooked_ioctl函数,本发明在hooked_ioctl函数中对进程间通信数据进行分析,从中识别出软件的敏感行为,达到监控敏感行为的目的;当直接过滤掉通信数据时,就达到了拦截敏感行为的目的。
Hook ioctl函数的过程被封装为do_hook函数,关键代码如下所示:
所述的ioctl函数的Hook,在实施前需要先将监控模块注入mediaserver进程,方能对mediaserver进程的libbinder.so中的GOT进行修改。请见附图4,注入的实施过程包括以下步骤:
1.关联到组要注入的目标进程;
2.保存目标进程当前的寄存器状态;
3.在目标进程中申请适当大小的内存空间(建议2MB),写入并执行shellcode;
4.恢复在步骤2中保存的寄存器状态;
5.脱离目标进程。
所述的Shellcode是一段代码,是用来发送到服务器利用特定漏洞的代码,可以获取权限。另外,Shellcode是作为数据发送给受攻击服务的。
所述对Binder进程间通信数据的分析,又涉及到两个常重要的数据结构,如附图5所示。BINDER_WRITE_READ表示向Binder驱动发送一条读取或者写入/dev/binder设备的命令,Binder驱动会将对设备的读写“翻译”为对共享内存区的读写。这条命令是Client和Server进行进程间通信时最重要、使用最频繁的控制命令。
BINDER_WRITE_READ命令与binder_write_read结构体相互配合,该结构中的read_buffer和write_buffer字段分别指向将要读取或者写入的缓冲区。这两个缓冲区中的数据都是以“数据类型+数据内容”的格式顺序存放的,而且多条不同类型的数据连续存放。write_buffer中数据类型以“BC_”开头,而read_buffer中数据类型以“BR_”开头,附图4中以write_buffer中的数据为例。在所有的数据类型中,又以BC(R)_REPLY和BC(R)_TRANSACTION最为重要:通过BC_TRANSACTION/BC_REPLY这对命令,发送方将数据发往接受方;通过BR_TRANSACTION/BR_REPLY,接收方读取发送方发来的数据。数据的内容是一个binder_transaction_data结构。
binder_transaction_data结构是对进程间通信数据的封装,可以看作网络通信中的一个数据包。其中的sender_uid,sender_pid成员变量指明了此数据发送方的用户ID和进程ID,buffer成员变量指向进程间通信最核心的有效负载数据,data_size是有效负载数据的长度。最终,有效负载数据包含了软件敏感行为特征。以下是通过分析所述关键数据结构得到软件敏感性为的关键代码:
请见图6,本发明还公开了一种Android软件敏感行为监控与拦截系统,包括:注入器模块、监视器模块、拦截规则管理模块、用户交互模块、数据库模块;
注入器模块:
用于查找Android系统中com.android.phone,system_server,/system/bin/meidaserver三个进程的进程号Process ID,即PID;
用于根据PID分别对三个进程的运行状态进行修改,加载监视器模块,开辟内存空间并将用来加载监视器模块的指令写入其中;
用于分别更改三个进程的寄存器状态,使CPU跳转执行加载监视器模块的指令;
用于根据指令,加载监视器模块到注入器模块的内存空间中;
监视器模块:
用于执行监视器模块初始化操作;
用于查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
用于修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
用于软件执行敏感行为时,通过ioctl与com.android.phone,system_server,/system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
用于写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
用于监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
用于获取用户选择的结果,若用户选择同意则使敏感行为继续执行,若用户选择拒绝则终止敏感行为的继续执行;
用户交互模块:
用于当拦截规则未设置时,提示用户选择允许或者拒绝软件的敏感行为的执行,用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给监视器模块;
拦截规则管理模块:
用于设置每种敏感行为的拦截规则,拦截规则为允许敏感行为的执行或者拒绝敏感行为的执行;
数据库模块:用于存储设置的拦截规则。
以下结合附图6中数字标注的流程,说明具体的实施步骤:
1.注入器模块将监视器模块注入到目标进程(/system/bin/mediaserver,system_server和com.android.phone);
2.当软件敏感行为产生时,监视器模块监视到软件的敏感行为,并到数据库中查询用户是否已经设置处理规则;
3.用户未设置规则时,监视器模块向用户交互模块发送信息,要求从用户处获得处理方式;
4.用户交互模块弹出提示窗口询问用户,让用户选择对软件的敏感行为的处理方法(允许或者拒绝);
5.用户做出选择,由用户交互模块进行接收;
6.用户交互模块将用户的选择返回给监视器模块,监视器模块根据用户的选择进行相应的处理。
本发明的一种Android软件敏感行为监控和拦截方法及系统,用于监控Android软件运行期的敏感行为,其具体实施包括多个关键点:
1.使用进程注入的方法,注入监控模块到目标进程,监控模块完成对目标进程中libbinder.so共享库的GOT进行修改;
2.Hook Binder进程间通信机制使用的ioctl函数,根据关键的数据机构获得进程间通信数据,并通过分析进程间通信的数据,从而识别出软件的敏感行为,达到软件敏感行为监控的目的;通过过滤进程间通信数据,达到拦截敏感行为的目的;
3.建立敏感行为监控和拦截系统,对软件的敏感行为进行监控,并根据用户的设置,对相应的敏感行为进行拦截。
本发明不需要对系统进行任何修改,即能实时、准确地监控软件的敏感行为,并能根据用户的需要对敏感行为进行拦截,对及时发现和阻止恶意软件侵害用户的隐私和财产安全是非常有效的。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (5)
1.一种Android软件敏感行为监控与拦截方法,其特征在于,包括以下步骤:
步骤1:查找Android系统中com.android.phone, system_server, /system/bin/meidaserver三个进程的进程号Process ID,即PID;
步骤2:根据所述的PID分别对所述的三个进程的运行状态进行修改,执行加载监视器模块指令,开辟内存空间并将用来加载监视器模块的指令写入其中;
步骤3:分别更改所述的三个进程的寄存器状态,使CPU跳转执行所述的指令;
步骤4:根据所述的指令,加载监视器模块到注入器模块的内存空间中,所述的监视器模块开始初始化操作;
步骤5:监视器模块在初始化结束后,查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
步骤6:修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
步骤7:软件执行敏感行为时,会通过ioctl与com.android.phone,system_server, /system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
步骤8:所述的监视器模块写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
步骤9:所述的监视器模块监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
步骤10:所述的用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给所述的监视器模块;
步骤11:所述的监视器模块获取所述的用户选择的结果,若用户选择同意则使敏感行为继续执行;若用户选择拒绝则终止敏感行为的继续执行。
2.根据权利要求1所述的Android软件敏感行为监控与拦截方法,其特征在于:所述的用户预先通过设置拦截规则,告诉所述的监视器模块对具体软件的具体敏感行为进行拦截,所述的监视器模块不再发送消息给所述的用户并等待所述的用户选择。
3.根据权利要求1所述的Android软件敏感行为监控与拦截方法,其特征在于:所述的步骤10中,若所述的用户在一定时间范围内没有做出选择,所述的监视器模块默认按照拒绝命令处理所述的敏感行为。
4.一种Android软件敏感行为监控与拦截系统,其特征在于,包括:注入器模块、监视器模块、拦截规则管理模块、用户交互模块;
所述的注入器模块:
用于查找Android系统中com.android.phone, system_server, /system/bin/meidaserver三个进程的进程号Process ID,即PID;
用于根据所述的PID分别对所述的三个进程的运行状态进行修改,加载监视器模块,开辟内存空间并将用来加载监视器模块的指令写入其中;
用于分别更改所述的三个进程的寄存器状态,使CPU跳转执行所述的加载监视器模块的指令;
用于根据所述的指令,加载监视器模块到自己的内存空间中;
所述的监视器模块:
用于执行监视器模块初始化操作;
用于查找当前进程的libbinder.so的初始地址,并定位ioctl函数在libbinder.so的全局对象列表Global Ojects Table中对应的表项的地址,即GOT中对应的表项的地址;
用于修改ioctl对应的GOT表项的内容,使用钩子函数hooked_ioctl的地址进行替换;
用于软件执行敏感行为时,通过ioctl与com.android.phone,system_server, /system/bin/mediaserver三个进程的一个或者多个进行通信和数据交换,钩子函数hooked_ioctl读取并解析软件的敏感行为类型;
用于写入敏感行为的发起者和时间到日志文件中,得到软件敏感行为监控记录;
用于监控到敏感行为时,发送消息给用户,同时使敏感行为的操作暂停;
用于获取所述的用户选择的结果,若用户选择同意则使敏感行为继续执行,若用户选择拒绝则终止敏感行为的继续执行;
所述的用户交互模块:
用于当拦截规则未设置时,提示用户选择允许或者拒绝软件的敏感行为的执行,用户决定是否运行敏感行为的执行,返回同意或者拒绝命令给所述的监视器模块;
所述的拦截规则管理模块:
用于设置每种敏感行为的拦截规则,所述的拦截规则为允许敏感行为的执行或者拒绝敏感行为的执行。
5.根据权利要求4所述的Android软件敏感行为监控与拦截系统,其特征在于:所述的系统还包括:数据库模块,用于存储设置的拦截规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310115922.2A CN103198255B (zh) | 2013-04-03 | 2013-04-03 | 一种Android软件敏感行为监控与拦截方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310115922.2A CN103198255B (zh) | 2013-04-03 | 2013-04-03 | 一种Android软件敏感行为监控与拦截方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103198255A true CN103198255A (zh) | 2013-07-10 |
| CN103198255B CN103198255B (zh) | 2015-06-24 |
Family
ID=48720803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310115922.2A Active CN103198255B (zh) | 2013-04-03 | 2013-04-03 | 一种Android软件敏感行为监控与拦截方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103198255B (zh) |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013182005A1 (zh) * | 2012-06-07 | 2013-12-12 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN103544434A (zh) * | 2013-11-12 | 2014-01-29 | 北京网秦天下科技有限公司 | 用于确保应用程序安全运行的方法和终端 |
| CN103544415A (zh) * | 2013-10-25 | 2014-01-29 | 苏州通付盾信息技术有限公司 | 一种移动平台应用软件的加固方法 |
| CN104281808A (zh) * | 2014-09-25 | 2015-01-14 | 中国科学院信息工程研究所 | 一种通用的Android恶意行为检测方法 |
| CN104376263A (zh) * | 2014-12-09 | 2015-02-25 | 北京奇虎科技有限公司 | 应用程序行为拦截的方法和装置 |
| CN104392176A (zh) * | 2014-12-12 | 2015-03-04 | 北京奇虎科技有限公司 | 移动终端及其设备管理器权限的拦截方法 |
| CN104573534A (zh) * | 2014-12-24 | 2015-04-29 | 北京奇虎科技有限公司 | 一种在移动设备中处理隐私数据的方法和装置 |
| CN104699503A (zh) * | 2015-02-28 | 2015-06-10 | 深圳市同洲电子股份有限公司 | 一种替换安卓系统中函数的执行逻辑的方法及装置 |
| CN105099991A (zh) * | 2014-04-28 | 2015-11-25 | 北京奇虎科技有限公司 | 在移动终端中抓取网络数据包的方法及装置 |
| CN105205412A (zh) * | 2015-09-25 | 2015-12-30 | 北京北信源软件股份有限公司 | 进程间通信拦截方法及装置 |
| CN105373734A (zh) * | 2014-09-01 | 2016-03-02 | 中兴通讯股份有限公司 | 应用数据的保护方法及装置 |
| CN105389507A (zh) * | 2015-11-13 | 2016-03-09 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
| CN105653979A (zh) * | 2015-12-29 | 2016-06-08 | 银江股份有限公司 | 一种基于代码注入的隐私信息保护方法 |
| WO2016095671A1 (zh) * | 2014-12-16 | 2016-06-23 | 北京奇虎科技有限公司 | 一种应用程序的消息处理方法和装置 |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN106055453A (zh) * | 2016-06-01 | 2016-10-26 | 北京百度网讯科技有限公司 | 设备监测方法和装置 |
| CN106170135A (zh) * | 2016-08-22 | 2016-11-30 | 安徽拓通信科技集团股份有限公司 | 一种防止程序后台自动发送短信的监控方法 |
| CN106228066A (zh) * | 2016-07-13 | 2016-12-14 | 北京金山安全软件有限公司 | 进程地址空间防止恶意修改方法、装置以及终端 |
| CN106681801A (zh) * | 2016-05-09 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 事件的执行方法和装置 |
| CN107122629A (zh) * | 2017-04-19 | 2017-09-01 | 山东省计算中心(国家超级计算济南中心) | 一种基于随机混淆的Android软件协同加固方法 |
| CN107197085A (zh) * | 2017-04-26 | 2017-09-22 | 山东车微联信息技术股份有限公司 | 一种移动智能手机上网的综合安全管控方法 |
| CN107358103A (zh) * | 2017-07-20 | 2017-11-17 | 国网上海市电力公司 | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 |
| CN107704279A (zh) * | 2016-08-08 | 2018-02-16 | 腾讯科技(深圳)有限公司 | 一种数据加载方法以及装置 |
| CN108062475A (zh) * | 2016-11-08 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种恶意代码识别装置及方法 |
| CN109344616A (zh) * | 2018-09-13 | 2019-02-15 | 西安交通大学 | 一种移动应用程序动态加载行为监控方法及装置 |
| CN109992489A (zh) * | 2018-12-29 | 2019-07-09 | 上海连尚网络科技有限公司 | 一种用于监控用户设备中应用的执行行为的方法与设备 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN111090880A (zh) * | 2019-12-16 | 2020-05-01 | 中山大学 | 一种拦截利用摄像头漏洞窃取用户隐私行为的方法及系统 |
| CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和系统 |
| CN113162936A (zh) * | 2021-04-25 | 2021-07-23 | 亿次网联(杭州)科技有限公司 | 一种防止异常动态分析的方法和系统 |
| US11170101B2 (en) | 2017-09-29 | 2021-11-09 | AVAST Software s.r.o. | Observation and classification of device events |
| WO2022143126A1 (zh) * | 2020-12-29 | 2022-07-07 | 花瓣云科技有限公司 | 应用的安全性分析方法、装置、设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107169354A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 多层级Android系统恶意行为监控方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120084791A1 (en) * | 2010-10-01 | 2012-04-05 | Imerj LLC | Cross-Environment Communication Framework |
| CN102541558A (zh) * | 2011-12-28 | 2012-07-04 | Tcl集团股份有限公司 | 在基于Android内核的电视系统中集成Android应用系统的方法 |
| CN102693394A (zh) * | 2012-06-07 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
-
2013
- 2013-04-03 CN CN201310115922.2A patent/CN103198255B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120084791A1 (en) * | 2010-10-01 | 2012-04-05 | Imerj LLC | Cross-Environment Communication Framework |
| CN102541558A (zh) * | 2011-12-28 | 2012-07-04 | Tcl集团股份有限公司 | 在基于Android内核的电视系统中集成Android应用系统的方法 |
| CN102693394A (zh) * | 2012-06-07 | 2012-09-26 | 奇智软件(北京)有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
Cited By (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013182005A1 (zh) * | 2012-06-07 | 2013-12-12 | 北京奇虎科技有限公司 | 一种用于拦截应用程序对服务的调用的方法和装置 |
| CN103544415B (zh) * | 2013-10-25 | 2015-08-12 | 江苏通付盾信息科技有限公司 | 一种移动平台应用软件的加固方法 |
| CN103544415A (zh) * | 2013-10-25 | 2014-01-29 | 苏州通付盾信息技术有限公司 | 一种移动平台应用软件的加固方法 |
| CN103544434A (zh) * | 2013-11-12 | 2014-01-29 | 北京网秦天下科技有限公司 | 用于确保应用程序安全运行的方法和终端 |
| CN103544434B (zh) * | 2013-11-12 | 2016-08-24 | 北京网秦天下科技有限公司 | 用于确保应用程序安全运行的方法和终端 |
| CN105099991B (zh) * | 2014-04-28 | 2019-05-31 | 北京奇虎科技有限公司 | 在移动终端中抓取网络数据包的方法及装置 |
| CN105099991A (zh) * | 2014-04-28 | 2015-11-25 | 北京奇虎科技有限公司 | 在移动终端中抓取网络数据包的方法及装置 |
| CN105373734A (zh) * | 2014-09-01 | 2016-03-02 | 中兴通讯股份有限公司 | 应用数据的保护方法及装置 |
| CN104281808B (zh) * | 2014-09-25 | 2017-09-01 | 中国科学院信息工程研究所 | 一种通用的Android恶意行为检测方法 |
| CN104281808A (zh) * | 2014-09-25 | 2015-01-14 | 中国科学院信息工程研究所 | 一种通用的Android恶意行为检测方法 |
| CN104376263B (zh) * | 2014-12-09 | 2018-02-16 | 北京奇虎科技有限公司 | 应用程序行为拦截的方法和装置 |
| CN104376263A (zh) * | 2014-12-09 | 2015-02-25 | 北京奇虎科技有限公司 | 应用程序行为拦截的方法和装置 |
| CN104392176A (zh) * | 2014-12-12 | 2015-03-04 | 北京奇虎科技有限公司 | 移动终端及其设备管理器权限的拦截方法 |
| WO2016095671A1 (zh) * | 2014-12-16 | 2016-06-23 | 北京奇虎科技有限公司 | 一种应用程序的消息处理方法和装置 |
| CN104573534A (zh) * | 2014-12-24 | 2015-04-29 | 北京奇虎科技有限公司 | 一种在移动设备中处理隐私数据的方法和装置 |
| CN104699503A (zh) * | 2015-02-28 | 2015-06-10 | 深圳市同洲电子股份有限公司 | 一种替换安卓系统中函数的执行逻辑的方法及装置 |
| CN105205412B (zh) * | 2015-09-25 | 2018-09-11 | 北京北信源软件股份有限公司 | 进程间通信拦截方法及装置 |
| CN105205412A (zh) * | 2015-09-25 | 2015-12-30 | 北京北信源软件股份有限公司 | 进程间通信拦截方法及装置 |
| CN105389507A (zh) * | 2015-11-13 | 2016-03-09 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
| CN105389507B (zh) * | 2015-11-13 | 2018-12-25 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
| CN105653979A (zh) * | 2015-12-29 | 2016-06-08 | 银江股份有限公司 | 一种基于代码注入的隐私信息保护方法 |
| CN106681801A (zh) * | 2016-05-09 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 事件的执行方法和装置 |
| CN105956474B (zh) * | 2016-05-17 | 2018-12-25 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN106055453A (zh) * | 2016-06-01 | 2016-10-26 | 北京百度网讯科技有限公司 | 设备监测方法和装置 |
| CN106228066A (zh) * | 2016-07-13 | 2016-12-14 | 北京金山安全软件有限公司 | 进程地址空间防止恶意修改方法、装置以及终端 |
| CN106228066B (zh) * | 2016-07-13 | 2019-12-03 | 珠海豹趣科技有限公司 | 进程地址空间防止恶意修改方法、装置以及终端 |
| CN107704279A (zh) * | 2016-08-08 | 2018-02-16 | 腾讯科技(深圳)有限公司 | 一种数据加载方法以及装置 |
| CN107704279B (zh) * | 2016-08-08 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 一种数据加载方法以及装置 |
| CN106170135A (zh) * | 2016-08-22 | 2016-11-30 | 安徽拓通信科技集团股份有限公司 | 一种防止程序后台自动发送短信的监控方法 |
| CN108062475A (zh) * | 2016-11-08 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种恶意代码识别装置及方法 |
| CN107122629B (zh) * | 2017-04-19 | 2017-12-26 | 山东省计算中心(国家超级计算济南中心) | 一种基于随机混淆的Android软件协同加固方法 |
| CN107122629A (zh) * | 2017-04-19 | 2017-09-01 | 山东省计算中心(国家超级计算济南中心) | 一种基于随机混淆的Android软件协同加固方法 |
| CN107197085A (zh) * | 2017-04-26 | 2017-09-22 | 山东车微联信息技术股份有限公司 | 一种移动智能手机上网的综合安全管控方法 |
| CN107358103A (zh) * | 2017-07-20 | 2017-11-17 | 国网上海市电力公司 | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 |
| US11170101B2 (en) | 2017-09-29 | 2021-11-09 | AVAST Software s.r.o. | Observation and classification of device events |
| CN109344616A (zh) * | 2018-09-13 | 2019-02-15 | 西安交通大学 | 一种移动应用程序动态加载行为监控方法及装置 |
| CN109344616B (zh) * | 2018-09-13 | 2020-12-08 | 西安交通大学 | 一种移动应用程序动态加载行为监控方法及装置 |
| CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和系统 |
| CN109992489A (zh) * | 2018-12-29 | 2019-07-09 | 上海连尚网络科技有限公司 | 一种用于监控用户设备中应用的执行行为的方法与设备 |
| CN110266669A (zh) * | 2019-06-06 | 2019-09-20 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN110266669B (zh) * | 2019-06-06 | 2021-08-17 | 武汉大学 | 一种Java Web框架漏洞攻击通用检测与定位的方法及系统 |
| CN111090880A (zh) * | 2019-12-16 | 2020-05-01 | 中山大学 | 一种拦截利用摄像头漏洞窃取用户隐私行为的方法及系统 |
| CN111090880B (zh) * | 2019-12-16 | 2023-04-11 | 中山大学 | 一种拦截利用摄像头漏洞窃取用户隐私行为的方法及系统 |
| WO2022143126A1 (zh) * | 2020-12-29 | 2022-07-07 | 花瓣云科技有限公司 | 应用的安全性分析方法、装置、设备及存储介质 |
| CN113162936A (zh) * | 2021-04-25 | 2021-07-23 | 亿次网联(杭州)科技有限公司 | 一种防止异常动态分析的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103198255B (zh) | 2015-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103198255B (zh) | 一种Android软件敏感行为监控与拦截方法及系统 | |
| CN104462952B (zh) | 一种禁止应用自启动的方法及装置 | |
| CN104598809B (zh) | 程序的监控方法及其防御方法以及相关装置 | |
| CN105427096B (zh) | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 | |
| CN102549559B (zh) | 托管的计算机环境中的虚拟对象间接化 | |
| CN104376255B (zh) | 应用程序运行控制方法与装置 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| CN104375494B (zh) | 安全沙箱构造方法及装置 | |
| CN101667232B (zh) | 基于可信计算的终端可信保障系统与方法 | |
| CN105740046B (zh) | 一种基于动态库的虚拟机进程行为监控方法与系统 | |
| CN104881601A (zh) | 悬浮窗显示设置、控制方法和装置 | |
| CN104376256B (zh) | 应用程序进程孵化控制方法及装置 | |
| CN105183307A (zh) | 应用程序消息显示控制方法及装置 | |
| CN104376263A (zh) | 应用程序行为拦截的方法和装置 | |
| CN103677935A (zh) | 一种应用程序的安装控制方法、系统及装置 | |
| CN101483658B (zh) | 浏览器输入内容保护的系统和方法 | |
| CN105550595A (zh) | 用于智能通信设备的隐私数据访问方法及系统 | |
| CN109167782B (zh) | 基于智能移动终端的隐私数据保护方法及系统 | |
| CN103268438A (zh) | 基于调用链的Android权限管理方法及系统 | |
| CN104091125A (zh) | 处理悬浮窗的方法及悬浮窗处理装置 | |
| CN104598823A (zh) | 一种安卓系统中内核级rootkit检测方法及其系统 | |
| CN104462978A (zh) | 一种应用程序权限管理的方法和装置 | |
| CN103229185A (zh) | 用于针对恶意软件的本地保护的系统和方法 | |
| CN105323261A (zh) | 数据检测方法及装置 | |
| CN105550584A (zh) | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |