CN107358103A - 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 - Google Patents
基于敏感函数调用插桩的安卓敏感行为监控方法和系统 Download PDFInfo
- Publication number
- CN107358103A CN107358103A CN201710594144.8A CN201710594144A CN107358103A CN 107358103 A CN107358103 A CN 107358103A CN 201710594144 A CN201710594144 A CN 201710594144A CN 107358103 A CN107358103 A CN 107358103A
- Authority
- CN
- China
- Prior art keywords
- hook
- pitching pile
- sensitive
- android
- app
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明公开了网络安全领域的一种基于敏感函数调用插桩的安卓敏感行为监控方法,包括下列步骤:启动步骤:加载安装待分析APP;框架层插桩分析步骤:通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook;Native层插桩分析步骤:通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook;敏感行为分析搜集步骤:在应用层对待分析APP执行的字节码进行监控和记录。其技术效果是:其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码,能够有效提高对安卓恶意应用的安全审计能力。本发明公开了网络安全领域的一种基于敏感函数调用插桩的安卓敏感行为监控系统。
Description
技术领域
本发明涉及基于网络安全领域的一种敏感函数调用插桩的安卓敏感行为监控方法和系统。
背景技术
现有安卓软件敏感行为监控和拦截方式是基于安卓系统的Binder进程间通信机制,通过钩子函数,即Hook钩住进程间通信的Binder信息来分析安卓软件的敏感行为。
而新出现的安卓恶意应用可以通过在Native层中注入恶意执行代码、擅自篡改程序执行的字节码来绕开在框架层中进程间通信Binder的插桩监测。
在公开号为CN103198255A的发明专利申请中公开了一种基于Android系统的Binder进程间通信机制的安卓软件敏感行为监控与拦截方法与系统。其只检测安卓进程间通信机制Binder来检测和分析安卓行为。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种敏感函数调用插桩的安卓敏感行为监控方法和系统,其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题,能够有效提高对安卓恶意应用的安全审计能力。
实现上述目的的一种技术方案是:一种基于敏感函数调用插桩的安卓敏感行为监控方法,包括下列步骤:
启动步骤:加载安装待分析APP;
框架层插桩分析步骤:通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook
Native层插桩分析步骤:通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook;
敏感行为分析搜集步骤:在应用层对待分析APP执行的字节码进行监控和记录。
进一步的,框架层插桩分析步骤中所进行的插桩Hook,包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。
进一步的,Native层插桩分析步骤中所进行的插桩Hook包括:动态加载Hook、内存修改Hook、内存复制Hook、内存分配Hook。
进一步的,启动步骤中同步启动Hook定制的真机执行环境。
实现上述目的的另外一种技术方案是:一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:包括:
位于框架层用于通过调用Xposed插件针对待分析APP的敏感Java函数调用进行插桩Hook的框架层插桩模块;
位于Native层用于通过调用Ptrace插件针对待分析APP的敏感C/C++函数调用进行插桩Hook的Native层插桩模块;
位于应用层用于实现对待分析APP执行的字节码进行监控和记录的插桩监控管理模块。
进一步的,所述Xposed插件为Android System APIs。
再进一步的,框架层插桩模块所进行的插桩Hook包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。
进一步的,所述Ptrace插件为LoadLibrary APIs和Memory-related APIs。
再进一步的,LoadLibrary APIs所进行的插桩Hook包括动态加载Hook,Memory-related APIs所进行的插桩包括:内存修改Hook、内存复制Hook、内存分配Hook。
采用了本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法的技术方案,包括下列步骤:启动步骤:加载安装待分析APP;框架层插桩分析步骤:通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩;HookNative层插桩分析步骤:通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook;敏感行为分析搜集步骤:在应用层对待分析APP执行的字节码进行监控和记录。其技术效果是:其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题,能够有效提高对安卓恶意应用的安全审计能力。
采用了本发明的一种基于敏感函数调用插桩的安卓敏感行为监控系统的技术方案,包括:位于框架层用于通过调用Xposed插件针对待分析APP的敏感Java函数调用进行插桩Hook的框架层插桩模块;位于Native层用于通过调用Ptrace插件针对待分析APP的敏感C/C++函数调用进行插桩Hook的Native层插桩模块;位于应用层用于实现对待分析APP执行的字节码进行监控和记录的插桩监控管理模块。其技术效果是:其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题,能够有效提高对安卓恶意应用的安全审计能力。
附图说明
图1为本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法的流程图。
图2为本发明的一种基于敏感函数调用插桩的安卓敏感行为监控系统的示意图。
具体实施方式
请参阅图1和图2,本发明的发明人为了能更好地对本发明的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:
实施例1:
本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法,包括下列步骤:
启动步骤:启动Hook定制的真机执行环境,加载安装待分析APP;
框架层插桩分析步骤:通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook;该步骤所进行的插桩Hook包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。该步骤所调用的Xposed插件为Android System APIs。
Native层插桩分析步骤:通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook。
该步骤中所进行的插桩Hook包括:动态加载Hook、内存修改Hook、内存复制Hook、内存分配Hook。
其中动态加载Hook针对的是动态加载so行为,调用LoadLibrary APIs进行插桩。
内存修改Hook、内存复制Hook、内存分配Hook对应针对内存修改行为、内存复制行为、内存分配行为,调用Memory-related APIs进行插桩。
敏感行为分析搜集步骤:在应用层实现对待分析APP执行的字节码进行全面的监控和记录。
本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法,针对安卓框架中框架层和Native层的敏感安卓系统调用或者C/C++函数调用进行插桩Hook,实现对于APP执行的字节码进行全面的监控和记录。其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题,能够有效提高对安卓恶意应用的安全审计能力。
实施例2:
本发明的一种基于敏感函数调用插桩的安卓敏感行为监控系统,包括:
位于框架层用于通过调用Xposed插件针对待分析APP的敏感Java函数调用进行插桩Hook的框架层插桩模块1;其中,Xposed插件为Android System APIs。框架层插桩模块1所进行的插桩Hook包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。
位于Native层用于通过调用Ptrace插件针对待分析APP的敏感C/C++函数调用进行插桩Hook的Native层插桩模块2;Ptrace插件分为两种,即LoadLibrary APIs和Memory-related APIs。
其中调用LoadLibrary APIs所进行的插桩Hook包括动态加载Hook,针对的是动态加载so行为。调用Memory-related APIs所进行的插桩包括:内存修改Hook、内存复制Hook、内存分配Hook,对应针对内存修改行为、内存复制行为、内存分配行为。
位于应用层用于与框架层插桩模块1和Native层插桩模块2进行交互,实现对待分析APP执行的字节码进行监控和记录的插桩监控管理模块3。插桩监控管理模块3,与框架层插桩模块1和Native层插桩模块2进行交互为一种人机交互过程。
本发明的一种基于敏感函数调用插桩的安卓敏感行为监控系统,基于敏感函数调用插桩,用于监控和分析安卓APP在运行过程中的敏感行为。
本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法,针对安卓框架中框架层和Native层的敏感安卓系统调用或者C/C++函数调用进行插桩Hook,实现对于APP执行的字节码进行全面的监控和记录。其能够监控安卓APP在框架层和Native层的所有行为,能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题,能够有效提高对安卓恶意应用的安全审计能力。
本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本发明,而并非用作为对本发明的限定,只要在本发明的实质精神范围内,对以上所述实施例的变化、变型都将落在本发明的权利要求书范围内。
Claims (9)
1.一种基于敏感函数调用插桩的安卓敏感行为监控方法,包括下列步骤:
启动步骤:加载安装待分析APP;
框架层插桩分析步骤:通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook;
Native层插桩分析步骤:通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook;
敏感行为分析搜集步骤:在应用层对待分析APP执行的字节码进行监控和记录。
2.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法,其特征在于:框架层插桩分析步骤中所进行的插桩Hook,包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。
3.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法,其特征在于:Native层插桩分析步骤中所进行的插桩Hook包括:动态加载Hook、内存修改Hook、内存复制Hook、内存分配Hook。
4.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法,其特征在于:启动步骤中同步启动Hook定制的真机执行环境。
5.一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:包括:
位于框架层用于通过调用Xposed插件针对待分析APP的敏感Java函数调用进行插桩Hook的框架层插桩模块;
位于Native层用于通过调用Ptrace插件针对待分析APP的敏感C/C++函数调用进行插桩Hook的Native层插桩模块;
位于应用层用于实现对待分析APP执行的字节码进行监控和记录的插桩监控管理模块。
6.根据权利要求5所述的一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:所述Xposed插件为Android System APIs。
7.根据权利要求5所述的一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:框架层插桩模块所进行的插桩Hook包括:敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。
8.根据权利要求5所述的一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:所述Ptrace插件为LoadLibrary APIs和Memory-related APIs。
9.根据权利要求8所述的一种基于敏感函数调用插桩的安卓敏感行为监控系统,其特征在于:LoadLibrary APIs所进行的插桩Hook包括动态加载Hook,Memory-related APIs所进行的插桩包括:内存修改Hook、内存复制Hook、内存分配Hook。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710594144.8A CN107358103A (zh) | 2017-07-20 | 2017-07-20 | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710594144.8A CN107358103A (zh) | 2017-07-20 | 2017-07-20 | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107358103A true CN107358103A (zh) | 2017-11-17 |
Family
ID=60285218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710594144.8A Pending CN107358103A (zh) | 2017-07-20 | 2017-07-20 | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107358103A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763924A (zh) * | 2018-04-26 | 2018-11-06 | 南京大学 | 一种安卓应用程序中不可信第三方库访问权限控制方法 |
| CN109558725A (zh) * | 2018-12-05 | 2019-04-02 | 南京大学 | 一种基于插桩的针对Android系统动态加载情况的隐私保护方法 |
| CN109885540A (zh) * | 2019-02-12 | 2019-06-14 | 北京北信源信息安全技术有限公司 | 文件安全监控方法、装置及计算机 |
| CN110046497A (zh) * | 2018-01-16 | 2019-07-23 | 腾讯科技(深圳)有限公司 | 一种函数挂钩实现方法、装置和存储介质 |
| CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和系统 |
| CN111967044A (zh) * | 2020-08-13 | 2020-11-20 | 华中科技大学 | 一种适用于云环境的被泄漏隐私数据的追踪方法及系统 |
| CN112182557A (zh) * | 2019-09-19 | 2021-01-05 | 中国科学院信息工程研究所 | 一种芯片级内置式的主动安全监控架构实现方法及电子装置 |
| CN111967044B (zh) * | 2020-08-13 | 2024-04-19 | 华中科技大学 | 一种适用于云环境的被泄漏隐私数据的追踪方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
| CN103198255A (zh) * | 2013-04-03 | 2013-07-10 | 武汉大学 | 一种Android软件敏感行为监控与拦截方法及系统 |
| CN103327492A (zh) * | 2013-06-04 | 2013-09-25 | 王天时 | 一种安卓手机入侵检测方法及其检测系统 |
| US20150058826A1 (en) * | 2013-08-26 | 2015-02-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for efficiently and effectively detecting mobile app bugs |
| CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测系统及方法 |
| CN105844157A (zh) * | 2016-04-20 | 2016-08-10 | 北京鼎源科技有限公司 | 一种针对Android系统App行为的监控方法 |
| CN105975856A (zh) * | 2015-09-25 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种移动终端病毒动态检测方法及系统 |
-
2017
- 2017-07-20 CN CN201710594144.8A patent/CN107358103A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
| CN103198255A (zh) * | 2013-04-03 | 2013-07-10 | 武汉大学 | 一种Android软件敏感行为监控与拦截方法及系统 |
| CN103327492A (zh) * | 2013-06-04 | 2013-09-25 | 王天时 | 一种安卓手机入侵检测方法及其检测系统 |
| US20150058826A1 (en) * | 2013-08-26 | 2015-02-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for efficiently and effectively detecting mobile app bugs |
| CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测系统及方法 |
| CN105975856A (zh) * | 2015-09-25 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种移动终端病毒动态检测方法及系统 |
| CN105844157A (zh) * | 2016-04-20 | 2016-08-10 | 北京鼎源科技有限公司 | 一种针对Android系统App行为的监控方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110046497A (zh) * | 2018-01-16 | 2019-07-23 | 腾讯科技(深圳)有限公司 | 一种函数挂钩实现方法、装置和存储介质 |
| CN108763924A (zh) * | 2018-04-26 | 2018-11-06 | 南京大学 | 一种安卓应用程序中不可信第三方库访问权限控制方法 |
| CN108763924B (zh) * | 2018-04-26 | 2022-04-22 | 南京大学 | 一种安卓应用程序中不可信第三方库访问权限控制方法 |
| CN109558725A (zh) * | 2018-12-05 | 2019-04-02 | 南京大学 | 一种基于插桩的针对Android系统动态加载情况的隐私保护方法 |
| CN111382424A (zh) * | 2018-12-27 | 2020-07-07 | 全球能源互联网研究院有限公司 | 一种基于受控环境的移动应用敏感行为检测方法和系统 |
| CN109885540A (zh) * | 2019-02-12 | 2019-06-14 | 北京北信源信息安全技术有限公司 | 文件安全监控方法、装置及计算机 |
| CN112182557A (zh) * | 2019-09-19 | 2021-01-05 | 中国科学院信息工程研究所 | 一种芯片级内置式的主动安全监控架构实现方法及电子装置 |
| CN112182557B (zh) * | 2019-09-19 | 2022-05-03 | 中国科学院信息工程研究所 | 一种芯片级内置式的主动安全监控架构实现方法及电子装置 |
| CN111967044A (zh) * | 2020-08-13 | 2020-11-20 | 华中科技大学 | 一种适用于云环境的被泄漏隐私数据的追踪方法及系统 |
| CN111967044B (zh) * | 2020-08-13 | 2024-04-19 | 华中科技大学 | 一种适用于云环境的被泄漏隐私数据的追踪方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107358103A (zh) | 基于敏感函数调用插桩的安卓敏感行为监控方法和系统 | |
| CN104217164B (zh) | 智能移动终端恶意软件的检测方法与装置 | |
| CN103593605B (zh) | 一种基于权限使用行为的安卓平台应用程序动态分析系统 | |
| CN102810143B (zh) | 基于Android平台手机应用程序的安全检测系统及方法 | |
| US11023363B2 (en) | Performance test application sequence script | |
| CN104766012B (zh) | 基于动态污点追踪的数据安全动态检测方法及系统 | |
| CN102842007B (zh) | 移动终端应用程序的访问控制方法和系统 | |
| CN107766728A (zh) | 移动应用安全管理装置、方法及移动作业安全防护系统 | |
| CN105184166B (zh) | 基于内核的安卓程序实时行为分析方法及系统 | |
| CN101359355B (zh) | Windows系统下受限帐户提升用户权限的方法 | |
| CN108804912B (zh) | 一种基于权限集差异的应用程序越权检测方法 | |
| CN103617387B (zh) | 一种防止自动安装应用程序的方法及装置 | |
| CN105956474A (zh) | Android平台软件异常行为检测系统 | |
| CN103186740A (zh) | 一种Android恶意软件的自动化检测方法 | |
| Albano et al. | On the construction of a false digital alibi on the Android OS | |
| CN109344616A (zh) | 一种移动应用程序动态加载行为监控方法及装置 | |
| CN104636435A (zh) | 云终端录屏方法 | |
| WO2013042802A1 (ko) | 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 | |
| CN106845234A (zh) | 一种基于函数流关键点监控的安卓恶意软件检测方法 | |
| CN103971056A (zh) | 一种防止操作系统中应用程序被卸载的方法和装置 | |
| CN105589807A (zh) | 一种应用程序间组件能力泄露动态检测方法和系统 | |
| CN110427752A (zh) | 一种沙箱监控应用程序的方法、移动终端及存储介质 | |
| CN112149124A (zh) | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 | |
| CN106790926A (zh) | 一种联系人管理方法及终端 | |
| CN108595953A (zh) | 对手机应用进行风险评估的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171117 |