CN107665306A - 一种检测非法文件注入的方法、装置、客户端及服务器 - Google Patents

Abstract

本发明公开了一种检测非法文件注入的方法，包括：通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；上报所述第一信息至所述目标应用程序对应的服务器；通过枚举系统内存块，查找动态链接模块；通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；上报所述第二信息至所述目标应用程序对应的服务器；如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被服务器禁止使用所述目标应用程序。本发明解决了现有技术中存在的保护不及时和保护力度不够的技术问题，提高了防护及时性和防护力度。

Description

一种检测非法文件注入的方法、装置、客户端及服务器

技术领域

本发明涉及计算机技术领域，尤其涉及一种检测非法文件注入的方法、装置、客户端及服务器。

背景技术

目前，移动设备已经是大部分人的日常必备设备，使用移动设备进行娱乐、购物和交流也是每日的日常活动。随着移动设备的日益普及，移动应用产业得到飞速发展，其中，IOS应用为发展迅速的应用类型之一。

而IOS平台上存在一些非法的黑客程序，通过编写动态链接库(dylib)文件来注入到应用程序中,其中，dylib文件是IOS平台的文件，类似于Windows平台的DLL文件。在dylib文件中可以编写黑客程序，通过该注入的非法dylib文件则可以实现黑客程序的功能，例如，可以通过非法dylib文件调用IOS程序的核心功能，如资源解密函数，协议解密函数、黑客调试分析应用程序等等。

当前，对于注入的非法dylib文件，还没有有效的提前检测方法，往往是在检测到其中的黑客程序调用核心功能时，再发起保护和执行提示、删除等操作。然而，在黑客程序运行时才发起保护，很容易出现不能检测到黑客程序的所有非法功能的情况，导致黑客程序盗取应用程序的核心内容，存在保护不及时和保护力度不够的技术问题。

发明内容

本申请实施例通过提供一种检测非法文件注入的方法、装置、客户端及服务器，解决了现有技术中存在的保护不及时和保护力度不够的技术问题。

第一方面，本申请提供了一种检测非法文件注入的方法，所述方法应用于IOS操作系统，包括：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

可选的，所述通过枚举系统内存块，查找动态链接模块，包括：枚举获取系统的全部内存块的内存块信息；根据所述内存块信息，从所述全部内存块中查找出属于模块文件的内存块；从所述属于模块文件的内存块中确定出所述动态链接模块。

可选的，所述通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，包括：通过所述动态链接模块获取_dyld_all_image_infos符号数据；根据所述_dyld_all_image_infos符号数据，获取目标应用程序的动态链接库文件的文件名称路径；基于所述文件名称路径，读取内存获取所述动态链接库文件的所述第二信息。

第二方面，提供一种检测非法文件注入的方法，包括：

接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

根据所述第一信息，检测是否存在非法的动态链接库文件；

接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

根据所述第二信息，检测是否存在非法的动态链接库文件；

如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

可选的，所述禁止所述客户端使用所述目标应用程序，包括：对所述客户端的账号进行封号，或断开与所述客户端的网络连接。

第三方面，提供一种检测非法文件注入的装置，所述装置为IOS操作系统，包括：

第一获取模块，用于通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一上报模块，用于上报所述第一信息至所述目标应用程序对应的服务器；

第二获取模块，用于通过枚举系统内存块，查找动态链接模块；通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二上报模块，用于上报所述第二信息至所述目标应用程序对应的服务器；

第一禁止模块，用于如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

第四方面，提供一种检测非法文件注入的装置，包括：

第一接收模块，用于接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一检测模块，用于根据所述第一信息，检测是否存在非法的动态链接库文件；

第二接收模块，用于接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二检测模块，用于根据所述第二信息，检测是否存在非法的动态链接库文件；

第二禁止模块，用于如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

第五方面，提供一种客户端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

第六方面，提供一种服务器，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：

接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

根据所述第一信息，检测是否存在非法的动态链接库文件；

接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

根据所述第二信息，检测是否存在非法的动态链接库文件；

如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

第七方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

本申请实施例提供的方法、装置、客户端、服务器及介质，通过两种方式获取dylib文件的数量及名字等信息，一种方式是，通过系统应用程序编程接口(ApplicationProgramming Interface，API)函数获取目标应用程序的dylib文件的第一信息；另一种方式是，通过枚举系统内存块，查找动态链接模块，从而获取目标应用程序的动态链接库文件的第二信息，服务器会对第一信息和第二信息分别进行检测，当其中只要有一个信息不符合所述服务器的要求，则服务器禁止所述客户端使用所述目标应用程序，从而在黑客程序运行前，提前检测出非法注入的dylib文件，提高了防护及时性和防护力度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例中客户端侧的检测非法文件注入的方法的流程图；

图2为本申请实施例中服务器侧的检测非法文件注入的方法的流程图；

图3为本申请实施例三中装置的结构示意图；

图4为本申请实施例四中装置的结构示意图；

图5为本申请实施例中客户端的结构示意图；

图6为本申请实施例中服务器的结构示意图；

图7为本申请实施例中计算机可读存储介质700的结构示意图。

具体实施方式

本申请实施例通过提供一种检测非法文件注入的方法、装置、客户端及服务器，解决了现有技术中存在的保护不及时和保护力度不够的技术问题，提高了防护及时性和防护力度。

本申请实施例的技术方案为解决上述技术问题，总体思路如下：

一种检测非法文件注入的方法，所述方法应用于IOS操作系统，包括：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

具体来讲，通过两种方式获取dylib文件的数量及名字等信息，一种方式是，通过系统应用程序编程接口(Application Programming Interface，API)函数获取目标应用程序的dylib文件的第一信息；另一种方式是，通过枚举系统内存块，查找动态链接模块，从而获取目标应用程序的动态链接库文件的第二信息，服务器会对第一信息和第二信息分别进行检测，当其中只要有一个信息不符合所述服务器的要求，则服务器禁止所述客户端使用所述目标应用程序，从而在黑客程序运行前，提前检测出非法注入的dylib文件，提高了防护及时性和防护力度。

为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。

实施例一

如图1所示，本实施例提供了一种检测非法文件注入的方法，如图1所示，所述方法应用于IOS操作系统，包括：

步骤S101，通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

步骤S102，上报所述第一信息至所述目标应用程序对应的服务器；

步骤S103，通过枚举系统内存块，查找动态链接模块；

步骤S104，通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

步骤S105，上报所述第二信息至所述目标应用程序对应的服务器；

步骤S106，如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

在本申请实施例中，所述方法应用于客户端中，所述客户端可以是智能手机、台式电脑、平板电脑或智能手表，在此不作限制。

需要说明的是，本实施例中的步骤S101-S102和步骤S103-S105之间没有先后顺序，可以是先执行步骤S101-S102，再执行步骤S103-S105；也可以是先执行步骤S103-S105，再执行步骤S101-S102；还可以是步骤S101-S102和步骤S103-S105同时执行，在此不作限制。

还需要说明的是，步骤S106可以是在步骤S102之后执行，也可以是在步骤S105之后执行，还可以是在步骤S102和步骤S105都执行之后再执行，在此也不作限制。

在本申请实施例中，之所以采用两种方式来获取dylib文件的信息，主要是考虑到，API调用函数可能被黑客篡改，而绕过下述第一种获取信息的检测方式，而下述第二种获取信息的检测方式也有可能被黑客绕过，故设置两种获取信息的方式，能避免其中一种检测被绕过的情况下导致的黑客入侵，增加保护力度。

下面，结合图1详细介绍本实施例提供的方法的具体实施步骤：

关于第一种获取信息的方式，是通过API函数来获取应用程序所加载的dylib文件的第一信息，再对当前的IOS程序加载的所有的dylib文件的第一信息进行上报，详见步骤S101-S102。

首先，执行步骤S101，通过系统应用程序编程接口API函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称。

在具体实施过程中，可以是定时或周期性的执行步骤S101-S102，具体的周期可以是一天或1个小时等，在此不作限制。

也可以是，触发式的执行步骤S101-S102，具体的触发方式可以是，在安装了新的应用程序后触发执行、在更新了应用程序后触发执行、在下载了应用程序后触发执行、在开机时触发执行或在关机时触发执行，在此不作限制，也不再一一列举。

在本申请实施例中，为了能按需触发步骤S101,可以在开发的应用程序中预先编写获取dylib文件信息的功能。具体来讲，可以编写设置使用IOS提供的系统API函数来获取当前IOS应用程序运行时，此进程加载的所有dylib文件的名称。

具体通过API函数来获取dylib文件的第一信息的方法为：

首先，调用_dyld_image_count()函数来获取当前进程的dylib文件个数。该函数的原型为：uint32_t_dyld_image_count(void)，其中，所述_dyld_image_count()函数无参数，其返回值则是当前应用程序进程加载的dylib文件的个数。

然后，调用_dyld_get_image_name函数来获取每一个dylib的文件名称。该函数的原型为：const char*_dyld_get_image_name(uint32_t image_index)，其中，参数image_index对应的是dylib文件的序号，返回值const char*对应的是该dylib文件的文件名称。

具体来讲，通过编写循环函数，来读取每一个dylib的文件名称。可以将获取到的每个dylib文件名称保存下来。举例来说，获取所有的dylib文件的名称的代码可以为：

综上，以使用系统提供的API函数获取的目标应用程序所加载的dylib文件的数量和名称等信息作为所述第一信息。

然后，执行步骤S102，上报所述第一信息至所述目标应用程序对应的服务器。

具体来讲，可以使用加密函数对所述第一信息加密后，再将所述第一信息上报到所述目标应用程序的服务器上，以使服务器可以对上报的第一信息进行检测。

需要说明的是，如果仅采用系统API函数来获取dylib文件的信息，由于API调用函数可以被黑客程序所篡改，从而在返回信息时，黑客可以将函数_dyld_image_count获取的dylib文件的数量进行减1，同时对返回_dyld_get_image_name的名称进行修改，将黑客编写的非法dylib文件名称删除掉，导致最终获取的dylib文件信息中中不存在黑客所编写的dylib文件信息，从而绕过了上述获取信息的检测方法。故本申请实施例还提供了下面的第二种获取信息的方式：

关于第二种获取信息的方式，是使用更为全面的查看所有内存的方法来查找加载的dylib文件的第二信息，再对当前的IOS程序加载的所有的dylib文件的第二信息进行上报，详见步骤S103-S105。

首先，执行步骤S103，通过枚举系统内存块，查找动态链接dyld模块。

在本申请实施例中，所述通过枚举系统内存块，查找动态链接模块，包括：

(1)枚举获取系统的全部内存块的内存块信息；

(2)根据所述内存块信息，从所述全部内存块中查找出属于模块文件的内存块；

(3)从属于模块文件的内存块中确定出所述动态链接dyld模块。

具体来讲，(1)所述枚举获取系统的全部内存块的内存块信息，是通过调用系统API函数vm_region来枚举系统内存，其中vm_region用于查询进程的内存块，此函数可以得到每一块系统内存的起始地址和内存块的大小，以及内存块的读写执行属性信息，有了内存块的信息后，则可以由第一块内存块的信息来获取第二块内存块的信息，依次类推则可以获取到内存的每一块内存块的信息。

其中，函数vm_region的函数原型如下：

其中，address，是获取的内存块的起始地址，size是获取的内存块的大小，info是获取的内存块的属性信息。

进一步，(2)所述根据所述内存块信息，从所述全部内存块中查找出属于模块文件的内存块，是通过调用系统API函数vm_read读取每个内存块的数据，再对每一个内存块查看其是否是模块。vm_read的函数原型如下：

其中，address标示读取的内存地址，size标示读取的内存大小，data_out标示会将读取的数据填充到此变量中。

具体判断内存块是否为模块文件的方法为：因为在IOS系统中所有的模块都是Mach-o格式的文件，其具体格式是公开的，例如Mach-o文件的开头是固定的0xfeedface数据，如果不是这个数据则说明不是Mach-o文件。故读取完内存数据后，可以根据文件开头来判断每个内存块是不是Mach-o文件，如果是则可以继续判断Mach-o文件的格式。

再下来，(3)从属于模块文件的内存块中确定出所述动态链接dyld模块。即在确定内存块为Mach-o文件后，可以从Mach-o文件的格式判断其是否是dyld模块，如果是则说明找到了dyld模块，如果不是则继续查找。

具体来讲，从Mach-o文件的格式中，可以解析出Mach-o文件的LoadCommand字段，该字段用于描述Mach-o文件中的段信息，通过其描述信息可以获取到该Mach-o文件的名称，通过比较名称是不是dyld文件则可以判断此Mach-o模块是不是dyld模块，最终则可以从内存中找到此dyld模块文件。

然后，执行步骤S104，通过所述dyld模块获取目标应用程序的dylib文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称。

所述通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，包括：

(1)通过所述动态链接模块获取_dyld_all_image_infos符号数据；

(2)根据所述_dyld_all_image_infos符号数据，获取目标应用程序的动态链接库文件的文件名称路径；

(3)基于所述文件名称路径，读取内存获取所述动态链接库文件的所述第二信息。

具体来讲，(1)通过所述动态链接模块获取_dyld_all_image_infos符号数据的方法可以是：通过Mach-o文件的格式中的Load Command字段可以获取到其存储的_dyld_all_image_infos符号数据。

进一步，(2)获取目标应用程序的动态链接库文件的文件名称路径的方法可以是：由于_dyld_all_image_infos符号数据中会对目标应用程序加载的所有的dylib文件分别存储一份其对应的信息，从_dyld_all_image_infos符号数据中可以获取每一个dylib的文件名称路径。

再下来，(3)基于所述文件名称路径，读取内存获取所述动态链接库文件的所述第二信息。具体来讲，可以根据存储的信息的数量来得到目标应用程序加载的dylib文件的数量，具体实现代码为：

DylibCount＝_dyld_all_image_infos.infoArrayCount，其中，infoArrayCount标示其存储的dylib文件数量。

可以根据文件名称路径来读取内存，从而获取每个dylib文件的文件名称，由于每个dylib文件的文件名称的内存地址均存储在imageFilePath中，故可以调用API函数vm_read来读取每个dylib文件的文件名称dylibName。具体实现代码为：

For(int i＝0；i<DylibCount；i++)

{char*dylibName＝vm_read(

_dyld_all_image_infos[i].imageFilePath)；

综上，通过枚举系统内存块，从系统加载的dyld模块的符号表中查找所有的dylib文件，因为IOS程序运行时是通过dyld模块来动态加载所有的dylib文件，并会将加载后的dylib文件保存到其_dyld_all_image_infos的符号数据中，本实施例通过获取到该符号数据，最终可以获取到所有的dylib文件名称列表，以获取的目标应用程序所加载的dylib文件的数量和名称等信息作为所述第二信息。

再下来，执行步骤S105，上报所述第二信息至所述目标应用程序对应的服务器。

具体来讲，可以使用加密函数对所述第二信息加密后，再将所述第二信息上报到所述目标应用程序的服务器上，以使服务器可以对上报的第二信息进行检测。

最后，执行步骤S106，如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

在本申请实施例中，对通过步骤S101-S102上报的第一信息和通过步骤S103-S105上报的第二信息，服务器均会进行检测，以判断是否符合要求。

具体来讲，所述服务器中会预先存储正常的dylib文件列表，所述正常的dylib文件列表可以是工作人员预先拷贝存储在服务器的，也可以是服务器运行一次正常的IOS目标应用程序，再将目标应用程序中所加载的所有的dylib文件进行上报并保存此正常的dylib文件列表，在此不作限制。

当服务器接收到所述第一信息后，会将所述第一信息中的dylib文件数量和名称与预存的正常的dylib文件列表进行比对，如果相符，则认为符合要求，允许所述客户端正常使用所述目标应用程序；如果不相符，则认为不符合要求，存在非法dylib文件，服务器认为该客户端的IOS目标应用程序运行在非法的环境中，从而服务器可以对所述客户端的账号进行封号或者断开其网络，让其无法继续使用所述目标应用程序的功能。

当服务器接收到所述第二信息后，会将所述第二信息中的dylib文件数量和名称与预存的正常的dylib文件列表进行比对，如果相符，则认为符合要求，允许所述客户端正常使用所述目标应用程序；如果不相符，则认为不符合要求，存在非法dylib文件，服务器认为该客户端的IOS目标应用程序运行在非法的环境中，从而服务器可以对所述客户端的账号进行封号或者断开其网络，让其无法继续使用所述目标应用程序的功能。

进一步，如果所述第一信息和所述第二信息在上报时进行了加密，则在服务器获取信息后，会先对所述第一信息和所述第二信息进行解密后，再进行对比检测。

具体来讲，所述服务器会将所述第一信息和所述第二信息分别与正常的dylib文件列表进行比对，其中只要有任一个与正常的dylib文件列表不符合，则会禁止所述客户端使用所述目标应用程序，以在黑客针对其中一种信息获取方法进行规避时，也能及时的发现非法注入的dylib文件，有效保证了黑客防护的及时性和防护力度。

具体来讲，本申请实施例通过两种方式获取dylib文件的数量及名字等信息，一种方式是，通过API函数获取目标应用程序的dylib文件的第一信息；另一种方式是，通过枚举系统内存块，查找动态链接模块，从而获取目标应用程序的动态链接库文件的第二信息，服务器会对第一信息和第二信息分别进行检测，当其中只要有一个信息不符合所述服务器的要求，则服务器禁止所述客户端使用所述目标应用程序，从而在黑客程序运行前，提前检测出非法注入的dylib文件，提高了防护及时性和防护力度。

基于同一发明构思，本申请提供了服务器侧的检测非法文件注入的方法，详见实施例二。

实施例二

如图2所示，本实施例提供了一种检测非法文件注入的方法，包括：

步骤S201，接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

步骤S202，根据所述第一信息，检测是否存在非法的动态链接库文件；

步骤S203，接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

步骤S204，根据所述第二信息，检测是否存在非法的动态链接库文件；

步骤S205，如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

在本申请实施例中，所述服务器可以为计算机设备、云端或计算机设备组，在此不作限制。

在本申请实施例中，所述禁止所述客户端使用所述目标应用程序，包括：对所述客户端的账号进行封号，或断开与所述客户端的网络连接。

由于本实施例所介绍的方法与本申请实施例中介绍的检测非法文件注入的方法是基于同一发明构思的，且在介绍实施例一时已经对客户端侧的方法步骤进行说明，故而基于本申请实施例一中所介绍的方法，本领域所属技术人员能够了解本实施例的方法的具体实施方式以及其各种变化形式，所以为了说明书的简洁，在此不再详细介绍。

基于同一发明构思，本申请提供了实施例一对应的装置，详见实施例三。

实施例三

如图3所示，本实施例提供一种检测非法文件注入的装置，所述装置为IOS操作系统，包括：

第一获取模块301，用于通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一上报模块302，用于上报所述第一信息至所述目标应用程序对应的服务器；

第二获取模块303，用于通过枚举系统内存块，查找动态链接模块；通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二上报模块304，用于上报所述第二信息至所述目标应用程序对应的服务器；

第一禁止模块305，用于如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

在本申请实施例中，所述装置为客户端，所述客户端可以是智能手机、台式电脑、平板电脑或智能手表，在此不作限制。

由于本实施例所介绍的装置为实施本申请实施例中一种检测非法文件注入的方法所采用的装置，故而基于本申请实施例一中所介绍的方法，本领域所属技术人员能够了解本实施例的装置的具体实施方式以及其各种变化形式，所以在此对于该装置如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备，都属于本申请所欲保护的范围。

基于同一发明构思，本申请提供了实施例二对应的装置，详见实施例四。

实施例四

如图4所示，本实施例提供一种检测非法文件注入的装置，包括：

第一接收模块401，用于接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一检测模块402，用于根据所述第一信息，检测是否存在非法的动态链接库文件；

第二接收模块403，用于接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二检测模块404，用于根据所述第二信息，检测是否存在非法的动态链接库文件；

第二禁止模块405，用于如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

在本申请实施例中，所述装置为服务器，所述服务器可以为计算机设备、云端或计算机设备组，在此不作限制。

由于本实施例所介绍的装置为实施本申请实施例中一种检测非法文件注入的方法所采用的装置，故而基于本申请实施例二中所介绍的方法，本领域所属技术人员能够了解本实施例的装置的具体实施方式以及其各种变化形式，所以在此对于该装置如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备，都属于本申请所欲保护的范围。

基于同一发明构思，本申请提供了实施例一对应的客户端，详见实施例五。

实施例五

本实施例提供一种客户端，如图5所示，包括存储器510、处理器520及存储在存储器520上并可在处理器520上运行的计算机程序511，处理器520执行计算机程序511时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

在具体实施过程中，处理器520执行计算机程序511时，可以实现实施例一中任一实施方式。

由于本实施例所介绍的客户端为实施本申请实施例一中一种检测非法文件注入的方法所采用的设备，故而基于本申请实施例一中所介绍的方法，本领域所属技术人员能够了解本实施例的客户端的具体实施方式以及其各种变化形式，所以在此对于该客户端如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备，都属于本申请所欲保护的范围。

基于同一发明构思，本申请提供了实施例二对应的服务器，详见实施例六。

实施例六

本实施例提供一种服务器，如图6所示，包括存储器610、处理器620及存储在存储器620上并可在处理器620上运行的计算机程序611，处理器620执行计算机程序611时实现以下步骤：

接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

根据所述第一信息，检测是否存在非法的动态链接库文件；

接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

根据所述第二信息，检测是否存在非法的动态链接库文件；

如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

在具体实施过程中，处理器620执行计算机程序611时，可以实现实施例二中任一实施方式。

由于本实施例所介绍的服务器为实施本申请实施例二中一种检测非法文件注入的方法所采用的设备，故而基于本申请实施例二中所介绍的方法，本领域所属技术人员能够了解本实施例的服务器的具体实施方式以及其各种变化形式，所以在此对于该服务器如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备，都属于本申请所欲保护的范围。

基于同一发明构思，本申请提供了实施例一对应的存储介质，详见实施例七。

实施例七

如图7所示，本实施提供了一种计算机可读存储介质700，其上存储有计算机程序711，该计算机程序711被处理器执行时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

在具体实施过程中，该计算机程序711被处理器执行时，可以实现实施例一中任一实施方式。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种检测非法文件注入的方法，其特征在于，所述方法应用于IOS操作系统，包括：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

2.如权利要求1所述的方法，其特征在于，所述通过枚举系统内存块，查找动态链接模块，包括：

枚举获取系统的全部内存块的内存块信息；

根据所述内存块信息，从所述全部内存块中查找出属于模块文件的内存块；

从所述属于模块文件的内存块中确定出所述动态链接模块。

3.如权利要求1所述的方法，其特征在于，所述通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，包括：

通过所述动态链接模块获取_dyld_all_image_infos符号数据；

根据所述_dyld_all_image_infos符号数据，获取目标应用程序的动态链接库文件的文件名称路径；

基于所述文件名称路径，读取内存获取所述动态链接库文件的所述第二信息。

4.一种检测非法文件注入的方法，其特征在于，包括：

接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

根据所述第一信息，检测是否存在非法的动态链接库文件；

接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

根据所述第二信息，检测是否存在非法的动态链接库文件；

如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

5.如权利要求4所述的方法，其特征在于，所述禁止所述客户端使用所述目标应用程序，包括：

对所述客户端的账号进行封号，或断开与所述客户端的网络连接。

6.一种检测非法文件注入的装置，其特征在于，所述装置为IOS操作系统，包括：

第一获取模块，用于通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一上报模块，用于上报所述第一信息至所述目标应用程序对应的服务器；

第二获取模块，用于通过枚举系统内存块，查找动态链接模块；通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二上报模块，用于上报所述第二信息至所述目标应用程序对应的服务器；

第一禁止模块，用于如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

7.一种检测非法文件注入的装置，其特征在于，包括：

第一接收模块，用于接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

第一检测模块，用于根据所述第一信息，检测是否存在非法的动态链接库文件；

第二接收模块，用于接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

第二检测模块，用于根据所述第二信息，检测是否存在非法的动态链接库文件；

第二禁止模块，用于如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

8.一种客户端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。

9.一种服务器，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现以下步骤：

接收客户端发送的目标应用程序的动态链接库文件的第一信息，所述第一信息是所述客户端通过系统应用程序编程接口函数获取的信息，所述第一信息包括所述动态链接库文件的数量和名称；

根据所述第一信息，检测是否存在非法的动态链接库文件；

接收客户端发送的目标应用程序的动态链接库文件的第二信息，所述第二信息是所述客户端通过枚举系统内存块，查找动态链接模块，并通过所述动态链接模块获取的信息，所述第二信息包括所述动态链接库文件的数量和名称；

根据所述第二信息，检测是否存在非法的动态链接库文件；

如果存在非法的动态链接库文件，则禁止所述客户端使用所述目标应用程序。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现以下步骤：

通过系统应用程序编程接口函数获取目标应用程序的动态链接库文件的第一信息，所述第一信息包括所述动态链接库文件的数量和名称；

上报所述第一信息至所述目标应用程序对应的服务器；

通过枚举系统内存块，查找动态链接模块；

通过所述动态链接模块获取目标应用程序的动态链接库文件的第二信息，所述第二信息包括所述动态链接库文件的数量和名称；

上报所述第二信息至所述目标应用程序对应的服务器；

如果所述第一信息和/或所述第二信息不符合所述服务器的要求，则被所述服务器禁止使用所述目标应用程序。