CN109933985B - 一种绕过挂钩的方法、装置、设备和计算机存储介质 - Google Patents
一种绕过挂钩的方法、装置、设备和计算机存储介质 Download PDFInfo
- Publication number
- CN109933985B CN109933985B CN201910138953.7A CN201910138953A CN109933985B CN 109933985 B CN109933985 B CN 109933985B CN 201910138953 A CN201910138953 A CN 201910138953A CN 109933985 B CN109933985 B CN 109933985B
- Authority
- CN
- China
- Prior art keywords
- function
- functions
- calling
- determining
- called
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了一种绕过挂钩的方法、装置、设备和计算机存储介质,其中所述方法包括:应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数;确定所述第一函数是否为重要函数,若是,则获取与所述第一函数具有相同功能的第二函数;调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用。本发明能够简化绕过挂钩的操作步骤、提升绕过挂钩的稳定性,从而进一步提升应用程序运行的安全性。
Description
【技术领域】
本发明涉及安全技术领域,尤其涉及一种绕过挂钩的方法、装置、设备和计算机存储介质。
【背景技术】
网络技术的迅猛发展在促进信息交互的同时,也带来了巨大的风险。例如攻击者通过隐藏恶意程序来对应用程序进行攻击等,而实现恶意程序隐藏时通常会采用挂钩(Hook)技术。挂钩技术属于一种特殊的消息处理机制,挂钩可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理,从而改变相应的执行结果。因此,恶意程序通过挂钩技术攻击应用程序,会给应用程序的安全运行带来极大的威胁。现有技术在绕过恶意程序的挂钩时,通常会采用以下几种方案:1)调用更为底层的函数来绕过,例如当前的Android系统中,Native层已经很底层了,若恶意程序对Native层的函数进行挂钩,则普通应用程序无法进入内核来调用更底层的函数来绕过Native层函数的挂钩;2)直接恢复挂钩来绕过,风险比较大,容易影响应用程序运行的稳定性;3)将运行库函数重新映射到内存,即内存中存在两个运行库函数,从重新映射的运行库函数中调用相应的函数,但该方案需要对重要的运行库进行映射,操作过程较为复杂,且由于当前终端设备的种类繁多,本方案在实践过程中的稳定性较差,极容易导致应用程序运行崩溃的问题。因此,亟需一种能够稳定、简便地绕过挂钩的方法。
【发明内容】
有鉴于此,本发明提供了一种绕过挂钩的方法、装置、设备和计算机存储介质,用于简化绕过挂钩的操作步骤、提升绕过挂钩的稳定性,从而进一步提升应用程序运行的安全性。
本发明为解决技术问题所采用的技术方案是提供一种绕过挂钩的方法,所述方法包括:应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数;确定所述第一函数是否为重要函数,若是,则获取与所述第一函数具有相同功能的第二函数;调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用。
根据本发明一优选实施例,所述确定所述第一函数是否为重要函数包括:获取所述第一函数的标识信息;将所获取的标识信息在预设的函数信息表中进行匹配;若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
根据本发明一优选实施例,所述方法还包括:若所述第一函数不是重要函数,则对所述第一函数进行调用。
根据本发明一优选实施例,所述获取与所述第一函数具有相同功能的第二函数包括:获取第一函数的属性信息;根据所获取的属性信息生成与所述第一函数对应的函数,并将所生成的函数作为所述第二函数。
根据本发明一优选实施例,所述获取与所述第一函数具有相同功能的第二函数包括:预先设立自建函数库;根据预设的函数之间的对应关系,在所述自建函数库中确定与第一函数对应的函数之后,将所确定的函数作为所述第二函数。
根据本发明一优选实施例,在调用所述第二函数之后,还包括:确定所述第二函数是否还需要调用其他的函数;若是,则确定与所述第二函数需要调用的其他函数对应的第三函数;调用所述第三函数,以实现第二函数对其他函数的调用。
根据本发明一优选实施例,所述确定与所述第二函数需要调用的其他函数对应的第三函数包括:在动态内存中确定与所述第二函数需要调用的其他函数对应的第三函数。
本发明为解决技术问题所采用的技术方案是提供一种绕过挂钩的装置,所述装置包括:获取单元,用于应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数;处理单元,用于确定所述第一函数是否为重要函数,若是,则获取与所述第一函数具有相同功能的第二函数;调用单元,用于调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用。
根据本发明一优选实施例,所述处理单元在确定所述第一函数是否为重要函数时,具体执行:获取所述第一函数的标识信息;将所获取的标识信息在预设的函数信息表中进行匹配;若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
根据本发明一优选实施例,所述处理单元还用于执行:若所述第一函数不是重要函数,则对所述第一函数进行调用。
根据本发明一优选实施例,所述处理单元在获取与所述第一函数具有相同功能的第二函数时,具体执行:获取第一函数的属性信息;根据所获取的属性信息生成与所述第一函数对应的函数,并将所生成的函数作为所述第二函数。
根据本发明一优选实施例,所述处理单元在获取与所述第一函数具有相同功能的第二函数时,具体执行:预先设立自建函数库;根据预设的函数之间的对应关系,在所述自建函数库中确定与第一函数对应的函数之后,将所确定的函数作为所述第二函数。
根据本发明一优选实施例,在所述调用单元调用所述第二函数之后,还执行:确定所述第二函数是否还需要调用其他的函数;若是,则确定与所述第二函数需要调用的其他函数对应的第三函数;调用所述第三函数,以实现第二函数对其他函数的调用。
根据本发明一优选实施例,所述调用单元在确定与所述第二函数需要调用的其他函数对应的第三函数时,具体执行:在动态内存中确定与所述第二函数需要调用的其他函数对应的第三函数。
由以上内容可以看出,本发明通过在调用函数时不直接调用操作系统中标准的运行库函数中的函数,而是在确定当前的调用函数是重要函数之后,调用与当前需要调用的函数所对应的函数,从而避免所调用的函数被恶意程序挂钩,并能够简化绕过挂钩的操作步骤、提升绕过挂钩的稳定性,从而进一步提升应用程序运行的安全性。
【附图说明】
图1为本发明一实施例提供的一种绕过挂钩的方法流程图;
图2为本发明一实施例提供的一种绕过挂钩的装置结构图;
图3为本发明一实施例提供的计算机系统/服务器的框图。
【具体实施方式】
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
在现有技术中,应用程序在调用函数时,例如Android系统的应用程序在调用函数时,通常是通过调用操作系统中标准的C运行库函数中相应的函数进行的。攻击者很容易对操作系统中标准的C运行库函数中的函数进行挂钩,而当操作系统在调用被挂钩的函数时,可能会遭遇到挂钩的恶意程序的攻击。本发明的核心思想在于:在应用程序调用函数时,不直接调用操作系统中标准运行库函数中相应的函数,而是调用与所调用函数对应的函数,从而绕过对调用函数的挂钩,保证操作系统的安全运行。
图1为本发明一实施例提供的一种绕过挂钩的方法流程图,如图1中所示,所述方法可以运行于不同的操作系统中,例如运行于Android操作系统或者运行于IOS操作系统,所述方法包括:
在101中,应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数。
在本步骤中,应用程序首先获取当前运行进程中所要调用的函数,然后将所获取的函数作为第一函数。举例来说,当应用程序当前的运行进程中需要打开文件时,若应用程序需要调用的fopen函数,则本步骤在获取fopen函数之后将其作为第一函数。
可以理解的是,由于应用程序在当前运行进程中可能需要同时调用多个函数,因此本步骤所获取的应用程序所要调用的函数的个数可以为一个,也可以为多个,本发明对此不进行限定。
在102中,确定所述第一函数是否为重要函数,若是,则获取与所述第一函数具有相同功能的第二函数。
在本步骤中,首先确定步骤101中所获取的第一函数是否为重要函数,若该第一函数是重要函数,则进一步获取与第一函数具有相同功能的第二函数。可以理解的是,若本步骤确定该第一函数不是重要函数,则无需再执行获取第二函数的操作,应用程序直接调用该第一函数即可。
具体地,本步骤在确定第一函数是否为重要函数时,可以采用以下方式:获取第一函数的标识信息,函数的标识信息包括函数名称、函数种类等;将所获取的标识信息在预设的函数信息表中进行匹配,其中该预设的函数信息表中包含有各重要函数的标识信息;若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
也就是说,本步骤并不是将所有的函数都作为重要函数,而是仅将一部分敏感、常用的函数作为重要函数,使得攻击者更加难以察觉,从而提升了攻击者对所调用的函数进行挂钩以实现攻击的难度。
现有技术在直接调用某些重要的函数时,所调用的函数可能已被恶意程序挂钩,而调用被恶意程序挂钩的函数可能对应用程序的安全运行造成威胁。因此,本发明在调用一些重要函数时,不对该些重要函数进行直接调用,而是在获取与该些重要函数具有相同功能的函数之后,对所获取的函数进行调用,从而能够极大地避免所要调用的函数被恶意程序挂钩的问题。
本步骤在获取与第一函数具有相同功能的第二函数时,可以采用以下方式:获取第一函数的属性信息,例如函数的函数名称、格式信息等;根据所获取的属性信息生成与第一函数对应的函数,例如使用预设的程序代码或者汇编指令生成新的函数,所生成的函数具有与第一函数相同的功能;将所生成的函数作为第二函数。也就是说,本步骤可以动态地生成与所调用的函数相同的函数,而新生成的函数被恶意程序挂钩的可能性极低,因此调用该新生成的函数能够极大地避免函数被挂钩的问题。
可以理解的是,对于一些能够简单实现的函数,可以使用上述生成函数的方式来绕过挂钩,例如syscall类的open函数,该open函数的实现比较简单,通过几条汇编指令便可以生成对应的函数。但是对于一些复杂的函数来说,例如非syscall类的fopen函数,实现过程较为复杂,若仍采用生成函数的方式来绕过挂钩,则可能需要较长的处理时间。
因此,本步骤在获取与第一函数具有相同功能的第二函数时,还可以采用以下方式:预先设立自建函数库,该自建函数库中包含与各重要函数对应的函数;根据预设的函数之间的对应关系,在自建函数库中确定与第一函数对应的函数;将所确定的函数作为第二函数。也就是说,本步骤可以针对各个重要函数预先生成与其对应的函数,从而在调用重要函数时,调用自建函数库中预先存储的与重要函数所对应的函数。
举例来说,若fopen函数确定为重要函数,若根据函数之间的对应关系在预设的自建函数库中确定与fopen函数对应的函数是safe_fopen函数,则将该safe_fopen函数作为第二函数。
可以理解的是,由于自建函数库是由用户自己创建的,因此攻击者无法轻易地得知该自建函数库的内存地址后对其中的函数进行挂钩,若该自建函数库中的函数是干净、未被挂钩的,则调用该自建函数库中的函数就能够实现绕过恶意程序或其他程序对函数挂钩的目的。
在103中,调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用。
在本步骤中,对步骤102中所获取的第二函数进行调用,由于第二函数具有与第一函数相同的功能,因此本步骤通过调用第二函数的方式,在避免所调用的函数被挂钩的问题之外,还能够实现与调用第一函数同样的功能。
可以理解的是,由于函数与函数之间还存在调用关系,因此在调用第二函数实现调用第一函数的功能时,该第二函数可能还会调用其他的函数,若第二函数所调用的函数被挂钩,则仍然会导致所调用的函数被攻击者攻击的问题。
为了确保整个进程的安全性,本步骤在调用第二函数时,还可以包括以下内容:确定第二函数是否还需要调用其他的函数;若是,则确定与第二函数需要调用的其他函数对应的第三函数;调用第三函数,以实现第二函数对其他函数的调用。
举例来说,若第一函数为fopen函数,调用该fopen函数的过程中还会调用open函数,因此在确定fopen函数对应的第二函数为safe_fopen函数并进行调用时,再确定open函数对应的第三函数为safe_open函数,进而再对safe_open函数进行调用,从而完成整个fopen函数的调用。
其中,本步骤在确定与第二函数需要调用的其他函数对应的第三函数时,可以在预设的自建函数库中确定与第二函数需要调用的其他函数对应的第三函数,即直接在自建函数库中确定相应的函数;也可以在动态内存中确定与第二函数需要调用的其他函数对应的第三函数,即在每次运行时,自建函数库中的一些函数(例如体积较小的syscall类函数)会被放置在动态内存中,由于动态内存在每次运行时都会改变内存地址,因此本步骤能够进一步增加攻击者对函数进行攻击的难度。
图2为本发明一实施例提供的一种绕过挂钩的装置结构图,如图2中所示,所述装置位于不同的操作系统中,所述装置包括:获取单元21、处理单元22以及调用单元23。
获取单元21,用于获取应用程序当前运行进程中所要调用的函数,并将所获取的函数作为第一函数。
获取单元21首先获取应用程序当前运行进程所要调用的函数,然后将所获取的函数作为第一函数。可以理解的是,由于应用程序在当前运行进程中可能会同时调用多个函数,因此获取单元21所获取的应用程序所要调用的函数的个数可以为一个,也可以为多个,本发明对此不进行限定。
处理单元22,用于确定所述第一函数是否为重要函数,若是,则获取与所述第一函数具有相同功能的第二函数。
处理单元22首先确定获取单元21所获取的第一函数是否为重要函数,若该第一函数是重要函数,则进一步获取与第一函数具有相同功能的第二函数。可以理解的是,若处理单元22确定该第一函数不是重要函数,则无需再执行获取第二函数的操作,应用程序直接调用该第一函数即可。
具体地,处理单元22在确定第一函数是否为重要函数时,可以采用以下方式:获取第一函数的标识信息,函数的标识信息包括函数名称、函数种类等;将所获取的标识信息在预设的函数信息表中进行匹配,其中该预设的函数信息表中包含有各重要函数的标识信息;若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
也就是说,处理单元22并不是将所有的函数都作为重要函数,而是仅将一部分敏感常用的函数作为重要函数,使得攻击者更加难以察觉,从而提升了攻击者对所调用的函数挂钩以进行攻击的难度。
现有技术在直接调用某些重要的函数时,所调用的函数可能已被恶意程序挂钩,而调用被恶意程序挂钩的函数可能对应用程序的安全运行造成威胁。因此,本发明在调用一些重要函数时,不对该些重要函数进行直接调用,而是在获取与该些重要函数具有相同功能的函数之后,对所获取的函数进行调用,从而能够极大地避免所要调用的函数被恶意程序挂钩的问题。
处理单元22在获取与第一函数具有相同功能的第二函数时,可以采用以下方式:获取第一函数的属性信息,例如函数的函数名称、格式信息等;根据所获取的属性信息生成与第一函数对应的函数,例如使用预设的程序代码或者汇编指令生成新的函数,所生成的函数具有与第一函数相同的功能;将所生成的函数作为第二函数。也就是说,处理单元22可以动态地生成与所调用的函数相同的函数,而新生成的函数被恶意程序挂钩的可能性极低,因此调用该新生成的函数能够极大地避免函数被挂钩的问题。
可以理解的是,对于一些能够简单实现的函数,可以使用上述生成函数的方式来绕过挂钩,例如syscall类的open函数,该open函数的实现比较简单,通过几条汇编指令便可以生成对应的函数。但是对于一些复杂的函数来说,例如非syscall类的fopen函数,实现过程较为复杂,若仍采用生成函数的方式来绕过挂钩,则可能需要较长的处理时间。
因此,处理单元22在获取与第一函数具有相同功能的第二函数时,还可以采用以下方式:预先设立自建函数库,该自建函数库中包含与各重要函数对应的函数;根据预设的函数之间的对应关系,在自建函数库中确定与第一函数对应的函数;将所确定的函数作为第二函数。也就是说,本步骤可以针对各个重要函数预先生成与其对应的函数,从而在调用重要函数时,调用自建函数库中预先存储的与重要函数所对应的函数。
可以理解的是,由于自建函数库是由用户自己创建的,因此攻击者无法轻易地得知该自建函数库的内存地址后对其中的函数进行挂钩,若该自建函数库中的函数是干净、未被挂钩的,则调用该自建函数库中的函数就能够实现绕过恶意程序或其他程序对函数挂钩的目的。
调用单元23,用于调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用。
调用单元23对处理单元22中所确定的第二函数进行调用,由于第二函数具有与第一函数相同的功能,因此调用单元23通过调用第二函数的方式,在避免所调用的函数被挂钩的问题之外,还能够实现与调用第一函数同样的功能。
可以理解的是,由于函数与函数之间还存在调用关系,因此在调用第二函数实现调用第一函数的功能时,该第二函数可能还会调用其他的函数,若第二函数所调用的函数被挂钩,则仍然会导致所调用的函数被攻击者攻击的问题。
为了确保整个进程的安全性,调用单元23在调用第二函数时,还可以包括以下内容:确定第二函数是否还需要调用其他的函数;若是,则确定与第二函数需要调用的其他函数对应的第三函数;调用第三函数,以实现第二函数对其他函数的调用。
其中,调用单元23在确定与第二函数需要调用的其他函数对应的第三函数时,可以在预设的自建函数库中确定与第二函数需要调用的其他函数对应的第三函数,即直接在自建函数库中确定相应的函数;也可以在动态内存中确定与第二函数需要调用的其他函数对应的第三函数,即在每次运行时,自建函数库中的一些函数(例如体积较小的syscall类函数)会被放置在动态内存中,由于动态内存在每次运行时都会改变内存地址,因此调用单元23能够进一步增加攻击者对函数进行攻击的难度。
图3示出了适于用来实现本发明实施方式的示例性计算机系统/服务器012的框图。图3显示的计算机系统/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图3所示,计算机系统/服务器012以通用计算设备的形式表现。计算机系统/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,系统存储器028,连接不同系统组件(包括系统存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统/服务器012典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机系统/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器028可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机系统/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统034可以用于读写不可移动的、非易失性磁介质(图3未显示,通常称为“硬盘驱动器”)。尽管图3中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机系统/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机系统/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机系统/服务器012交互的设备通信,和/或与使得该计算机系统/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机系统/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与计算机系统/服务器012的其它模块通信。应当明白,尽管图3中未示出,可以结合计算机系统/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元016通过运行存储在系统存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
利用本发明所提供的技术方案,通过在调用函数时不直接调用操作系统中标准的运行库函数中的函数,而是在确定当前的调用函数是重要函数之后,调用与当前需要调用的函数所对应的函数,从而避免所调用的函数被恶意程序挂钩,并能够简化绕过挂钩的操作步骤、提升绕过挂钩的稳定性,从而进一步提升应用程序运行的安全性。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (14)
1.一种绕过挂钩的方法,其特征在于,所述方法包括:
应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数;
确定所述第一函数是否为重要函数,若是,则使用预设方法获取与所述第一函数具有相同功能的第二函数;
调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用;
其中,所述确定所述第一函数是否为重要函数包括:
获取所述第一函数的标识信息;
将所获取的标识信息在预设的函数信息表中进行匹配;
若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一函数不是重要函数,则对所述第一函数进行调用。
3.根据权利要求1所述的方法,其特征在于,所述使用预设方法获取与所述第一函数具有相同功能的第二函数包括:
获取第一函数的属性信息;
根据所获取的属性信息生成与所述第一函数对应的函数,并将所生成的函数作为所述第二函数。
4.根据权利要求1所述的方法,其特征在于,所述使用预设方法获取与所述第一函数具有相同功能的第二函数包括:
预先设立自建函数库;
根据预设的函数之间的对应关系,在所述自建函数库中确定与第一函数对应的函数之后,将所确定的函数作为所述第二函数。
5.根据权利要求1所述的方法,其特征在于,在调用所述第二函数之后,还包括:
确定所述第二函数是否还需要调用其他的函数;
若是,则确定与所述第二函数需要调用的其他函数对应的第三函数;
调用所述第三函数,以实现第二函数对其他函数的调用。
6.根据权利要求5所述的方法,其特征在于,所述确定与所述第二函数需要调用的其他函数对应的第三函数包括:
在动态内存中确定与所述第二函数需要调用的其他函数对应的第三函数。
7.一种绕过挂钩的装置,其特征在于,所述装置包括:
获取单元,用于应用程序获取当前运行进程中所要调用的函数,并将所获取的函数作为第一函数;
处理单元,用于确定所述第一函数是否为重要函数,若是,则使用预设方法获取与所述第一函数具有相同功能的第二函数;
调用单元,用于调用所述第二函数,以实现应用程序在当前运行进程中对所述第一函数的调用;
其中,所述处理单元在确定所述第一函数是否为重要函数时,具体执行:
获取所述第一函数的标识信息;
将所获取的标识信息在预设的函数信息表中进行匹配;
若根据所获取的标识信息能够得到匹配结果,则将该标识信息对应的第一函数确定为重要函数,否则确定为不是重要函数。
8.根据权利要求7所述的装置,其特征在于,所述处理单元还用于执行:
若所述第一函数不是重要函数,则对所述第一函数进行调用。
9.根据权利要求7所述的装置,其特征在于,所述处理单元在使用预设方法获取与所述第一函数具有相同功能的第二函数时,具体执行:
获取第一函数的属性信息;
根据所获取的属性信息生成与所述第一函数对应的函数,并将所生成的函数作为所述第二函数。
10.根据权利要求7所述的装置,其特征在于,所述处理单元在使用预设方法获取与所述第一函数具有相同功能的第二函数时,具体执行:
预先设立自建函数库;
根据预设的函数之间的对应关系,在所述自建函数库中确定与第一函数对应的函数之后,将所确定的函数作为所述第二函数。
11.根据权利要求7所述的装置,其特征在于,在所述调用单元调用所述第二函数之后,还执行:
确定所述第二函数是否还需要调用其他的函数;
若是,则确定与所述第二函数需要调用的其他函数对应的第三函数;
调用所述第三函数,以实现第二函数对其他函数的调用。
12.根据权利要求7所述的装置,其特征在于,所述调用单元在确定与所述第二函数需要调用的其他函数对应的第三函数时,具体执行:
在动态内存中确定与所述第二函数需要调用的其他函数对应的第三函数。
13.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
14.一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910138953.7A CN109933985B (zh) | 2019-02-25 | 2019-02-25 | 一种绕过挂钩的方法、装置、设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910138953.7A CN109933985B (zh) | 2019-02-25 | 2019-02-25 | 一种绕过挂钩的方法、装置、设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109933985A CN109933985A (zh) | 2019-06-25 |
| CN109933985B true CN109933985B (zh) | 2022-02-25 |
Family
ID=66985900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910138953.7A Active CN109933985B (zh) | 2019-02-25 | 2019-02-25 | 一种绕过挂钩的方法、装置、设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109933985B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414338A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种绕过挂钩的方法和装置 |
| CN105653906A (zh) * | 2015-12-28 | 2016-06-08 | 中国人民解放军信息工程大学 | 基于地址随机的反内核挂钩方法 |
| CN107545182A (zh) * | 2017-09-06 | 2018-01-05 | 武汉斗鱼网络科技有限公司 | 一种ios应用中绕过函数调用链检测的方法及系统 |
| CN108280349A (zh) * | 2018-01-10 | 2018-07-13 | 维沃移动通信有限公司 | 保护系统内核层的方法、移动终端及计算机可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7500245B2 (en) * | 2005-07-08 | 2009-03-03 | Microsoft Corporation | Changing code execution path using kernel mode redirection |
| US20070113291A1 (en) * | 2005-11-17 | 2007-05-17 | Juin-Jia Dai | Method for administrating the function access |
| US9965620B2 (en) * | 2015-12-24 | 2018-05-08 | Intel Corporation | Application program interface (API) monitoring bypass |
| CN108416210B (zh) * | 2018-03-09 | 2020-07-14 | 北京顶象技术有限公司 | 一种程序保护方法及装置 |
| CN109145638B (zh) * | 2018-07-20 | 2021-01-01 | 武汉斗鱼网络科技有限公司 | 一种获取自加载模块函数的方法及装置 |
-
2019
- 2019-02-25 CN CN201910138953.7A patent/CN109933985B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414338A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种绕过挂钩的方法和装置 |
| CN105653906A (zh) * | 2015-12-28 | 2016-06-08 | 中国人民解放军信息工程大学 | 基于地址随机的反内核挂钩方法 |
| CN107545182A (zh) * | 2017-09-06 | 2018-01-05 | 武汉斗鱼网络科技有限公司 | 一种ios应用中绕过函数调用链检测的方法及系统 |
| CN108280349A (zh) * | 2018-01-10 | 2018-07-13 | 维沃移动通信有限公司 | 保护系统内核层的方法、移动终端及计算机可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| PKH: A lightweight online approach to protecting kernel hooks in kernel modules;Tian Donghai 等;《China Communications》;20131122;第10卷(第11期);15-23 * |
| 基于KVM的Windows虚拟机用户进程防护;陈兴蜀 等;《电子科技大学学报》;20160630;第45卷(第6期);950-957 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109933985A (zh) | 2019-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111090628B (zh) | 一种数据处理方法、装置、存储介质及电子设备 | |
| CN110287146B (zh) | 应用下载的方法、设备和计算机存储介质 | |
| CN109495549B (zh) | 一种应用拉活的方法、设备和计算机存储介质 | |
| CN110826036A (zh) | 用户操作行为安全性的识别方法、装置和电子设备 | |
| CN109218393B (zh) | 一种推送的实现方法、装置、设备和计算机存储介质 | |
| CN112363753A (zh) | 数据校验方法、装置、电子设备及存储介质 | |
| CN114253864A (zh) | 一种业务测试方法、装置、电子设备及存储介质 | |
| CN113704102B (zh) | 应用程序合规检测方法、装置、设备和介质 | |
| CN114372256A (zh) | 应用程序运行方法、装置、设备和存储介质 | |
| CN107862035B (zh) | 会议记录的网络读取方法、装置、智能平板和存储介质 | |
| CN110162729B (zh) | 建立浏览器指纹以及识别浏览器类型的方法、装置 | |
| CN109933985B (zh) | 一种绕过挂钩的方法、装置、设备和计算机存储介质 | |
| CN114781322B (zh) | Cpu芯片仿真加速中针对无mmu环境的内存状态恢复方法 | |
| CN114205156A (zh) | 面向切面技术的报文检测方法、装置、电子设备及介质 | |
| CN115510508A (zh) | 页面信息的防护方法、装置及电子设备 | |
| CN111862052B (zh) | 检测缝隙的方法、装置、设备及介质 | |
| CN112000491B (zh) | 一种应用程序接口调用方法、装置、设备和存储介质 | |
| CN114528509A (zh) | 一种页面显示处理方法、装置、电子设备及存储介质 | |
| CN114356475A (zh) | 一种显示处理方法、装置、设备及存储介质 | |
| CN109740303B (zh) | 一种使用外部sdk时提升安全性的方法 | |
| CN109241787B (zh) | 图像输入设备的调用检测方法、设备及计算机可读存储介质 | |
| CN112748930A (zh) | 编译检测方法、装置、设备及存储介质 | |
| CN115374074A (zh) | 日志处理方法、装置、存储介质及电子设备 | |
| CN109977669B (zh) | 病毒识别方法、装置和计算机设备 | |
| CN112364268A (zh) | 资源获取方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |