CN111353149A - 一种安卓系统的root权限实时检测方法及装置 - Google Patents
一种安卓系统的root权限实时检测方法及装置 Download PDFInfo
- Publication number
- CN111353149A CN111353149A CN202010104465.7A CN202010104465A CN111353149A CN 111353149 A CN111353149 A CN 111353149A CN 202010104465 A CN202010104465 A CN 202010104465A CN 111353149 A CN111353149 A CN 111353149A
- Authority
- CN
- China
- Prior art keywords
- application
- root
- authority
- verification
- added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 27
- 238000012795 verification Methods 0.000 claims abstract description 50
- 238000000034 method Methods 0.000 claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims abstract description 5
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 5
- 230000037430 deletion Effects 0.000 claims description 5
- 238000011897 real-time detection Methods 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000001915 proofreading effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及系统安全技术领域,具体涉及一种安卓系统的ROOT权限实时检测方法及装置,首先将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;当系统启动时,定时检测系统被恶意ROOT;当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机,本发明可减少系统被ROOT风险和损失。
Description
技术领域
本发明涉及系统安全技术领域,具体涉及一种安卓系统的ROOT权限实时检测方法及装置。
背景技术
随着安卓系统不断的更新优化,更多的智能设备嵌入安卓系统。同时,由于安卓生态的开源、开放属性,也有很多恶意软件试图利用系统漏洞获取ROOT权限,从而篡改窃取系统数据以及用户数据,这对设备安全构成巨大威胁。目前,Google官方会定时根据测试和反馈发布内核补丁,各个设备厂家导入补丁修复已知漏洞来降低被ROOT的风险。同时开启分区校验,保证关键分区数据不被篡改,然而目前的技术方案仍然存在一些问题:
(1)由于安卓版本众多,对于版本较低的版本,Google已经停止更新维护,导致深层次的系统漏洞无法从根源上修复。
(2)分区校验该方式不是实时检查,仅存在于设备初始化进程中,对于机器运行时被攻击是无法做出预防隔离。
(3)机器被ROOT后无法及时作出保护。
发明内容
本发明目的在于提供一种安卓系统的ROOT权限实时检测方法及装置,以解决现有技术中所存在的一个或多个技术问题,至少提供一种有益的选择或创造条件。
为了实现上述目的,本发明提供以下技术方案:
一种安卓系统的ROOT权限实时检测方法,包括:
将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;
当系统启动时,定时检测系统被恶意ROOT;
当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
进一步,所述方法还包括:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
进一步,所述通过进行句柄验证,拒绝su应用被恶意ROOT应用调用,具体为:
恶意ROOT应用向厂家服务器端发送关键字验证,当关键字验证失败后,拒绝恶意ROOT应用调用su应用的请求。
进一步,所述系统文件目录以及系统文件增加、删除或添加,具体通过以下方式检测:
比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
进一步,所述su应用的权限通过调用ls工具查看。
一种安卓系统的ROOT权限实时检测装置,包括:
权限管理应用改造模块,用于将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;
守护进程检测模块,用于当系统启动时,定时检测系统被恶意ROOT;
ROOT检测模块,用于当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
进一步,所述装置还包括句柄验证模块,所述句柄验证模块具体用于:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
进一步,所述句柄验证模块中,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用,具体为:
恶意ROOT应用向厂家服务器端发送关键字验证,当关键字验证失败后,拒绝恶意ROOT应用调用su应用的请求。
进一步,所述ROOT检测模块中,系统文件目录以及系统文件增加、删除或添加,具体通过以下方式检测:
比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
进一步,所述su应用的权限通过调用ls工具查看。
本发明的有益效果是:本发明公开一种安卓系统的ROOT权限实时检测方法及装置,首先将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;当系统启动时,定时检测系统被恶意ROOT;当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。本发明可减少系统被ROOT风险和损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一种安卓系统的ROOT权限实时检测方法的流程示意图;
图2是本发明实施例一种安卓系统的ROOT权限实时检测装置的结构示意图。
具体实施方式
以下将结合实施例和附图对本公开的构思、具体结构及产生的技术效果进行清楚、完整的描述,以充分地理解本公开的目的、方案和效果。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
参考图1,如图1所示为一种安卓系统的ROOT权限实时检测方法,包括以下步骤:
步骤S100、将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据。
本步骤为权限管理应用改造阶段,权限归属还是属于系统,但是修改成普通用户不可以调用,普通应用不可读不可写,不可执行;普通应用指的是第三方应用(用户可以自由调用,删改),安卓的内置应用,系统应用,系统服务都可以拥有系统权限,这些都可以调用。通过文件权限改造,可以有效防止第三方应用调用权限管理应用获取系统权限。
步骤S200、当系统启动时,定时检测系统被恶意ROOT。
步骤S300、当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
本实施例首先将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据,可以有效防止普通应用调用权限管理应用获取系统权限。当系统启动时,定时检测系统被恶意ROOT,从而在设备使用过程中可进行ROOT检测。通过系统文件目录以及系统文件增加、删除或添加检测,可以预知系统文件是否有变更;通过读取su应用权限来检测权限是否有篡改的情况;通过MD5校对,可以准确地判别su应用文件是否被篡改。当系统被恶意ROOT后进行异常提示并锁机,减少由于被ROOT带来的损失。本发明提供的实施例可以减少没有及时同步Google安全补丁带来的安全隐患。提高系统检测的实时性。加强对su应用的管理,减少系统被ROOT风险和损失。
在一个改进的实施例中,所述方法还包括:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
本实施例中,在su应用入口加入控制句柄,可以防止本地的su应用被调用,控制句柄是为了保证内部进程可以调用,第三方应用不能调用su应用;例如,A应用作为一个第三方应用,本不需要跟厂家去做校验或者发起调用申请,但当A应用攻击系统后,则理解为恶意ROOT应用。A应用攻击系统后,系统崩溃,可以进入系统修改su应用的权限为其可以调用的权限,此时,A应用需要向厂家服务器进行句柄验证。在一个具体实例中,通过关键字管控进行句柄验证,关键字为厂家预先设置好的,关键字验证是向su应用程序写入关键字来做校验;当A应用向厂家服务器端发送关键字验证时,由于不能通过关键字验证,则无法调用su应用,可见,当恶意ROOT应用进入操作系统修改su应用权限时,通过句柄可以防止本地的su应用被恶意ROOT应用调用,本实施例通过添加设定句柄控制su应用入口,加强su应用的管理,减少被ROOT风险。
在一个优选的实施例中,所述步骤S300中,检测系统文件目录以及系统文件是否有增加、删除或添加,具体为:比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
在一个优选的实施例中,所述su应用的权限通过调用ls工具查看。
其中,ls工具为linux内部的一个文件权限查看工具,典型的命令函数为:lssu–al。
参考图2,本公开提供的实施例还包括一种安卓系统的ROOT权限实时检测装置,包括:
权限管理应用改造模块100,用于将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;
守护进程检测模块200,用于当系统启动时,定时检测系统被恶意ROOT;
ROOT检测模块300,用于当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
本实施例中,守护进程检测模块200随系统一起启动,定时调用ROOT检测模块300来检测系统情况,若系统被恶意ROOT该进程会进行异常提示并锁机,防止机器被ROOT后造成损失。
在一个改进的实施例中,所述装置还包括句柄验证模块,所述句柄验证模块具体用于:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
在一个优选的实施例中,所述句柄验证模块中,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用,具体为:
恶意ROOT应用向厂家服务器端发送关键字验证,当关键字验证失败后,拒绝恶意ROOT应用调用su应用的请求。
在一个优选的实施例中,所述ROOT检测模块300中,系统文件目录以及系统文件增加、删除或添加,具体通过以下方式检测:
比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
在一个优选的实施例中,所述su应用的权限通过调用ls工具查看。
与现有技术相比,本发明实施例中提供的一种安卓系统的ROOT权限实时检测装置的有益效果与实施例中提供的一种安卓系统的ROOT权限实时检测方法的有益效果相同,在此不做赘述。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,人脸识别终端、手持终端,或者网络设备等)执行本发明各个实施例所述的方法。
尽管本公开的描述已经相当详尽且特别对几个所述实施例进行了描述,但其并非旨在局限于任何这些细节或实施例或任何特殊实施例,而是应当将其视作是通过参考所附权利要求,考虑到现有技术为这些权利要求提供广义的可能性解释,从而有效地涵盖本公开的预定范围。此外,上文以发明人可预见的实施例对本公开进行描述,其目的是为了提供有用的描述,而那些目前尚未预见的对本公开的非实质性改动仍可代表本公开的等效改动。
Claims (10)
1.一种安卓系统的ROOT权限实时检测方法,其特征在于,包括:
将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;
当系统启动时,定时检测系统被恶意ROOT;
当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
2.根据权利要求1所述的一种安卓系统的ROOT权限实时检测方法,其特征在于,还包括:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
3.根据权利要求2所述的一种安卓系统的ROOT权限实时检测方法,其特征在于,所述通过进行句柄验证,拒绝su应用被恶意ROOT应用调用,具体为:
恶意ROOT应用向厂家服务器端发送关键字验证,当关键字验证失败后,拒绝恶意ROOT应用调用su应用的请求。
4.根据权利要求1所述的一种安卓系统的ROOT权限实时检测方法,其特征在于,所述系统文件目录以及系统文件增加、删除或添加,具体通过以下方式检测:
比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
5.根据权利要求1所述的一种安卓系统的ROOT权限实时检测方法,其特征在于,所述su应用的权限通过调用ls工具查看。
6.一种安卓系统的ROOT权限实时检测装置,其特征在于,包括:
权限管理应用改造模块,用于将su应用的权限设置为:禁止用户调用,禁止第三方应用被读写和执行,并在编译su应用时进行MD5计算得到校验数据;
守护进程检测模块,用于当系统启动时,定时检测系统被恶意ROOT;
ROOT检测模块,用于当系统文件目录以及系统文件增加、删除或添加时,或su应用的权限有被篡改时,或权限管理应用的文件MD5和校验数据不一致时,进行异常提示并锁机。
7.根据权利要求6所述的一种安卓系统的ROOT权限实时检测装置,其特征在于,还包括句柄验证模块,所述句柄验证模块具体用于:
对su应用添加句柄,当恶意ROOT应用进入操作系统修改su应用的权限时,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用。
8.根据权利要求7所述的一种安卓系统的ROOT权限实时检测装置,其特征在于,所述句柄验证模块中,通过进行句柄验证,拒绝su应用被恶意ROOT应用调用,具体为:
恶意ROOT应用向厂家服务器端发送关键字验证,当关键字验证失败后,拒绝恶意ROOT应用调用su应用的请求。
9.根据权利要求6所述的一种安卓系统的ROOT权限实时检测装置,其特征在于,所述ROOT检测模块中,系统文件目录以及系统文件增加、删除或添加,具体通过以下方式检测:
比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。
10.根据权利要求6所述的一种安卓系统的ROOT权限实时检测装置,其特征在于,所述su应用的权限通过调用ls工具查看。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010104465.7A CN111353149A (zh) | 2020-02-20 | 2020-02-20 | 一种安卓系统的root权限实时检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010104465.7A CN111353149A (zh) | 2020-02-20 | 2020-02-20 | 一种安卓系统的root权限实时检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111353149A true CN111353149A (zh) | 2020-06-30 |
Family
ID=71197029
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010104465.7A Pending CN111353149A (zh) | 2020-02-20 | 2020-02-20 | 一种安卓系统的root权限实时检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111353149A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
| CN106203125A (zh) * | 2016-07-11 | 2016-12-07 | 北京小米移动软件有限公司 | 操作系统及其安全检测方法、安全检测装置和终端 |
| US20160366126A1 (en) * | 2015-06-15 | 2016-12-15 | Google Inc. | Screen-analysis based device security |
| CN106503570A (zh) * | 2016-11-17 | 2017-03-15 | 深圳Tcl数字技术有限公司 | 保护Root权限的方法及装置 |
-
2020
- 2020-02-20 CN CN202010104465.7A patent/CN111353149A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103207969A (zh) * | 2013-04-12 | 2013-07-17 | 百度在线网络技术(北京)有限公司 | 检测Android恶意软件的装置以及方法 |
| US20160366126A1 (en) * | 2015-06-15 | 2016-12-15 | Google Inc. | Screen-analysis based device security |
| CN106203125A (zh) * | 2016-07-11 | 2016-12-07 | 北京小米移动软件有限公司 | 操作系统及其安全检测方法、安全检测装置和终端 |
| CN106503570A (zh) * | 2016-11-17 | 2017-03-15 | 深圳Tcl数字技术有限公司 | 保护Root权限的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
| US7631249B2 (en) | Dynamically determining a buffer-stack overrun | |
| CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
| KR101647487B1 (ko) | 패치파일 분석시스템과 분석방법 | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN109189496B (zh) | 应用程序的动态库信息获取方法及装置 | |
| CN101872400B (zh) | 建立根据计算系统操作请求关联关系判断计算机操作请求安全性的计算机信息安全防护方法 | |
| CN101593259A (zh) | 软件完整性验证方法及系统 | |
| CN111400723A (zh) | 基于tee扩展的操作系统内核强制访问控制方法及系统 | |
| CN113051034B (zh) | 一种基于kprobes的容器访问控制方法与系统 | |
| CN110135151B (zh) | 基于lsm与系统调用拦截相配合的可信计算实现系统及方法 | |
| CN115221524B (zh) | 业务数据保护方法、装置、设备及存储介质 | |
| CN114186239A (zh) | 一种基于路径信息的程序白名单方法及装置 | |
| CN113919004A (zh) | 一种可信计算软件完整性度量系统和方法 | |
| US20230297676A1 (en) | Systems and methods for code injection detection | |
| CN106411814B (zh) | 一种策略管理方法及系统 | |
| CN115310084A (zh) | 一种防篡改的数据保护方法及系统 | |
| CN115840940A (zh) | 一种无文件木马检测方法、系统、介质及设备 | |
| KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
| CN108573153B (zh) | 一种车载操作系统及其使用方法 | |
| US7620983B1 (en) | Behavior profiling | |
| CN113810431A (zh) | 一种基于Hook的交通物联网终端安全检测方法和系统 | |
| KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
| CN111259405A (zh) | 一种基于人工智能的计算机安全系统 | |
| CN111353149A (zh) | 一种安卓系统的root权限实时检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200630 |