CN112434287B - 一种检测Hook的方法、装置、设备及存储介质 - Google Patents
一种检测Hook的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112434287B CN112434287B CN202011311855.8A CN202011311855A CN112434287B CN 112434287 B CN112434287 B CN 112434287B CN 202011311855 A CN202011311855 A CN 202011311855A CN 112434287 B CN112434287 B CN 112434287B
- Authority
- CN
- China
- Prior art keywords
- loader
- hook
- class
- loaders
- detecting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000001514 detection method Methods 0.000 claims abstract description 36
- 238000005516 engineering process Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 241000565357 Fraxinus nigra Species 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本公开提供一种检测Hook的方法、装置、设备及存储介质,涉及移动终端技术领域,能够解决现有技术中的检测方法不能完全检测出应用程序是否受到Hook攻击的问题。具体技术方案为:首先获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;将加载器进行遍历,检测是否存在Hook框架特征;若是,则确定当前应用受到Hook攻击。本公开用于检测Hook。
Description
技术领域
本公开涉及移动终端技术领域,尤其涉及一种检测Hook的方法、装置、设备及存储介质。
背景技术
目前Android应用在日常生活中已经渗透到各种场景,很多企业的网络流量和业务重心也逐渐偏向移动终端。Andorid应用不但方便了用户,也为企业带来了很多业务场景和市场机会。但Android应用的安全风险也不容忽视:市场推广活动可能被黑灰产“薅羊毛”,一夜之间造成巨额损失;VIP付费资源被破解;Android应用网络数据被篡改导致服务器被攻击等等。在这些安全事件中,攻击者常常使用Hook技术(例如xposed、virtualxposed、太极等)来对Android应用进行逆向分析、篡改或双开,从而突破应用限制或篡改程序逻辑达到攻击目的。当然很多企业安全部门也开始针对这些Hook技术进行检测,一旦发现运行环境中存在Hook,则会认为运行环境不安全,可能采取提醒用户或直接退出应用的措施来进行保护。
现有技术中,一般通过加载特定类、检测是否存在特征文件、检测是否安装特定应用、检测异常堆栈、检测maps文件中是否存在特征文件名等方式来检测应用程序是否受到Hook的攻击。但是这些检测方法还存在明显的缺点,以xposed框架为例:
通过修改xposed的相关特征字符串即可绕过以上检测方法,使其无法检测出来。因为xposed是开源的,可以根据以上检测点的特征,修改相关字符串,比如把“xposed”相关类名、文件名完全替换成其他字符串,然后再编译生成一个完全没有“xposed”字符串相关特征的定制版Hook工具,即可完全绕过以上检测方法。
发明内容
本公开实施例提供一种检测Hook的方法、装置、设备及存储介质,能够解决现有技术中的检测方法不能完全检测出应用程序是否受到Hook攻击的问题。所述技术方案如下:
根据本公开实施例的第一方面,提供一种检测Hook的方法,该方法包括:
获取当前应用中当前类的所有加载器,所述加载器包括类加载器和父类加载器;
将所述加载器进行遍历,检测是否存在Hook框架特征;
若是,则确定所述当前应用受到Hook攻击。
本公开实施例提供的检测Hook的方法,首先获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;将加载器进行遍历,检测是否存在Hook框架特征;若是,则确定当前应用受到Hook攻击。本公开通过相对底层的类加载器及其父类加载器的信息,来针对Hook技术进行检测,使得通过修改相关特征字符串无法绕过,使Hook检测更准确。即使把比如“xposed”相关类名、文件名完全替换成其他字符串,编译生成一个完全没有“xposed”字符串相关特征的定制版Hook工具,使用本方法仍然可以检测得到。
在一个实施例中,获取当前应用中当前类的所有加载器包括:
获取当前应用中当前类的类加载器;
获取所述类加载器的父类加载器,以及根据加载器树结构获取所述父类加载器对应的目标父类加载器,直至所述目标父类加载器为空。
本公开实施例通过上述方法,能够获取所有类加载器以及父类加载器,有利于后续对类加载器以及父类加载器的信息进行检测。
在一个实施例中,检测是否存在Hook框架特征包括:
检测所述加载器的数量是否超过预设阈值。
在一个实施例中,检测是否存在Hook框架特征包括:
检测所述加载器中是否存在特征字符串,所述特征字符串用于指示所述加载器中包含所述当前应用自身加载以外的字符串。
根据本公开实施例的第二方面,提供一种检测Hook的装置,包括:获取模块、检测模块和确定模块;
所述获取模块,用于获取当前应用中当前类的所有加载器,所述加载器包括类加载器和父类加载器;
所述检测模块,用于将所述加载器进行遍历,检测是否存在Hook框架特征;
所述确定模块,用于在所述检测模块的检测结果为是时,确定所述当前应用受到Hook攻击。
本公开实施例提供的装置,包括获取模块、检测模块和确定模块;获取模块获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;检测模块将加载器进行遍历,检测是否存在Hook框架特征;确定模块在检测模块的检测结果为是时,确定当前应用受到Hook攻击。本公开通过相对底层的类加载器及其父类加载器的信息,来针对Hook技术进行检测,使得通过修改相关特征字符串无法绕过,使Hook检测更准确。即使把比如“xposed”相关类名、文件名完全替换成其他字符串,编译生成一个完全没有“xposed”字符串相关特征的定制版Hook工具,使用本方法仍然可以检测得到。
在一个实施例中,获取模块,具体用于获取当前应用中当前类的类加载器;获取所述类加载器的父类加载器,以及根据加载器树结构获取所述父类加载器对应的目标父类加载器,直至所述目标父类加载器为空。
本公开实施例通过上述设置,能够获取所有类加载器以及父类加载器,有利于后续对类加载器以及父类加载器的信息进行检测。
在一个实施例中,检测模块,具体用于检测所述加载器的数量是否超过预设阈值。
在一个实施例中,检测模块,还具体用于检测所述加载器中是否存在特征字符串,所述特征字符串用于指示所述加载器中包含所述当前应用自身加载以外的字符串。
根据本公开实施例的第三方面,提供一种检测Hook的设备,所述检测Hook的设备包括处理器和存储器,所述存储器中存储有至少一条计算机指令,所述指令由所述处理器加载并执行以实现上述任一项所述的检测Hook的方法中所执行的步骤。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,所述存储介质中存储有至少一条计算机指令,所述指令由处理器加载并执行以实现上述任一项所述的检测Hook的方法中所执行的步骤。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是本公开实施例提供的一种检测Hook的方法的流程图;
图2是本公开实施例提供的一种检测Hook的方法的流程图;
图3是本公开实施例提供的获取类加载器和父类加载的示例代码图;
图4是本公开实施例提供的一种检测Hook的装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例提供一种检测Hook的方法,如图1所示,该检测Hook的方法包括以下步骤:
步骤101、获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;
实际使用中,当前应用指Android应用。
在一个实施例中,获取当前应用中当前类的所有加载器包括:
获取当前应用中当前类的类加载器;
获取类加载器的父类加载器,以及根据加载器树结构获取父类加载器对应的目标父类加载器,直至目标父类加载器为空。
具体的,首先获取当前应用中当前类的类加载器(ClassLoader)A,并保存到列表L中;然后获取类加载器A的父类加载器B,并保存到列表L中;再获取父类加载器B的父类加载器C,并保存到列表L中;再获取父类加载器C的父类加载器D,并保存到列表L中;直到父类加载器为空对象,此时说明父类加载器已全部获取。
本公开实施例通过上述方法,能够获取所有类加载器以及父类加载器,有利于后续对类加载器以及父类加载器的信息进行检测。
步骤102、将加载器进行遍历,检测是否存在Hook框架特征;
在一个实施例中,检测是否存在Hook框架特征包括:
检测加载器的数量是否超过预设阈值。
实际使用中,xposed Hook后类加载器通常比正常Android应用多一个父类加载器,因此,本公开可以通过检测加载器的数量是否超过预设阈值来判断Android应用是否受到Hook攻击。
在一个实施例中,检测是否存在Hook框架特征包括:
检测加载器中是否存在特征字符串,特征字符串用于指示加载器中包含当前应用自身加载以外的字符串。
具体的,检测加载器中的zip file字符串是否包含路径“/data/user/0/”;检测加载器中的Dex file的字符串是否包含字符串“/data/dalvik-cache/”;检测加载器中的NativeLibraryDirectories字符串是否包含路径“/system/fake-libs”和/或“/data/user/0/”。
实际使用中,接上例,首先遍历列表L,获取L中的每一个元素D,需要说明的是,D可以是类加载器,也可以是父类加载器;然后检测列表L中的元素数是否超过预期元素数量,如果超过,则说明存在Hook框架。具体的,元素D中包括1个DexPathList对象,DexPathList对象中又包含Element数组和NativeLibraryElement数组;其中,Element对象中包括一个zip file字符串和一个dex file字符串;NativeLibraryElement对象中包括一个nativeLibraryDirector-ies字符串。分析D的属性是否包含以下特征:
a.检测zip file字符串是否包含除应用自身加载的apk路径字符串。应用自身加载的apk路径固定为:“data/app/”,而VirtualXposed中加载apk的路径为“/data/user/0/”。
b.检测dex file字符串是否包含除应用自身加载的dex路径字符串。应用自身加载的dex路径开发者是已知的,而使用Xposed Hook之后,还会加载两个xposed的dex文件:“/data/dalvik-cache/xposed_XResourcesSuperClass.dex"、"/data/dalvik-cache/xposed_XTypedArraySuperClass.dex"”,因此可以检测dex路径是否包含字符串“/data/dalvik-cache/”。
c.检测nativeLibraryDirectories字符串中是否包含非正常路径字符串。使用virtualXposed、太极进行Hook后,该路径字符串中会包含“/system/fake-libs”、“/data/user/0/”等。
以上a、b、c三个检测点有任何一个检测到,则说明存在Hook框架。
步骤103、若是,则确定当前应用受到Hook攻击。
本公开实施例提供的检测Hook的方法,首先获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;将加载器进行遍历,检测是否存在Hook框架特征;若是,则确定当前应用受到Hook攻击。本公开通过相对底层的类加载器及其父类加载器的信息,来针对Hook技术进行检测,使得通过修改相关特征字符串无法绕过,使Hook检测更准确。即使把比如“xposed”相关类名、文件名完全替换成其他字符串,编译生成一个完全没有“xposed”字符串相关特征的定制版Hook工具,使用本方法仍然可以检测得到。
基于上述图1对应的实施例提供的检测Hook的方法,本公开另一实施例提供一种检测Hook的方法,如图2所示。
步骤201:获取当前类的所有类加载器和父类加载器,保存到列表L中。
图3为本公开实施例提供的获取类加载器和父类加载的示例代码图。具体步骤如下:
步骤2011:获取应用中当前类的类加载器(ClassLoader)A,并保存到列表L中。
步骤2012:获取类加载器A的父类加载器B,并保存到列表L中。
步骤2013:然后循环获取父类加载器B的父类加载器并保存到列表L中,直到父类加载器为空对象。
步骤202:对列表L中的所有类加载器进行遍历,检测是否存在Hook框架特征。
具体步骤如下:
步骤2021:遍历列表L,获取L中每一个元素D(D是类加载器或父类加载器)。
步骤2022:列表L中的元素数是否超过预期元素数量,如果超过,则说明存在Hook框架。
步骤2023:D是一个ClassLoader对象,该对象中包括1个DexPathList对象,DexPathList对象中又包含Element数组和NativeLibraryElement数组;Element对象中包括一个zip file字符串和一个dex file字符串;NativeLibraryElement对象中包括一个nativeLibraryDirectories字符串。分析D的属性是否包含以下特征:
a.检测zip file字符串是否包含除应用自身加载的apk路径字符串。应用自身加载的apk路径固定为:“data/app/”,而VirtualXposed中加载apk的路径为“/data/user/0/”。
b.检测dex file字符串是否包含除应用自身加载的dex路径字符串。应用自身加载的dex路径开发者是已知的,而使用Xposed Hook之后,还会加载两个xposed的dex文件:“/data/dalvik-cache/xposed_XResourcesSuperClass.dex"、"/data/dalvik-cache/xposed_XTypedArraySuperClass.dex"”,因此可以检测dex路径是否包含字符串“/data/dalvik-cache/”。
c.检测nativeLibraryDirectories字符串中是否包含非正常路径字符串。使用virtualXposed、太极进行Hook后,该路径字符串中会包含“/system/fake-libs”、“/data/user/0/”等。
以上a、b、c三个检测点有任何一个检测到,则说明存在Hook框架。
基于上述图1和图2对应的实施例中所描述的检测Hook的方法,下述为本公开装置实施例,可以用于执行本公开方法实施例。
本公开实施例提供一种装置,如图4所示,该装置30包括获取模块301、检测模块302和确定模块303;
获取模块301,用于获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;
检测模块302,用于将加载器进行遍历,检测是否存在Hook框架特征;
确定模块303,用于在检测模块302的检测结果为是时,确定当前应用受到Hook攻击。
本公开实施例提供的装置,包括获取模块301、检测模块302和确定模块303;获取模块301获取当前应用中当前类的所有加载器,加载器包括类加载器和父类加载器;检测模块302将加载器进行遍历,检测是否存在Hook框架特征;确定模块303在检测模块302的检测结果为是时,确定当前应用受到Hook攻击。本公开通过相对底层的类加载器及其父类加载器的信息,来针对Hook技术进行检测,使得通过修改相关特征字符串无法绕过,使Hook检测更准确。即使把比如“xposed”相关类名、文件名完全替换成其他字符串,编译生成一个完全没有“xposed”字符串相关特征的定制版Hook工具,使用本方法仍然可以检测得到。
在一个实施例中,获取模块301,具体用于获取当前应用中当前类的类加载器;获取类加载器的父类加载器,以及根据加载器树结构获取父类加载器对应的目标父类加载器,直至目标父类加载器为空。
本公开实施例通过上述设置,能够获取所有类加载器以及父类加载器,有利于后续对类加载器以及父类加载器的信息进行检测。
在一个实施例中,检测模块302,具体用于检测加载器的数量是否超过预设阈值。
在一个实施例中,检测模块302,还具体用于检测加载器中是否存在特征字符串,特征字符串用于指示加载器中包含当前应用自身加载以外的字符串。
具体的,检测加载器中的zip file字符串是否包含路径“/data/user/0/”;
检测加载器中的Dex file的字符串是否包含字符串“/data/dalvik-cache/”;或,
检测加载器中的NativeLibraryDirectories字符串是否包含路径“/system/fake-libs”和/或“/data/user/0/”。
基于上述图1和图2对应的实施例中描述的检测Hook的方法,本公开另一实施例还提供一种检测Hook的设备,该检测Hook的设备包括处理器和存储器,存储器中存储有至少一条计算机指令,该指令由处理器加载并执行以实现上述图1和图2对应的实施例中所描述的检测Hook的方法。
基于上述图1和图2对应的实施例中所描述的检测Hook的方法,本公开实施例还提供一种计算机可读存储介质,例如,非临时性计算机可读存储介质可以是只读存储器(英文:Read Only Memory,ROM)、随机存取存储器(英文:Random Access Memory,RAM)、CD-ROM、磁带、软盘和光数据存储装置等。该存储介质上存储有至少一条计算机指令,用于执行上述图1和图2对应的实施例中所描述的检测Hook的方法,此处不再赘述。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (6)
1.一种检测Hook的方法,其特征在于,所述方法包括:
获取当前应用中当前类的所有加载器,所述加载器包括类加载器和父类加载器;
将所述加载器进行遍历,检测是否存在Hook框架特征;
若是,则确定所述当前应用受到Hook攻击;
所述检测是否存在Hook框架特征包括:检测所述加载器的数量是否超过预设阈值;或,检测所述加载器中是否存在特征字符串,所述特征字符串用于指示所述加载器中包含所述当前应用自身加载以外的字符串。
2.根据权利要求1所述的检测Hook的方法,其特征在于,所述获取当前应用中当前类的所有加载器包括:
获取当前应用中当前类的类加载器;
获取所述类加载器的父类加载器,以及根据加载器树结构获取所述父类加载器对应的目标父类加载器,直至所述目标父类加载器为空。
3.一种检测Hook的装置,其特征在于,包括:获取模块、检测模块和确定模块;
所述获取模块,用于获取当前应用中当前类的所有加载器,所述加载器包括类加载器和父类加载器;
所述检测模块,用于将所述加载器进行遍历,检测是否存在Hook框架特征;
所述确定模块,用于在所述检测模块的检测结果为是时,确定所述当前应用受到Hook攻击;
所述检测模块,具体用于检测所述加载器的数量是否超过预设阈值;或,检测所述加载器中是否存在特征字符串,所述特征字符串用于指示所述加载器中包含所述当前应用自身加载以外的字符串。
4.根据权利要求3所述的检测Hook的装置,其特征在于,所述获取模块,具体用于获取当前应用中当前类的类加载器;获取所述类加载器的父类加载器,以及根据加载器树结构获取所述父类加载器对应的目标父类加载器,直至所述目标父类加载器为空。
5.一种检测Hook的设备,其特征在于,所述检测Hook的设备包括处理器和存储器,所述存储器中存储有至少一条计算机指令,所述指令由所述处理器加载并执行以实现权利要求1至权利要求2任一项所述的检测Hook的方法中所执行的步骤。
6.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条计算机指令,所述指令由处理器加载并执行以实现权利要求1至权利要求2任一项所述的检测Hook的方法中所执行的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011311855.8A CN112434287B (zh) | 2020-11-20 | 2020-11-20 | 一种检测Hook的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011311855.8A CN112434287B (zh) | 2020-11-20 | 2020-11-20 | 一种检测Hook的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112434287A CN112434287A (zh) | 2021-03-02 |
| CN112434287B true CN112434287B (zh) | 2024-04-02 |
Family
ID=74693272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011311855.8A Active CN112434287B (zh) | 2020-11-20 | 2020-11-20 | 一种检测Hook的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112434287B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113238946A (zh) * | 2021-05-18 | 2021-08-10 | 北京达佳互联信息技术有限公司 | 检测hook框架的方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1826813A (zh) * | 2003-07-24 | 2006-08-30 | 皇家飞利浦电子股份有限公司 | 处理广播中的特征可用性 |
| CN104700026A (zh) * | 2013-12-05 | 2015-06-10 | 迈克菲股份有限公司 | 基于java字节码插桩和java方法挂钩检测java沙箱逃逸攻击 |
| EP3306510A1 (en) * | 2016-05-10 | 2018-04-11 | Huawei Technologies Co., Ltd. | Threat detection method and apparatus, and network system |
| CN109711149A (zh) * | 2017-10-25 | 2019-05-03 | 武汉安天信息技术有限责任公司 | 动态更新机制判定方法及应用全生命周期行为监控方法 |
| CN109814948A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 基于xposed框架对native层函数进行hook的方法、装置及电子装置 |
| CN109871681A (zh) * | 2019-02-28 | 2019-06-11 | 天津大学 | 基于混合分析面向动态代码加载安卓恶意软件检测方法 |
| CN110348213A (zh) * | 2019-07-15 | 2019-10-18 | 北京智游网安科技有限公司 | 一种Hook攻击检测方法、存储介质及移动终端 |
| CN110532774A (zh) * | 2019-07-24 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 钩子检查方法、装置、服务器及可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7039644B2 (en) * | 2002-09-17 | 2006-05-02 | International Business Machines Corporation | Problem determination method, system and program product |
| US20040153996A1 (en) * | 2003-01-30 | 2004-08-05 | International Business Machines Corporation | Method and system for determining the defining classLoader of a Java class as it is being defined |
| US10776491B2 (en) * | 2017-07-05 | 2020-09-15 | Electronics And Telecommunications Research Institute | Apparatus and method for collecting audit trail in virtual machine boot process |
-
2020
- 2020-11-20 CN CN202011311855.8A patent/CN112434287B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1826813A (zh) * | 2003-07-24 | 2006-08-30 | 皇家飞利浦电子股份有限公司 | 处理广播中的特征可用性 |
| CN104700026A (zh) * | 2013-12-05 | 2015-06-10 | 迈克菲股份有限公司 | 基于java字节码插桩和java方法挂钩检测java沙箱逃逸攻击 |
| EP3306510A1 (en) * | 2016-05-10 | 2018-04-11 | Huawei Technologies Co., Ltd. | Threat detection method and apparatus, and network system |
| CN109711149A (zh) * | 2017-10-25 | 2019-05-03 | 武汉安天信息技术有限责任公司 | 动态更新机制判定方法及应用全生命周期行为监控方法 |
| CN109814948A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 基于xposed框架对native层函数进行hook的方法、装置及电子装置 |
| CN109871681A (zh) * | 2019-02-28 | 2019-06-11 | 天津大学 | 基于混合分析面向动态代码加载安卓恶意软件检测方法 |
| CN110348213A (zh) * | 2019-07-15 | 2019-10-18 | 北京智游网安科技有限公司 | 一种Hook攻击检测方法、存储介质及移动终端 |
| CN110532774A (zh) * | 2019-07-24 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 钩子检查方法、装置、服务器及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种利用程序行为分析的rootkit异常检测方法;潘剑锋;《中国科学技术大学学报》;20100815;第40卷(第8期);863-869 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112434287A (zh) | 2021-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103186740B (zh) | 一种Android恶意软件的自动化检测方法 | |
| CN103562923B (zh) | 应用程序安全测试 | |
| CN106294134B (zh) | 代码的崩溃定位方法及装置 | |
| CN105956468B (zh) | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 | |
| KR100968126B1 (ko) | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 | |
| CN103198243B (zh) | 一种识别山寨应用程序的方法和装置 | |
| CN104268473B (zh) | 应用程序检测方法和装置 | |
| CN111767226B (zh) | 一种云计算平台资源的测试方法、系统及设备 | |
| CN104537310B (zh) | 移动存储设备的管理方法及客户端 | |
| CN106228067A (zh) | 恶意代码动态检测方法及装置 | |
| CN113221194B (zh) | 篡改网页混合检测技术 | |
| CN112434287B (zh) | 一种检测Hook的方法、装置、设备及存储介质 | |
| US10296743B2 (en) | Method and device for constructing APK virus signature database and APK virus detection system | |
| CN107103243B (zh) | 漏洞的检测方法及装置 | |
| US8601594B2 (en) | Automatically classifying an input from field with respect to sensitivity of information it is designed to hold | |
| CN112257058A (zh) | 一种操作系统可信计算校验方法及系统 | |
| CN110070360B (zh) | 一种事务请求处理方法、装置、设备及存储介质 | |
| CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
| CN105183799B (zh) | 一种权限管理的方法及客户端 | |
| CN111090857A (zh) | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 | |
| CN112257037A (zh) | 一种进程水印方法、系统及电子设备 | |
| KR20100125116A (ko) | 파일에 대한 무결성 검증 방법 및 시스템 | |
| JP5828457B2 (ja) | Api実行制御装置およびプログラム | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| JP2022553498A (ja) | イベント・ログの改竄耐性 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |