WO2013159632A1 - 实现安全防护的方法、防火墙、终端及可读存储介质 - Google Patents
实现安全防护的方法、防火墙、终端及可读存储介质 Download PDFInfo
- Publication number
- WO2013159632A1 WO2013159632A1 PCT/CN2013/073510 CN2013073510W WO2013159632A1 WO 2013159632 A1 WO2013159632 A1 WO 2013159632A1 CN 2013073510 W CN2013073510 W CN 2013073510W WO 2013159632 A1 WO2013159632 A1 WO 2013159632A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- function
- address
- dynamic link
- link library
- target process
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Definitions
- the present invention relates to the field of computers, and in particular, to a method, a firewall, a terminal, and a readable storage medium for implementing security protection. Background technique
- the firewall function is mainly implemented by the iptable/netfilter module in the system kernel.
- the iptable/netfilter module does not exist in earlier versions of Android firmware. Therefore, many vendors have adopted the method of adding the iptable/netfilter module when compiling the ROM (Read-Only Memory) of the mobile phone. In order to enable the mobile phone to implement the firewall function on this basis.
- embodiments of the present invention provide a method, a firewall, a terminal, and a readable storage medium for implementing security protection.
- the technical solution is as follows:
- a method for implementing security protection the method running on a terminal, the method comprising: a firewall injecting a code module including a first function into a target process, where the first function is used Modify the security package information corresponding to the illegal application;
- the firewall triggers the first function to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to execute because the corresponding security package information is modified.
- the target process is a host process of a package management service PackageManagerService
- the security package information is a member variable of the PackageManagerService.
- the firewall injects the code module that includes the first function into the target process, and specifically includes:
- the firewall acquires a second function address A1 of the own process and a base address of the first dynamic link library
- the first dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record the The address of the function currently running by the target process.
- triggering the first function to perform the operation of modifying the security package information corresponding to the illegal application includes:
- the first function is an overwriting of the third function, and the third function is included in the second dynamic link library.
- the method further includes: The firewall registers with the operating system to obtain a local service, and the local service is used to wait for and receive parameters passed by the user.
- a firewall the firewall running on a terminal, where the firewall includes:
- An injection module configured to inject a code module including the first function into the target process, where the first function is used to modify the security package information corresponding to the illegal application;
- the triggering module is configured to trigger the first function to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to execute because the corresponding security package information is modified.
- the target process is a host process of a package management service PackageManagerService
- the security package information is a member variable of the PackageManagerService.
- injection module specifically includes:
- a first address obtaining unit configured to acquire a second function address A1 of the firewall itself process and a base address A2 of the first dynamic link library
- a second address obtaining unit configured to acquire a base address A3 of the first dynamic link library of the target process by viewing a file of the preset path;
- An address modification unit configured to modify a register address of the target process to A4, and cause an address of the dynamic link library called by the second function to point to an address of a code module to which the first function belongs;
- a dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record that the target process is currently running. The address of the function.
- triggering module specifically includes:
- An obtaining unit configured to find a base address of a second dynamic link library currently invoked by the target process, and a redirection table of the second dynamic link library
- a third address obtaining unit configured to obtain, in the redirection table, an address of a third function that needs to be redirected
- a fourth address obtaining unit configured to acquire an address A5 of the first function
- a redirecting unit configured to redirect an address of the third function in the redirection table to A5
- a triggering unit configured to trigger the first function to be transmitted according to a user by calling the third function
- the parameter modifies the operation of the security package information corresponding to the illegal application
- the first function is an overwriting of the third function, and the third function is included in the second dynamic link library.
- firewall further includes:
- a communication module configured to: before the triggering module triggers the first function to modify the security package information corresponding to the illegal application according to the parameter passed by the user, registering with the operating system to obtain a local service, where the local service is used to wait for and receive the user delivery Parameters.
- a terminal comprising:
- One or more programs are stored in the memory and are configured to be executed by one or more processors, the one or more programs including instructions for:
- the first function is triggered to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to be executed because the corresponding security package information is modified.
- the injecting the code module including the first function into the target process includes: acquiring a second function address A1 of the own process and a base address A2 of the first dynamic link library;
- the first dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record the The address of the function currently running by the target process.
- triggering the first function to perform the operation of modifying the security package information corresponding to the illegal application includes:
- the first function is an overwriting of the third function
- the third function is included in the second dynamic link library.
- a readable storage medium characterized in that the readable storage medium stores one or more programs, and the one or more programs are executed by one or more processors to implement a security protection method, The method includes:
- the first function is triggered to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to be executed because the corresponding security package information is modified.
- the injecting the code module including the first function into the target process includes: acquiring a second function address A1 of the own process and a base address A2 of the first dynamic link library;
- the first dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record the The address of the function currently running by the target process.
- triggering the first function to perform the operation of modifying the security package information corresponding to the illegal application includes:
- the first function is an overwriting of the third function, and the third function is included in the second dynamic link library.
- the code module with the function of modifying the security package information is injected into the target process, and the security package information corresponding to the illegal application is modified, so that the illegal application fails due to the modification of the corresponding security package information, so that the terminal is terminated.
- the firewall function can also be implemented without the iptable/netfilter module, and there is no compatibility issue, not limited by the firmware version.
- FIG. 1 is a schematic flowchart of a method for implementing security protection according to Embodiment 1 of the present invention
- FIG. 2 is a schematic flowchart of a method for implementing security protection according to Embodiment 2 of the present invention
- FIG. 4 is a schematic structural diagram of an injection module in a firewall provided in Embodiment 3 of the present invention
- FIG. 5 is a schematic structural diagram of a trigger module in a firewall provided in Embodiment 3 of the present invention
- FIG. 7 is a schematic structural diagram of a terminal provided in Embodiment 3 of the present invention
- FIG. 7 is a schematic structural diagram of a terminal provided in Embodiment 4 of the present invention
- FIG. 8 is a schematic structural diagram of a terminal provided in Embodiment 4 of the present invention. detailed description
- an embodiment of the present invention provides a method for implementing security protection, where the method can be implemented by using a software, and the software is installed in a terminal, where the foregoing method specifically includes the following steps. Step:
- the first function is used to modify the security package information corresponding to the illegal application.
- the first function is triggered to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to be executed because the corresponding security package information is modified.
- This embodiment provides a method for implementing security protection, so that the firewall function can be implemented without the iptable/netfilter module, and there is no compatibility problem, and is not limited by the firmware version.
- This embodiment provides a method for realizing security protection, which is an improvement based on Embodiment 1.
- the following method may be implemented by software, such as firewall software, and the firewall software is installed in the terminal, and the method provided by the present invention is applicable to a Linux-based system.
- the terminal of the Android system is taken as an example, but it is not intended to limit the scope of the present invention.
- the Android system ⁇ is a mobile operating system developed by Linux, but it has a finer security mechanism than Linux.
- apps on the Android system both legitimate and illegal
- the developer of the app needs to pre-apply for itself in the app's profile. For example, read and write system contacts, permissions for networking requests.
- the compiler will package the permission information, configuration files, resource files, and Dex files to form the executable package for the application on the Android system, which can be an APK package (AndroidPackage, Android installation package).
- resource files include text strings, colors, arrays, animations, layouts, images and drawables, audio and other components used;
- the Dex file is the type of executable file on the Android system.
- the parameters (uid, gid, and gids) that are passed from the PackageManagerSerivce to the Zygote, that is, the security package information, determine that the application is started. After the permissions.
- the ActivityManagerService is used to determine the application access rights and manage the application life cycle.
- PackageManagerSerivce is a java layer service started by system_serever during the system startup phase. It is used to manage the APK file and determine what functions can be available after the application is started.
- Zygote is a virtual machine process and an incubator for a virtual machine instance. Whenever the system requests an Android application, Zygote creates a child process to execute the application by deriving commands.
- uid Android system terminal installs an application, it will be assigned a uid, which represents the unique identifier of the application.
- the uid of a normal Android application is allocated from 10000, and below 10000 is the uid of the system process.
- Gid For normal applications, gid is equal to uid. Since the uid and gid of each application are different, both the native layer and the java layer can protect the private data.
- Gids Generated by the framework during the application installation process, related to the specific permissions of the application application.
- This embodiment provides a method for modifying the security package information in the PackageManagerService to make an illegal application run error, to end the illegal application, and implement the function of the firewall.
- the method provided in this embodiment is specifically implemented by a firewall installed in a terminal, where the firewall may include four code modules: an injection module, a control module, a communication module, and a startup module, where the injection module is configured to correspond to the control module.
- the code is injected into the host process system_server of the PackageManagerService, the startup module is used to trigger the startup of the control module, the communication module is used to receive the parameters passed by the user, and the parameters passed by the user are sent to the control module, and the control module is used to modify the PackageManagerService. Member variables.
- a method for implementing security protection specifically includes the following steps:
- the first function is used to modify the security package information corresponding to the illegal application, and the first function has a pre- The logic, that is, the code including the function of modifying the security package information, which is subordinate to the control module, the first function rewrites the function executed by the target process and adds the code having the function of modifying the security package information, the target process Specifically, it is the host process system_server of PackageManagerService.
- control module of the first function is injected into the target process, and the base address of the first dynamic link library is calculated by using the second function and the address of the first dynamic link library that are jointly called by the target process and the firewall itself, so that Pointing the address of the first dynamic link library to the address of the control module, so that the target process can execute the first function in the control module when performing the task.
- lico.so is used as the first
- the dynamic link library the dlopen function is described as an example of a second function, and the dlopen function is a function in lico.so.
- the firewall obtains the address of the dlopen function of its own process addr_my_dlopen and the base address of libc.so addr_my_base;
- the dlopen function is used to open the specified first dynamic link library in the specified mode, which contains the address of the dynamic link library to be opened.
- the control module of the first function is injected into the target process by modifying the register address of the target process to the base address of the second function and passing the second function as an entry.
- step 201-4 is implemented by the ptrace function, and the ptrace function is a function provided by linux with functions of modifying the register address, function address, etc., and the register is used to store the address of the function currently running by the target process.
- the first function should be the rewriting of the third function, and the third function is the second process that the target process needs to call.
- a function in a dynamic link library In order to make the target process inject, after the target process executes the first function, without losing the original function, the first function should be the rewriting of the third function, and the third function is the second process that the target process needs to call.
- a function in a dynamic link library In order to make the target process inject, after the target process executes the first function, without losing the original function, the first function should be the rewriting of the third function, and the third function is the second process that the target process needs to call.
- This process is to replace the execution of the first function when the third function is executed in the target, and trigger the first function to modify the security package information corresponding to the application.
- steps 202-205 can be implemented by the ptrace function.
- the communication module obtains the parameters passed by the user, and specifically includes:
- the firewall registers with the operating system to obtain a local service (for example, named Local Service), and causes the local service host process Firewall_Service to wait for the software interface to connect to receive parameters passed by the user, such as on/off, app_name, and so on.
- a local service for example, named Local Service
- Firewall_Service causes the local service host process Firewall_Service to wait for the software interface to connect to receive parameters passed by the user, such as on/off, app_name, and so on.
- the communication module obtains the parameters passed by the user sent by the FirewalLService, and implements the packet communication through IPC (Inter-Process Communication) of the Android system.
- IPC Inter-Process Communication
- the legitimate application can be modified to limit the permissions of the legitimate application.
- This embodiment provides a method for implementing security protection, so that there is no iptable/netfilter
- the firewall function can also be implemented in the case of a module, and there is no compatibility issue, and is not limited by the firmware version.
- this embodiment provides a firewall, where the firewall includes:
- the injection module 301 is configured to inject a code module containing the first function into the target process, where the first function is used to modify the security package information corresponding to the illegal application;
- the triggering module 302 is configured to trigger the first function to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to execute because the corresponding security package information is modified.
- the target process is a host process of the package management service PackageManagerService
- the security package information is a member variable of the PackageManagerService.
- the injection module 301 specifically includes:
- the first address obtaining unit 3011 is configured to obtain a second function address A1 of the firewall itself process and a base address A2 of the first dynamic link library;
- the second address obtaining unit 3012 is configured to obtain a base address A3 of the first dynamic link library of the target process by viewing the file of the preset path;
- the address modification unit 3014 is configured to modify the register address of the target process to A4, and cause the address of the dynamic link library called by the second function to point to the address of the code module of the first function; wherein, the first dynamic link library is The dynamic link library called by the firewall itself and the target process, the second function is located in the first dynamic link library, and the register is used to record the address of the function currently running by the target process.
- the triggering module 302 specifically includes:
- the obtaining unit 3021 is configured to search for a base address of the second dynamic link library currently invoked by the target process and a redirection table of the second dynamic link library;
- the third address obtaining unit 3022 is configured to obtain, in the redirection table, an address of a third function that needs to be redirected;
- the fourth address obtaining unit 3023 is configured to obtain an address A5 of the first function
- Redirecting unit 3024 configured to redirect the address of the third function in the redirection table to A5;
- the triggering unit 3025 is configured to trigger an operation of modifying, by using a third function, the first function to modify the security package information corresponding to the illegal application according to the parameter passed by the user;
- the first function is an overwrite of the third function
- the third function is included in the second dynamic link library.
- the foregoing firewall further includes:
- the communication module 303 is configured to: before the triggering module 302 triggers the first function to modify the security package information corresponding to the illegal application according to the parameter passed by the user, register the local service with the operating system, where the local service is used to wait for and receive the parameter passed by the user.
- This embodiment provides a firewall so that the firewall function can be implemented without the iptable/netfilter module, and there is no compatibility problem, and is not limited by the firmware version.
- this embodiment provides a terminal.
- the terminal 1200 includes:
- the processor 1202 performs various functional applications and data processing by executing software programs and modules stored in the memory 1201, that is, implementing the security protection function in the present invention.
- the processor 1202 is configured to perform an operation of displaying a picture as follows:
- the firewall injects a code module including the first function into the target process, where the first function is used to modify the security package information corresponding to the illegal application;
- the firewall triggers the first function to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to execute because the corresponding security package information is modified.
- the target process is a host process of the package management service PackageManagerService, and the security package information is a member variable of the PackageManagerService.
- the firewall injects the code module including the first function into the target process, and specifically includes:
- the firewall acquires a second function address A1 of the own process and a base address of the first dynamic link library
- the first dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record the The address of the function currently running by the target process.
- the operation of triggering the first function to modify the security package information corresponding to the illegal application includes:
- the first function is an overwriting of the third function, and the third function is included in the second dynamic link library.
- the method further includes:
- the firewall registers with the operating system to obtain a local service, and the local service is used to wait for and receive parameters passed by the user.
- the terminal 1200 is further configured by the following units, including:
- RF (Radio Frequency) circuit 110 memory 120 of one or more computer readable storage media, input unit 130, display unit 140, sensor 150, audio circuit 160, transmission module 170, processing of one or more processing cores Device 180, and components such as power supply 190.
- memory 120 of one or more computer readable storage media
- input unit 130 display unit 140
- sensor 150 audio circuit 160
- transmission module 170 processing of one or more processing cores Device 180
- components such as power supply 190.
- the RF circuit 110 can be used for receiving and transmitting signals during the transmission or reception of information or during a call. Specifically, after receiving the downlink information of the base station, the downlink information is processed by one or more processors 180. In addition, the data related to the uplink is sent to the base station. .
- the RF circuit 110 includes, but is not limited to, an antenna, at least one amplifier, a tuner, one or more oscillators, a Subscriber Identity Module (SIM) card, a transceiver, a coupler, an LNA (Low Noise Amplifier). , duplexer, etc.
- the RF circuit 110 can also be implemented by wireless communication with the network and other devices.
- the wireless communication may use any communication standard or protocol, including but not limited to GSM (Global System of Mobile communication), GPRS (General Packet Radio Service), CDMA (Code Division Multiple Access). , Code Division Multiple Access), WCDMA (Wideband Code Division Multiple Access), LTE (Long Term Evolution), e-mail, SMS (Short Messaging Service), and so on.
- GSM Global System of Mobile communication
- GPRS General Packet Radio Service
- CDMA Code Division Multiple Access
- WCDMA Wideband Code Division Multiple Access
- LTE Long Term Evolution
- e-mail Short Messaging Service
- the memory 120 can be used to store software programs and modules, such as firewall data in the embodiments of the present invention.
- the processor 180 executes various functional applications and data processing by running software programs and modules stored in the memory 120, that is, implementing the present invention. Security protection in the middle.
- the memory 120 may mainly include a storage program area and a storage data area, wherein the storage program area may store an operating system, an application required for at least one function (such as a sound playing function, an image playing function, etc.), and the like; the storage data area may be stored according to The data created by the use of the terminal 1200 (such as audio data, phone book, etc.) and the like.
- memory 120 can include high speed random access memory, and can also include non-volatile memory, such as at least one magnetic disk storage device, flash memory device, or other volatile solid state storage device. Accordingly, memory 120 may also include a memory controller to provide access to memory 120 by processor 180 and input unit 130.
- the input unit 130 can be configured to receive input numeric or character information and to generate keyboard, mouse, joystick, optical or trackball signal inputs related to user settings and function controls.
- input unit 130 can include touch-sensitive surface 131 as well as other input devices 132.
- Touch-sensitive surface 131 also referred to as a touch display or trackpad, can collect touch operations on or near the user (such as a user using a finger, stylus, etc., on any suitable object or accessory on touch-sensitive surface 131 or The operation near the touch-sensitive surface 131) and driving the corresponding connecting device according to a preset program.
- the touch-sensitive surface 131 may include two parts of a touch detection device and a touch controller.
- the touch detection device detects the touch orientation of the user, and detects a signal brought by the touch operation, and transmits the signal to the touch controller;
- the touch controller receives the touch information from the touch detection device and converts it into contact coordinates, sends it to the processor 180, and can receive and execute the command from the processor 180.
- the touch-sensitive surface 131 can be implemented in various types such as resistive, capacitive, infrared, and surface acoustic waves.
- the input unit 130 can also include other input devices 132.
- other input devices 132 may include, but are not limited to, one or more of a physical keyboard, function keys (such as volume control buttons, switch buttons, etc.), trackballs, mice, joysticks, and the like.
- Display unit 140 can be used to display information entered by the user or information provided to the user and various graphical user interfaces of terminal 1200, which can be comprised of graphics, text, icons, video, and any combination thereof.
- the display unit 140 may include a display panel 141.
- the display panel 141 may be configured in the form of an LCD (Liquid Crystal Display), an OLED (Organic Light-Emitting Diode), or the like.
- the touch-sensitive surface 131 may cover the display panel 141, and when the touch-sensitive surface 131 detects a touch operation thereon or nearby, it is transmitted to the processor 180 to determine the type of the touch event, and then the processor 180 according to the touch event The type provides a corresponding visual output on display panel 141.
- touch-sensitive surface 131 and display panel 141 are implemented as two separate components to implement input and input functions, in some embodiments, touch-sensitive surface 131 can be integrated with display panel 141 for input. And output function.
- Terminal 1200 can also include at least one type of sensor 150, such as a light sensor, motion sensor, and other sensors.
- the light sensor may include an ambient light sensor and a proximity sensor, wherein the ambient light sensor may adjust the brightness of the display panel 141 according to the brightness of the ambient light, and the proximity sensor may close the display panel 141 when the terminal 1200 moves to the ear. / or backlight.
- the gravity acceleration sensor can detect the magnitude of acceleration in all directions (usually three axes). When it is stationary, it can detect the magnitude and direction of gravity.
- the terminal 1200 can also be configured with gyroscopes, barometers, hygrometers, thermometers, infrared sensors and other sensors, not here Let me repeat.
- the audio circuit 160, the speaker 161, and the microphone 162 can provide an audio interface between the user and the terminal 1200.
- the audio circuit 160 can transmit the converted electrical data of the received audio data to the speaker 161 for conversion to the sound signal output by the speaker 161; on the other hand, the microphone 162 converts the collected sound signal into an electrical signal, by the audio circuit 160. After receiving, it is converted into audio data, and then processed by the audio data output processor 180, transmitted to the terminal, for example, by the RF circuit 110, or outputted to the memory 120 for further processing.
- the audio circuit 160 may also include an earbud jack, To provide communication between the peripheral earphone and the terminal 1200.
- WiFi is a short-range wireless transmission technology
- the terminal 1200 can help users to send and receive emails, browse web pages, and access streaming media through the WiFi module 170, which provides users with wireless broadband Internet access.
- FIG. 11 shows the WiFi module 170, it can be understood that it does not belong to the essential configuration of the terminal 1200, and can be omitted as needed within the scope of not changing the essence of the invention.
- the processor 180 is a control center of the terminal 1200 that connects various portions of the entire handset with various interfaces and lines, by running or executing software programs and/or modules stored in the memory 120, and recalling data stored in the memory 120, The various functions and processing data of the terminal 1200 are executed to perform overall monitoring of the mobile phone.
- the processor 180 may include one or more processing cores.
- the processor 180 may integrate an application processor and a modem processor, where the application processor mainly processes an operating system, a user interface, an application, and the like.
- the modem processor primarily handles wireless communications. It will be appreciated that the above described modem processor may also not be integrated into the processor 180.
- the terminal 1200 also includes a power source 190 (such as a battery) for powering various components.
- the power source can be logically coupled to the processor 180 through a power management system to perform functions such as management charging, discharging, and power management through the power management system.
- Power supply 190 may also include any one or more of a DC or AC power source, a recharging system, a power failure detection circuit, a power converter or inverter, a power status indicator, and the like.
- the terminal 1200 may further include a camera, a Bluetooth module, and the like, and details are not described herein.
- the display unit of the terminal is a touch screen display
- the terminal further includes a memory, and one or more programs, wherein one or more programs are stored in the memory and configured to be processed by one or more
- the execution of one or more programs includes instructions for performing the following operations: This embodiment provides a terminal that enables firewall functions without the iptable/netfilter module, and there is no compatibility problem. Not limited by firmware version.
- the embodiment provides a readable storage medium, which may be a readable storage medium included in the memory in the above embodiment; or may be a computer readable storage that exists separately and is not assembled into the terminal. medium.
- the computer readable storage medium stores one or more programs, The one or more programs are used by one or more processors to perform a method of implementing security protection, the method comprising:
- the firewall injects a code module including the first function into the target process, where the first function is used to modify the security package information corresponding to the illegal application;
- the firewall triggers the first function to perform an operation of modifying the security package information corresponding to the illegal application, so that the illegal application fails to execute because the corresponding security package information is modified.
- the target process is a packet management service.
- the host process of the PackageManagerService, the security package information is a member variable of the PackageManagerService.
- the firewall injects the code module that includes the first function into the target process, including:
- the firewall acquires a second function address A1 of the own process and a base address of the first dynamic link library
- the first dynamic link library is a dynamic link library that is jointly called by the firewall itself process and the target process, the second function is located in the first dynamic link library, and the register is used to record the The address of the function currently running by the target process.
- the triggering, by the first function, an operation of modifying the security package information corresponding to the illegal application specifically: searching for the target process a base address of the second dynamic link library currently called and a redirection table of the second dynamic link library;
- the operation of modifying the security package corresponding to the illegal application according to the parameter passed by the user by triggering the third function is an overwriting of the third function, and the third function is included in the second dynamic link library.
- the method before the first function modifies the security package information corresponding to the illegal application according to the parameter passed by the user, the method further includes:
- the firewall registers with the operating system to obtain a local service, and the local service is used to wait for and receive parameters passed by the user.
- This embodiment provides a readable storage medium such that the firewall function can be implemented without the iptable/netfilter module, and there is no compatibility problem, and is not limited by the firmware version.
- a person skilled in the art may understand that all or part of the steps of implementing the above embodiments may be completed by hardware, or may be instructed by a program to execute related hardware, and the program may be stored in a computer readable storage medium.
- the storage medium mentioned may be a read only memory, a magnetic disk or an optical disk or the like. The above is only the preferred embodiment of the present invention, and is not intended to limit the present invention. Any modifications, equivalent substitutions, improvements, etc., which are within the spirit and scope of the present invention, should be included in the protection of the present invention. Within the scope.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Telephone Function (AREA)
Abstract
本发明公开了一种实现安全防护的方法、防火墙、终端及可读存储介质,属于计算机领域。所述方法包括:防火墙将包含有第一函数的代码模块注入到目标进程中,所述第一函数用于修改非法应用对应的安全包信息;所述防火墙触发所述第一函数执行修改非法应用对应的安全包信息的操作,使所述非法应用因自身对应的安全包信息被修改而执行失败。本发明通过将具有修改安全包信息功能的代码模块注入到目标进程中,对非法应用对应的安全包信息进行修改,使非法应用因自身对应的安全包信息被修改而执行失败,使得终端在不具有iptable/netfilter模块的情况下也可以实现防火墙功能,并且不存在兼容性问题,不受固件版本的限制。
Description
说 明 书 实现安全防护的方法、 防火墙、 终端及可读存储介质
本申请要求于 2012 年 4 月 26 日提交中国专利局、 申请号为 201210126865.3、 发明名称为 "一种实现安全防护的方法及一种防火墙" 的中 国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及计算机领域, 特别涉及一种实现安全防护的方法、 防火墙、 终 端及可读存储介质。 背景技术
随着手机的功能增多, 手机已经越来越被人们应用于网络中。 但是, 随着 手机功能的增大, 其网络安全性也开始受到威胁, 因此, 在手机中安装防火墙 已经成为一种趋势。
在近期的 Android (安卓) 手机系统中, 主要是通过系统内核中的 iptable/netfilter模块实现防火墙功能。但是,在早期版本的 Android固件中并不 存在 iptable/netfilter模块,因此,很多厂商采用了在编译手机的 ROM( Read-Only Memory , 只读内存)时, 将 iptable/netfilter模块添加进去的方式, 以使得手机 在此基础之上实现防火墙功能。
在实现本发明的过程中, 发明人发现现有技术至少存在以下问题: 现有技术仍不能保证所有手机均具有 iptable/netfilter 模块, 在没有 iptable/netfilter模块的手机上仍不能实现防火墙功能, 而且, 现有的处理方式 很容易产生兼容性问题。 发明内容
为了解决现有技术中存在的技术问题, 本发明实施例提供了一种实现安全 防护的方法、 防火墙、 终端及可读存储介质。 所述技术方案如下:
一种实现安全防护的方法, 所述方法运行于终端上, 所述方法包括: 防火墙将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用
于修改非法应用对应的安全包信息;
所述防火墙触发所述第一函数执行修改非法应用对应的安全包信息的操 作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。 进一步地, 所述目标进程为包管理服务 PackageManagerService 的宿主进 程, 所述安全包信息为所述 PackageManagerService的成员变量。
进一步地, 所述防火墙将包含有第一函数的代码模块注入到目标进程中, 具体包括:
所述防火墙获取自身进程的第二函数地址 A1和第一动态链接库的基地址
A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动 态链接库的地址指向所述第一函数的所属的代码模块的地址;
其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
进一步地, 所述触发所述第一函数执行修改非法应用对应的安全包信息的 操作, 具体包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动 态链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法 应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
进一步地, 所述第一函数根据用户传递的参数修改非法应用对应的安全包 信息之前, 所述方法还包括:
所述防火墙向操作系统注册得到本地服务, 所述本地服务用于等待并接收 用户传递的参数。 一种防火墙, 所述防火墙运行于终端上, 所述防火墙包括:
注入模块, 用于将包含有第一函数的代码模块注入到目标进程中, 所述第 一函数用于修改非法应用对应的安全包信息;
触发模块, 用于触发所述第一函数执行修改非法应用对应的安全包信息的 操作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。 进一步地, 所述目标进程为包管理服务 PackageManagerService 的宿主进 程, 所述安全包信息为所述 PackageManagerService的成员变量。
进一步地, 所述注入模块, 具体包括:
第一地址获取单元, 用于获取所述防火墙自身进程的第二函数地址 A1和 第一动态链接库的基地址 A2;
第二地址获取单元, 用于通过查看预设路径的文件获取所述目标进程的第 一动态链接库的基地址 A3;
地址计算单元, 用于计算得到所述目 标进程的第二函数地址 A4=A3-A2+A1 ;
地址修改单元, 用于将所述目标进程的寄存器地址修改为 A4, 并使所述 第二函数所调用的动态链接库的地址指向第一函数的所属的代码模块的地址; 其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
进一步地, 所述触发模块, 具体包括:
获取单元, 用于寻找所述目标进程当前所调用的第二动态链接库的基地址 及所述第二动态链接库的重定向表;
第三地址获取单元, 用于在所述重定向表中, 获取需要重定向的第三函数 的地址;
第四地址获取单元, 用于获取所述第一函数的地址 A5;
重定向单元, 用于将所述重定向表中所述第三函数的地址重定向为 A5; 触发单元, 用于通过调用所述第三函数触发所述第一函数根据用户传递的
参数修改非法应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
进一步地, 所述防火墙还包括:
通讯模块, 用于在所述触发模块触发所述第一函数根据用户传递的参数修 改非法应用对应的安全包信息之前, 向操作系统注册得到本地服务, 所述本地 服务用于等待并接收用户传递的参数。 一种终端, 其特征在于, 该终端包括:
存储器;
一个或者一个以上的程序, 存储于所述存储器中, 且经配置由一个或者一 个以上处理器执行, 所述一个或者一个以上程序包含用于进行以下操作的指 令:
将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用于修改 非法应用对应的安全包信息;
触发所述第一函数执行修改所述非法应用对应的安全包信息的操作,使所 述非法应用因自身对应的安全包信息被修改而执行失败。
进一步地, 所述将包含有第一函数的代码模块注入到目标进程中, 包括: 获取自身进程的第二函数地址 A1和第一动态链接库的基地址 A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动 态链接库的地址指向所述第一函数所属的代码模块的地址;
其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
进一步地, 所述触发所述第一函数执行修改非法应用对应的安全包信息的 操作, 包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动 态链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法 应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。 一种可读存储介质, 其特征在于, 所述可读存储介质存储有一个或者一个 以上程序, 所述一个或者一个以上程序被一个或者一个以上的处理器用来执 行, 以实现安全防护的方法, 所述方法包括:
将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用于修改 非法应用对应的安全包信息;
触发所述第一函数执行修改所述非法应用对应的安全包信息的操作,使所 述非法应用因自身对应的安全包信息被修改而执行失败。
进一步地, 所述将包含有第一函数的代码模块注入到目标进程中, 包括: 获取自身进程的第二函数地址 A1和第一动态链接库的基地址 A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动 态链接库的地址指向所述第一函数所属的代码模块的地址;
其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
进一步地, 所述触发所述第一函数执行修改非法应用对应的安全包信息的 操作, 包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动 态链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法 应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。 本发明实施例通过将具有修改安全包信息功能的代码模块注入到目标进 程中, 对非法应用对应的安全包信息进行修改, 使非法应用因自身对应的安全 包信息被修改而执行失败, 使得终端在不具有 iptable/netfilter模块的情况下也 可以实现防火墙功能, 并且不存在兼容性问题, 不受固件版本的限制。 附图说明
为了更清楚地说明本发明实施例中的技术方案, 下面将对实施例描述中所 需要使用的附图作筒单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是本发明实施例 1中提供的一种实现安全防护的方法的流程示意图; 图 2是本发明实施例 2中提供的一种实现安全防护的方法的流程示意图; 图 3是本发明实施例 3中提供的一种防火墙的结构示意图;
图 4是本发明实施例 3中提供的一种防火墙中的注入模块的结构示意图; 图 5是本发明实施例 3中提供的一种防火墙中的触发模块的结构示意图; 图 6是本发明实施例 3中提供的一种防火墙的第二种结构示意图; 图 7是本发明实施例 4中提供的一种终端的结构示意图;
图 8是本发明实施例 4中提供的一种终端的结构示意图。 具体实施方式
为使本发明的目的、 技术方案和优点更加清楚, 下面将结合附图对本发明 实施方式作进一步地详细描述。
实施例 1
如图 1所示, 本发明实施例提供了一种实现安全防护的方法, 其中, 该方 法可通过软件进行实现, 并将该软件安装入终端中, 上述方法具体包括如下步
骤:
101、 将包含有第一函数的代码模块注入到目标进程中;
其中, 第一函数用于修改非法应用对应的安全包信息。
102、 触发第一函数执行修改非法应用对应的安全包信息的操作, 使非法 应用因自身对应的安全包信息被修改而执行失败。 本实施例提供了一种实现安全防护的方法, 使得在不具有 iptable/netfilter 模块的情况下也可以实现防火墙功能, 并且不存在兼容性问题, 不受固件版本 的限制。 实施例 2
本实施例提供了一种实现安全防护的方法,是在实施例 1的基础之上进行 的改进。
需要说明的是, 在本实施例中, 下述方法可通过软件实现, 例如防火墙软 件, 并将防火墙软件安装于终端中, 且本发明所提供的方法适用于基于 Linux 开发的系统中。
在本实施例中, 以 Android系统的终端为例进行说明, 但并不作为对本发 明保护范围的限制。 其中, Android系统 ^^于 Linux开发的移动操作系统, 但是其具备了比 Linux粒度更细的权限安全机制。 对于 Android系统中的应用 (包括合法应用和非法应用), 应用的开发者需要预先在应用的配置文件里为 自身申请权限。 例如, 读写系统联系人、 联网请求的权限。 当应用编译时, 编 译器会把权限信息、 配置文件、 资源文件和 Dex文件打包在一起, 形成该应用 在 Android系统上可执行文件安装包, 具体可以为 APK包( AndroidPackage , Android安装包)。 其中, 资源文件包括文本字符串(strings), 颜色 (colors), 数 组 (arrays), 动画(anim)、 布局(layout), 图像和图标 (drawable)、 音频视频 (media) 和其他使用的组件; Dex文件是 Android系统上可执行文件的类型。
在 Android系统的终端上, 每当安装一个应用, 都要经过以下两个步骤: A. 緩存该应用的安装包的信息, 即记录在 APK包中的信息, 操作系统会 统一把安装包的信息记录在路径为 /data/system/下的 packages.list 和 packages.xml两个文件里, packages.list和 packages.xml中保存着每个已经安装 的 APK的详尽信息。
B. 后台的 PackageManagerService (包管理服务)服务, 会从 packages.list 和 packages. xml中力。载信息到内存中。
由 于 , 在 Android 系 统的终端每启动一个应用 , 都经 由 ActivityManagerService PackageManagerService Zygote 三个关键环 节, 因此, 从 PackageManagerSerivce传递给 Zygote的参数 ( uid、 gid和 gids ), 也即安全包信息, 决定了应用在启动后所具备的权限。
其中, ActivityManagerService用于对应用访问权限进行判定, 对应用生命 周期进行管理;
PackageManagerSerivce是在系统启动阶段由 system_serever 启动的一个 java层服务, 用来管理 APK文件, 决定应用启动后可以具备哪些功能;
Zygote是一个虚拟机进程, 同时也是一个虚拟机实例的孵化器, 每当系统 要求执行一个 Android应用, Zygote就会通过派生命令创建出一个子进程来执 行该应用。
其中, uid: Android系统的终端在安装一个应用, 就会为它分配一个 uid, 代表该应用的唯一标识。 其中普通 Android应用程序的 uid是从 10000开始分 配, 10000以下是系统进程的 uid。
gid: 对于普通应用来说, gid等于 uid。 由于每个应用的 uid和 gid都不相 同, 因此不管是 native层还是 java层都能够达到保护私有数据的作用。
gids: 由框架在应用安装过程中生成, 与应用申请的具体权限相关。
本实施例提供了一种方法, 通过修改 PackageManagerService 中的安全包 信息, 以使得非法的应用在运行时出错, 以结束非法应用, 实现了防火墙的功 能。
本实施例所提供的方法, 具体通过安装于终端中的防火墙进行实现, 该防 火墙可包括四个代码模块: 注入模块、控制模块、通信模块和启动模块, 其中, 注入模块用于将控制模块对应的代码注入到 PackageManagerService 的宿主进 程 system_server中, 启动模块用于触发控制模块的启动,通信模块用于接收用 户传递的参数, 并将用户传递的参数发送给控制模块, 控制模块用于修改 PackageManagerService中的成员变量。
如图 2所示, 一种实现安全防护的方法, 具体包括如下步骤:
201、 将包含有第一函数的控制模块注入到目标进程中;
其中, 第一函数用于修改非法应用对应的安全包信息, 第一函数中具有预
定的逻辑, 即包括有修改安全包信息的功能的代码, 其从属于控制模块, 第一 函数通过对目标进程所执行的函数进行重写并加入具有修改安全包信息的功 能的代码, 目 标进程具体的为 PackageManagerService 的宿主进程 system—server。
进一步地, 将第一函数的控制模块注入到目标进程中, 需要通过目标进程 与防火墙自身进程共同调用的第二函数及第一动态链接库的地址计算得到第 一动态链接库的基地址, 以便将第一动态链接库的地址指向控制模块的地址, 使得目标进程在执行任务时, 可执行控制模块中的第一函数。
在本实施例中, 由于需要使目标进程一定能够执行到被注入的控制模块, 因此需要使用防火墙自身进程和目标进程均需调用的动态链接库,在本实施例 中以 lico.so作为第一动态链接库, dlopen 函数作为第二函数为例进行说明, dlopen函数为 lico.so中的函数。
具体包括如下过程:
201-1、 防火墙获取自身进程的 dlopen 函数的地址 addr_my_dlopen 以及 libc.so的基地址 addr_my_base;
其中, dlopen函数用于以指定模式打开指定的第一动态链接库, 其中包含 有欲打开的动态链接库的地址。
201-2、 通过查看路径 /proc/pid/maps , 获取目标进程的 libc.so 的基地址 addr_other_base;
201-3、 计算得到目标进程的 dlopen函数的基地址 addr_other_dlopen; 其中 , addr_other_dlopen= addr_other_base-add_my_base + addr_my_dlopen。 通过找到第一动态链接库的基地址再加上第二函数的地址偏移量, 即可在 进程中找到第二函数的基地址。其中,第二函数的作用是用于打开动态链接库。
201-4、将目标进程的寄存器地址修改为 addr_other_dlopen, 并使目标进程 的 dlopen函数的地址指向控制模块的地址。
通过将目标进程的寄存器地址修改为第二函数的基地址, 通过第二函数为 入口, 将第一函数的控制模块注入到目标进程。
其中, 步骤 201-4的操作通过 ptrace函数实现, ptrace函数为 linux提供的 具有修改寄存器地址、 函数地址等功能的函数, 寄存器用于存储目标进程当前 运行的函数的地址。
202、 寻找目标进程当前调用的第二动态链接库的基地址及第二动态链接
库的重定向表;
203、 在重定向表中, 获取需要重定向的第三函数的地址;
其中, 为了使对目标进程进行注入后, 使得目标进程执行第一函数后, 又 不丧失原功能, 第一函数应为对第三函数的重写, 第三函数为目标进程需要调 用的第二动态链接库中的函数。
204、 获取第一函数的地址, 并将重定向表中的第三函数的地址重定向为 第一函数的地址;
这个过程是为了在目标进行中执行第三函数时替换为执行第一函数, 触发 第一函数来修改应用对应的安全包信息。
205、 执行第三函数, 以触发第一函数中预定的逻辑;
其中, 由于第三函数在重定向表中的地址被修改, 因此, 当目标进程执行 第三函数时, 实际转到第一函数的地址, 触发了第一函数中的代码所规定的逻 辑。
需要说明的是, 步骤 202-205的操作可通过 ptrace函数进行实现。
206、 通过通讯模块获取用户传递的参数; 面接到用户的控制命令后, 将对应的参数传递给通讯模块, 通讯模块再将参数 传递给控制模块, 其中, 上述参数即为用户传递的参数, 参数具体为用户设置 应用的各种权限的权限信息。
通讯模块获取用户传递的参数, 具体包括:
防火墙向操作系统注册得到本地服务(例如命名为 Local Service ), 并使 Local Service的宿主进程 Firewall_Service处于等待软件界面连接的状态,以接 收用户传递的参数, 例如 on/off、 app_name等。
其中,通讯模块获取 FirewalLService发送的用户传递的参数,通过 Android 系统的 IPC ( Inter-Process Communication, 进程间通信 ) binder通讯实现。
207、 根据用户传递的参数修改非法应用对应的安全包信息, 使非法应用 因自身对应的安全包信息被修改导致执行失败;
需要说明的是, 当非法应用的安全包信息 (例如 gid )被修改后, 非法应 用在执行时, 不具有合法的 gid, 则不能正常运行。
进一步的, 还可以对合法应用进行修改, 限制合法应用的权限。
本实施例提供了一种实现安全防护的方法, 使得在不具有 iptable/netfilter
模块的情况下也可以实现防火墙功能, 并且不存在兼容性问题, 不受固件版本 的限制。 实施例 3
如图 3所示, 本实施例提供了一种防火墙, 该防火墙包括:
注入模块 301 , 用于将含有第一函数的代码模块注入到目标进程中, 该第 一函数用于修改非法应用对应的安全包信息;
触发模块 302, 用于触发第一函数执行修改非法应用对应的安全包信息的 操作, 使非法应用因自身对应的安全包信息被修改而执行失败。 进一步地, 目标进程为包管理服务 PackageManagerService 的宿主进程, 安全包信息为 PackageManagerService的成员变量。
进一步地, 如图 4所示, 注入模块 301 , 具体包括:
第一地址获取单元 3011 , 用于获取防火墙自身进程的第二函数地址 A1和 第一动态链接库的基地址 A2;
第二地址获取单元 3012,用于通过查看预设路径的文件获取目标进程的第 一动态链接库的基地址 A3;
地址计算单元 3013 , 用于计算得到 目标进程的第二函数地址 A4=A3-A2+A1 ;
地址修改单元 3014, 用于将目标进程的寄存器地址修改为 A4, 并使第二 函数所调用的动态链接库的地址指向第一函数的所属的代码模块的地址; 其中, 第一动态链接库为防火墙自身进程和目标进程共同调用的动态链接 库, 第二函数位于第一动态链接库中, 寄存器用于记录目标进程当前运行的函 数的地址。
进一步地, 如图 5所示, 触发模块 302, 具体包括:
获取单元 3021 ,用于寻找目标进程当前所调用的第二动态链接库的基地址 及第二动态链接库的重定向表;
第三地址获取单元 3022,用于在重定向表中,获取需要重定向的第三函数 的地址;
第四地址获取单元 3023 , 用于获取第一函数的地址 A5;
重定向单元 3024, 用于将重定向表中第三函数的地址重定向为 A5;
触发单元 3025 ,用于通过调用第三函数触发第一函数根据用户传递的参数 修改非法应用对应的安全包信息的操作;
其中,第一函数为对第三函数的重写,第三函数包含在第二动态链接库中。 进一步地, 如图 6所述, 上述防火墙还包括:
通讯模块 303 , 用于在触发模块 302触发第一函数根据用户传递的参数修 改非法应用对应的安全包信息之前, 向操作系统注册得到本地服务, 本地服务 用于等待并接收用户传递的参数。 本实施例提供了一种防火墙, 使得在不具有 iptable/netfilter模块的情况下 也可以实现防火墙功能, 并且不存在兼容性问题, 不受固件版本的限制。 实施例 4
如图 7所示, 本实施例提供了一种终端,
该终端 1200包括:
存储器 1201和至少一个处理器 1202,其中,存储器 1201存储软件程序以 及模块, 如本发明实施例中的防火墙所对应的程序指令及模块, 以及实现本发 明实施例中实现安全防护过程中生成的数据, 处理器 1202通过运行存储在存 储器 1201 的软件程序以及模块, 从而执行各种功能应用以及数据处理, 即实 现本发明中的安全防护功能。
其中, 所述处理器 1202被配置为执行如下显示图片的操作:
防火墙将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用 于修改非法应用对应的安全包信息;
所述防火墙触发所述第一函数执行修改所述非法应用对应的安全包信息 的操作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。
其中, 所述目标进程为包管理服务 PackageManagerService 的宿主进程, 所述安全包信息为所述 PackageManagerService的成员变量。
其中, 所述防火墙将包含有第一函数的代码模块注入到目标进程中, 具体 包括:
所述防火墙获取自身进程的第二函数地址 A1和第一动态链接库的基地址
A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动 态链接库的地址指向所述第一函数的所属的代码模块的地址;
其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
其中, 所述触发所述第一函数执行修改非法应用对应的安全包信息的操 作, 具体包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动 态链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法 应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
其中, 所述第一函数根据用户传递的参数修改非法应用对应的安全包信息 之前, 所述方法还包括:
所述防火墙向操作系统注册得到本地服务, 所述本地服务用于等待并接收 用户传递的参数。 优选的, 如图 8所示, 该终端 1200还为以下各单元构成, 包括:
RF ( Radio Frequency, 射频) 电路 110、 一个或一个以上计算机可读存储 介质的存储器 120、 输入单元 130、 显示单元 140、 传感器 150、 音频电路 160、 传输模块 170、 一个或者一个以上处理核心的处理器 180、 以及电源 190等部 件。
本领域技术人员可以理解,图 7中示出的终端结构并不构成对终端的限定, 可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。 其中:
RF电路 110可用于收发信息或通话过程中, 信号的接收和发送, 特别地, 将基站的下行信息接收后, 交由一个或者一个以上处理器 180处理; 另外, 将 涉及上行的数据发送给基站。 通常, RF电路 110包括但不限于天线、 至少一 个放大器、 调谐器、 一个或多个振荡器、 用户身份模块(SIM )卡、 收发信机、 耦合器、 LNA ( Low Noise Amplifier, 低噪声放大器)、 双工器等。 此外, RF 电路 110还可以通过无线通信与网络和其他设备通信实现。 所述无线通信可以 使用任一通信标准或协议, 包括但不限于 GSM(Global System of Mobile communication, 全球移动通讯系统)、 GPRS (General Packet Radio Service , 通 用分组无线服务)、 CDMA(Code Division Multiple Access , 码分多址)、 WCDMA(Wideband Code Division Multiple Access, 宽带码分多址)、 LTE(Long Term Evolution,长期演进)、 电子邮件、 SMS (Short Messaging Service, 短消息服 务)等。
存储器 120可用于存储软件程序以及模块,如本发明实施例中的防火墙所 数据, 处理器 180通过运行存储在存储器 120的软件程序以及模块, 从而执行 各种功能应用以及数据处理, 即实现本发明中的安全防护功能。 存储器 120可 主要包括存储程序区和存储数据区, 其中, 存储程序区可存储操作系统、 至少 一个功能所需的应用程序(比如声音播放功能、 图像播放功能等)等; 存储数 据区可存储根据终端 1200的使用所创建的数据 (比如音频数据、 电话本等) 等。 此外, 存储器 120可以包括高速随机存取存储器, 还可以包括非易失性存 储器, 例如至少一个磁盘存储器件、 闪存器件、 或其他易失性固态存储器件。 相应地, 存储器 120还可以包括存储器控制器, 以提供处理器 180和输入单元 130对存储器 120的访问。
输入单元 130可用于接收输入的数字或字符信息, 以及产生与用户设置以 及功能控制有关的键盘、 鼠标、 操作杆、 光学或者轨迹球信号输入。 具体地, 输入单元 130可包括触敏表面 131以及其他输入设备 132。 触敏表面 131 , 也 称为触摸显示屏或者触控板, 可收集用户在其上或附近的触摸操作(比如用户 使用手指、 触笔等任何适合的物体或附件在触敏表面 131上或在触敏表面 131 附近的操作), 并根据预先设定的程式驱动相应的连接装置。 可选的, 触敏表 面 131可包括触摸检测装置和触摸控制器两个部分。 其中, 触摸检测装置检测 用户的触摸方位, 并检测触摸操作带来的信号, 将信号传送给触摸控制器; 触
摸控制器从触摸检测装置上接收触摸信息, 并将它转换成触点坐标, 再送给处 理器 180, 并能接收处理器 180发来的命令并加以执行。 此外, 可以采用电阻 式、 电容式、 红外线以及表面声波等多种类型实现触敏表面 131。 除了触敏表 面 131 , 输入单元 130还可以包括其他输入设备 132。 具体地, 其他输入设备 132可以包括但不限于物理键盘、 功能键(比如音量控制按键、 开关按键等)、 轨迹球、 鼠标、 操作杆等中的一种或多种。
显示单元 140可用于显示由用户输入的信息或提供给用户的信息以及终端 1200的各种图形用户接口, 这些图形用户接口可以由图形、 文本、 图标、 视频 和其任意组合来构成。 显示单元 140可包括显示面板 141 , 可选的, 可以采用 LCD(Liquid Crystal Display, 液晶显示器)、 OLED(Organic Light-Emitting Diode, 有机发光二极管)等形式来配置显示面板 141。 进一步的, 触敏表面 131可覆盖 显示面板 141 , 当触敏表面 131检测到在其上或附近的触摸操作后, 传送给处 理器 180以确定触摸事件的类型, 随后处理器 180根据触摸事件的类型在显示 面板 141上提供相应的视觉输出。 虽然在图 11中, 触敏表面 131与显示面板 141是作为两个独立的部件来实现输入和输入功能, 但是在某些实施例中, 可 以将触敏表面 131与显示面板 141集成而实现输入和输出功能。
终端 1200还可包括至少一种传感器 150, 比如光传感器、运动传感器以及 其他传感器。 具体地, 光传感器可包括环境光传感器及接近传感器, 其中, 环 境光传感器可根据环境光线的明暗来调节显示面板 141的亮度,接近传感器可 在终端 1200移动到耳边时, 关闭显示面板 141和 /或背光。 作为运动传感器的 一种, 重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小, 静 止时可检测出重力的大小及方向, 可用于识别手机姿态的应用 (比如横竖屏切 换、 相关游戏、 磁力计姿态校准)、 振动识别相关功能(比如计步器、 敲击) 等; 至于终端 1200还可配置的陀螺仪、 气压计、 湿度计、 温度计、 红外线传感 器等其他传感器, 在此不再赘述。
音频电路 160、 扬声器 161 , 传声器 162可提供用户与终端 1200之间的音 频接口。 音频电路 160可将接收到的音频数据转换后的电信号, 传输到扬声器 161 , 由扬声器 161转换为声音信号输出; 另一方面, 传声器 162将收集的声 音信号转换为电信号, 由音频电路 160接收后转换为音频数据, 再将音频数据 输出处理器 180处理后, 经 RF电路 110以发送给比如另一终端, 或者将音频 数据输出至存储器 120以便进一步处理。 音频电路 160还可能包括耳塞插孔,
以提供外设耳机与终端 1200的通信。
WiFi属于短距离无线传输技术,终端 1200通过 WiFi模块 170可以帮助用 户收发电子邮件、 浏览网页和访问流式媒体等, 它为用户提供了无线的宽带互 联网访问。 虽然图 11示出了 WiFi模块 170, 但是可以理解的是, 其并不属于 终端 1200的必须构成, 完全可以根据需要在不改变发明的本质的范围内而省 略。
处理器 180是终端 1200的控制中心, 利用各种接口和线路连接整个手机 的各个部分,通过运行或执行存储在存储器 120内的软件程序和 /或模块, 以及 调用存储在存储器 120内的数据, 执行终端 1200的各种功能和处理数据, 从 而对手机进行整体监控。 可选的, 处理器 180可包括一个或多个处理核心; 优 选的, 处理器 180可集成应用处理器和调制解调处理器, 其中, 应用处理器主 要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。 可以理解的是, 上述调制解调处理器也可以不集成到处理器 180中。
终端 1200还包括给各个部件供电的电源 190 (比如电池), 优选的, 电源 可以通过电源管理系统与处理器 180逻辑相连,从而通过电源管理系统实现管 理充电、 放电、 以及功耗管理等功能。 电源 190还可以包括一个或一个以上的 直流或交流电源、 再充电系统、 电源故障检测电路、 电源转换器或者逆变器、 电源状态指示器等任意组件。
尽管未示出, 终端 1200还可以包括摄像头、 蓝牙模块等, 在此不再赘述。 具体在本实施例中, 终端的显示单元是触摸屏显示器, 终端还包括有存储器, 以及一个或者一个以上的程序, 其中一个或者一个以上程序存储于存储器中, 且经配置以由一个或者一个以上处理器执行述一个或者一个以上程序包含用 于进行以下操作的指令: 本实施例提供了一种终端, 使得在不具有 iptable/netfilter模块的情况下也 可以实现防火墙功能, 并且不存在兼容性问题, 不受固件版本的限制。 实施例 5
本实施例提供了一种可读存储介质, 该可读存储介质可以是上述实施例中 的存储器中所包含的可读存储介质; 也可以是单独存在, 未装配入终端中的计 算机可读存储介质。 所述计算机可读存储介质存储有一个或者一个以上程序,
所述一个或者一个以上程序被一个或者一个以上的处理器用来执行一个实现 安全防护的方法, 所述方法包括:
防火墙将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用 于修改非法应用对应的安全包信息;
所述防火墙触发所述第一函数执行修改所述非法应用对应的安全包信息 的操作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。
殳上述为第一种可能的实施方式, 则在第一种可能的实施方式作为基础 而提供的第二种可能的实施方式中, 所述目标进程为包管理服务
PackageManagerService 的 宿 主进程 , 所 述安全 包信 息 为 所述 PackageManagerService的成员变量。
在第一种可能的实施方式作为基础而提供的第三种可能的实施方式中, 所 述防火墙将包含有第一函数的代码模块注入到目标进程中, 具体包括:
所述防火墙获取自身进程的第二函数地址 A1和第一动态链接库的基地址
A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动 态链接库的地址指向所述第一函数的所属的代码模块的地址;
其中,所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
在第一种可能的实施方式作为基础而提供的第四种可能的实施方式中, 所 述触发所述第一函数执行修改非法应用对应的安全包信息的操作, 具体包括: 寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动 态链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法 应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
在第四种可能的实施方式作为基础而提供的第五种可能的实施方式中, 所 述第一函数根据用户传递的参数修改非法应用对应的安全包信息之前, 所述方 法还包括:
所述防火墙向操作系统注册得到本地服务, 所述本地服务用于等待并接收 用户传递的参数。 本实施例提供了一种可读存储介质, 使得在不具有 iptable/netfilter模块的 情况下也可以实现防火墙功能,并且不存在兼容性问题,不受固件版本的限制。 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通 过硬件来完成, 也可以通过程序来指令相关的硬件完成, 所述的程序可以存储 于一种计算机可读存储介质中, 上述提到的存储介质可以是只读存储器, 磁盘 或光盘等。 以上所述仅为本发明的较佳实施例, 并不用以限制本发明, 凡在本发明的 精神和原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的 保护范围之内。
Claims
1、 一种实现安全防护的方法, 所述方法应用于终端上, 其特征在于, 所述 方法包括:
防火墙将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用 于修改非法应用对应的安全包信息;
所述防火墙触发所述第一函数执行修改所述非法应用对应的安全包信息的 操作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。
2、 根据权利要求 1所述的方法, 其特征在于, 所述目标进程为包管理服务 PackageManagerService 的 宿 主 进程 , 所 述 安全 包信 息 为 所 述 PackageManagerService的成员变量。
3、 根据权利要求 1所述的方法, 其特征在于, 所述防火墙将包含有第一函 数的代码模块注入到目标进程中, 具体包括:
所述防火墙获取自身进程的第二函数地址 A1 和第一动态链接库的基地址
A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1 ;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动态 链接库的地址指向所述第一函数所属的代码模块的地址;
其中, 所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
4、 根据权利要求 1所述的方法, 其特征在于, 所述触发所述第一函数执行 修改非法应用对应的安全包信息的操作, 具体包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动态 链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法应 用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
5、 根据权利要求 4所述的方法, 其特征在于, 所述第一函数根据用户传递 的参数修改非法应用对应的安全包信息之前, 所述方法还包括:
所述防火墙向操作系统注册得到本地服务, 所述本地服务用于等待并接收 用户传递的参数。
6、 一种防火墙, 所述防火墙运行于终端上, 其特征在于, 所述防火墙包括: 注入模块, 用于将包含有第一函数的代码模块注入到目标进程中, 所述第 一函数用于修改非法应用对应的安全包信息;
触发模块, 用于触发所述第一函数执行修改所述非法应用对应的安全包信 息的操作, 使所述非法应用因自身对应的安全包信息被修改而执行失败。
7、 根据权利要求 6所述的防火墙, 其特征在于, 所述目标进程为包管理服 务 PackageManagerService 的宿主进程, 所述安全包信息为 所述 PackageManagerService的成员变量。
8、根据权利要求 6所述的防火墙, 其特征在于, 所述注入模块, 具体包括: 第一地址获取单元,用于获取所述防火墙自身进程的第二函数地址 A1和第 一动态链接库的基地址 A2;
第二地址获取单元, 用于通过查看预设路径的文件获取所述目标进程的第 一动态链接库的基地址 A3;
地址计算单元, 用于计算得到所述目 标进程的第二函数地址 A4=A3-A2+A1 ;
地址修改单元, 用于将所述目标进程的寄存器地址修改为 A4, 并使所述第 二函数所调用的动态链接库的地址指向第一函数所属的代码模块的地址;
其中, 所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
9、根据权利要求 6所述的防火墙, 其特征在于, 所述触发模块, 具体包括: 获取单元, 用于寻找所述目标进程当前所调用的第二动态链接库的基地址 及所述第二动态链接库的重定向表;
第三地址获取单元, 用于在所述重定向表中, 获取需要重定向的第三函数 的地址;
第四地址获取单元, 用于获取所述第一函数的地址 Α5;
重定向单元, 用于将所述重定向表中所述第三函数的地址重定向为 Α5; 触发单元, 用于通过调用所述第三函数触发所述第一函数根据用户传递的 参数修改非法应用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
10、 根据权利要求 9所述的防火墙, 其特征在于, 所述防火墙还包括: 通讯模块, 用于在所述触发模块触发所述第一函数根据用户传递的参数修 改非法应用对应的安全包信息之前, 向操作系统注册得到本地服务, 所述本地 服务用于等待并接收用户传递的参数。
11、 一种终端, 其特征在于, 该终端包括:
存储器;
一个或者一个以上的程序, 存储于所述存储器中, 且经配置由一个或者一 个以上处理器执行, 所述一个或者一个以上程序包含用于进行以下操作的指令: 将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用于修改 非法应用对应的安全包信息;
触发所述第一函数执行修改所述非法应用对应的安全包信息的操作, 使所 述非法应用因自身对应的安全包信息被修改而执行失败。
12、 根据权利要求 11所述的终端, 其特征在于, 所述将包含有第一函数的
代码模块注入到目标进程中, 包括:
获取自身进程的第二函数地址 A1和第一动态链接库的基地址 A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动态 链接库的地址指向所述第一函数所属的代码模块的地址;
其中, 所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
13、 根据权利要求 11所述的终端, 其特征在于, 所述触发所述第一函数执 行修改非法应用对应的安全包信息的操作, 包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动态 链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法应 用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
14、 一种可读存储介质, 其特征在于, 所述可读存储介质存储有一个或者 一个以上程序, 所述一个或者一个以上程序被一个或者一个以上的处理器用来 执行, 以实现安全防护的方法, 所述方法包括:
将包含有第一函数的代码模块注入到目标进程中, 所述第一函数用于修改 非法应用对应的安全包信息;
触发所述第一函数执行修改所述非法应用对应的安全包信息的操作, 使所 述非法应用因自身对应的安全包信息被修改而执行失败。
15、 根据权利要求 14所述的可读存储介质, 其特征在于, 所述将包含有第 一函数的代码模块注入到目标进程中, 包括:
获取自身进程的第二函数地址 A1和第一动态链接库的基地址 A2;
通过查看预设路径的文件获取所述目标进程的第一动态链接库的基地址
A3;
计算得到所述目标进程的第二函数地址 A4=A3-A2+A1;
将所述目标进程的寄存器地址修改为 A4, 并使所述第二函数所调用的动态 链接库的地址指向所述第一函数所属的代码模块的地址;
其中, 所述第一动态链接库为所述防火墙自身进程和所述目标进程共同调 用的动态链接库, 所述第二函数位于所述第一动态链接库中, 所述寄存器用于 记录所述目标进程当前运行的函数的地址。
16、 根据权利要求 14所述的可读存储介质, 其特征在于, 所述触发所述第 一函数执行修改非法应用对应的安全包信息的操作, 包括:
寻找所述目标进程当前所调用的第二动态链接库的基地址及所述第二动态 链接库的重定向表;
在所述重定向表中, 获取需要重定向的第三函数的地址;
获取所述第一函数的地址 A5;
将所述重定向表中所述第三函数的地址重定向为 A5;
通过调用所述第三函数触发所述第一函数根据用户传递的参数修改非法应 用对应的安全包信息的操作;
其中, 所述第一函数为对所述第三函数的重写, 所述第三函数包含在所述 第二动态链接库中。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SG11201406780QA SG11201406780QA (en) | 2012-04-26 | 2013-03-29 | Method, firewall, terminal and readable storage medium for implementing security protection |
EP13782508.9A EP2843578A4 (en) | 2012-04-26 | 2013-03-29 | METHOD, FIREWALL, TERMINAL AND COMPUTER-READABLE STORAGE MEDIUM FOR IMPLEMENTING SAFETY PROTECTION |
KR1020147032434A KR101760822B1 (ko) | 2012-04-26 | 2013-03-29 | 보안을 구현하기 위한 방법, 방화벽, 단말 및 판독가능 저장 매체 |
US14/513,617 US9584476B2 (en) | 2012-04-26 | 2014-10-14 | Safety protection method, firewall, terminal device and computer-readable storage medium |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210126865.3 | 2012-04-26 | ||
CN201210126865.3A CN103379481B (zh) | 2012-04-26 | 2012-04-26 | 一种实现安全防护的方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US14/513,617 Continuation US9584476B2 (en) | 2012-04-26 | 2014-10-14 | Safety protection method, firewall, terminal device and computer-readable storage medium |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2013159632A1 true WO2013159632A1 (zh) | 2013-10-31 |
Family
ID=49463942
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2013/073510 WO2013159632A1 (zh) | 2012-04-26 | 2013-03-29 | 实现安全防护的方法、防火墙、终端及可读存储介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9584476B2 (zh) |
EP (1) | EP2843578A4 (zh) |
KR (1) | KR101760822B1 (zh) |
CN (1) | CN103379481B (zh) |
SG (1) | SG11201406780QA (zh) |
WO (1) | WO2013159632A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105357144A (zh) * | 2014-08-20 | 2016-02-24 | 联想(北京)有限公司 | 一种数据处理方法及电子设备 |
EP3203406A4 (en) * | 2014-11-05 | 2018-06-13 | ZTE Corporation | Sensitive information security protection method and device |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891843B (zh) * | 2012-09-18 | 2015-04-29 | 北京深思洛克软件技术股份有限公司 | 本地服务单元认证安卓客户端应用程序的方法 |
US9489524B2 (en) * | 2014-05-23 | 2016-11-08 | Blackberry Limited | Intra-application permissions on an electronic device |
CN105528365A (zh) * | 2014-09-30 | 2016-04-27 | 国际商业机器公司 | 用于管理可执行文件的方法和装置 |
CN106203087B (zh) * | 2015-04-29 | 2020-04-28 | 腾讯科技(深圳)有限公司 | 注入防护方法、系统、终端以及存储介质 |
CN105677550A (zh) * | 2015-12-29 | 2016-06-15 | 广州华多网络科技有限公司 | 一种基于Linux系统的性能采集分析的方法、装置及系统 |
CN105827615A (zh) * | 2016-04-22 | 2016-08-03 | 浪潮电子信息产业股份有限公司 | 一种Smart Rack防止DDOS攻击的优化方法 |
CN106681801B (zh) * | 2016-05-09 | 2019-07-23 | 腾讯科技(深圳)有限公司 | 事件的执行方法和装置 |
CN106681884B (zh) * | 2016-06-28 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 一种系统调用的监控方法和装置 |
CN109657491B (zh) * | 2018-11-29 | 2023-06-30 | 国云科技股份有限公司 | 一种数据库防火墙实现方法 |
US11228563B2 (en) | 2018-12-18 | 2022-01-18 | Citrix Systems, Inc. | Providing micro firewall logic to a mobile application |
CN111026439B (zh) * | 2019-11-22 | 2023-03-24 | 广州方硅信息技术有限公司 | 应用程序的兼容方法、装置、设备及计算机存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
US20100287535A1 (en) * | 2009-05-08 | 2010-11-11 | Electronics And Telecommunications Research Institute | System and method for testing software reliability using fault injection |
CN101984409A (zh) * | 2010-11-10 | 2011-03-09 | 南京南瑞继保电气有限公司 | 一种用于Linux系统测试代码注入的方法 |
CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8468595B1 (en) * | 2006-03-22 | 2013-06-18 | Trend Micro Incorporated | Content filtering prior to data encryption |
CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
WO2012039726A1 (en) * | 2009-11-04 | 2012-03-29 | Georgia Tech Research Corporation | Systems and methods for secure in-vm monitoring |
US8938782B2 (en) * | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
KR101011145B1 (ko) * | 2010-06-15 | 2011-01-26 | 주식회사 파수닷컴 | 응용 모듈 삽입 장치, 응용 모듈 삽입 기능을 구비한 컴퓨팅 장치 및 응용 모듈 삽입 방법을 실행하기 위한 프로그램을 기록한 기록매체 |
-
2012
- 2012-04-26 CN CN201210126865.3A patent/CN103379481B/zh active Active
-
2013
- 2013-03-29 KR KR1020147032434A patent/KR101760822B1/ko active IP Right Grant
- 2013-03-29 EP EP13782508.9A patent/EP2843578A4/en not_active Withdrawn
- 2013-03-29 SG SG11201406780QA patent/SG11201406780QA/en unknown
- 2013-03-29 WO PCT/CN2013/073510 patent/WO2013159632A1/zh active Application Filing
-
2014
- 2014-10-14 US US14/513,617 patent/US9584476B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1983296A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 用于防止非法程序窃取用户信息的方法及装置 |
US20100287535A1 (en) * | 2009-05-08 | 2010-11-11 | Electronics And Telecommunications Research Institute | System and method for testing software reliability using fault injection |
CN101984409A (zh) * | 2010-11-10 | 2011-03-09 | 南京南瑞继保电气有限公司 | 一种用于Linux系统测试代码注入的方法 |
CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
Non-Patent Citations (1)
Title |
---|
See also references of EP2843578A4 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105357144A (zh) * | 2014-08-20 | 2016-02-24 | 联想(北京)有限公司 | 一种数据处理方法及电子设备 |
CN105357144B (zh) * | 2014-08-20 | 2019-10-29 | 联想(北京)有限公司 | 一种数据处理方法及电子设备 |
EP3203406A4 (en) * | 2014-11-05 | 2018-06-13 | ZTE Corporation | Sensitive information security protection method and device |
Also Published As
Publication number | Publication date |
---|---|
CN103379481A (zh) | 2013-10-30 |
EP2843578A1 (en) | 2015-03-04 |
CN103379481B (zh) | 2015-05-06 |
EP2843578A4 (en) | 2015-08-19 |
KR101760822B1 (ko) | 2017-07-24 |
SG11201406780QA (en) | 2014-11-27 |
KR20140147141A (ko) | 2014-12-29 |
US9584476B2 (en) | 2017-02-28 |
US20150033320A1 (en) | 2015-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2013159632A1 (zh) | 实现安全防护的方法、防火墙、终端及可读存储介质 | |
CN106598584B (zh) | 一种处理资源文件的方法、装置和系统 | |
US11379573B2 (en) | Trusted application access control method and terminal | |
US11579899B2 (en) | Method and device for dynamically managing kernel node | |
WO2018045564A1 (zh) | 辅助服务管理方法及装置 | |
WO2021036706A1 (zh) | 可信应用的运行方法、信息处理和内存分配方法及装置 | |
CN110457894B (zh) | root权限的分配方法、装置、存储介质及终端设备 | |
CN106502703B (zh) | 一种函数调用方法和装置 | |
CN104965722B (zh) | 一种显示信息的方法及装置 | |
WO2014000652A1 (zh) | 浏览器插件安装方法、装置及终端 | |
CN109753793B (zh) | 一种热补丁方法及热补丁装置 | |
CN108090345B (zh) | linux系统外部命令执行方法及装置 | |
WO2015035835A1 (zh) | 应用程序检测方法及装置 | |
US11205001B2 (en) | Virus program cleanup method, storage medium and electronic terminal | |
CN106713608B (zh) | 应用的功能状态修改方法、装置及终端 | |
US11063962B2 (en) | Malicious URL detection method and apparatus, terminal, and computer storage medium | |
WO2018214748A1 (zh) | 应用界面的显示方法、装置、终端及存储介质 | |
WO2015078264A1 (zh) | 安全防护方法及装置、终端 | |
JP5997848B2 (ja) | 移動端末リソースの処理方法、装置、クライアント側のコンピュータ、サーバ、移動端末、プログラム、及び記録媒体 | |
CN110489679A (zh) | 一种浏览器内核的处理方法、装置及存储介质 | |
US20150128129A1 (en) | Method and device for installing application | |
CN109145598B (zh) | 脚本文件的病毒检测方法、装置、终端及存储介质 | |
CN106528231B (zh) | 一种启动应用程序的方法和装置 | |
WO2015101254A1 (zh) | 一种信息交互的方法、装置及系统 | |
CN116089924A (zh) | 一种权限数据访问的方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13782508 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
ENP | Entry into the national phase |
Ref document number: 20147032434 Country of ref document: KR Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2013782508 Country of ref document: EP |