WO2020024424A1 - 应用程序的动态库信息获取方法及装置 - Google Patents

Abstract

一种应用程序的动态库信息获取方法及装置，其中，该方法包括：提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量（201）；根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址（202）；从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息（203）；访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体（204）；遍历所述目标结构体，得到目标动态库信息（205）。通过所述方法和装置，能够提升动态库信息获取时的准确性。

Description

应用程序的动态库信息获取方法及装置

本申请要求于2018年08月03日提交中国专利局、申请号为2018108777721、申请名称为“应用程序的动态库信息获取方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及信息技术领域，具体涉及一种应用程序的动态库信息获取方法及装置。

背景技术

随着智能电子设备(智能手机，平板电脑等)的逐步普及，各种智能电子设备的操作系统也随之得到了很大的发展，但是在一些方面仍然存在诸多不足。目前Android系统中，Android应用程序(Application，APP)在获取自身进程已加载的动态库信息(例如动态库名称、地址等)时，大多都通过访问内存映射文件来获得，但是通过这种方式来获取动态库信息时的准确性较低。

发明内容

本申请实施例提供一种应用程序的动态库信息获取方法及装置，能够提升动态库信息获取时的准确性。

本申请实施例的第一方面提供了一种应用程序的动态库信息获取方法，所述方法包括：

提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

遍历所述目标结构体，得到目标动态库信息。

本申请实施例的第二方面提供了一种应用程序的动态库信息获取装置，所述装置包括提取单元、第一获取单元、第二获取单元、访问单元和遍历单元，其中，

提取单元，用于提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

第一获取单元，用于根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

第二获取单元，用于从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

访问单元，用于访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

遍历单元，用于遍历所述目标结构体，得到目标动态库信息。

本申请实施例的第三方面提供一种终端，包括处理器、输入设备、输出设备和存储器，所述处理器、 输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如本申请实施例第一方面中的步骤指令。

本申请实施例的第四方面提供了一种计算机可读存储介质，其中，上述计算机可读存储介质存储用于电子数据交换的计算机程序，其中，上述计算机程序使得计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。

本申请实施例的第五方面提供了一种计算机程序产品，其中，上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，上述计算机程序可操作来使计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。

实施本申请实施例，至少具有如下有益效果：

本申请实施例，通过获取标识动态库的内存地址，根据该内存地址得到目标结构体的内存地址，根据目标结构体的内存地址得到目标结构体，遍历该结构体得到目标动态库信息，相对于现有方案中，通过访问内存映射文件来获得目标动态库信息，本方案采用了根据标识动态库来获取目标动态库信息，能够一定程度上提升动态库信息获取时的准确性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供了一种电子装置的示意图；

图2为本申请实施例提供了一种应用程序的动态库信息获取方法的流程示意图；

图3为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图；

图4为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图；

图5为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图；

图6为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图；

图7为本申请实施例提供的一种终端的结构示意图；

图8为本申请实施例提供了一种应用程序的动态库信息获取装置。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例所涉及的结构体为：在C语言中，结构体(struct)指的是一种数据结构，是C语言中聚合数据类型的一类。结构体可以被声明为变量、指针或数组等，用以实现较复杂的数据结构。结构体成员还可以包括其它结构体，也可以包含指向自己结构体类型的指针，通常这种指针的应用是为了实现一些更高级的数据结构如链表和树等。

为了更好的理解本申请实施例，下面首先对本申请实施例提供的应用程序的动态库信息获取方法所应用的电子装置。请参阅1所示，图1为本申请实施例提供了一种电子装置的示意图。如图1所示，电子装置包括参考应用程序101和处理器102，参考应用程序101为用户所使用的应用程序，用户发出应用程序的动态库获取指令，其中，应用程序的动态库信息获取方法包括：用户通过参考应用程序101向 处理器102发送目标应用程序的动态库获取指令，在处理器102收到目标应用程序的动态库获取指令后，提取目标应用程序的动态库信息获取指令的内存地址，以及目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量，DT_DEBUG条目的偏移量为，在生成标识动态库的代码时，在标识动态库文件的.dynamic段中增加一个条目，所述条目的key为DT_DEBUG，其初始值值为0，然后对标识动态库的代码进行编译，得到标识动态库后，得到DT_DEBUG条目的偏移量，本申请中，偏移量例如可以是300，当然还偏移量和初始值还可以具有其它具体的值；然后处理器102将目标应用程序的动态库信息获取指令的内存地址加上偏移量，从而得到标识动态库的内存地址，访问标识动态库的内存地址对应的内存空间，得到DT_DEBUG的值，处理器102根据DT_DEBUG的值得到目标结构体的内存地址，目标结构体为link_map结构体，处理器102访问link_map结构体的内存地址对应的内存空间，得到所述link_map结构体；处理器102遍历link_map结构体，得到目标动态库信息，目标动态库信息为目标应用程序已加载的动态库的信息

请参阅图2，图2为本申请实施例提供了一种应用程序的动态库信息获取方法的流程示意图。如图2所示，应用程序的动态库信息获取方法包括步骤201-205，具体如下：

201、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量。

可选的，DT_DEBUG条目的偏移量为，在生成标识动态库的代码时，在标识动态库文件的.dynamic段中增加一个条目，所述条目的key为DT_DEBUG，其值为0，然后对标识动态库的代码进行编译，得到标识动态库后，得到DT_DEBUG条目的偏移量，本申请中，偏移量例如可以是300，当然还偏移量还可以具有其它具体的值，可直接在标识动态库编译文件中提取目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量。

可选的，目标应用程序的动态库信息获取指令的内存地址可通过地址查找的方式来提取内存地址。

可选的，目标应用程序为电子装置中运行的程序，可以由用户进行选取，也可以由电子装置进行选取，此处不作具体限定。

202、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址。

可选的，将目标应用程序的动态库信息获取指令的内存地址与DT_DEBUG条目的偏移量进行叠加，从而得到标识动态库的内存地址。

203、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息。

其中，目标结构体为link_map结构体，link_map结构体为一个双向链表，该链表的每个节点对应目标应用程序的每个已经加载的动态库，在节点中保存了每个已经加载的动态库的动态库信息，动态库信息包括动态库名称和动态库内存地址等。其中，双向链表是链表的一种，它的每个数据结点中包括有两个不同的指针，分别指向直接后继和直接前驱。因此，从双向链表中的任意一个结点中，均可以访问它的前驱结点和后继结点。

可选的，一种可能的根据DT_DEBUG的值得到目标结构体的内存地址的方法包括步骤A1-A3，具体如下：

A1、根据所述DT_DEBUG的值得到参考结构体的内存地址；

可选的，将DT_DEBUG的值与DT_DEBUG的初始值相叠加，得到参考结构体的内存地址。

可选的，参考结构体为r_debug结构体，r_debug结构体包括多个字段，不同的字段中存储有与其相关联的结构体的内存地址。

A2、访问所述参考结构体的内存地址，得到所述参考结构体；

A3、从所述参考结构体的r_map字段获取所述目标结构体的内存地址。

其中，r_map字段中存储有目标结构体的内存地址，读取r_map字段的内存空间，从而得到目标结构体内存地址。

204、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体。

205、遍历所述目标结构体，得到目标动态库信息。

可选的，遍历目标结构体(link_map结构体)的每个节点，从每个节点的内存空间中获取目标应用程序已加载的动态库的动态库信息。通过遍历link_map结构体获取目标应用程序已加载的动态库的信息，未对任何文件的访问，从提升了获取的动态库信息的准确性，同时，在对动态库信息进行获取时，未调用外部函数，从而难以被逆向定位，进而也能提升获取动态库信息的准确性。

一个可能的示例中，目标动态库信息包括目标动态库名称，在所述在遍历所述目标结构体，得到目标动态库信息后，所述方法还包括步骤B1-B3，具体如下：

B1、将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；

其中，预设的危险动态库存储于危险库中，危险动态库名称例如可以是libsubstrate.so、libsubstrate.so,libSubstrateJNI.so,libSubstrateRun.so等动态库名称，此类动态库为钩子框架，当然危险库中的危险动态库还可以进行更新，例如，系统对动态库进行判别，当判别出该动态库为危险动态库时，将该危险动态库的添加到危险库中。

B2、根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；

可选的，判别所述目标动态库是否为危险动态库可能的方法为：目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度大于预设的相似度阈值时，确定出目标动态库为危险动态库，其中，预设相似度阈值为90％-100％。

可选的，另一种判别目标动态库是否为危险动态库可能的方法为：判断动态库是否会对系统资源进行非法调用、篡改内核数据、或者动态库会挂载后会篡改系统关键参数，若判别结果为是，则判别出该动态库为危险动态库，其中，对系统资源进行非法调用为：未经过系统授权而调用系统资源；系统关键参数包括：系统控制参数等。

B3、若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境。

可选的，不可信的运行环境为目标应用程序可能会受到病毒等的攻击的环境。

一个可能的示例中，另一种确定目标应用程序的运行环境为不可信的运行环境的方法可包括步骤C1-C4，具体如下：

C1、根据所述目标动态库信息，提取所述目标动态库；

可选的，由于目标动态库信息中包括动态库名称和动态库内存地址，则可以通过读取动态库内存地址对应的内存空间，从而提取目标动态库。

C2、在所述目标动态库中提取全部的钩子函数；

其中钩子函数是Windows消息处理机制的一部分，通过设置“钩子”，应用程序可以在系统级对所有消息、事件进行过滤，访问在正常情况下无法访问的消息。钩子的本质是一段用以处理系统消息的程序，通过系统调用，把它挂入系统。

C3、根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；

可选的，危险钩子函数例如可以是MSJava钩子Method，MSJava钩子ClassLoad,MS钩子Function等函数。判别钩子函数的方法可以为，通过函数名称的匹配，若钩子函数与危险钩子函数完全匹配，则确定该钩子函数为危险钩子函数。

可选的，预设的危险钩子函数判别方法可以为：将目标钩子函数的特征参数与危险钩子函数库中的参考特征参数进行比对；目标钩子函数的特征包括参考特征参数，则确定目标钩子函数为危险钩子函数。参考特征参数包括：钩子函数名、钩子函数的类别等。危险钩子函数的类别例如可以是MS钩子.xx类别，其中xx为任意参量，即此处仅用Ms钩子.来标识危险函数的类别，危险钩子函数例如可以是MS钩子.trate等，在判别钩子函数是否为危险钩子函数是，仅需要识别出钩子函数是否具有MS钩子.这个头部，若钩子函数具有MS钩子.则判别出该钩子函数为危险钩子函数。

可选的，危险钩子函数库包括更新机制，系统可以将最新发现的危险钩子函数添加到危险钩子函数库中，最新发现的危险钩子函数例如可以是最新发现的病毒中的钩子函数、也可以是原危险钩子函数库中不存在的钩子函数等。

C4、若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境。

一个可能的示例中，目标动态库信息包括目标动态库图标，另一种确定目标应用程序的运行环境为不可信的运行环境的方法可包括步骤D1-D4，具体如下：

D1、将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；

可选的，其中以矩阵的形式拆分为n*n个矩形图形时，拆分后得到的矩形图形的面积可以是相同的，也可以是不同的。若拆分后得到的矩形图形的面积不同，则一种可能的拆分方式为：提取目标应用程序图标的关键内容所在的区域，在对该区域进行拆分时，其拆分密度大于非关键内容所在区域的拆分密度，即关键内容所在区域的矩形图形的面积小于非关键内容所在区域的矩形面积。其中，关键内容例如可以是图标中具有标志性意义的区域等，标志性意义的区域可以为能够凸显图标特色的区域，例如百度图标中的特殊形状的区域。

D2、将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；

D3、将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；

可选的，目标相似度集合中的相似度还可以包括目标应用程序图标的关键内容所在区域的相似度。

D4、若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境。

其中，目标预设相似度的取值范围可以为0.95-1.00，例如可以是0.96、0.97等。

可选的，在危险动态库图标设计时，其在(1,1)和(x，n)位置的图像为危险动态库的标识。

通过将目标动态库图标拆分为n*n个矩形图形，然后将矩形图形分别与危险动态库图标在拆分后相同坐标位置的矩形图形进行比对，每个矩形图形的相似度，然后从相似度中划分目标相似度，目标相似度集合中每个相似度均大于目标预设相似度，且矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％时，则确定出所述目标应用程序的运行环境为不可信的运行环境，能够在一定程度上提升判别目标应用程序的运行环境为不可信的运行环境的准确性。

一个可能的示例中，在判别出目标应用程序的运行环境为不可信的运行环境之后，还可包括步骤E1-E3，具体如下：

E1、关闭所述目标应用程序；

E2、对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

可选的，对目标应用程序的运行环境进行杀毒操作，将危险动态库进行隔离或者将危险动态库删除，从而将目标应用程序的运行环境从不可信的运行环境改变为可信的运行环境。

E3、在所述可信的运行环境中重启所述目标应用程序。

通过本示例，在发现目标应用程序的运行环境为不可信的运行环境后将目标应用程序关闭，在运行环境为可信的运行环境时，重启目标应用程序，能够一定程度上提升目标应用程序运行的安全性，例如在，在应用程序支付输入密码环节，检测到当前应用程序的运行环境不可信，那么就可以提示并中止支付，从而保护用户的财产安全。

一个可能的示例中，应用程序的动态库信息获取方法还可包括步骤F1-F4，具体如下：

F1、接收目标函数调用请求，所述目标函数调用请求携带目标函数名；

可选的，在接收目标函数调用请求之前，将目标动态库存储到缓存中。

可选的，处理器接收参考应用程序发送的目标函数调用请求，目标函数请求中携带目标函数的名称，目标函数例如可以是参考应用程序在运行时，需要调用的函数，也可以是其它函数，例如通过上述的方法判断出的危险钩子函数等。

F2、确定所述目标函数名对应的目标函数所在的动态库；

可选的，可以通过对动态库中的函数列表进行查找，从而得到目标函数所在的动态库。

F3、在缓存中获取目标函数所在的动态库；

F4、从所述目标函数所在的动态库中获取所述目标函数。

通过本示例，过上述方法能够相对于现有方案中，在确定目标函数所在的目标动态库后，需要内存中调用目标动态库，直接从缓存中获取目标动态库的地址，能够减少目标函数获取的时间，进而提升了获取目标函数的效率。

请参阅图3，图3为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图。如图3所示，应用程序的动态库信息获取方法包括步骤301-308，具体如下：

301、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

302、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

303、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值；

304、根据所述DT_DEBUG的值得到参考结构体的内存地址；

305、访问所述参考结构体的内存地址，得到所述参考结构体；

306、从所述参考结构体的r_map字段获取所述目标结构体的内存地址；

307、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

308、遍历所述目标结构体，得到目标动态库信息，所述目标动态库信息为所述目标应用程序已加载的动态库的信息。

本示例中，相对于现有方案中，通过访问内存映射文件来获得目标动态库信息，本方案采用了根据标识动态库来获取目标动态库信息，能够一定程度上提升动态库信息获取时的准确性。

请参阅图4，图4为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图。如图4所示，应用程序的动态库信息获取方法可包括步骤401-411，具体如下：

401、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

402、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

403、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址；

404、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

405、遍历所述目标结构体，得到目标动态库信息，所述目标动态库信息为所述目标应用程序已加载的动态库的信息；

406、将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；

407、根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；

408、若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境；

409、关闭所述目标应用程序；

410、对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

411、在所述可信的运行环境中重启所述目标应用程序。

本示例中，关闭目标应用程序并对该运行环境进行杀毒，得到在杀毒后得到可信的运行环境时重启目标应用程序，以此，能够在一定程度上提升目标应用程序运行时的安全性。

请参阅图5，图5为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图。如图5所示，应用程序的动态库信息获取方法可包括步骤501-512，具体如下：

501、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

502、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

503、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址；

504、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

505、遍历所述目标结构体，得到目标动态库信息，所述目标动态库信息为所述目标应用程序已加载的动态库的信息；

506、根据所述目标动态库信息，提取所述目标动态库；

507、在所述目标动态库中提取全部的钩子函数；

508、根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；

509、若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境；

510、关闭所述目标应用程序；

511、对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

512、在所述可信的运行环境中重启所述目标应用程序。

本示例中，关闭目标应用程序并对该运行环境进行杀毒，得到在杀毒后得到可信的运行环境时重启目标应用程序，以此，能够在一定程度上提升目标应用程序运行时的安全性。

本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图。其中，应用程序的动态库信息获取方法可包括步骤601-612，具体如下：

601、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

602、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

603、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址；

604、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

605、遍历所述目标结构体，得到目标动态库信息，所述目标动态库信息为所述目标应用程序已加载的动态库的信息；

606、将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；

607、将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；

608、将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；

609、若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境；

610、关闭所述目标应用程序；

611、对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

612、在所述可信的运行环境中重启所述目标应用程序。

本示例中，关闭目标应用程序并对该运行环境进行杀毒，得到在杀毒后得到可信的运行环境时重启目标应用程序，以此，能够在一定程度上提升目标应用程序运行时的安全性。

请参阅图6，图6为本申请实施例提供了另一种应用程序的动态库信息获取方法的流程示意图。如 图6所示，应用程序的动态库信息获取方法可包括步骤701-712，具体如下：

701、提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

702、根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

703、从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址；

704、访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

705、遍历所述目标结构体，得到目标动态库信息，所述目标动态库信息为所述目标应用程序已加载的动态库的信息；

706、接收目标函数调用请求，所述目标函数调用请求携带目标函数名；

可选的，在接收目标函数调用请求之前，将目标动态库存储到缓存中。

707、确定所述目标函数名对应的目标函数所在的动态库；

708、在缓存中获取目标函数所在的动态库；

709、从所述目标函数所在的动态库中获取所述目标函数。

本示例中，在得到目标应用程序已加载的动态库信息后，将目标动态库存储到缓存中，直接从缓存中获取目标动态库的地址，能够减少目标函数获取的时间，进而提升了获取目标函数的效率。

与上述实施例一致的，请参阅图7，图7为本申请实施例提供的一种终端的结构示意图，如图所示，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，上述程序包括用于执行以下步骤的指令；

提取目标应用程序的动态库信息获取指令的内存地址，以及目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

遍历所述目标结构体，得到目标动态库信息。

本示例中，获取标识动态库的内存地址，根据该内存地址得到目标结构体的内存地址，根据目标结构体的内存地址得到目标结构体，遍历该结构体得到目标动态库信息，相对于现有方案中，通过访问内存映射文件来获得目标动态库信息，本方案采用了根据标识动态库来获取目标动态库信息，能够一定程度上提升动态库信息获取时的准确性。

与上述一致的，请参阅图8，图8为本申请实施例提供了一种应用程序的动态库信息获取装置，所述装置包括提取单元801、第一获取单元802、第二获取单元803、访问单元804和遍历单元805，其中，

提取单元801，用于提取目标应用程序的动态库信息获取指令的内存地址，以及目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

第一获取单元802，用于根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

第二获取单元803，用于从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

访问单元804，用于访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

遍历单元805，用于遍历所述目标结构体，得到目标动态库信息。

本示例中，获取标识动态库的内存地址，根据该内存地址得到目标结构体的内存地址，根据目标结构体的内存地址得到目标结构体，遍历该结构体得到目标动态库信息，相对于现有方案中，通过访问内存映射文件来获得目标动态库信息，本方案采用了根据标识动态库来获取目标动态库信息，能够一定程度上提升动态库信息获取时的准确性。

可选的，所述在根据所述DT_DEBUG的值得到目标结构体的内存地址方面，所述第二获取单元803具体用于：根据所述DT_DEBUG的值得到参考结构体的内存地址；访问所述参考结构体的内存地址，得到所述参考结构体；从所述参考结构体的r_map字段获取所述目标结构体的内存地址。

可选的，所述应用程序的动态库信息获取装置还具体用于：将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境。

可选的，所述应用程序的动态库信息获取装置还具体用于：根据所述目标动态库信息，提取所述目标动态库；在所述目标动态库中提取全部的钩子函数；根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境。

可选的，所述应用程序的动态库信息获取装置还具体用于：将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境。

可选的，所述应用程序的动态库信息获取装置还具体用于：关闭所述目标应用程序；对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；在所述可信的运行环境中重启所述目标应用程序。

可选的，所述应用程序的动态库信息获取装置还具体用于：接收目标函数调用请求，所述目标函数调用请求携带目标函数名；确定所述目标函数名对应的目标函数所在的动态库；在缓存中获取目标函数所在的动态库；从动态库中获取所述目标函数。

本申请实施例还提供一种计算机可读介质，其中，该计算机可读介质存储用于电子数据交换的计算机程序，该计算机程序使得计算机执行如上述方法实施例中记载的任何一种应用程序的动态库信息获取 方法的部分或全部步骤。

本申请实施例还提供一种计算机程序产品，所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，该计算机程序使得计算机执行如上述方法实施例中记载的任何一种应用程序的动态库信息获取方法的部分或全部步骤。

以上对本申请实施例进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (20)

1. 一种应用程序的动态库信息获取方法，其特征在于，所述方法包括：

   提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

   根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

   从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

   访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

   遍历所述目标结构体，得到目标动态库信息。
2. 根据权利要求1所述的方法，其特征在于，所述根据所述DT_DEBUG的值得到目标结构体的内存地址，包括：

   根据所述DT_DEBUG的值得到参考结构体的内存地址；

   访问所述参考结构体的内存地址，得到所述参考结构体；

   从所述参考结构体的r_map字段获取所述目标结构体的内存地址。
3. 根据权利要求1或2所述的方法，其特征在于，所述目标动态库信息包括目标动态库名称，在所述在遍历所述目标结构体，得到目标动态库信息后，所述方法还包括：

   将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；

   根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；

   若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境。
4. 根据权利要求1或2所述的方法，其特征在于，所述在遍历所述目标结构体，得到目标动态库信息之后，所述方法还包括：

   根据所述目标动态库信息，提取所述目标动态库；

   在所述目标动态库中提取全部的钩子函数；

   根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；

   若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境。
5. 根据权利要求1或2所述的方法，其特征在于，所述目标动态库信息包括目标动态库图标，所述方法还包括：

   将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；

   将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；

   将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；

   若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境。
6. 根据权利要求5所述的方法，其特征在于，所述确定出所述目标应用程序的运行环境为不可信的运行环境之后，所述方法还包括：

   关闭所述目标应用程序；

   对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

   在所述可信的运行环境中重启所述目标应用程序。
7. 根据权利要求6所述的方法，其特征在于，所述方法还包括：

   接收目标函数调用请求，所述目标函数调用请求携带目标函数名；

   确定所述目标函数名对应的目标函数所在的动态库；

   在缓存中获取目标函数所在的动态库；

   从所述目标函数所在的动态库中获取所述目标函数。
8. 一种应用程序的动态库信息获取装置，其特征在于，所述装置包括：

   提取单元，用于提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

   第一获取单元，用于根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

   第二获取单元，用于从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

   访问单元，用于访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

   遍历单元，用于遍历所述目标结构体，得到目标动态库信息。
9. 根据权利要求8所述的装置，其特征在于，所述第二获取单元具体用于：

   根据所述DT_DEBUG的值得到参考结构体的内存地址；

   访问所述参考结构体的内存地址，得到所述参考结构体；

   从所述参考结构体的r_map字段获取所述目标结构体的内存地址。
10. 根据权利要求8或9所述的装置，其特征在于，所述应用程序的动态库信息获取装置还具体用于：

    将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；

    根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；

    若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境。
11. 根据权利要求8或9所述的装置，其特征在于，所述应用程序的动态库信息获取装置还具体用 于：

    根据所述目标动态库信息，提取所述目标动态库；

    在所述目标动态库中提取全部的钩子函数；

    根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；

    若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境。
12. 根据权利要求8或9所述的装置，其特征在于，所述应用程序的动态库信息获取装置还具体用于：

    将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；

    将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；

    将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；

    若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境。
13. 根据权利要求12所述的装置，其特征在于，所述应用程序的动态库信息获取装置还具体用于：

    关闭所述目标应用程序；

    对所述目标应用程序的运行环境进行杀毒，以得到可信的运行环境；

    在所述可信的运行环境中重启所述目标应用程序。
14. 根据权利要求13所述的装置，其特征在于，所述应用程序的动态库信息获取装置还具体用于：

    接收目标函数调用请求，所述目标函数调用请求携带目标函数名；

    确定所述目标函数名对应的目标函数所在的动态库；

    在缓存中获取目标函数所在的动态库；

    从所述目标函数所在的动态库中获取所述目标函数。
15. 一种终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，所述处理器用于执行：

    提取针对目标应用程序的动态库信息获取指令的内存地址，以及所述目标应用程序中的标识动态库中的DT_DEBUG条目的偏移量；

    根据所述动态库信息获取指令的内存地址和所述DT_DEBUG条目的偏移量，获取所述标识动态库的内存地址；

    从所述标识动态库的内存地址对应的内存空间中获取所述DT_DEBUG的值，以及根据所述DT_DEBUG的值得到目标结构体的内存地址，所述目标结构体中存储有目标应用程序已加载的动态库的动态库信息；

    访问所述目标结构体的内存地址对应的内存空间，得到所述目标结构体；

    遍历所述目标结构体，得到目标动态库信息。
16. 根据权利要求15所述的终端，其特征在于，在所述根据所述DT_DEBUG的值得到目标结构体的内存地址方面，所述处理器还用于执行：

    根据所述DT_DEBUG的值得到参考结构体的内存地址；

    访问所述参考结构体的内存地址，得到所述参考结构体；

    从所述参考结构体的r_map字段获取所述目标结构体的内存地址。
17. 根据权利要求15或16所述的终端，其特征在于，所述处理器还用于执行：

    将所述目标动态库名称与多个预设的危险动态库名称进行比对，得到所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度；

    根据所述目标动态库名称与所述多个预设的危险动态库名称中的每个危险动态库之间的相似度，判别所述目标动态库是否为危险动态库；

    若判别出所述目标动态库为危险动态库，则确定出所述目标应用程序的运行环境为不可信的运行环境。
18. 根据权利要求15或16所述的终端，其特征在于，所述处理器还用于执行：

    根据所述目标动态库信息，提取所述目标动态库；

    在所述目标动态库中提取全部的钩子函数；

    根据预设的危险钩子函数判别方法，判别所述全部的钩子函数中是否存在危险钩子函数；

    若判别出所述全部的钩子函数中存在危险钩子函数，则确定出所述目标应用程序的运行环境为不可信的运行环境。
19. 根据权利要求15或16所述的终端，其特征在于，所述处理器还用于执行：

    将所述目标动态库图标与预设的危险动态库图标以矩阵的形式拆分为n*n个矩形图形，每个矩形图形具有一个矩阵坐标，其中，所述矩阵为n*n的矩阵，n为大于2的奇数；

    将所述目标动态库图标与预设的危险动态库图标中的矩形图形按照对应的坐标位置进行比对，得到n*n个相似度；

    将目标动态库图标中矩阵坐标为(1，n)，(n/2+0.5,1)，(n/2+0.5,x)，(x,n/2+0.5)以及(x，n)的矩形图形与预设的危险动态库图标中对应坐标位置的图形进行比对，得到的相似度作为目标相似度集合，其中，x的取值范围为[1，n]；

    若所述目标相似度集合中每个相似度均大于目标预设相似度，且与矩阵坐标(1,1)和(x，n)的矩形图形相对应的相似度为100％，则确定出所述目标应用程序的运行环境为不可信的运行环境。
20. 一种计算机可读存储介质，其特征在于，所述计算机可读介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。

Images