[发明专利]基于hook的iOS系统关键行为检测装置和方法

说明书

技术领域

本发明涉及一种检测苹果手机操作系统iOS关键行为的技术，确切地说，涉及一种基于钩子hook的iOS系统关键行为检测装置和方法，属于信息安全中的软件安全的技术领域。

背景技术

目前，基于hook的iOS关键行为检测工具很少。现有技术的开源软件也只包括：Introspy。下面对Instrospy-iOS进行简介：它是一款iOS上用于动态检测软件行为、评估软件安全的工具。该工具分为两部分：行为追踪器和行为分析器。其中，行为追踪器安装在iOS终端中，通过hook关键行为的应用程序编程接口API(Application Programming Interface)来获取指定软件的关键行为，这些API包括：加解密、IPC、数据存储和网络连接等。最后将这些函数调用的信息记录并永久保存在数据库中。行为分析器是安装在PC设备中，是以行为追踪器生成的数据库文件作为输入，进行分析处理后，在本地生成指定格式(如xml、html)的结果报表，并在结果报表中，罗列出该指定软件执行过程中执行的所有关键行为。

现在，有关iOS系统关键行为检测领域，国内外的科研人员开展的研究都很少，成型的检测装置更是凤毛麟角。目前，iOS系统关键行为检测方法只有一种：敏感文件监测。该敏感文件监测的基本思路是读取数据库中的敏感文件并进行匹配。由于iOS系统中的所有敏感文件数据库都是sqlite数据库，可以像访问普通数据文件一样访问它。所以，敏感文件监测的通常操作步骤是：首先读取敏感文件数据库的内容(如短信数据库)，然后每隔设定一段时间，重新读取该敏感文件数据库，并将所读取的内容与以前的读取内容或结果进行匹配，得到最新的文件修改，判断是否触发了敏感行为。

目前，仅有的iOS系统关键行为检测方法都是以监控文件操作为主，虽然也能捕获到系统的关键行为，但是，其局限性还是比较大。比如：

(1)检测的实时性不强：基于监控文件的系统关键行为检测是目前iOS系统关键行为检测使用的最普遍的方法。其主要思路就是不断比较敏感文件中的内容，用于判断系统的关键行为。

例如：通过不断读取/private/var/mobile/Library/SMS/目录下的sms.db文件，判断是否有写入的新数据。若有，则认为触发了系统发送、接收了短信。但是，这种方法不具有实时性，无法在短信发送、接受之后，就立即检测到结果。

(2)成本高、效率低：因为读取敏感文件要涉及到读文件、匹配文件等多项操作，时间成本与其他成本太高。如果文件很大，则大大降低了检测的效率。

目前，iOS平台上恶意软件不少，例如：2012年Kaspersky Lab发现了一款名叫Find&Call的恶意应用，它能够在用户无法察觉的情况下，将用户通讯录和短信内容发送至指定的服务器。2014年Stefan Esser发现了unflod恶意插件，它能够获得用户的应用标识appID(application identification)和密码，并将其发送给指定服务器。这些恶意软件都能在用户不知情的情况下，触发系统的关键行为，如：偷偷发送短信、联网或拨打电话等，给用户隐私和财产安全造成了很大的威胁。因此，国内外的业内科技人员都在关注动态检测软件运行时，是否触发苹果操作系统iOS的关键行为的检测技术。

发明内容

有鉴于此，本发明的目的是提供一种基于hook的iOS系统关键行为检测装置和方法，本发明可以实时监测电话、短信、联网、地理位置等系统关键行为，它是通过hook技术拦截所有系统关键行为触发的函数，获得关键行为的相关信息，并发送给服务器，再将检测出来的系统安全风险向用户报告。

为了达到上述目的，本发明提供了一种基于hook的苹果操作系统iOS关键行为检测装置，其特征在于：所述装置是通过hook关键行为的应用程序编程接口API(Application Programming Interface)实时捕获iOS系统的关键行为，用于监控苹果终端iOS系统的设定关键行为，获取与该设定关键行为相关的信息，并在服务端实时展示给用户，或者保存为结果报表，以供用户进行审核与评估；该装置是由分别设置在iOS终端层的行为追踪模块，以及位于PC设备层、顺序连接的用户接口模块、安全风险报告模块和行为分析模块共四个部件组成；其中：