[发明专利]一种进程监控的方法和装置

说明书

技术领域

本申请涉及信息安全技术领域，特别是涉及一种进程监控的方法和一种 进程监控的装置。

背景技术

随着通信技术的快速发展，手机等移动终端已经非常普及，并且移动终 端提供的功能也越来越多。例如，用户不仅可以通过移动终端打电话、发短 信，还可以自由地安装各种应用程序，从而实现在移动终端上进行工作、观 看视频、购物、支付等活动。目前，用户在移动终端上安装几十甚至上百个 应用程序已是非常普遍的情况，因此，这些应用程序是否安全对用户而言也 越来越重要。

目前，使用安卓Android操作系统的移动终端，应用程序一般都是通过 JAVA进程创建JAVA子进程进行运行。一些应用程序，出于实现应用程序 固有功能需要之外的目的，特别是商业目的，随意申请系统权限，获取用户 隐私数据、执行网络访问、保持设备活动、发送短信行为等。轻则可能导致 用户隐私数据泄露，或者占用系统资源，重则可能通过恶意扣费、植入广告、 消耗资费、欺诈诱骗等，使用户遭受损失。因此，为了保证移动终端的安全 性，Android操作系统会对JAVA子进程进行监控，其做法是：将主动防御 模块预先注入Zygote(孵化器)进程，然后JAVA进程向Zygote进程申请 创建子进程，从而使Zygote进程分裂出子进程，由于主动防御模块预先已 经注入到Zygote进程中，因此Zygote进程分裂出的子进程中自然也包含主 动防御模块，可以实现对子进程的监控。

但是，现有方法只对JAVA子进程有效，对于通过Native进程或者其他 进程运行的应用程序，现有的方法因为无法注入到Native进程或者其他进程 中去，因而也就不能对其进行监控，此外，JAVA进程也可能创建Native子 进程，利用现有的方法同样无法实现对Native子进程的监控。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分 地解决上述问题的一种进程监控的方法和相应的一种进程监控的装置。

依据本申请的一个方面，提供了一种进程监控的方法，包括：

当监控到父进程创建子进程时，拦截所述父进程对执行文件的调用命 令；

根据所述调用命令，创建注入器；

采用所述注入器，创建子进程，所述子进程具有相应的Hook监控模块；

采用所述Hook监控模块对所述子进程进行监控。

可选地，在所述当监控到父进程创建子进程时，拦截所述父进程对执行 文件的调用命令的步骤后，还包括：

获取所述子进程对应的路径参数，以及，注入器对应的路径参数。

可选地，所述根据所述调用命令，创建注入器的步骤包括：

判断所述父进程是否是通过切换用户SU提权方式创建子进程；

若是，则采用所述切换用户SU提权创建所述注入器；

若否，则将所述子进程替换为所述注入器，从而创建所述注入器。

可选地，所述采用所述切换用户SU提权创建所述注入器的步骤包括：

在切换用户SU提权的指令中，加入-C参数，采用所述切换用户SU提 权创建所述注入器。

可选地，所述将所述子进程替换为所述注入器，从而创建所述注入器的 步骤包括：

将所述调用命令中子进程对应的路径参数替换为注入器对应的路径参 数，从而创建所述注入器。

可选地，所述采用所述注入器，创建子进程的步骤包括：

采用所述注入器，创建所述子进程的镜像；

根据所述子进程对应的路径参数，调用所述子进程对应的组件；

将所述子进程对应的组件以及预设的Hook监控模块注入所述子进程的 镜像；

命令所述子进程加载S分享属性。

可选地，所述采用所述Hook监控模块对所述子进程进行监控的步骤包 括：

命令所述Hook监控模块通过所述S分享属性对所述子进程进行监控；

当通过所述Hook监控模块监控到所述子进程创建进程时，将所述子进 程作为父进程，继续为新创建的进程注入所述Hook监控模块。

可选地，所述父进程包括JAVA进程，和/或，Native进程；所述子进程 包括JAVA进程，和/或，Native进程。

根据本申请的另一方面，提供了一种进程监控的装置，包括：