[发明专利]一种基于进程状态检测的反调试方法和装置

说明书

技术领域

本申请涉及计算机技术领域，尤其涉及一种基于进程状态检测的反调试方法和装置。

背景技术

随着移动互联网产业的快速发展，移动应用程序呈井喷式爆发，其中，基于安卓系统开发的移动安卓应用程序也越来越多，为便于描述下文将安卓应用程序简称为应用程序。

由于安卓系统本身具有开源特性，应用程序非常容易遭受木马的侵袭和被盗版，应用程序正逐渐取代电脑端程序成为黑客攻击的主要对象。

现有技术中，应用程序攻击者可以利用调试器跟踪应用程序的运行，查看、修改应用程序的内存代码和数据，分析目标应用程序的程序逻辑，从而对应用程序进行攻击和破解的问题。

发明内容

本申请实施例提供一种基于进程状态检测的反调试方法，用于解决现有技术中应用程序攻击者可以利用调试器跟踪应用程序的运行进而对应用程序进行恶意攻击和破解的问题。

本申请实施例还提供一种基于进程状态检测的反调试装置，用于解决现有技术中应用程序攻击者可以利用调试器跟踪应用程序的运行进而对应用程序进行恶意攻击和破解的问题。

本申请实施例采用下述技术方案：

一种基于进程状态检测的反调试方法，包括：

在应用程序运行时，确定目标文件中与所述应用程序对应的第一信息，所述第一信息用于表征所述应用程序的调试状态；

若确定所述第一信息不是预设信息，则终止所述应用程序的进程，所述预设信息用于表征所述应用程序未处于被外部进程调试的状态。

一种基于进程状态检测的反调试装置，包括：

确定单元，用于在应用程序运行时，确定目标文件中与所述应用程序对应的第一信息，所述第一信息用于表征所述应用程序的调试状态；

终止单元，用于若确定所述第一信息不是预设信息，则终止所述应用程序的进程，所述预设信息用于表征所述应用程序未处于被外部进程调试的状态。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

本申请中，在应用程序运行时，由于能够确定目标文件中与该应用程序对应的第一信息，该目标文件中记录有表征该应用程序的调试状态的第一信息，并在确定该第一信息不是预设信息时，终止该应用程序的进程，该预设信息用于表征应用程序未处于被外部进程调试的状态，这样当有其他进程试图调试该应用程序的进程时，便可以终止该应用程序的进程，避免其他外部进程对该应用程序进程进行恶意攻击和破解的问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的基于进程状态检测的反调试方法的实施流程示意图；

图2为本申请实施例提供的基于进程状态检测的反调试装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

如背景技术所述，由于安卓系统本身具有开源特性，应用程序攻击者为获取应用程序中包含的数据，往往会对应用程序进行恶意攻击，安卓软件逆向技术也逐渐被这些攻击者恶意利用。在安卓软件逆向技术中，安卓调试技术是一个非常重要的组成部分，通过进行应用程序的调试，可以得到应用程序的运行流程，通常可以非常顺利且快速地绕过一些登录限制或功能限制，获取到一些用户的私密信息，具有较大的危害。

攻击者在对应用程序进行调试时，通常是对应用程序对应的进程进行调试，从广义上而言，进程是一个具有一定独立功能的程序关于某个数据集合的几次运行活动，它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。由于每个进程都有自己的地址空间，通常包括文本区域(text region)、数据区域(data region)和堆栈(stack region)，其中，文本区域存储处理器执行的代码，数据区域存储变量和进程执行期间使用的动态分配的内存，堆栈区域存储着进程活动过程调用的指令和本地变量，因此一旦某个应用程序的进程被攻击者进行恶意攻击和破解，便能够获取该应用程序的关键信息和数据。