[发明专利]基于敏感函数调用插桩的安卓敏感行为监控方法和系统

说明书

技术领域

本发明涉及基于网络安全领域的一种敏感函数调用插桩的安卓敏感行为监控方法和系统。

背景技术

现有安卓软件敏感行为监控和拦截方式是基于安卓系统的Binder进程间通信机制，通过钩子函数，即Hook钩住进程间通信的Binder信息来分析安卓软件的敏感行为。

而新出现的安卓恶意应用可以通过在Native层中注入恶意执行代码、擅自篡改程序执行的字节码来绕开在框架层中进程间通信Binder的插桩监测。

在公开号为CN103198255A的发明专利申请中公开了一种基于Android系统的Binder进程间通信机制的安卓软件敏感行为监控与拦截方法与系统。其只检测安卓进程间通信机制Binder来检测和分析安卓行为。

发明内容

本发明的目的是为了克服现有技术的不足，提供一种敏感函数调用插桩的安卓敏感行为监控方法和系统,其能够监控安卓APP在框架层和Native层的所有行为，能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题，能够有效提高对安卓恶意应用的安全审计能力。

实现上述目的的一种技术方案是：一种基于敏感函数调用插桩的安卓敏感行为监控方法，包括下列步骤：

启动步骤：加载安装待分析APP；

框架层插桩分析步骤：通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook

Native层插桩分析步骤：通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook；

敏感行为分析搜集步骤：在应用层对待分析APP执行的字节码进行监控和记录。

进一步的，框架层插桩分析步骤中所进行的插桩Hook,包括：敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。

进一步的，Native层插桩分析步骤中所进行的插桩Hook包括：动态加载Hook、内存修改Hook、内存复制Hook、内存分配Hook。

进一步的，启动步骤中同步启动Hook定制的真机执行环境。

实现上述目的的另外一种技术方案是：一种基于敏感函数调用插桩的安卓敏感行为监控系统，其特征在于：包括：

位于框架层用于通过调用Xposed插件针对待分析APP的敏感Java函数调用进行插桩Hook的框架层插桩模块；

位于Native层用于通过调用Ptrace插件针对待分析APP的敏感C/C++函数调用进行插桩Hook的Native层插桩模块；

位于应用层用于实现对待分析APP执行的字节码进行监控和记录的插桩监控管理模块。

进一步的，所述Xposed插件为Android System APIs。

再进一步的，框架层插桩模块所进行的插桩Hook包括：敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。

进一步的，所述Ptrace插件为LoadLibrary APIs和Memory-related APIs。

再进一步的，LoadLibrary APIs所进行的插桩Hook包括动态加载Hook，Memory-related APIs所进行的插桩包括：内存修改Hook、内存复制Hook、内存分配Hook。

采用了本发明的一种基于敏感函数调用插桩的安卓敏感行为监控方法的技术方案，包括下列步骤：启动步骤：加载安装待分析APP；框架层插桩分析步骤：通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩；HookNative层插桩分析步骤：通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook；敏感行为分析搜集步骤：在应用层对待分析APP执行的字节码进行监控和记录。其技术效果是:其能够监控安卓APP在框架层和Native层的所有行为，能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题，能够有效提高对安卓恶意应用的安全审计能力。