[发明专利]异常Xposed框架的检测方法、装置、介质及设备

说明书

本公开涉及一种异常Xposed框架的检测方法、装置、介质及设备，所述方法包括：获取设备的目标应用程序的堆栈中入口栈底类的类名；在入口栈底类的类名不是预设类名的情况下，加载入口栈底类；根据入口栈底类中的字段和方法，确定设备中是否存在异常Xposed框架。因此，在确定设备中是否存在异常Xposed框架时，是基于入口栈底类中的字段和方法即入口栈底类的代码结构进行确定的，并不依赖于该入口栈底类的关键字，因此，无论是对针对包名和类名修改的Xposed框架或者采用系统关键字命名的Xposed框架都可以进行准确且有效地检测，提高异常Xposed框架检测的准确性，拓宽异常Xposed框架检测的适用范围。

技术领域

本公开涉及计算机技术领域，具体地，涉及一种异常Xposed框架的检测方法、装置、介质及设备。

背景技术

随着计算机技术方案，各种APP应用而生。现有技术中，可以通过hook技术将系统的程序修改成用户定义的执行代码片段，以便于实现额外的功能。通常可以基于Xposed框架实现该hook技术，安装Xposed Installer之后，系统的根进程将被替换，然后利用Java的Reflection反射机制覆写系统内置方法，以实现功能函数劫持。在安卓Android系统中各个App进程都是由Zygote进程“孵化”出来的，安装Xposed框架之后，系统的根进程Zygote进程会被接管，在该情况下恶意攻击可以通过修改该Xposed框架实现对APP的攻击。

现有技术中，通常可以通过检测应用程序自身加载的库的名称特征以对Xposed框架进行检测，例如通过在路径/proc/self/maps下查找是否加载有XposedBridge.jar，或者通过堆栈查找是否包含有xposed关键字等以实现对Xposed框架的检测。但是恶意攻击修改Xposed框架的情况下，该恶意攻击可以通过修改关键字名称等绕过Xposed框架的检测，从而导致无法精确识别系统中恶意Xposed框架，甚至对系统应用程序产生错误识别。

发明内容

本公开的目的是提供一种准确且全面地异常Xposed框架的检测方法、装置、介质及设备。

为了实现上述目的，根据本公开的第一方面，提供一种异常Xposed框架的检测方法，所述方法包括：

获取设备的目标应用程序的堆栈中入口栈底类的类名；

在所述入口栈底类的类名不是预设类名的情况下，加载所述入口栈底类；

根据所述入口栈底类中的字段和方法，确定所述设备中是否存在异常Xposed框架。

可选地，所述根据所述入口栈底类中的字段和方法，确定所述设备中是否存在异常Xposed框架，包括：

在所述入口栈底类中的所述字段中不存在预设标识的情况下，根据所述入口栈底类中的字段和方法确定所述入口栈底类对应的相似指数，其中，所述相似指数用于表征所述入口栈底类与标准Xposed框架的入口类的相似程度；

在所述相似指数小于预设阈值的情况下，确定所述设备中存在所述异常Xposed框架。

可选地，所述根据所述入口栈底类中的字段和方法确定所述入口栈底类对应的相似指数，包括：

根据所述入口栈底类中的字段，确定第一相似值；

根据所述入口栈底类中的方法和所述标准Xposed框架中入口类的方法，确定第二相似值；

获取所述入口栈底类的类名简称，并加载所述类名简称对应的软件包；

根据获取到的所述类名简称对应的软件包确定第三相似值；

将所述第一相似值、所述第二相似值和所述第三相似值之和确定为所述相似指数。

可选地，所述根据获取到的所述类名简称对应的软件包确定第三相似值，包括：