一种基于安卓系统的设备的动态病毒检测方法和装置

1.一种基于安卓系统的设备的动态病毒检测方法，其特征在于，包括以下步骤：
获取需要进行病毒检测的正在运行的目标进程；
将所述目标进程所加载的动态库中指定的原始API函数重定向为拦截程序中的API函数；
将引导程序写入到所述目标进程的内存中，通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向；
检测所述目标进程的可疑行为；
所述通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向的步骤包括：
在所述目标进程空间中分配一块指定的内存，并置为可读写可执行；
将所述拦截程序编译的动态库加载到所述目标进程空间中；
调用所述拦截程序的入口函数来启动所述重定向。
2.根据权利要求1所述的方法，其特征在于：
所述引导程序通过获取所述目标进程空间动态库的内存分配函数地址来在所述目标进程空间中分配所述指定的内存。
3.根据权利要求1所述的方法，其特征在于：在所述将引导程序写入到所述目标进程的内存中的步骤之前，还包括：
调试所述目标进程；
保存所述目标进程运行环境；
在所述目标进程中分配一段内存空间为可读写。
4.根据权利要求1所述的方法，其特征在于：所述重定向过程包括：
利用目标进程空间中dlopen函数打开所述目标进程空间指定的动态库，枚举动态库函数表，获取该动态库的指定的API函数地址；
利用目标进程空间中dlopen函数打开拦截程序的动态库，获取所述API函数地址对应的新API函数地址；
去掉所述指定的动态库所在的内存写保护；
将所述获取的API函数地址替换为所述新API函数地址。
5.根据权利要求1所述的方法，其特征在于：通过PC将所述引导程序和拦截程序注入到所述设备中，并启动所述引导程序。
6.根据权利要求5所述的方法，其特征在于：所述PC通过安卓调试连接桥将所述引导程序和拦截程序注入到所述设备中。
7.根据权利要求5或6所述的方法，其特征在于：所述通过PC将所述引导程序和拦截程序注入到所述设备中的步骤，包括：
配置目标进程名称；
配置目标动态库路径；
配置拦截程序入口函数；
将用于所述设备的所述引导程序和拦截程序推送到所述设备。
8.根据权利要求1所述的方法，其特征在于：所述引导程序为可执行程序，所述拦截程序为动态库。
9.根据权利要求1所述的方法，其特征在于还包括，检测到所述目标进程的可疑行为后，通知用户对该可疑行为进行处理。
10.根据权利要求9所述的方法，其特征在于，检测到所述目标进程的可疑行为后，将该可疑行为记录到权限管理表，用户根据该权限管理表对该可疑行为进行处理。
11.一种基于安卓系统的设备的动态病毒检测装置，其特征在于，包括以下单元：
获取单元，用于获取需要进行病毒检测的正在运行的目标进程；
重定向单元，用于将所述目标进程所加载的动态库中指定的原始API函数重定向为拦截程序中的API函数；
引导单元，用于将引导程序写入到所述目标进程的内存中，通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向；
检测单元，用于检测所述目标进程的可疑行为；
所述引导单元包括：
内存分配单元，用于在所述目标进程空间中分配一块指定的内存，并置为可读写可执行；
动态库加载单元，用于将所述拦截程序编译的动态库加载到所述目标进程空间中；
入口函数启动单元，用于调用所述拦截程序的入口函数来启动所述重定向。
12.根据权利要求11所述的装置，其特征在于：
所述引导单元通过获取所述目标进程空间动态库的内存分配函数地址来在所述目标进程空间中分配所述指定的内存。
13.根据权利要求11所述的装置，其特征在于，还包括：
调试单元，用于调试所述目标进程；
运行环境保存单元，用于保存所述目标进程运行环境；
内存空间分配单元，用于在所述目标进程中分配一段内存空间为可读写。
14.根据权利要求11所述的装置，其特征在于：所述重定向单元包括：
目标进程动态库开启单元，用于利用目标进程空间中dlopen函数打开所述目标进程空间指定的动态库，枚举动态库函数表，获取该动态库的指定的API函数地址；
拦截程序动态库开启单元，用于利用目标进程空间中dlopen函数打开拦截程序的动态库，获取所述API函数地址对应的新API函数地址；
内存写保护去除单元，用于去掉所述指定的动态库所在的内存写保护；
替换单元，用于将所述获取的API函数地址替换为所述新API函数地址。
15.根据权利要求11所述的装置，其特征在于，还包括：PC端注入单元，用于通过PC将所述引导程序和拦截程序注入到所述设备中，并启动所述引导程序。
16.根据权利要求15所述的装置，其特征在于：所述PC端注入单元为安卓调试连接桥。
17.根据权利要求15或16所述的装置，其特征在于：所述PC端注入单元包括：
名称配置单元，用于配置目标进程名称；
路径配置单元，用于配置目标动态库路径；
入口函数配置单元，用于配置拦截程序入口函数；
推送单元，用于将用于所述设备的所述引导程序和拦截程序推送到所述设备。
18.根据权利要求11所述的装置，其特征在于：所述引导程序为可执行程序，所述拦截程序为动态库。
19.根据权利要求11所述的装置，其特征在于还包括，通知单元，用户当检测到所述目标进程的可疑行为后，通知用户对该可疑行为进行处理。
20.根据权利要求19所述的装置，其特征在于，所述通知单元检测到所述目标进程的可疑行为后，将该可疑行为记录到权限管理表，用户根据该权限管理表对该可疑行为进行处理。

一种基于安卓系统的设备的动态病毒检测方法和装置\n技术领域\n[0001] 本发明涉及信息安全领域，特别地，涉及一种基于安卓系统的设备的动态病毒检测方法。\n背景技术\n[0002] 目前，Android系统是移动终端领域最主流的操作系统，用户对系统的安全性要求越来越高。对恶意软件的检测方法，目前主要有两种，一种是静态检测，通过对APK(Android Package)安装包反编译后的JAVA字节码与病毒的特征码比较进行分析，通过对应用程序申请的权限进行分析；另外一种是动态检测，在程序运行的时候检测程序是否有恶意的行为，主要是检测程序运行时是否释放了可疑的特征码，利用Android框架层的API(Application Program Interface)判断应用程序运行过程中是否申请了特定的权限。\n[0003] 恶意软件的静态检测方法主要是将APK安装包反编译出JAVA字节码，与病毒的特征码比较，匹配则认为程序被插入恶意代码，另外通过分析应用程序申请的权限内容来判定程序是否潜在可疑的行为。这种方法要求病毒的特征码的覆盖面要广，以便更有效的检测到病毒，但是实际应用中，病毒的繁衍速度往往比已提取的病毒库要快，而且大多的应用程序都会申请很多看上去并不需要的权限，静态申请了并不代表就会去使用，一刀切容易误判，如腾讯QQ申请了发短信的权限，实际上并不会发送短信或者只能在特定情况下发送短信，不能因此就判定腾讯QQ程序就是病毒。\n[0004] 恶意软件的动态检测方法主要是在应用程序运行过程中检测程序是否包括可疑的特征码，是否申请了不应申请的权限。相比静态检测，该方法能更有效检测到应用程序申请权限的行为，但是也依赖病毒库的特征码信息，并且基于Android框架层的API进行检测，有些病毒利用底层接口入侵，该方法根本无法检测到。\n发明内容\n[0005] 为了有效地检测利用底层库接口入侵的病毒程序，我们提出一种基于安卓系统的设备的动态病毒检测方法，其特征在于，包括以下步骤：\n[0006] 获取需要进行病毒检测的正在运行的目标进程；\n[0007] 将所述目标进程所加载的动态库中指定的原始API函数重定向为拦截程序中的API函数；\n[0008] 检测所述目标进程的可疑行为。\n[0009] 优选地，还包括：\n[0010] 将引导程序写入到所述目标进程的内存中，通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向。\n[0011] 优选地，所述通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向的步骤包括：\n[0012] 在所述目标进程空间中分配一块指定的内存，并置为可读写可执行；\n[0013] 将所述拦截程序编译的动态库加载到所述目标进程空间中；\n[0014] 调用所述拦截程序的入口函数来启动所述重定向。\n[0015] 优选地，\n[0016] 所述引导程序通过获取所述目标进程空间动态库的内存分配函数地址来在所述目标进程空间中分配所述指定的内存。\n[0017] 优选地，在所述将引导程序写入到所述目标进程的内存中的步骤之前，还包括：\n[0018] 调试所述目标进程；\n[0019] 保存所述目标进程运行环境；\n[0020] 在所述目标进程中分配一段内存空间为可读写。\n[0021] 优选地，所述重定向过程包括：\n[0022] 利用目标进程空间中dlopen函数打开所述目标进程空间指定的动态库，枚举动态库函数表，获取该动态库的指定的API函数地址；\n[0023] 利用目标进程空间中dlopen函数打开拦截程序的动态库，获取所述API函数地址对应的新API函数地址；\n[0024] 去掉所述指定的动态库所在的内存写保护；\n[0025] 将所述获取的API函数地址替换为所述新API函数地址。\n[0026] 优选地，通过PC将所述引导程序和拦截程序注入到所述设备中，并启动所述引导程序。\n[0027] 优选地，所述PC通过安卓调试连接桥将所述引导程序和拦截程序注入到所述设备中。\n[0028] 优选地，所述通过PC将所述引导程序和拦截程序注入到所述设备中的步骤，包括：\n[0029] 配置目标进程名称；\n[0030] 配置目标动态库路径；\n[0031] 配置拦截程序入口函数；\n[0032] 将用于所述设备的所述引导程序和拦截程序推送到所述设备。\n[0033] 优选地，所述引导程序为可执行程序，所述拦截程序为动态库。\n[0034] 优选地，还包括，检测到所述目标进程的可疑行为后，通知用户对该可疑行为进行处理。\n[0035] 优选地，检测到所述目标进程的可疑行为后，将该可疑行为记录到权限管理表，用户根据该权限管理表对该可疑行为进行处理。\n[0036] 本发明还提供了一种基于安卓系统的设备的动态病毒检测装置，其特征在于，包括以下单元：\n[0037] 获取单元，用于获取需要进行病毒检测的正在运行的目标进程；\n[0038] 重定向单元，用于将所述目标进程所加载的动态库中指定的原始API函数重定向为拦截程序中的API函数；\n[0039] 检测单元，用于检测所述目标进程的可疑行为。\n[0040] 优选地，还包括：\n[0041] 引导单元，用于将引导程序写入到所述目标进程的内存中，通过所述引导程序来启动一拦截程序实现所述原始API函数的重定向。\n[0042] 优选地，所述引导单元包括：\n[0043] 内存分配单元，用于在所述目标进程空间中分配一块指定的内存，并置为可读写可执行；\n[0044] 动态库加载单元，用于将所述拦截程序编译的动态库加载到所述目标进程空间中；\n[0045] 入口函数启动单元，用于调用所述拦截程序的入口函数来启动所述重定向。\n[0046] 优选地，\n[0047] 所述引导单元通过获取所述目标进程空间动态库的内存分配函数地址来在所述目标进程空间中分配所述指定的内存。\n[0048] 优选地，还包括：\n[0049] 调试单元，用于调试所述目标进程；\n[0050] 运行环境保存单元，用于保存所述目标进程运行环境；\n[0051] 内存空间分配单元，用于在所述目标进程中分配一段内存空间为可读写。\n[0052] 优选地，所述重定向单元包括：\n[0053] 目标进程动态库开启单元，用于利用目标进程空间中dlopen函数打开所述目标进程空间指定的动态库，枚举动态库函数表，获取该动态库的指定的API函数地址；\n[0054] 拦截程序动态库开启单元，用于利用目标进程空间中dlopen函数打开拦截程序的动态库，获取所述API函数地址对应的新API函数地址；\n[0055] 内存写保护去除单元，用于去掉所述指定的动态库所在的内存写保护；\n[0056] 替换单元，用于将所述获取的API函数地址替换为所述新API函数地址。\n[0057] 优选地，还包括：PC端注入单元，用于通过PC将所述引导程序和拦截程序注入到所述设备中，并启动所述引导程序。\n[0058] 优选地，所述PC端注入单元为安卓调试连接桥。\n[0059] 优选地，所述PC端注入单元包括：\n[0060] 名称配置单元，用于配置目标进程名称；\n[0061] 路径配置单元，用于配置目标动态库路径；\n[0062] 入口函数配置单元，用于配置拦截程序入口函数；\n[0063] 推送单元，用于将用于所述设备的所述引导程序和拦截程序推送到所述设备。\n[0064] 优选地，所述引导程序为可执行程序，所述拦截程序为动态库。\n[0065] 优选地，还包括，通知单元，用户当检测到所述目标进程的可疑行为后，通知用户对该可疑行为进行处理。\n[0066] 优选地，所述通知单元检测到所述目标进程的可疑行为后，将该可疑行为记录到权限管理表，用户根据该权限管理表对该可疑行为进行处理。\n[0067] 本发明提供的Android底层库代码的动态病毒检测方法，不完全依赖病毒库的特征码和用户权限检测，比之静待检测更快捷准确；另外，本发明通过在Android底层库进行拦截排查，比之普通动态检测方法的框架层检测，可以更有效地评估应用程序的可疑行为，尤其是更深层次的可疑行为，是一种便捷高效的病毒检测方法。\n附图说明\n[0068] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：\n[0069] 图1是Android手机端和PC端的功能架构图；\n[0070] 图2是目标进程动态病毒检测方法流程图；\n[0071] 图3是引导模块加载拦截模块的流程图；\n[0072] 图4是重定向过程流程图；\n[0073] 图5是检测过程流程图。\n具体实施方式\n[0074] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。\n[0075] 本发明实施例提供的基于安卓系统的设备的病毒动态检测方法，参见图1，检测过程主要由引导模块S101、拦截模块S102和权限管理模块S103来执行。引导模块S101编译成可执行程序，拦截模块S102编译成动态库，权限管理模块S103为上层应用APK。引导模块S101在不中断目标进程的前提下，将拦截模块S102导入到目标进程中，并启动拦截模块S102；拦截模块S102则动态地将目标进程所加载的动态库中指定的原始API重定向为拦截模块S102中的API，从而改变原有API流程并检测可疑行为；当拦截模块S102检测到了可疑行为，通过socket与权限管理模块S103通信；权限管理模块S103接收来自拦截模块S102的可疑行为通知后，可由用户进行授权或者拒绝授权。\n[0076] 上述动态病毒检测程序可以通过PC端注入，PC端适用于Windows系统和Linux系统，注入过程主要由配置模块S105和注入模块S104来执行，配置模块S105负责指定的目标进程名称、目标动态库路径、拦截模块入口函数；注入模块S104负责将Android端的引导模块S101编译的可执行程序、拦截模块S102编译的动态库以及权限管理模块S103的应用包推送到Android设备，可以使用Android Debug Bridge连接桥来实现模块的推送，将上述模块推送到Android设备后，启动Android端的引导模块S101来执行病毒的检测过程。\n[0077] 参见图2，图3和图4，病毒检测的具体处理过程如下：\n[0078] S201、获取需要进行病毒检测的正在运行的目标进程；\n[0079] 在安卓系统出现异常，或者需要定期对系统进行病毒检测时，系统一般会获取一些敏感程序和函数进行主要排查。引导模块负责主要的加载工作，首先，系统需要获取需要进行病毒检测的目标进程，将正在运行的目标进程挂起并进行调试，保存其运行环境，以便将病毒检测程序加载到该目标进程中。\n[0080] S202、将所述目标进程所加载的动态库中指定的原始API函数重定向为拦截程序中的API函数；\n[0081] 目标进程挂起后，引导模块继续执行将执行重定向的拦截模块导入。参见图3，首先，引导模块获取目标进程空间动态库libc.so的mmap内存分配函数地址，然后在目标进程空间中分配一块指定的内存，并置为可读写可执行；获取目标进程空间可执行程序linker的dlopen,dlsym函数地址；将拦截模块编译的动态库加载到目标进程空间中；调用拦截模块中的入口函数以便实现API函数的重定向，之后，恢复目标进程运行。\n[0082] 在引导模块启动了拦截模块中的入口函数之后，拦截模块继续执行来实现API重定向，参见图4，具体过程如下：\n[0083] 1.利用目标进程空间中dlopen函数打开目标进程空间指定的动态库，枚举动态库函数表，获取该动态库的指定的函数地址；\n[0084] 2.利用目标进程空间中dlopen函数打开拦截模块的动态库，获取上述指定的函数地址对应的新API函数地址；\n[0085] 3.去掉上述指定的动态库所在的内存写保护；\n[0086] 4.将上述获取的函数地址替换为上述新的API函数地址。\n[0087] S203、检测所述目标进程的可疑行为。\n[0088] 重定向实现后，拦截模块继续负责病毒的检测操作，病毒的检测主要依靠重定向过程中使用的新API函数，新API函数的功能可以设计为，先检测目标进程是否有操作后台数据库的异常动作，然后再重新调用原有函数。这样设计，可以在异常行为检测完后，不影响原函数的运行和函数功能的实现。\n[0089] 参见图5，当检测到目标进程的可疑行为时，通过socket通知权限管理模块，权限管理模块发消息通知用户，由用户来判断该行为是否是合法行为，如果用户确定该行为是用户自己的操作，或是其他人的合法操作，则可以选择允许该操作，此时，目标进程的检测操作结束，然后继续调用原函数，实现原函数的功能；如果用户确定该行为不是自己的发出的，或是其他非法的操作，则可以阻止该操作。\n[0090] 病毒的检测主要依靠重定向过程中使用的新API函数来实现，新的API函数可根据具体的检测方法和用途来编写，例如：如果需要检测目标进程是否有操作数据库的行为，包括读取短信、通话记录等，那么可以重定向动态库libsqlite.so中的原有API函数sqlite3_open为新API函数hook_sqlite3_open，重定向原有API函数sqlite3_exec为新API函数hook_sqlite3_exec。\n[0091] 原有sqlite3_open函数的功能是打开一个数据库,该函数原型为：\n[0092]\n[0093] 新API函数hook_sqlite3_open的功能可以设计为，先检测目标进程是否有操作后台数据库的异常动作，然后再重新调用原有sqlite3_open函数。\n[0094] 在检测过程中，可以判断该API函数的第一个参数filename名称，如果名称为“/data/data/com.android.providers.telephony/databases/mmssms.db”，则说明该进程有操作短信数据库的可疑行为；如果名称为“/data/data/com.android.providers.contacts/databases/contact2.db”，则说明该进程有操作联系人数据库的可疑行为。可以将该进程的可疑行为记录到权限管理表(后面的hook_sqlite3_exec使用)中，并通过socket发消息通知用户，由用户来判断该行为是否是合法行为，如果用户确定该行为是用户自己的操作，或是其他人的合法操作，可以选择允许该操作；如果用户确定该行为不是自己的发出的，或是其他非法的操作，则可以阻止该操作。\n[0095] 要检测更深入的数据库操作行为可再重定向sqlite3_exec函数。该函数的功能是在一个已打开的数据中执行指定的sql语句，包括查询、增加、删除、修改。\n[0096] sqlite3_exec函数原型为：\n[0097]\n[0098] 新API函数hook_sqlite3_exec的功能可以设计为，检测对数据库的操作行为是否合法，然后调用原API函数继续实现原API函数功能。\n[0099] 在检测过程中，可以判断该API函数的第一个参数db是否在权限管理表中，且第二个参数zSql字符串是否包含“select”(查询行为)、“insert”(插入行为)、“update”(修改行为)、“delete”(删除行为)；如果有可疑行为，则记录该进程的可疑行为到权限管理表中，通过socket发消息通知用户，由用户来判断该行为是否合法。\n[0100] 本发明实施例使用的API拦截方法，可以改变Android系统底层函数的调用流程，可用于Android木马动态检测，在系统受到可疑程序入侵时更有效的防范，大大提高了Android系统的安全性。该方案使用的API拦截注入装置，通用性较好，使用者不需考虑注入的过程和细节，只需配置好目标进程和动态库等参数，根据特定的用途完成拦截模块的API实现，就可以高效地进行Android木马检测及防范。\n[0101] 需要说明的是，本发明不针对任何特定编程语言。本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。\n[0102] 本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网络多媒体资源信息的处理、提供、加载设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。\n[0103] 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。\n[0104] 计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。