一种针对Android系统App行为的监控方法

1.一种针对Android系统App行为的监控方法，通过安全内核实现方法在Android内核层添加模块，实现对整个Android系统的系统调用的拦截与监控；包括如下步骤：
S1.编写内核模块；所述编写的内核模块用于实现如下操作：
a)获取系统调用表；
b)编写自定义函数；
c)用所述自定义函数的地址替换所述系统调用表里面的系统调用函数；
d)通过所述自定义函数获取相关进程信息；
e)编写Netlink socket通信模块，用于将所述相关进程信息传递给应用层；
S2.在步骤S1编写的内核模块中，通过hook方法实现对系统调用函数的替换；
S3.将步骤S1编写的内核模块加载到内核中去，实现对替换调用函数的拦截，拦截得到调用函数；
S4.设定监控目标，包括设定敏感数据和操作，判断拦截得到的调用函数是否对所述设定的敏感数据进行了设定操作；当发生有所述设定时，记录调用函数操作的进程信息，再执行步骤S5；当没有发生所述设定操作时，结束操作；
S5.通过内核模块编写的Netlink Socket通信功能，将所述记录的调用函数操作的进程信息传递给上层接收程序，形成日志文件。
2.如权利要求1所述针对Android系统App行为的监控方法，其特征是，步骤S1的e)中，所述通信模块采用Netlink socket通信。
3.如权利要求1所述针对Android系统App行为的监控方法，其特征是，步骤S2所述hook方法具体包括：首先编写自定义函数；再通过将自定义函数的地址替换系统调用函数的地址，实现对系统调用函数的替换；所述系统调用函数的地址通过步骤S1获取的系统调用表得到。
4.如权利要求3所述针对Android系统App行为的监控方法，其特征是，步骤S2所述hook方法具体通过使用Linux hook api和inline hook对系统调用进行处理，实现对系统调用函数的替换。
5.如权利要求3所述针对Android系统App行为的监控方法，其特征是，步骤S2所述系统调用表地址的获取具体是通过代码来模仿swi中断，在中断过程中将系统调用表的地址放入寄存器中，由此获得所述系统调用表地址。
6.如权利要求3所述针对Android系统App行为的监控方法，其特征是，所述自定义函数的参数列表必须和相应的系统调用函数的参数列表一致，并且在自定义函数的尾部要继续调用所述相应的系统函数，从而使得所述自定义函数能够正确返回。
7.如权利要求1所述针对Android系统App行为的监控方法，其特征是，步骤S4所述调用函数操作的进程信息还包括：通过获取所述进程的上下文而获得的其他信息。

暂无