基于hook的iOS系統(tǒng)關(guān)鍵行為檢測裝置和方法
【專利摘要】一種基于hook的蘋果操作系統(tǒng)iOS關(guān)鍵行為檢測裝置和方法�,該檢測裝置是通過hook關(guān)鍵行為的應(yīng)用程序編程接口API實(shí)時(shí)捕獲iOS系統(tǒng)的關(guān)鍵行為���,用于監(jiān)控蘋果終端iOS系統(tǒng)的設(shè)定關(guān)鍵行為����,獲取與該關(guān)鍵行為相關(guān)的信息�,并在服務(wù)端實(shí)時(shí)展示給用戶,或者保存為結(jié)果報(bào)表����,以供用戶進(jìn)行審核與評估����;該裝置是由分別設(shè)置在iOS終端層的行為追蹤模塊�����,以及位于PC設(shè)備層�、順序連接的用戶接口模塊、安全風(fēng)險(xiǎn)報(bào)告模塊和行為分析模塊共四個(gè)部件組成的����。本發(fā)明檢測裝置的創(chuàng)新優(yōu)點(diǎn)是:系統(tǒng)關(guān)鍵行為檢測的實(shí)時(shí)性和全面性,能夠檢測多種系統(tǒng)關(guān)鍵行為�,還具有很好的擴(kuò)充能力,既支持多操作系統(tǒng)��,又能提供多種不同的檢測報(bào)告����,方便查閱和分析。
【專利說明】基于hook的1S系統(tǒng)關(guān)鍵行為檢測裝置和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種檢測蘋果手機(jī)操作系統(tǒng)1S關(guān)鍵行為的技術(shù)�����,確切地說,涉及一種基于鉤子hook的1S系統(tǒng)關(guān)鍵行為檢測裝置和方法���,屬于信息安全中的軟件安全的【技術(shù)領(lǐng)域】��。
【背景技術(shù)】
[0002]目前��,基于hook的1S關(guān)鍵行為檢測工具很少。現(xiàn)有技術(shù)的開源軟件也只包括:Introspy0下面對Instrospy-1OS進(jìn)行簡介:它是一款1S上用于動態(tài)檢測軟件行為�����、評估軟件安全的工具����。該工具分為兩部分:行為追蹤器和行為分析器。其中����,行為追蹤器安裝在1S終端中,通過hook關(guān)鍵行為的應(yīng)用程序編程接口 API (Applicat1n ProgrammingInterface)來獲取指定軟件的關(guān)鍵行為��,這些API包括:加解密���、IPC�、數(shù)據(jù)存儲和網(wǎng)絡(luò)連接等。最后將這些函數(shù)調(diào)用的信息記錄并永久保存在數(shù)據(jù)庫中�����。行為分析器是安裝在PC設(shè)備中��,是以行為追蹤器生成的數(shù)據(jù)庫文件作為輸入��,進(jìn)行分析處理后��,在本地生成指定格式(如xml����、html)的結(jié)果報(bào)表,并在結(jié)果報(bào)表中���,羅列出該指定軟件執(zhí)行過程中執(zhí)行的所有關(guān)鍵行為��。
[0003]現(xiàn)在����,有關(guān)1S系統(tǒng)關(guān)鍵行為檢測領(lǐng)域�,國內(nèi)外的科研人員開展的研究都很少,成型的檢測裝置更是鳳毛麟角����。目前���,1S系統(tǒng)關(guān)鍵行為檢測方法只有一種:敏感文件監(jiān)測。該敏感文件監(jiān)測的基本思路是讀取數(shù)據(jù)庫中的敏感文件并進(jìn)行匹配�。由于1S系統(tǒng)中的所有敏感文件數(shù)據(jù)庫都是sql ite數(shù)據(jù)庫,可以像訪問普通數(shù)據(jù)文件一樣訪問它����。所以,敏感文件監(jiān)測的通常操作步驟是:首先讀取敏感文件數(shù)據(jù)庫的內(nèi)容(如短信數(shù)據(jù)庫)���,然后每隔設(shè)定一段時(shí)間,重新讀取該敏感文件數(shù)據(jù)庫�����,并將所讀取的內(nèi)容與以前的讀取內(nèi)容或結(jié)果進(jìn)行匹配�����,得到最新的文件修改���,判斷是否觸發(fā)了敏感行為�。
[0004]目前,僅有的1S系統(tǒng)關(guān)鍵行為檢測方法都是以監(jiān)控文件操作為主���,雖然也能捕獲到系統(tǒng)的關(guān)鍵行為�����,但是�,其局限性還是比較大�。比如:
[0005](I)檢測的實(shí)時(shí)性不強(qiáng):基于監(jiān)控文件的系統(tǒng)關(guān)鍵行為檢測是目前1S系統(tǒng)關(guān)鍵行為檢測使用的最普遍的方法。其主要思路就是不斷比較敏感文件中的內(nèi)容�,用于判斷系統(tǒng)的關(guān)鍵行為。
[0006]例如:通過不斷讀取/private/var/mobile/Library/SMS/目錄下的 sms.db 文件�����,判斷是否有寫入的新數(shù)據(jù)��。若有�,則認(rèn)為觸發(fā)了系統(tǒng)發(fā)送、接收了短信���。但是���,這種方法不具有實(shí)時(shí)性�����,無法在短信發(fā)送����、接受之后����,就立即檢測到結(jié)果。
[0007](2)成本高�����、效率低:因?yàn)樽x取敏感文件要涉及到讀文件��、匹配文件等多項(xiàng)操作����,時(shí)間成本與其他成本太高��。如果文件很大����,則大大降低了檢測的效率�。
[0008]目前��,1S平臺上惡意軟件不少���,例如:2012年Kaspersky Lab發(fā)現(xiàn)了一款名叫Find&Call的惡意應(yīng)用�����,它能夠在用戶無法察覺的情況下����,將用戶通訊錄和短信內(nèi)容發(fā)送至指定的服務(wù)器�����。2014年Stefan Esser發(fā)現(xiàn)了 unf1d惡意插件,它能夠獲得用戶的應(yīng)用標(biāo)識appID (applicat1n identificat1n)和密碼����,并將其發(fā)送給指定服務(wù)器。這些惡意軟件都能在用戶不知情的情況下����,觸發(fā)系統(tǒng)的關(guān)鍵行為,如:偷偷發(fā)送短信�����、聯(lián)網(wǎng)或撥打電話等,給用戶隱私和財(cái)產(chǎn)安全造成了很大的威脅�����。因此�����,國內(nèi)外的業(yè)內(nèi)科技人員都在關(guān)注動態(tài)檢測軟件運(yùn)行時(shí)�,是否觸發(fā)蘋果操作系統(tǒng)1S的關(guān)鍵行為的檢測技術(shù)。
【發(fā)明內(nèi)容】
[0009]有鑒于此��,本發(fā)明的目的是提供一種基于hook的1S系統(tǒng)關(guān)鍵行為檢測裝置和方法�����,本發(fā)明可以實(shí)時(shí)監(jiān)測電話���、短信、聯(lián)網(wǎng)����、地理位置等系統(tǒng)關(guān)鍵行為���,它是通過hook技術(shù)攔截所有系統(tǒng)關(guān)鍵行為觸發(fā)的函數(shù),獲得關(guān)鍵行為的相關(guān)信息���,并發(fā)送給服務(wù)器���,再將檢測出來的系統(tǒng)安全風(fēng)險(xiǎn)向用戶報(bào)告。
[0010]為了達(dá)到上述目的��,本發(fā)明提供了一種基于hook的蘋果操作系統(tǒng)1S關(guān)鍵行為檢測裝置����,其特征在于:所述裝置是通過hook關(guān)鍵行為的應(yīng)用程序編程接口API (Applicat1n Programming Interface)實(shí)時(shí)捕獲1S系統(tǒng)的關(guān)鍵行為,用于監(jiān)控蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為,獲取與該關(guān)鍵行為相關(guān)的信息��,并在服務(wù)端實(shí)時(shí)展示給用戶�,或者保存為結(jié)果報(bào)表,以供用戶進(jìn)行審核與評估��;該裝置是由分別設(shè)置在1S終端層的行為追蹤模塊�����,以及位于PC設(shè)備層、順序連接的用戶接口模塊���、安全風(fēng)險(xiǎn)報(bào)告模塊和行為分析模塊共四個(gè)部件組成�����;其中:
[0011]行為追蹤模塊��,用于實(shí)時(shí)檢測設(shè)定蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為:先接收由行為分析模塊的通信單元發(fā)來的開始檢測信號�,并由該行為追蹤模塊中的hook單元實(shí)時(shí)捕獲設(shè)定1S終端1S系統(tǒng)的設(shè)定關(guān)鍵行為API����,獲取這些API的參數(shù)和返回值,再按照設(shè)定格式封裝這些信息后��,通過網(wǎng)絡(luò)套接字socket通信將已封裝的信息返回給行為分析模塊進(jìn)行處理�����;
[0012]用戶接口模塊��,負(fù)責(zé)與用戶交互信息:一方面接受用戶檢測1S系統(tǒng)設(shè)定關(guān)鍵行為的請求��,然后給行為分析模塊發(fā)送開始信號和待檢測的關(guān)鍵行為類型��;另一方面接收安全風(fēng)險(xiǎn)報(bào)告模塊返回的系統(tǒng)關(guān)鍵行為信息�,并向用戶展示;
[0013]行為分析模塊��,用于接收并解析來自蘋果終端傳送來的關(guān)鍵行為信息:該模塊的通信單元接收到來自用戶接口模塊的檢測類型后����,就將開始檢測信號發(fā)送給行為追蹤模塊,并將接收到的行為追蹤模塊的返回信息��,轉(zhuǎn)發(fā)給數(shù)據(jù)分析單元處理����;數(shù)據(jù)分析單元先對接收到的返回信息進(jìn)行“解封裝”處理,得到處理結(jié)果后�����,將該處理結(jié)果傳送給安全分析單元進(jìn)行后續(xù)分析后�����,再轉(zhuǎn)發(fā)給安全風(fēng)險(xiǎn)報(bào)告模塊����;
[0014]安全風(fēng)險(xiǎn)報(bào)告模塊,負(fù)責(zé)根據(jù)行為分析模塊的分析處理結(jié)果,將發(fā)現(xiàn)的1S系統(tǒng)關(guān)鍵行為信息整合成一張包括xml和html設(shè)定格式的結(jié)果報(bào)表�����,存儲在本地�����,以供用戶審核與分析�����;同時(shí)將發(fā)現(xiàn)的系統(tǒng)關(guān)鍵行為信息傳送給用戶接口模塊����,以供展示給用戶。
[0015]為了達(dá)到上述目的��,本發(fā)明還提供了一種基于hook的1S系統(tǒng)關(guān)鍵行為檢測裝置的檢測方法��,其特征在于:所述方法包括下列操作步驟:
[0016]步驟1����,PC終端層設(shè)置檢測參數(shù)和檢測范圍:用戶在PC終端設(shè)置需要檢測的蘋果終端的ip地址與端口號及其關(guān)鍵行為后,該檢測裝置開始啟動工作����;
[0017]步驟2�,1S終端層的行為追蹤模塊利用hook技術(shù)檢測和提取各個(gè)敏感的應(yīng)用程序編程接口 API (Applicat1n Programming Interface)的參數(shù)和返回值,發(fā)送給PC設(shè)備層的行為分析模塊����;
[0018]步驟3,PC設(shè)備層的行為分析模塊接收到各個(gè)敏感API的參數(shù)和返回值后,進(jìn)行分類處理分析�����;
[0019]步驟4�,行為分析模塊中的安全分析單元完成關(guān)鍵行為的安全分析后����,將分析結(jié)果傳送給安全風(fēng)險(xiǎn)報(bào)告模塊,并存儲于設(shè)定格式的本地文件中��;同時(shí)將分析結(jié)果傳送給用戶接口模塊����,根據(jù)不同的關(guān)鍵行為,分別展示在不同的界面上���。
[0020]本發(fā)明基于hook技術(shù)的1S系統(tǒng)關(guān)鍵行為檢測裝置�����,能夠監(jiān)控蘋果終端上的設(shè)定1S系統(tǒng)關(guān)鍵行為��,獲取與該關(guān)鍵行為的相關(guān)信息�����,并在服務(wù)端實(shí)時(shí)地展示給用戶�,或者保存為報(bào)表,提交給用戶進(jìn)行審核與評估����。其創(chuàng)新優(yōu)點(diǎn)如下:
[0021](A)系統(tǒng)關(guān)鍵行為檢測的實(shí)時(shí)性:由于該裝置的檢測機(jī)理是基于hook機(jī)制,與其他檢測裝置相比�����,該裝置最大的優(yōu)點(diǎn)是實(shí)時(shí)性好�。例如:只要系統(tǒng)的短信行為一旦被觸發(fā),本發(fā)明檢測裝置就能立即檢測到該行為�����,并獲取到收件人��、發(fā)件人和信息內(nèi)容。比起直接監(jiān)控短信數(shù)據(jù)庫�,該檢測裝置的效率更高,具有很強(qiáng)的實(shí)時(shí)性�。
[0022](B)系統(tǒng)關(guān)鍵行為檢測的全面性:無論第三方軟件如何偽裝,最終其要執(zhí)行系統(tǒng)關(guān)鍵行為時(shí)�,都得調(diào)用系統(tǒng)原生的API。本發(fā)明檢測裝置中的所有hook的API都是系統(tǒng)原生API���,比起其他檢測裝置,本發(fā)明裝置檢測的范圍更加深入�����,保證了系統(tǒng)關(guān)鍵行為檢測的全面性����。
[0023](C)多種系統(tǒng)關(guān)鍵行為的檢測及擴(kuò)充能力:目前,其他工具只能支持特定的行為���,例如inst1spy只能檢測文件操作���、http聯(lián)網(wǎng)等。本發(fā)明檢測裝置是基于hook對蘋果操作系統(tǒng)1S關(guān)鍵行為實(shí)施監(jiān)控�����。然而hook又是基于MobileSubstrate框架,只要確定了關(guān)鍵行為觸發(fā)的API后,MobileHooker就能捕獲該1S系統(tǒng)關(guān)鍵行為����,就能夠根據(jù)用戶需求增加對應(yīng)的API,從而增加更多的1S系統(tǒng)關(guān)鍵行為的檢測支持���。目前���,本發(fā)明已經(jīng)能夠支持5類以上的系統(tǒng)關(guān)鍵行為的檢測,尤其是對電話短信系統(tǒng)行為的檢測�����,是目前其他工具都無法實(shí)現(xiàn)的��。該裝置還能夠不斷添加新的系統(tǒng)關(guān)鍵行為作為檢測目標(biāo)��。
[0024](D)支持多操作系統(tǒng):相對其他軟件安全工具�,本發(fā)明檢測裝置能夠支持蘋果終端i0S6以上的所有系統(tǒng)關(guān)鍵行為實(shí)施實(shí)時(shí)檢測。
[0025](E)檢測報(bào)告多樣性:本發(fā)明檢測裝置可以在對1S系統(tǒng)關(guān)鍵行為檢測后��,分別自動生成html格式和xml格式的檢測報(bào)告�����,易于分類記錄管理;并且����,可在需要的時(shí)候生成檢測結(jié)果的綜合報(bào)告,方便綜合查閱����、分析。
[0026]總之���,本發(fā)明具有很好的推廣應(yīng)用前景。
【專利附圖】
【附圖說明】
[0027]圖1是本發(fā)明基于hook的蘋果操作系統(tǒng)1S關(guān)鍵行為檢測裝置的結(jié)構(gòu)組成圖��。
[0028]圖2是本發(fā)明基于hook的蘋果操作系統(tǒng)1S關(guān)鍵行為檢測裝置的檢測方法操作步驟流程圖���。
[0029]圖3是本發(fā)明1S關(guān)鍵行為檢測裝置中的行為追蹤模塊操作步驟流程圖���。
[0030]圖4是本發(fā)明1S關(guān)鍵行為檢測裝置中的行為分析模塊操作步驟流程圖。
[0031]圖5是本發(fā)明1S關(guān)鍵行為檢測裝置實(shí)施例中的操作步驟流程圖����。
【具體實(shí)施方式】
[0032]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)描述��。
[0033]本發(fā)明基于hook的1S系統(tǒng)關(guān)鍵行為檢測裝置�����,是通過hook關(guān)鍵行為的應(yīng)用程序編程接口 API實(shí)時(shí)捕獲到1S系統(tǒng)的關(guān)鍵行為�����,用于監(jiān)控蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為����,并提取出和該關(guān)鍵行為相關(guān)的信息,再發(fā)送給PC前臺服務(wù)端��,實(shí)時(shí)展示給用戶���,或者生成結(jié)果報(bào)表�,以供用戶進(jìn)行審核與分析。
[0034]目前���,本發(fā)明檢測裝置支持檢測的1S系統(tǒng)的設(shè)定關(guān)鍵行為如下表所示:
[0035]
【權(quán)利要求】
1.一種基于hook的蘋果操作系統(tǒng)1S關(guān)鍵行為檢測裝置��,其特征在于:所述裝置是通過hook關(guān)鍵行為的應(yīng)用程序編程接口 API (Applicat1n Programming Interface)實(shí)時(shí)捕獲1S系統(tǒng)的關(guān)鍵行為�����,用于監(jiān)控蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為���,獲取與該關(guān)鍵行為相關(guān)的信息,并在服務(wù)端實(shí)時(shí)展示給用戶����,或者保存為結(jié)果報(bào)表,以供用戶進(jìn)行審核與評估�����;該裝置是由分別設(shè)置在1S終端層的行為追蹤模塊��,以及位于PC設(shè)備層����、順序連接的用戶接口模塊、安全風(fēng)險(xiǎn)報(bào)告模塊和行為分析模塊共四個(gè)部件組成�;其中: 行為追蹤模塊,用于實(shí)時(shí)檢測設(shè)定蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為:先接收由行為分析模塊的通信單元發(fā)來的開始檢測信號�����,并由該行為追蹤模塊中的hook單元實(shí)時(shí)捕獲設(shè)定蘋果終端1S系統(tǒng)的設(shè)定關(guān)鍵行為API�����,獲取這些API的參數(shù)和返回值��,再按照設(shè)定格式封裝這些信息后�,通過網(wǎng)絡(luò)套接字socket通信將已封裝的信息返回給行為分析模塊進(jìn)行處理; 用戶接口模塊���,負(fù)責(zé)與用戶交互信息:一方面接受用戶檢測1S系統(tǒng)設(shè)定關(guān)鍵行為的請求�,然后給行為分析模塊發(fā)送開始信號和待檢測的關(guān)鍵行為類型�����;另一方面接收安全風(fēng)險(xiǎn)報(bào)告模塊返回的系統(tǒng)關(guān)鍵行為信息�����,并向用戶展示; 行為分析模塊���,用于接收并解析來自蘋果終端傳送來的關(guān)鍵行為信息:該模塊的通信單元接收到來自用戶接口模塊的檢測類型后�,就將開始檢測信號發(fā)送給行為追蹤模塊���,并將接收到的行為追蹤模塊的返回信息���,轉(zhuǎn)發(fā)給數(shù)據(jù)分析單元處理;數(shù)據(jù)分析單元先對接收到的返回信息進(jìn)行“解封裝”處理����,得到處理結(jié)果后,將該處理結(jié)果傳送給安全分析單元進(jìn)行后續(xù)分析后��,再轉(zhuǎn)發(fā)給安全風(fēng)險(xiǎn)報(bào)告模塊��; 安全風(fēng)險(xiǎn)報(bào)告模塊�����,負(fù)責(zé)根據(jù)行為分析模塊的分析處理結(jié)果����,將發(fā)現(xiàn)的1S系統(tǒng)關(guān)鍵行為信息整合成一張包括xml和html設(shè)定格式的結(jié)果報(bào)表,存儲在本地���,以供用戶審核與分析���;同時(shí)將發(fā)現(xiàn)的系統(tǒng)關(guān)鍵行為信息傳送給用戶接口模塊,以供展示給用戶��。
2.根據(jù)權(quán)利要求1所述的裝置��,其特征在于:所述裝置支持檢測的1S系統(tǒng)的設(shè)定關(guān)鍵行為包括:電話���、短信�、網(wǎng)絡(luò)連接�����、通訊錄訪問���,相冊訪問���,地理位置訪問,藍(lán)牙狀態(tài)��。
3.根據(jù)權(quán)利要求2所述的裝置,其特征在于:所述各個(gè)設(shè)定關(guān)鍵行為中的信息內(nèi)容是:電話信息是通話雙方號碼���、狀態(tài)和通話時(shí)長����,短信信息是短信收發(fā)雙方號碼及其短信內(nèi)容���,網(wǎng)絡(luò)連接信息是網(wǎng)頁地址URL(UniformResourceLocator)字段和連接時(shí)間,地理位置信息是訪問地理位置的應(yīng)用名稱和訪問時(shí)間��,通訊錄訪問信息是訪問通訊錄的應(yīng)用名稱和訪問時(shí)間��,相冊訪問信息是訪問相冊的應(yīng)用名稱和訪問時(shí)間���,藍(lán)牙狀態(tài)信息是藍(lán)牙是否改變狀態(tài)或改變藍(lán)牙狀態(tài)的應(yīng)用、以及其改變時(shí)間��。
4.一種基于hook的1S系統(tǒng)關(guān)鍵行為檢測裝置的檢測方法��,其特征在于:所述方法包括下列操作步驟: 步驟1�,PC終端層設(shè)置檢測參數(shù)和檢測范圍:用戶在PC終端設(shè)置需要檢測的蘋果終端的ip地址與端口號及其關(guān)鍵行為后,該檢測裝置開始啟動工作����; 步驟2��,1S終端層的行為追蹤模塊利用hook技術(shù)檢測和提取各個(gè)敏感的應(yīng)用程序編程接口 API (Applicat1n Programming Interface)的參數(shù)和返回值,發(fā)送給PC設(shè)備層的行為分析模塊���; 步驟3���,PC設(shè)備層的行為分析模塊接收到各個(gè)敏感API的參數(shù)和返回值后,進(jìn)行分類處理分析���; 步驟4��,行為分析模塊中的安全分析單元完成關(guān)鍵行為的安全分析后��,將分析結(jié)果傳送給安全風(fēng)險(xiǎn)報(bào)告模塊�����,并存儲于設(shè)定格式的本地文件中���;同時(shí)將分析結(jié)果傳送給用戶接口模塊,根據(jù)不同的關(guān)鍵行為�����,分別展示在不同的界面上。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于:所述步驟I中�����、設(shè)置需要檢測的該蘋果終端的1S系統(tǒng)關(guān)鍵行為包括:電話����、短信、網(wǎng)絡(luò)連接�、通訊錄訪問,相冊訪問��,地理位置訪問和藍(lán)牙狀態(tài)���;其中�����,電話信息是通話雙方號碼���、狀態(tài)和通話時(shí)長��,短信信息是短信收發(fā)雙方號碼及其短信內(nèi)容����,網(wǎng)絡(luò)連接信息是網(wǎng)頁地址URL(UniformResourceLocator)字段和連接時(shí)間��,地理位置信息是訪問地理位置的應(yīng)用名稱和訪問時(shí)間���,通訊錄訪問信息是訪問通訊錄的應(yīng)用名稱和訪問時(shí)間,相冊訪問信息是訪問相冊的應(yīng)用名稱和訪問時(shí)間�����,藍(lán)牙狀態(tài)信息是藍(lán)牙是否改變狀態(tài)或改變藍(lán)牙狀態(tài)的應(yīng)用����、以及其改變時(shí)間。
6.根據(jù)權(quán)利要求4所述的方法���,其特征在于:所述步驟2包括下列操作內(nèi)容: (21)行為追蹤模塊根據(jù)步驟I設(shè)置的關(guān)鍵行為����,將其寫入到/Library/MobileSubstrate/DynamicLibraries/目錄下的配置文件中����,用于指定動態(tài)鏈接庫的作用范圍��; (22)行為追蹤模塊利用MobileSubstrate框架里的MobileLoader��,將自行編寫的動態(tài)鏈接庫注入到設(shè)定程序���,以便在啟動這些設(shè)定程序時(shí),動態(tài)鏈接庫也同時(shí)被載入內(nèi)存���; (23)當(dāng)關(guān)鍵行為所對應(yīng)的API觸發(fā)后��,MobiIeSubstrate框架中的MobileHooker使用自行編寫的函數(shù)去替換原來的API ���; (24)在這些用于替換的函數(shù)中,采用關(guān)鍵詞匹配的方法提取每個(gè)關(guān)鍵行為的API參數(shù)和返回值�����,并將這些參數(shù)和返回值傳送給數(shù)據(jù)處理單元����; (25)數(shù)據(jù)處理單元根據(jù)不同的關(guān)鍵行為,采用相應(yīng)的不同方法從這些參數(shù)和返回值中提取與關(guān)鍵行為相關(guān)的信息; (26)數(shù)據(jù)處理單元根據(jù)不同類型分別采用相應(yīng)的不同數(shù)據(jù)封裝方法��,將封裝好的數(shù)據(jù)發(fā)送給通信單元�����; (27)通信單元采用socket通信將行為追蹤模塊封裝好的數(shù)據(jù)發(fā)送給行為分析模塊�。
7.根據(jù)權(quán)利要求4所述的方法,其特征在于:所述步驟3包括下列操作內(nèi)容: (31)行為分析模塊的通信單元接收到行為追蹤模塊檢測到的各個(gè)敏感API的參數(shù)和返回值�,傳送給數(shù)據(jù)分析單元; (32)數(shù)據(jù)分析單元首先解封裝�,得到各個(gè)1S系統(tǒng)關(guān)鍵行為的詳細(xì)信息后����,再將其傳送給安全分析單元; (33)安全分析單元根據(jù)設(shè)定規(guī)則中配置的1S系統(tǒng)關(guān)鍵行為對檢測結(jié)果進(jìn)行分析處理:所述的每種1S系統(tǒng)關(guān)鍵行為分別對應(yīng)一個(gè)安全分析單元�,再由該關(guān)鍵行為歸屬的安全分析單元進(jìn)行相應(yīng)處理。
【文檔編號】G06F21/50GK104182681SQ201410429756
【公開日】2014年12月3日 申請日期:2014年8月28日 優(yōu)先權(quán)日:2014年8月28日
【發(fā)明者】張淼, 徐國愛 申請人:北京軟安科技有限公司