本申请公开了一种进程监控的方法、装置和智能终端,属于通信技术领域。所述方法包括:在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。所述装置包括:拦截模块、注入模块和监控模块。所述智能终端包括:分发平台和Hook平台。本发明专利技术可以实现对任何子进程进行监控。
【技术实现步骤摘要】
【专利摘要】本申请公开了一种进程监控的方法、装置和智能终端,属于通信
。所述方法包括:在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。所述装置包括:拦截模块、注入模块和监控模块。所述智能终端包括:分发平台和Hook平台。本专利技术可以实现对任何子进程进行监控。【专利说明】进程监控的方法、装置和智能终端
本申请涉及通信
,具体涉及一种进程监控的方法、装置和智能终端。
技术介绍
随着通信技术的发展,手机等移动终端的功能越来越强大,不但可以通过移动终 端打电话、发短信息,而且还可以通过移动终端购物、进行支付等,因此移动终端的安全性 越来越重要。使用Android (安卓)系统的移动终端,一般应用程序(如即时通信应用程序、 游戏应用程序等)都是通过JAVA进程创建JAVA子进程进行运行。 近年来,利用Android平台对应用程序只能从整体上授予行为权限的特点,针对 Android平台的恶意应用程序大量增加,恶意应用程序在申请用户授权的行为权限上,增加 多个影响用户安全性的行为权限,例如,发送短信、读取联系人、联网、录音、读取用户精确 GPS位置信息等行为权限,与该恶意应用程序正常运行所需的行为权限进行绑定,并以各 种诱人的名字、功能和应用吸引用户安装,同时,在移动终端的显示界面展示需要用户授权 的安全相关行为权限时,将增加的影响用户安全性的行为权限置于用户不太关注的地方, 从而通过用户点击显示界面的下一步控件继续进行安装,而一旦安装并运行该恶意应用程 序,意味着用户授予了该恶意应用程序申请的所有行为权限,使得用户的安全面临重大风 险,而该恶意应用程序通过用户的安装,实现了窃取用户隐私、恶意吸费等目的。为此,为了 保证移动终端的安全性,Android系统会对JAVA子进程进行监控。 目前,监控JAVA子进程的方法是:将主动防御(安卓系统本身的防御系统)预先 注入Zygote (母体)进程,JAVA进程向Zygote进程申请创建JAVA子进程,Zygote进程分 裂出JAVA子进程,由于"主动防御"预先注入Zygote进程,Zygote进程分裂出JAVA子进程 中自然也包含"主动防御",所以"主动防御"可以监控JAVA子进程。 然而,现在JAVA进程也会创建Native子进程,利用现有的方法无法对Native子 进程进行监控。
技术实现思路
本申请所要解决的技术问题在于提供一种进程监控的方法、装置和智能终端,通 过创建并将监控进程注入子进程,通过监控进程对子进程的运行进行监控,可以实现对任 何子进程进行监控,当恶意软件通过创建子进程实施恶意行为时,可以监测到恶意软件的 恶意行为,阻止恶意软件的恶意行为、将恶意软件删除等,避免恶意软件的恶意行为对移动 终端造成威胁,提1?移动终端的安全性。 为了解决上述问题,本申请公开了一种进程监控的方法,所述方法包括: 在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程, 从而创建所述注入器; 通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创 建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对 所述子进程的创建; 在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模 块对所述子进程的运行进行监控。 进一步地,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所 述子进程,从而创建所述注入器,包括: 在父进程创建子进程时,判断所述父进程是否是通过账户切换SU提权方式创建 所述子进程; 如果是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述 注入器,通过账户切换SU提权方式提升所述注入器的权限; 如果不是,则拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所 述注入器。 进一步地,判断所述父进程是否是通过账户切换SU提权方式创建所述子进程,包 括: 判断所述子进程中是否包含分享S属性的函数; 如果包含所述S属性的函数,则判定是通过所述SU提权方式创建所述子进程; 如果不包含所述S属性的函数,则判定不是通过所述SU提权方式创建所述子进 程。 进一步地,通过账户切换SU提权方式提升所述注入器的权限,包括: 在账户切换SU提权方式相应的指令中,加入以一 C参数引导的用于启动所述注入 器的指令,从而将所述SU提权方式转换为启动所述注入器并提升所述注入器的权限,其中 所述一 C参数为特定用户执行参数。 进一步地,在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所 述子进程,从而创建所述注入器,包括: 在所述父进程通过fork函数创建出所述子进程的镜像,所述父进程通过Execve 函数调用所述子进程对应的路径参数时,拦截所述Execve函数的调用命令,将所述调用命 令中所述子进程对应的路径参数替换为所述注入器对应的路径参数,从而创建所述注入 器。 进一步地,通过所述注入器创建监控进程,包括: 通过所述注入器创建出所述监控进程的镜像; 通过所述注入器将所述Hook监控模块注入所述监控进程的镜像,创建所述监控 进程。 进一步地,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通 过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建, 包括: 通过所述注入器创建所述子进程的镜像; 解析拦截所述子进程的创建时所获取的Execve函数的调用命令中所述子进程对 应的路径参数,使得所述注入器根据所述子进程对应的路径参数调用所述子进程对应的组 件,并将所述子进程对应的组件加载进所述子进程的镜像; 将注入所述Hook监控模块的所述监控进程注入所述子进程的镜像,命令所述子 进程加载分享S属性,从而完成对所述子进程的创建。 进一步地,通过所述Hook监控模块对所述子进程的运行进行监控,包括: 命令所述Hook监控模块通过所述S属性对所述子进程的运行进行监控; 当通过所述Hook监控模块监控到所述子进程通过Execve函数和/或Fork函数 创建进程时,将所述子进程作为所述父进程,执行所述进程监控方法。 进一步地,所述父进程包括JAVA类进程或Native类进程; 所述子进程包括JAVA类子进程或Native类子进程。 为了解决上述问题,本申请还公开了一种进程监控的装置,所述装置包括: 拦截模块,用于在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替 换所述子进程,从而创建所述注入器; 注入模块,用于通过所述注入器创建监控进程,利用拦截所述子进程的创建时获 取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook本文档来自技高网...
【技术保护点】
一种进程监控的方法,其特征在于,所述方法包括:在父进程创建子进程时,拦截所述子进程的创建,并使用注入器替换所述子进程,从而创建所述注入器;通过所述注入器创建监控进程,利用拦截所述子进程的创建时获取的参数继续创建所述子进程,并通过所述监控进程将预设的Hook监控模块注入所述子进程,从而完成对所述子进程的创建;在完成对所述子进程的创建后,使所述监控进程退出运行,通过所述Hook监控模块对所述子进程的运行进行监控。
【技术特征摘要】
【专利技术属性】
技术研发人员:李常坤,孙年忠,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。