基于hook的iOS系统关键行为检测装置和方法制造方法及图纸

一种基于hook的苹果操作系统iOS关键行为检测装置和方法，该检测装置是通过hook关键行为的应用程序编程接口API实时捕获iOS系统的关键行为，用于监控苹果终端iOS系统的设定关键行为，获取与该关键行为相关的信息，并在服务端实时展示给用户，或者保存为结果报表，以供用户进行审核与评估；该装置是由分别设置在iOS终端层的行为追踪模块，以及位于PC设备层、顺序连接的用户接口模块、安全风险报告模块和行为分析模块共四个部件组成的。本发明专利技术检测装置的创新优点是：系统关键行为检测的实时性和全面性，能够检测多种系统关键行为，还具有很好的扩充能力，既支持多操作系统，又能提供多种不同的检测报告，方便查阅和分析。

【技术实现步骤摘要】

本专利技术涉及一种检测苹果手机操作系统iOS关键行为的技术，确切地说，涉及一种基于钩子hook的iOS系统关键行为检测装置和方法，属于信息安全中的软件安全的

技术介绍
目前，基于hook的iOS关键行为检测工具很少。现有技术的开源软件也只包括：Introspy。下面对Instrospy-iOS进行简介：它是一款iOS上用于动态检测软件行为、评估软件安全的工具。该工具分为两部分：行为追踪器和行为分析器。其中，行为追踪器安装在iOS终端中，通过hook关键行为的应用程序编程接口API(Application Programming Interface)来获取指定软件的关键行为，这些API包括：加解密、IPC、数据存储和网络连接等。最后将这些函数调用的信息记录并永久保存在数据库中。行为分析器是安装在PC设备中，是以行为追踪器生成的数据库文件作为输入，进行分析处理后，在本地生成指定格式(如xml、html)的结果报表，并在结果报表中，罗列出该指定软件执行过程中执行的所有关键行为。 现在，有关iOS系统关键行为检测领域，国内外的科研人员开展的研究都很少，成型的检测装置更是凤毛麟角。目前，iOS系统关键行为检测方法只有一种：敏感文件监测。该敏感文件监测的基本思路是读取数据库中的敏感文件并进行匹配。由于iOS系统中的所有敏感文件数据库都是sqlite数据库，可以像访问普<br>通数据文件一样访问它。所以，敏感文件监测的通常操作步骤是：首先读取敏感文件数据库的内容(如短信数据库)，然后每隔设定一段时间，重新读取该敏感文件数据库，并将所读取的内容与以前的读取内容或结果进行匹配，得到最新的文件修改，判断是否触发了敏感行为。 目前，仅有的iOS系统关键行为检测方法都是以监控文件操作为主，虽然也能捕获到系统的关键行为，但是，其局限性还是比较大。比如： (1)检测的实时性不强：基于监控文件的系统关键行为检测是目前iOS系统关键行为检测使用的最普遍的方法。其主要思路就是不断比较敏感文件中的内容，用于判断系统的关键行为。 例如：通过不断读取/private/var/mobile/Library/SMS/目录下的sms.db文件，判断是否有写入的新数据。若有，则认为触发了系统发送、接收了短信。但是，这种方法不具有实时性，无法在短信发送、接受之后，就立即检测到结果。 (2)成本高、效率低：因为读取敏感文件要涉及到读文件、匹配文件等多项操作，时间成本与其他成本太高。如果文件很大，则大大降低了检测的效率。 目前，iOS平台上恶意软件不少，例如：2012年Kaspersky Lab发现了一款名叫Find&Call的恶意应用，它能够在用户无法察觉的情况下，将用户通讯录和短信内容发送至指定的服务器。2014年Stefan Esser发现了unflod恶意插件，它能够获得用户的应用标识appID(application identification)和密码，并将其发送给指定服务器。这些恶意软件都能在用户不知情的情况下，触发系统的关键行为，如：偷偷发送短信、联网或拨打电话等，给用户隐私和财产安全造成了很大的威胁。因此，国内外的业内科技人员都在关注动态检测软件运行时，是否触发苹果操作系统iOS的关键行为的检测技术。
技术实现思路
有鉴于此，本专利技术的目的是提供一种基于hook的iOS系统关键行为检测装置和方法，本专利技术可以实时监测电话、短信、联网、地理位置等系统关键行为，它是通过hook技术拦截所有系统关键行为触发的函数，获得关键行为的相关信息，并发送给服务器，再将检测出来的系统安全风险向用户报告。 为了达到上述目的，本专利技术提供了一种基于hook的苹果操作系统iOS关键行为检测装置，其特征在于：所述装置是通过hook关键行为的应用程序编程接口API(Application Programming Interface)实时捕获iOS系统的关键行为，用于监控苹果终端iOS系统的设定关键行为，获取与该关键行为相关的信息，并在服务端实时展示给用户，或者保存为结果报表，以供用户进行审核与评估；该装置是由分别设置在iOS终端层的行为追踪模块，以及位于PC设备层、顺序连接的用户接口模块、安全风险报告模块和行为分析模块共四个部件组成；其中： 行为追踪模块，用于实时检测设定苹果终端iOS系统的设定关键行为：先接收由行为分析模块的通信单元发来的开始检测信号，并由该行为追踪模块中的hook单元实时捕获设定iOS终端iOS系统的设定关键行为API，获取这些API的参数和返回值，再按照设定格式封装这些信息后，通过网络套接字socket通信将已封装的信息返回给行为分析模块进行处理； 用户接口模块，负责与用户交互信息：一方面接受用户检测iOS系统设定关键行为的请求，然后给行为分析模块发送开始信号和待检测的关键行为类型；另一方面接收安全风险报告模块返回的系统关键行为信息，并向用户展示； 行为分析模块，用于接收并解析来自苹果终端传送来的关键行为信息：该模块的通信单元接收到来自用户接口模块的检测类型后，就将开始检测信号发送给行为追踪模块，并将接收到的行为追踪模块的返回信息，转发给数据分析单元处理；数据分析单元先对接收到的返回信息进行“解封装”处理，得到处理结果后，将该处理结果传送给安全分析单元进行后续分析后，再转发给安全风险报告模块； 安全风险报告模块，负责根据行为分析模块的分析处理结果，将发现的iOS系统关键行为信息整合成一张包括xml和html设定格式的结果报表，存储在本地，以供用户审核与分析；同时将发现的系统关键行为信息传送给用户接口模块，以供展示给用户。 为了达到上述目的，本专利技术还提供了一种基于hook的iOS系统关键行为检测装置的检测方法，其特征在于：所述方法包括下列操作步骤： 步骤1，PC终端层设置检测参数和检测范围：用户在PC终端设置需要检测的苹果终端的ip地址与端口号及其关键行为后，该检测装置开始启动工作； 步骤2，iOS终端层的行为追踪模块利用hook技术检测和提取各个敏感的应用程序编程接口API(Application Programming Interface)的参数和返回值，发送给PC设备层的行为分析模块；...

【技术保护点】
一种基于hook的苹果操作系统iOS关键行为检测装置，其特征在于：所述装置是通过hook关键行为的应用程序编程接口API(Application Programming Interface)实时捕获iOS系统的关键行为，用于监控苹果终端iOS系统的设定关键行为，获取与该关键行为相关的信息，并在服务端实时展示给用户，或者保存为结果报表，以供用户进行审核与评估；该装置是由分别设置在iOS终端层的行为追踪模块，以及位于PC设备层、顺序连接的用户接口模块、安全风险报告模块和行为分析模块共四个部件组成；其中：行为追踪模块，用于实时检测设定苹果终端iOS系统的设定关键行为：先接收由行为分析模块的通信单元发来的开始检测信号，并由该行为追踪模块中的hook单元实时捕获设定苹果终端iOS系统的设定关键行为API，获取这些API的参数和返回值，再按照设定格式封装这些信息后，通过网络套接字socket通信将已封装的信息返回给行为分析模块进行处理；用户接口模块，负责与用户交互信息：一方面接受用户检测iOS系统设定关键行为的请求，然后给行为分析模块发送开始信号和待检测的关键行为类型；另一方面接收安全风险报告模块返回的系统关键行为信息，并向用户展示；行为分析模块，用于接收并解析来自苹果终端传送来的关键行为信息：该模块的通信单元接收到来自用户接口模块的检测类型后，就将开始检测信号发送给行为追踪模块，并将接收到的行为追踪模块的返回信息，转发给数据分析单元处理；数据分析单元先对接收到的返回信息进行“解封装”处理，得到处理结果后，将该处理结果传送给安全分析单元进行后续分析后，再转发给安全风险报告模块；安全风险报告模块，负责根据行为分析模块的分析处理结果，将发现的iOS系统关键行为信息整合成一张包括xml和html设定格式的结果报表，存储在本地，以供用户审核与分析；同时将发现的系统关键行为信息传送给用户接口模块，以供展示给用户。...

【技术特征摘要】
1.一种基于hook的苹果操作系统iOS关键行为检测装置，其特征在于：
所述装置是通过hook关键行为的应用程序编程接口API(Application 
Programming Interface)实时捕获iOS系统的关键行为，用于监控苹果终端iOS
系统的设定关键行为，获取与该关键行为相关的信息，并在服务端实时展示给
用户，或者保存为结果报表，以供用户进行审核与评估；该装置是由分别设置
在iOS终端层的行为追踪模块，以及位于PC设备层、顺序连接的用户接口模
块、安全风险报告模块和行为分析模块共四个部件组成；其中：
行为追踪模块，用于实时检测设定苹果终端iOS系统的设定关键行为：先
接收由行为分析模块的通信单元发来的开始检测信号，并由该行为追踪模块中
的hook单元实时捕获设定苹果终端iOS系统的设定关键行为API，获取这些
API的参数和返回值，再按照设定格式封装这些信息后，通过网络套接字socket
通信将已封装的信息返回给行为分析模块进行处理；
用户接口模块，负责与用户交互信息：一方面接受用户检测iOS系统设定
关键行为的请求，然后给行为分析模块发送开始信号和待检测的关键行为类型；
另一方面接收安全风险报告模块返回的系统关键行为信息，并向用户展示；
行为分析模块，用于接收并解析来自苹果终端传送来的关键行为信息：该
模块的通信单元接收到来自用户接口模块的检测类型后，就将开始检测信号发
送给行为追踪模块，并将接收到的行为追踪模块的返回信息，转发给数据分析
单元处理；数据分析单元先对接收到的返回信息进行“解封装”处理，得到处
理结果后，将该处理结果传送给安全分析单元进行后续分析后，再转发给安全
风险报告模块；
安全风险报告模块，负责根据行为分析模块的分析处理结果，将发现的iOS
系统关键行为信息整合成一张包括xml和html设定格式的结果报表，存储在本
地，以供用户审核与分析；同时将发现的系统关键行为信息传送给用户接口模
块，以供展示给用户。
2.根据权利要求1所述的装置，其特征在于：所述装置支持检测的iOS
系统的设定关键行为包括：电话、短信、网络连接、通讯录访问，相册访问，

\t地理位置访问，蓝牙状态。
3.根据权利要求2所述的装置，其特征在于：所述各个设定关键行为中的
信息内容是：电话信息是通话双方号码、状态和通话时长，短信信息是短信收
发双方号码及其短信内容，网络连接信息是网页地址URL
(UniformResourceLocator)字段和连接时间，地理位置信息是访问地理位置的
应用名称和访问时间，通讯录访问信息是访问通讯录的应用名称和访问时间，
相册访问信息是访问相册的应用名称和访问时间，蓝牙状态信息是蓝牙是否改
变状态或改变蓝牙状态的应用、以及其改变时间。
4.一种基于hook的iOS系统关键行为检测装置的检测方法，其特征在于：
所述方法包括下列操作步骤：
步骤1，PC终端层设置检测参数和检测范围：用户在PC终端设置需要检
测的苹果终端的ip地址与端口号及其关键行为后，该检测装置开始启动工作；
步骤2，iOS终端层的行为追踪模块利用hook技术检测和提取各个敏感的应...

【专利技术属性】
技术研发人员：张淼，徐国爱，
申请(专利权)人：北京软安科技有限公司，
类型：发明
国别省市：北京;11