基于敏感函数调用插桩的安卓敏感行为监控方法和系统技术方案

本发明专利技术公开了网络安全领域的一种基于敏感函数调用插桩的安卓敏感行为监控方法，包括下列步骤：启动步骤：加载安装待分析APP；框架层插桩分析步骤：通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook；Native层插桩分析步骤：通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook；敏感行为分析搜集步骤：在应用层对待分析APP执行的字节码进行监控和记录。其技术效果是：其能够监控安卓APP在框架层和Native层的所有行为，能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码，能够有效提高对安卓恶意应用的安全审计能力。本发明专利技术公开了网络安全领域的一种基于敏感函数调用插桩的安卓敏感行为监控系统。

Sensitive behavior monitoring method and system for Android based on sensitive function call inserting

The invention discloses a network security field Android sensitive behavior monitoring method based on function call sensitive instrumentation, which comprises the following steps: start loading installation steps: to analysis APP; framework layer instrumentation analysis steps: by calling the Xposed plug-in framework layer Java function calls according to sensitivity analysis of APP stub Hook; the Native layer inserted pile analysis steps: by calling the Ptrace plugin in the Native layer for sensitive C/C++ function analysis of APP stub Hook; sensitive behavior analysis to collect steps in the application layer to monitor and record analysis of APP bytecode execution. Its technical effect is: it can monitor Android APP in the framework layer and Native layer of all behavior, can find whether there is malicious execution code injection, unauthorized tampering program execution byte code, can effectively improve the Android malicious application security audit ability. The invention discloses a sensitive behavior monitoring system of Android based on sensitive function call inserting pile in the field of network security.

【技术实现步骤摘要】
基于敏感函数调用插桩的安卓敏感行为监控方法和系统
本专利技术涉及基于网络安全领域的一种敏感函数调用插桩的安卓敏感行为监控方法和系统。
技术介绍
现有安卓软件敏感行为监控和拦截方式是基于安卓系统的Binder进程间通信机制，通过钩子函数，即Hook钩住进程间通信的Binder信息来分析安卓软件的敏感行为。而新出现的安卓恶意应用可以通过在Native层中注入恶意执行代码、擅自篡改程序执行的字节码来绕开在框架层中进程间通信Binder的插桩监测。在公开号为CN103198255A的专利技术专利申请中公开了一种基于Android系统的Binder进程间通信机制的安卓软件敏感行为监控与拦截方法与系统。其只检测安卓进程间通信机制Binder来检测和分析安卓行为。
技术实现思路
本专利技术的目的是为了克服现有技术的不足，提供一种敏感函数调用插桩的安卓敏感行为监控方法和系统,其能够监控安卓APP在框架层和Native层的所有行为，能够发现是否存在恶意执行代码注入、擅自篡改程序执行的字节码等问题，能够有效提高对安卓恶意应用的安全审计能力。实现上述目的的一种技术方案是：一种基于敏感函数调用插桩的安卓敏感行为本文档来自技高网...

【技术保护点】
一种基于敏感函数调用插桩的安卓敏感行为监控方法，包括下列步骤：启动步骤：加载安装待分析APP；框架层插桩分析步骤：通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook；Native层插桩分析步骤：通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook；敏感行为分析搜集步骤：在应用层对待分析APP执行的字节码进行监控和记录。

【技术特征摘要】
1.一种基于敏感函数调用插桩的安卓敏感行为监控方法，包括下列步骤：启动步骤：加载安装待分析APP；框架层插桩分析步骤：通过调用Xposed插件在框架层针对待分析APP的敏感Java函数调用进行插桩Hook；Native层插桩分析步骤：通过调用Ptrace插件在Native层针对待分析APP的敏感C/C++函数调用进行插桩Hook；敏感行为分析搜集步骤：在应用层对待分析APP执行的字节码进行监控和记录。2.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法，其特征在于：框架层插桩分析步骤中所进行的插桩Hook,包括：敏感短信接口Hook、敏感电话接口Hook、敏感联系人接口Hook、敏感手机信息接口Hook、敏感录音行为接口Hook和地理位置接口Hook。3.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法，其特征在于：Native层插桩分析步骤中所进行的插桩Hook包括：动态加载Hook、内存修改Hook、内存复制Hook、内存分配Hook。4.根据权利要求1所述的一种基于敏感函数调用插桩的安卓敏感行为监控方法，其特征在于：启动步骤中同步启动Hook定制的真机执行环境。5.一种基于敏感函数调用插桩的安卓敏感行为监控系统，其特征在于：包括：位于框架层用于通过调用Xposed插件...

【专利技术属性】
技术研发人员：蔡斌，钟鸣，刘岩，顾晓鸣，曹芸，陈侃黎，钱巍斌，周伟，冯天兵，汪传毅，何正宇，唐海强，金浩纯，石英超，杨波，
申请(专利权)人：国网上海市电力公司，
类型：发明
国别省市：上海,31