一种Hook攻击检测方法、存储介质及移动终端技术

本发明专利技术公开了一种Hook攻击检测方法，通过特征字符串信息检测、异常堆栈信息检测、固定类加载检测和端口响应检测，能有效的检测出当前应用是否被Xpose框架、SubStrate框架或和Frida框架Hook攻击，如此若判定应用被Hook攻击，则可做出紧急处理措施，比如弹出提示对话框、终止应用等，避免应用数据或个人信息数据的泄露。

A hook attack detection method, storage medium and mobile terminal

【技术实现步骤摘要】
一种Hook攻击检测方法、存储介质及移动终端
本专利技术涉及移动终端
，具体涉及一种Hook攻击检测方法、存储介质及移动终端。
技术介绍
Android系统是目前移动终端操作系统应用最广泛的系统，Android系统的市场占有率非常高且每年都呈正增长趋势，但是Android系统也因其自身的开放性和高市场占有率备受黑客青睐。Hook技术是通过一段代码侵入（比如反射、代理）到应用程序（以下简称应用）的启动过程中，在应用正常情况下应执行的代码前后插入其它功能代码。通常情况下，黑客通过Hook技术在了解应用的整体运行流程后，可以劫持获取到个人的隐私数据（比如个人登陆账号、密码或支付密码等）以及应用沙盒的完整数据（沙盒为应用的一种安全机制，对应用进行隔离，包括运行环境和用户数据等）。目前Android系统中应用对于自身的保护主要通过对数据进行加密等手段，然而黑客依然可以通过一些工具来完成对应用的Hook，最常见的为Xposed框架、CydiaSubStrate框架（以下简称SubStrate框架）和Frida框架这三种框架，被Hook攻击的应用存在极大的风险泄露个人数据，甚至是泄露应用沙盒数据。由上可以看出，Android系统无法有效的检测出应用是否被常见的Hook框架攻击。因此，现有技术还有待于改进和发展。
技术实现思路
鉴于上述现有技术的不足，本专利技术的目的在于提供一种Hook攻击检测方法、存储介质及移动终端，旨在解决现有技术中安卓系统无法有效的检测出应用是否被常见的Hook框架攻击的问题。第一方面，本专利技术提供的一种Hook攻击检测方法，包括步骤：获取当前应用的运行内存信息；实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击。进一步地，所述方法还包括步骤：若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息；若是，则判定当前应用受到Hook攻击。进一步地，所述方法还包括步骤：若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过当前应用动态加载与Hook框架相关的固定类；若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击。进一步地，所述方法还包括步骤：若检测到当前应用不能成功加载所述固定类，则通过当前应用向与Hook框架相关的服务端口发送检验数据；实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。第二方面，本专利技术提供了另一种Hook攻击检测方法，包括步骤：获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则通过当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则通过当前应用向与Hook框架相关的服务端口发送检验数据，实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。第三方面，本专利技术提供了另一种Hook攻击检测方法，包括步骤：检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则通过当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则通过当前应用向与Hook框架相关的服务端口发送检验数据，实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。第四方面，本专利技术提供了另一种Hook攻击检测方法，包括步骤：检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则通过获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则通过当前应用向与Hook框架相关的服务端口发送检验数据，实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。第五方面，本专利技术提供了另一种Hook攻击检测方法，包括步骤：当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则通过获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过当前应用向与Hook框架相关的服务端口发送检验数据，实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。第六方面，本专利技术提供一种移动终端，其特征在于，包括，处理器、存储器和通信总线；所述存储器上存储有可被所述处理器执行的Hook攻击检测方法程序；所述通信总线实现处理器和存储器之间的连接通信；所述处理器执行所述Hook攻击检测方法程序时实现任意一项所述的Hook攻击检测方法中的步骤。第七方面，本专利技术提供一种存储介质，其特征在于，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现任意一项所述的Hook攻击检测方法中的步骤。相较于现有技术，本专利技术提供了一种Hook攻击检测方法，通过特征字符串信息检测、异常堆栈信息检测、固定类加载检测和端口响应检测，能有效的检测出当前应用是否被Xpose框架、SubStrate框架或和Frida框架Hook攻击本文档来自技高网...

【技术保护点】
1.一种Hook攻击检测方法，其特征在于，包括步骤：获取当前应用的运行内存信息；实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击。

【技术特征摘要】
1.一种Hook攻击检测方法，其特征在于，包括步骤：获取当前应用的运行内存信息；实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击。2.根据权利要求1所述Hook攻击检测方法，其特征在于，还包括步骤：若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息；若是，则判定当前应用受到Hook攻击。3.根据权利要求2所述Hook攻击检测方法，其特征在于，还包括步骤：若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过当前应用动态加载与Hook框架相关的固定类；若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击。4.根据权利要求3所述Hook攻击检测方法，其特征在于，还包括步骤：若检测到当前应用不能成功加载所述固定类，则通过当前应用向与Hook框架相关的服务端口发送检验数据；实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。5.一种Hook攻击检测方法，其特征在于，包括步骤：获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则通过当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用不能成功加载所述固定类，则通过当前应用向与Hook框架相关的服务端口发送检验数据，实时检测当前应用是否有接收到所述服务端口返回的反馈数据，若是则判定当前应用受到Hook攻击，若否则继续运行当前应用。6.一种Hook攻击检测方法，其特征在于，包括步骤：检测当前应用抛出的异常堆栈信息中是否存在与Hook框架相关的第二字符串信息，若是，则判定当前应用受到Hook攻击；若检测到当前应用抛出的异常堆栈信息中不存在与Hook框架相关的第二字符串信息，则通过获取当前应用的运行内存信息，实时检测当前应用的运行内存信息是否存在与Hook框架相关的第一字符串信息，若是则判定当前应用受到Hook攻击；若检测到当前应用的运行内存信息不存在与Hook框架相关的第一字符串信息，则通过当前应用动态加载与Hook框架相关的固定类，若当前应用能成功加载所述固定类，则...

【专利技术属性】
技术研发人员：余洋洋，杜洋，龙柏林，
申请(专利权)人：北京智游网安科技有限公司，
类型：发明
国别省市：北京,11