[发明专利]一种免超级用户权限的进程行为监控装置与方法

说明书

本发明设计了一种免超级用户权限的进程行为监控装置与方法，用以解决现有技术中内核层进程行为监控的问题。该方法包括：修改系统配置文件，使监控装置不需要超级用户权限即可正常运行；启动监控装置，指定监控目标并操作目标，触发行为；监控装置采集监控目标的进程行为信息，生成监控日志。与现有技术相比，本发明的有益效果是：1)监控范围较传统监控系统更大；2)监控系统更加隐蔽；3)监控更加高效稳定。

技术领域

本发明属于Android内核监控技术领域，特别涉及一种免超级用户权限的进程行为监控装置与方法。

背景技术

近几年Android市场占比达到89％，是手机用户数量最多的操作系统。但与此同时Android系统上的恶意软件数量成爆炸式增长。据腾讯移动安全统计，2017年新产生的病毒的数量达4650604，相比2014年提高了近33倍。

针对Android平台传统的攻击方式有诈骗短信，钓鱼链接，流氓软件等。传统的恶意软件检测主要分为静态分析和动态分析。静态分析主要分析App的静态特征，在App启动之前进行检测。动态分析主要分析App的动态行为特征，在App运行过程中进行检测。但是随着恶意软件检测技术的提高，普通的静态分析与动态分析可行性越来越低。目前已经有大部分的app使用jni技术，C++提高代码效率，或者使用控制流混淆等高级方法，使静态分析代价极高。并且针对动态分析也出现了反调试、模拟器逃逸等技术，恶意软件可以通过分析系统环境确定自己是否正在被监控，从而采取不同的行为伪装成正常应用。

目前大部分的监控系统都是基于Framework层，无法监控到Native层的操作，并且容易被恶意软件检测到。相比之下内核层监控系统更底层，监控范围更大，更隐蔽。而基于内核的监控系统需要超级用户权限启动相关服务，但现在虚拟机逃逸技术日渐成熟，恶意软件在检测到超级用户权限的存在时也可以采取不同的行为绕过监控。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种免超级用户权限的进程行为监控装置与方法，具有以下功能：1)不修改源码；2)可以指定监控目标；3)不需要超级用户权限；4)对系统性能没有影响。

为了实现上述目的，本发明采用的技术方案是：

针对功能1，本发明使用Hook技术，将监控装置编译成内核模块。

针对功能2，本发明设计了过滤单元，使用单向链表在内核中存储需要监控的进程信息，在监控时进行比对以确定是否需要监控。

针对功能3，本发明修改系统配置文件，使监控装置启动时自动加载内核模块，关闭安全策略，修改监控装置对应的驱动权限以及修改日志输出目录权限。整个系统运行不需要超级用户权限，可以使用Release版本的系统。

针对功能4本发明在实现日志输出单元时使用双缓冲区技术和内核线程技术，使监控装置对系统运行的影响可以忽略不计。

具体地，本发明采取如下技术方案：

一种免超级用户权限的进程行为监控装置，其特征在于，包括：

交互单元，位于用户层，用于指定监控目标；

系统配置文件修改单元，位于用户层，用于免超级用户权限启动监控装置；

过滤单元，位于内核层，用于过滤非监控目标产生的行为；

行为监控单元，位于内核层，用于监控目标的行为；

日志输出单元，位于内核层，用于内核日志输出。

所述交互单元通过如下方式实现：