本發明檢測APK運行時被注入惡意代碼的方法，根據安卓安裝包運行時被注入惡意代碼的是通過修改安卓系統虛擬機中java方法的數據結構來實現的這個原理，來進行安卓安裝包運行時被注入惡意代碼的檢測。通過檢測應用的關鍵方法在虛擬機中的存儲數據結構是否改變來檢測安卓安裝包運行時是否被注入惡意代碼，檢測結果更加準確有效。

技術領域

本發明涉及系統安全技術領域，具體是一種檢測安卓安裝包運行時被注入惡意代碼的方法、終端設備及存儲介質。

背景技術

Xposed是android系統上一個通用的hook框架，能對運行中的系統或安卓安裝包(APK)自身的應用程序編程接口(api)進行掛鉤(hook)，改變api本身的參數或執行邏輯，被廣泛使用在系統UI美化、系統功能定制等方面。由于其功能強大，因此也被應用到惡意代碼注入，修改APK的正常的運行邏輯(例如：APK付費功能破解、APK私有數據竊取等)，導致用戶數據、隱私泄露等安全問題。

因此，要及時有效的檢測出類似xposed的hook框架(即被惡意代碼注入)，保證APK運行環境的完整性至關重要?，F有的檢測手段雖然能檢測出類似xposed的hook框架，但其未能從根本上解決問題，很容易被欺騙，導致檢測結果不準確。

現有檢測方法有：1、獲取已安裝的app列表，是否包含xposed相關APK。2、通過檢測應用/proc/self/maps文件，查看是否有xposed相關的包被加載。3、對關鍵函數的調用棧進行回溯，檢測調用棧是否有xposed相關方法。因為xposed加載的模塊優先于應用本身啟動，所以會hook相關函數，修改函數數據和執行邏輯，隱藏自身；也可以通過重新編譯，修改自身包名稱隱藏自身。因此容易導致檢測結果不準確。

發明內容

為了解決上述問題，本發明提供一種檢測安卓安裝包運行時被注入惡意代碼的方法、終端設備及存儲介質，能有效的檢測出APK在運行過程中是否被xposed等hook框架注入惡意代碼。

本發明一種檢測安卓安裝包運行時被注入惡意代碼的方法，包括如下步驟：

S1：啟動安卓安裝包(APK)，進入S2步驟；

S2：注冊一個native方法M，其內存地址為m，進入S3步驟；

S3：獲取M的存儲起始地址：在M的native代碼中通過調用java本地接口(jni)函數，獲取到該方法的jmethodID，其中jmethodID為方法在java虛擬機里對應數據結構的存儲起始地址，進入S4步驟；

S4：掃描M的jmethod指向的內存地址(即M的內存地址)，判斷其是否等于m，若是，則進入S5步驟；若否，則重復執行S4；

S5：獲取m的相對偏移S，進入S6步驟；

S6：設置需要檢測的安卓安裝包的關鍵方法為M0，判斷M0是否為native方法，若是，則設置M0對應的native內存地址是m0，進入S7步驟；若否，則表明M0為java方法，進入S7步驟；

S7：通過獲取M0的jmethodID，即M0在java虛擬機里對應數據結構的起始地址P0，進而獲取相對P0偏移為S的地址中的數據A(當M0為native方法時，定義相對P0偏移為S的地址中的數據為A)或D(當M0為java方法時，定義相對P0偏移為S的地址中的數據為D)，若M0為native方法時，進入S8步驟；若M0為java方法時，進入S9步驟；

S8：判斷A是否等于m0，若是，則進入S10步驟；若否，則進入S11步驟；

S9：判斷D指向的內存頁面是否可執行，若否，則進入S10步驟；若是，則進入S11步驟；

S10：判定關鍵方法M0未被掛鉤(hook)，即對應的安卓安裝包(APK)運行時未被注入惡意代碼；