[发明专利]一种函数Hook更新方法、装置、电子设备及存储介质

说明书

本发明公开了一种函数Hook更新方法、装置、电子设备及存储介质，所述方法包括：获取函数Hook更新包，将所述更新包加载到应用进程的内存中，根据所述更新包确定被Hook的位置及被插入的Hook代码；在所述应用进程的内存中，采用字节码修改工具对所述Hook代码进行修改，得到对应的Hook字节码；将所述Hook字节码插入到所述被Hook的位置。当目标函数下次被调用时，会直接执行最新的字节码，使注入的hook代码对应的字节码立即生效，无需重启应用系统，达到热更新hook点的效果。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种函数Hook更新方法、装置、电子设备及存储介质。

背景技术

为减少安全产品或设备更新对应用的影响，目前大部分RASP(RuntimeApplication Self-Protection，运行时应用自我保护)类安全产品已经实现了在线更新检测规则的功能，但这些在线更新仅针对已有漏洞的检测规则，当出现新的漏洞、需要新增Hook(钩子函数，RASP技术的原理是对编程语言的危险底层函数进行hook)点时，仍然需要重启被保护的系统或应用，比如OpenRASP，新增Hook代码需要关闭被保护的系统或应用，待到更新完成时重新启动应用，以完成新检测策略的生效。RASP安全产品新增Hook代码导致被保护的系统应用频繁重启，使得应用存在暂停服务的真空期，对客户系统影响较大。

发明内容

本发明实施例提供了一种函数Hook更新方法、装置、电子设备及存储介质，用以解决现有的函数Hook更新方案应用存在暂停服务的真空期，对客户系统影响较大的问题。

本发明实施例提供了一种函数Hook更新方法，所述方法包括：

获取函数Hook更新包，将所述更新包加载到应用进程的内存中，根据所述更新包确定被Hook的位置及被插入的Hook代码；

在所述应用进程的内存中，采用字节码修改工具对所述Hook代码进行修改，得到对应的Hook字节码；

将所述Hook字节码插入到所述被Hook的位置。

进一步地，所述获取函数Hook更新包包括：

按照预设的周期向服务器发送心跳报文，以确定所述服务器中是否保存有所述函数Hook更新包；

当确定所述服务器中保存有所述函数Hook更新包时，获取所述函数Hook更新包，并将所述更新包加载到所述应用进程的内存中。

进一步地，所述将所述Hook字节码插入到所述被Hook的位置包括：

根据所述更新包确定被Hook的类包的标识信息，根据所述标识信息判断所述类包是否已加载；

如果是，则在所述应用进程的内存中，将所述Hook字节码插入到所述类包中的被Hook的位置；

如果否，则先获取并加载所述类包，再在所述应用进程内存中，将所述Hook字节码插入到所述类包中的被Hook的位置。

进一步地，所述将所述Hook字节码插入到所述被Hook的位置包括：

若被插入的Hook代码对应的Hook字节码为至少两组Hook字节码，将所述至少两组Hook字节码依次插入到所述被Hook的位置。

进一步地，所述方法还包括：

当接收到Hook执行指令，获取所述Hook字节码中携带的执行状态指示信息，若所述执行状态指示信息为执行指示信息，则执行所述Hook字节码，若所述执行状态指示信息为不执行指示信息，则跳过所述Hook字节码。

另一方面，本发明实施例提供了一种函数Hook更新装置，所述装置包括：