[发明专利]基于动态链接库注入的Android加密通信检测装置和方法

摘要

一种基于动态链接库注入的Android加密通信检测装置和方法，该检测装置设有动态链接库注入、监控点植入和数据包分析共三个模块，它是在不改变系统ROM和不处于调试状态下，对终端加密通信进行检测与分析：采用动态链接库注入方式，将壳代码(shellcode)注入到智能终端的设定进程空间中，再在shellcode中寻找系统加密通信使用的API，作为在Android系统加密通信处设立或植入的监测点，捕获和记录Android智能终端发出和接收的加密前的通信数据包，并基于Android平台对该加密前的通信数据包进行检测分析，解决以窃取用户或企业隐私信息、传播非法信息为目的加密通信造成的安全问题。本发明的创新优点是：适用性强，监测点可扩展、全面，数据包分析和分析代价小。因此，具有很好的推广应用前景。

主权项

一种基于动态链接库注入的Android加密通信检测装置，其特征在于：该检测装置是在不改变系统ROM和不处于调试状态下，对终端加密通信进行检测与分析：采用动态链接库注入方式，将壳代码(shellcode)注入到智能终端的设定进程空间中，再在shellcode中寻找系统加密通信使用的API，作为在Android系统加密通信处设立或植入的监测点，捕获和记录Android智能终端发出和接收的加密前的通信数据包，并基于Android平台对该加密前的通信数据包进行检测分析，解决以窃取用户或企业隐私信息、传播非法信息为目的的加密通信造成的安全问题；设有：动态链接库注入模块、监控点植入模块、数据包分析模块共三个模块；其中： 动态链接库注入模块，用于将由监控代码编译的动态链接库注入到待监测应用的进程空间中，为植入监控点创造条件；设有两个组件：附着进程单元和加载动态链接库单元； 监控点植入模块，用于通过替换加密通信API方式，在加密通信过程中，植入作为监控代码的壳代码shellcode，以捕获加密前的通信数据包，再传送给数据包分析模块；设有两个组件：本地C语言层进入JAVA语言层单元和替换JAVA语言层API单元； 数据包分析模块，用于接收并处理由监控代码捕获的加密前的通信数据包，进行数据包分析和分片整合，生成数据分析结果报告；设有两个组件：数据包分析单元和分片整合单元。