一种安卓系统的ROOT权限实时检测方法及装置与流程

本发明涉及系统安全技术领域，具体涉及一种安卓系统的root权限实时检测方法及装置。

背景技术：

随着安卓系统不断的更新优化，更多的智能设备嵌入安卓系统。同时，由于安卓生态的开源、开放属性，也有很多恶意软件试图利用系统漏洞获取root权限，从而篡改窃取系统数据以及用户数据，这对设备安全构成巨大威胁。目前，google官方会定时根据测试和反馈发布内核补丁，各个设备厂家导入补丁修复已知漏洞来降低被root的风险。同时开启分区校验，保证关键分区数据不被篡改，然而目前的技术方案仍然存在一些问题：

(1)由于安卓版本众多，对于版本较低的版本，google已经停止更新维护，导致深层次的系统漏洞无法从根源上修复。

(2)分区校验该方式不是实时检查，仅存在于设备初始化进程中，对于机器运行时被攻击是无法做出预防隔离。

(3)机器被root后无法及时作出保护。

技术实现要素：

本发明目的在于提供一种安卓系统的root权限实时检测方法及装置，以解决现有技术中所存在的一个或多个技术问题，至少提供一种有益的选择或创造条件。

为了实现上述目的，本发明提供以下技术方案：

一种安卓系统的root权限实时检测方法，包括：

将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据；

当系统启动时，定时检测系统被恶意root；

当系统文件目录以及系统文件增加、删除或添加时，或su应用的权限有被篡改时，或权限管理应用的文件md5和校验数据不一致时，进行异常提示并锁机。

进一步，所述方法还包括：

对su应用添加句柄，当恶意root应用进入操作系统修改su应用的权限时，通过进行句柄验证，拒绝su应用被恶意root应用调用。

进一步，所述通过进行句柄验证，拒绝su应用被恶意root应用调用，具体为：

恶意root应用向厂家服务器端发送关键字验证，当关键字验证失败后，拒绝恶意root应用调用su应用的请求。

进一步，所述系统文件目录以及系统文件增加、删除或添加，具体通过以下方式检测：

比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。

进一步，所述su应用的权限通过调用ls工具查看。

一种安卓系统的root权限实时检测装置，包括：

权限管理应用改造模块，用于将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据；

守护进程检测模块，用于当系统启动时，定时检测系统被恶意root；

root检测模块，用于当系统文件目录以及系统文件增加、删除或添加时，或su应用的权限有被篡改时，或权限管理应用的文件md5和校验数据不一致时，进行异常提示并锁机。

进一步，所述装置还包括句柄验证模块，所述句柄验证模块具体用于：

对su应用添加句柄，当恶意root应用进入操作系统修改su应用的权限时，通过进行句柄验证，拒绝su应用被恶意root应用调用。

进一步，所述句柄验证模块中，通过进行句柄验证，拒绝su应用被恶意root应用调用，具体为：

恶意root应用向厂家服务器端发送关键字验证，当关键字验证失败后，拒绝恶意root应用调用su应用的请求。

进一步，所述root检测模块中，系统文件目录以及系统文件增加、删除或添加，具体通过以下方式检测：

比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。

进一步，所述su应用的权限通过调用ls工具查看。

本发明的有益效果是：本发明公开一种安卓系统的root权限实时检测方法及装置，首先将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据；当系统启动时，定时检测系统被恶意root；当系统文件目录以及系统文件增加、删除或添加时，或su应用的权限有被篡改时，或权限管理应用的文件md5和校验数据不一致时，进行异常提示并锁机。本发明可减少系统被root风险和损失。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一种安卓系统的root权限实时检测方法的流程示意图；

图2是本发明实施例一种安卓系统的root权限实时检测装置的结构示意图。

具体实施方式

以下将结合实施例和附图对本公开的构思、具体结构及产生的技术效果进行清楚、完整的描述，以充分地理解本公开的目的、方案和效果。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

参考图1，如图1所示为一种安卓系统的root权限实时检测方法，包括以下步骤：

步骤s100、将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据。

本步骤为权限管理应用改造阶段，权限归属还是属于系统，但是修改成普通用户不可以调用，普通应用不可读不可写，不可执行；普通应用指的是第三方应用(用户可以自由调用，删改)，安卓的内置应用，系统应用，系统服务都可以拥有系统权限，这些都可以调用。通过文件权限改造，可以有效防止第三方应用调用权限管理应用获取系统权限。

步骤s200、当系统启动时，定时检测系统被恶意root。

步骤s300、当系统文件目录以及系统文件增加、删除或添加时，或su应用的权限有被篡改时，或权限管理应用的文件md5和校验数据不一致时，进行异常提示并锁机。

本实施例首先将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据，可以有效防止普通应用调用权限管理应用获取系统权限。当系统启动时，定时检测系统被恶意root，从而在设备使用过程中可进行root检测。通过系统文件目录以及系统文件增加、删除或添加检测，可以预知系统文件是否有变更；通过读取su应用权限来检测权限是否有篡改的情况；通过md5校对，可以准确地判别su应用文件是否被篡改。当系统被恶意root后进行异常提示并锁机，减少由于被root带来的损失。本发明提供的实施例可以减少没有及时同步google安全补丁带来的安全隐患。提高系统检测的实时性。加强对su应用的管理，减少系统被root风险和损失。

在一个改进的实施例中，所述方法还包括：

对su应用添加句柄，当恶意root应用进入操作系统修改su应用的权限时，通过进行句柄验证，拒绝su应用被恶意root应用调用。

本实施例中，在su应用入口加入控制句柄，可以防止本地的su应用被调用，控制句柄是为了保证内部进程可以调用，第三方应用不能调用su应用；例如，a应用作为一个第三方应用，本不需要跟厂家去做校验或者发起调用申请，但当a应用攻击系统后，则理解为恶意root应用。a应用攻击系统后，系统崩溃，可以进入系统修改su应用的权限为其可以调用的权限，此时，a应用需要向厂家服务器进行句柄验证。在一个具体实例中，通过关键字管控进行句柄验证，关键字为厂家预先设置好的，关键字验证是向su应用程序写入关键字来做校验；当a应用向厂家服务器端发送关键字验证时，由于不能通过关键字验证，则无法调用su应用，可见，当恶意root应用进入操作系统修改su应用权限时，通过句柄可以防止本地的su应用被恶意root应用调用，本实施例通过添加设定句柄控制su应用入口，加强su应用的管理，减少被root风险。

在一个优选的实施例中，所述步骤s300中，检测系统文件目录以及系统文件是否有增加、删除或添加，具体为：比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。

在一个优选的实施例中，所述su应用的权限通过调用ls工具查看。

其中，ls工具为linux内部的一个文件权限查看工具，典型的命令函数为：lssu–al。

参考图2，本公开提供的实施例还包括一种安卓系统的root权限实时检测装置，包括：

权限管理应用改造模块100，用于将su应用的权限设置为：禁止用户调用，禁止第三方应用被读写和执行，并在编译su应用时进行md5计算得到校验数据；

守护进程检测模块200，用于当系统启动时，定时检测系统被恶意root；

root检测模块300，用于当系统文件目录以及系统文件增加、删除或添加时，或su应用的权限有被篡改时，或权限管理应用的文件md5和校验数据不一致时，进行异常提示并锁机。

本实施例中，守护进程检测模块200随系统一起启动，定时调用root检测模块300来检测系统情况，若系统被恶意root该进程会进行异常提示并锁机，防止机器被root后造成损失。

在一个改进的实施例中，所述装置还包括句柄验证模块，所述句柄验证模块具体用于：

对su应用添加句柄，当恶意root应用进入操作系统修改su应用的权限时，通过进行句柄验证，拒绝su应用被恶意root应用调用。

在一个优选的实施例中，所述句柄验证模块中，通过进行句柄验证，拒绝su应用被恶意root应用调用，具体为：

恶意root应用向厂家服务器端发送关键字验证，当关键字验证失败后，拒绝恶意root应用调用su应用的请求。

在一个优选的实施例中，所述root检测模块300中，系统文件目录以及系统文件增加、删除或添加，具体通过以下方式检测：

比对前后两次的系统文件目录以及系统文件是否有增加、删除或添加。

在一个优选的实施例中，所述su应用的权限通过调用ls工具查看。

与现有技术相比，本发明实施例中提供的一种安卓系统的root权限实时检测装置的有益效果与实施例中提供的一种安卓系统的root权限实时检测方法的有益效果相同，在此不做赘述。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，人脸识别终端、手持终端，或者网络设备等)执行本发明各个实施例所述的方法。

尽管本公开的描述已经相当详尽且特别对几个所述实施例进行了描述，但其并非旨在局限于任何这些细节或实施例或任何特殊实施例，而是应当将其视作是通过参考所附权利要求，考虑到现有技术为这些权利要求提供广义的可能性解释，从而有效地涵盖本公开的预定范围。此外，上文以发明人可预见的实施例对本公开进行描述，其目的是为了提供有用的描述，而那些目前尚未预见的对本公开的非实质性改动仍可代表本公开的等效改动。