一种代码注入攻击的检测方法和装置与流程

本发明涉及计算机安全领域，具体涉及一种代码注入攻击的检测方法和装置。

背景技术：

代码注入是指攻击者对应用程序注入代码，使得应用程序在执行时还会执行这部分代码来实现攻击者的目的。以安卓系统中的游戏应用程序为例，由于游戏应用程序可能需要付费才能购买或使用其中的某些功能，因此对游戏应用程序的破解层出不穷，其中就有攻击者利用代码注入攻击对原应用程序的代码进行修改，来实现对游戏应用程序的破解，而现有技术对这些破解版的游戏应用程序很难察觉。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的代码注入攻击的检测方法和装置。

依据本发明的一个方面，提供了一种代码注入攻击的检测方法，包括：

在应用程序运行后，判断该应用程序的代码中是否包含指定代码段；

如果包含指定代码段，则监控该指定代码段是否执行了非法跳转指令；

当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

可选地，所述指定代码段为：包含指定函数的代码段，所述指定函数还包含跳转指令。

可选地，所述监控该指定代码段是否执行了非法跳转指令包括：

当所述跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断所述跳转地址是否为非法地址；

若是，则判断所述指定代码段执行了非法跳转指令。

可选地，该方法还包括：

在程序使用的共享库文件加载到内存后，获取所述共享库在内存中的地址范围；

所述判断所述跳转地址是否为非法地址包括：判断所述跳转地址是否在所述共享库在内存中的地址范围外，若是，则判断所述跳转地址为非法地址。

可选地，该方法还包括：

将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。

可选地，所述该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：

应用程序的版本号；

应用程序的签名信息；

已登录该应用程序的用户的账户信息；

指定代码段的描述信息。

可选地，该方法还包括：

接收所述应用程序的服务器下发的指令，对所述应用程序执行相应的操作；所述指令包括如下中的至少一种：

显示应用程序受到代码注入攻击的提示信息；

从所述应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；

强制注销用户账户。

依据本发明的另一方面，提供了一种代码注入攻击的检测方法，包括：

对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段；

在待检测代码中为指定代码段添加监控代码，所述监控代码适于执行如上述任一项所述的方法。

可选地，所述对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段包括：

预设一个函数库，所述函数库中的函数为易受到代码注入攻击的敏感函数；

将待检测代码与所述函数库进行匹配，得到待检测代码中的敏感函数；

所述在待检测代码中为指定代码段添加监控代码包括：在待检测代码中为所述敏感函数添加监控代码。

可选地，该方法还包括：

对应用程序的安装包进行反编译，得到所述待检测代码；

将添加了监控代码的待检测代码编译为应用程序的安装包。

依据本发明的又一方面，提供了一种代码注入攻击的检测装置，包括：

代码检测单元，适于在在应用程序运行后，判断该应用程序的代码中是否包含指定代码段；

监控单元，适于在该应用程序的代码中包含指定代码段时，监控该指定代码段是否执行了非法跳转指令；当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

可选地，所述指定代码段为：包含指定函数的代码段，所述指定函数还包含跳转指令。

可选地，所述监控单元，适于在所述跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断所述跳转地址是否为非法地址；若是，则判断所述指定代码段执行了非法跳转指令。

可选地，所述监控单元，还适于在程序使用的共享库文件加载到内存后，获取所述共享库在内存中的地址范围；判断所述跳转地址是否在所述共享库在内存中的地址范围外，若是，则判断所述跳转地址为非法地址。

可选地，该装置还包括：

对策单元，适于将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。

可选地，所述该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：应用程序的版本号；应用程序的签名信息；已登录该应用程序的用户的账户信息；指定代码段的描述信息。

可选地，所述对策单元，还适于接收所述应用程序的服务器下发的指令，对所述应用程序执行相应的操作；所述指令包括如下中的至少一种：显示应用程序受到代码注入攻击的提示信息；从所述应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；强制注销用户账户。

依据本发明的再一方面，提供了一种代码注入攻击的检测装置，包括：

匹配单元，适于对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段；

添加单元，适于在待检测代码中为指定代码段添加如上述任一项所述的装置。

可选地，所述匹配单元，包含有预设的函数库，所述函数库中的函数为易受到代码注入攻击的敏感函数；所述匹配单元适于将待检测代码与所述函数库进行匹配，得到待检测代码中的敏感函数；

所述添加单元，适于在待检测代码中为所述敏感函数添加监控代码。

可选地，该装置还包括：

安装包处理单元，适于对应用程序的安装包进行反编译，得到所述待检测代码；以及适于将添加了监控代码的待检测代码编译为应用程序的安装包。

由上述可知，本发明的技术方案，在应用程序运行后，判断其代码中是否包含指定代码段，如果包含则对其实施监控，当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。由于代码注入攻击所注入的代码并非应用程序本身的代码，则需要指定代码段执行非法的跳转指令才能执行非法注入的代码，因此该技术方案可以有效地判断应用程序是否受到了代码注入攻击，准确率高且不易遗漏。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的一种代码注入攻击的检测方法的流程示意图；

图2示出了一种Inline Hook代码注入攻击的流程示意图；

图3示出了根据本发明一个实施例的另一种代码注入攻击的检测方法的流程示意图；

图4示出了根据本发明一个实施例的一种代码注入攻击的检测装置的结构示意图；

图5示出了根据本发明一个实施例的另一种代码注入攻击的检测装置的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的一种代码注入攻击的检测方法的流程示意图，如图1所示，该方法包括：

步骤S110，在应用程序运行后，判断该应用程序的代码中是否包含指定代码段。

步骤S120，如果包含指定代码段，则监控该指定代码段是否执行了非法跳转指令。

步骤S130，当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

可见，图1所示的方法，在应用程序运行后，判断其代码中是否包含指定代码段，如果包含则对其实施监控，当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。由于代码注入攻击所注入的代码并非应用程序本身的代码，则需要指定代码段执行非法的跳转指令才能执行非法注入的代码，因此该技术方案可以有效地判断应用程序是否受到了代码注入攻击，准确率高且不易遗漏。

图2示出了一种Inline Hook代码注入攻击的流程示意图。通常而言，应用程序的代码会使用多种函数。函数经编译加载到内存后，以指令的形式存储在内存中，而对内存中的指令进行修改，可以改变函数的流程，这种方式就是Inline Hook代码注入攻击。“Hook”意为钩子，对一个函数进行Hook即是指对其执行了挂钩操作，如图2所示，对fopen函数进行Inline Hook代码注入，可以在函数执行时跳转至my_open这个代码注入攻击方自定义的函数，在自定义函数执行完毕后再重新跳转回原函数，执行该函数的剩余流程。可见，如果对fopen函数跳转至my_open的跳转指令进行监控，那么就可以进一步判断这个跳转指令是否为非法指令。因此，在本发明的一个实施例中，上述方法中，指定代码段为：包含指定函数的代码段，指定函数还包含跳转指令。

当然，为了实现应用程序的正常功能，函数中也可能包含合法的跳转指令。在本发明的而一个实施例中，上述方法中，监控该指定代码段是否执行了非法跳转指令包括：当跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断跳转地址是否为非法地址；若是，则判断指定代码段执行了非法跳转指令。

由于函数已经以指令的方式存储在内存中，对每个跳转指令逐个判断其代码是否是合法的是比较困难的，但是考虑到执行跳转指令时，必然会跳转至内存中的其他地址，那么通过对跳转指令进行解析，得到相应的跳转地址，就可以通过判断跳转地址是否合法来判断跳转指令是否合法。具体地，在本发明的一个实施例中，上述方法还包括：在程序使用的共享库文件加载到内存后，获取共享库在内存中的地址范围；判断跳转地址是否为非法地址包括：判断跳转地址是否在共享库在内存中的地址范围外，若是，则判断跳转地址为非法地址。

以使用Unity3D引擎的安卓游戏应用程序为例，为了实现应用程序的功能，需要加载多个.so格式或.dll格式的动态链接库文件作为共享库文件。一般而言，应用程序中适用的函数如果执行的是跳转指令，就会跳转至这些共享库文件，那么显然，如果跳转指令跳转到的不是这些共享库文件，那么就说明该跳转指令并非执行的是应用程序本身的功能，也就是执行的是注入代码的功能，说明应用程序受到了代码注入攻击。因此，在本实施例中，通过先获取到共享库加载到内存时，被分配的内存地址，如果跳转地址不在这些内存地址中，那么跳转地址就是非法地址。

在本发明的一个实施例中，上述方法还包括：将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。具体地，该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：应用程序的版本号；应用程序的签名信息；已登录该应用程序的用户的账户信息；指定代码段的描述信息。

这样应用程序的开发者可以根据这些信息对应用程序进行更新，封堵可能存在的代码注入漏洞。而对于游戏应用程序而言，许多用户是专门下载破解版的应用程序，来达到免费玩游戏等目的，也可以通过获取到的用户的账户信息对这些用户进行处罚。

在本发明的一个实施例中，上述方法还包括：接收应用程序的服务器下发的指令，对应用程序执行相应的操作；指令包括如下中的至少一种：显示应用程序受到代码注入攻击的提示信息；从应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；强制注销用户账户。

在本实施例中还给出了一些对检测到代码注入攻击后的对策，例如以官方版本的应用程序安装包对应用程序进行更新，这样替换了已受到代码注入攻击的应用程序；或者，以游戏应用程序为例，可以对用户进行强制下线或封号等处罚，这样可以减少游戏运营方的损失。

图3示出了根据本发明一个实施例的另一种代码注入攻击的检测方法的流程示意图，如图3所示，该方法包括：

步骤S310，对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段。

步骤S320，在待检测代码中为指定代码段添加监控代码，监控代码适于执行如上述任一实施例中的方法。

上述实施例介绍了在应用程序运行后的检测方法。而本实施例为应用程序的开发者提供了一种便利的方法，即不需要在应用程序的代码开发时，编写上述的检测逻辑，而是只需要提交开发完成的代码。这样在本实施例中，可以对各方提供的待检测代码进行统一的监控代码的添加。

在本发明的一个实施例中，图3所示的方法中，对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段包括：预设一个函数库，函数库中的函数为易受到代码注入攻击的敏感函数；将待检测代码与函数库进行匹配，得到待检测代码中的敏感函数；在待检测代码中为指定代码段添加监控代码包括：在待检测代码中为敏感函数添加监控代码。

在上述的所有实施例中并未限定函数的种类。而根据应用程序所提供的功能以及函数本身的属性，可以总结性地得到一些敏感函数，将其放入预设的函数库中，例如图2所示的fopen函数。

在本发明的一个实施例中，上述方法还包括：对应用程序的安装包进行反编译，得到待检测代码；将添加了监控代码的待检测代码编译为应用程序的安装包。也就是说开发方可以提供编译好的代码，即得到的应用程序的安装包，也可以直接提供源码。最后需要将添加了监控代码的待检测代码重新进行编译，得到的应用程序的安装包就可以直接分发给应用程序的用户。

图4示出了根据本发明一个实施例的一种代码注入攻击的检测装置的结构示意图，如图4，代码注入攻击的检测装置400包括：

代码检测单元410，适于在在应用程序运行后，判断该应用程序的代码中是否包含指定代码段。

监控单元420，适于在该应用程序的代码中包含指定代码段时，监控该指定代码段是否执行了非法跳转指令；当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

可见，图4所示的装置，在应用程序运行后，判断其代码中是否包含指定代码段，如果包含则对其实施监控，当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。由于代码注入攻击所注入的代码并非应用程序本身的代码，则需要指定代码段执行非法的跳转指令才能执行非法注入的代码，因此该技术方案可以有效地判断应用程序是否受到了代码注入攻击，准确率高且不易遗漏。

在本发明的一个实施例中，图4所示的装置中，指定代码段为：包含指定函数的代码段，指定函数还包含跳转指令。

在本发明的一个实施例中，上述装置中，监控单元420，适于在跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断跳转地址是否为非法地址；若是，则判断指定代码段执行了非法跳转指令。

在本发明的一个实施例中，上述装置中，监控单元420，还适于在程序使用的共享库文件加载到内存后，获取共享库在内存中的地址范围；判断跳转地址是否在共享库在内存中的地址范围外，若是，则判断跳转地址为非法地址。

在本发明的一个实施例中，图4所示的装置还包括：对策单元(图未示)，适于将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。

在本发明的一个实施例中，上述装置中，该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：应用程序的版本号；应用程序的签名信息；已登录该应用程序的用户的账户信息；指定代码段的描述信息。

在本发明的一个实施例中，上述装置中，对策单元，还适于接收应用程序的服务器下发的指令，对应用程序执行相应的操作；指令包括如下中的至少一种：显示应用程序受到代码注入攻击的提示信息；从应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；强制注销用户账户。

图5示出了根据本发明一个实施例的另一种代码注入攻击的检测装置的结构示意图，如图5所示，代码注入攻击的检测装置500包括：

匹配单元510，适于对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段。

添加单元520，适于在待检测代码中为指定代码段添加如上述任一实施例中的代码注入攻击的检测装置400。

在本发明的一个实施例中，图5所示的装置中，匹配单元510，包含有预设的函数库，函数库中的函数为易受到代码注入攻击的敏感函数；匹配单元适于将待检测代码与函数库进行匹配，得到待检测代码中的敏感函数；添加单元520，适于在待检测代码中为敏感函数添加监控代码。

在本发明的一个实施例中，图5所示的装置还包括：安装包处理单元(图未示)，适于对应用程序的安装包进行反编译，得到待检测代码；以及适于将添加了监控代码的待检测代码编译为应用程序的安装包。

需要说明的是，上述各装置实施例的具体实施方式与前述对应方法实施例的具体实施方式相同，在此不再赘述。

综上所述，本发明的技术方案，在应用程序运行后，判断其代码中是否包含指定代码段，如果包含则对其实施监控，当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。由于代码注入攻击所注入的代码并非应用程序本身的代码，则需要指定代码段执行非法的跳转指令才能执行非法注入的代码，因此该技术方案可以有效地判断应用程序是否受到了代码注入攻击，准确率高且不易遗漏。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的代码注入攻击的检测装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

本发明的实施例公开了A1、一种代码注入攻击的检测方法，其中，该方法包括：

在应用程序运行后，判断该应用程序的代码中是否包含指定代码段；

如果包含指定代码段，则监控该指定代码段是否执行了非法跳转指令；

当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

A2、如A1所述的方法，其中，

所述指定代码段为：包含指定函数的代码段，所述指定函数还包含跳转指令。

A3、如A2所述的方法，其中，所述监控该指定代码段是否执行了非法跳转指令包括：

当所述跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断所述跳转地址是否为非法地址；

若是，则判断所述指定代码段执行了非法跳转指令。

A4、如A3所述的方法，其中，该方法还包括：

在程序使用的共享库文件加载到内存后，获取所述共享库在内存中的地址范围；

所述判断所述跳转地址是否为非法地址包括：判断所述跳转地址是否在所述共享库在内存中的地址范围外，若是，则判断所述跳转地址为非法地址。

A5、如A1所述的方法，其中，该方法还包括：

将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。

A6、如A5所述的方法，其中，所述该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：

应用程序的版本号；

应用程序的签名信息；

已登录该应用程序的用户的账户信息；

指定代码段的描述信息。

A7、如A5所述的方法，其中，该方法还包括：

接收所述应用程序的服务器下发的指令，对所述应用程序执行相应的操作；所述指令包括如下中的至少一种：

显示应用程序受到代码注入攻击的提示信息；

从所述应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；

强制注销用户账户。

本发明的实施例还公开了B8、一种代码注入攻击的检测方法，其中，该方法包括：

对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段；

在待检测代码中为指定代码段添加监控代码，所述监控代码适于执行如A1-A7中任一项所述的方法。

B9、如权利要求8所述的方法，其中，所述对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段包括：

预设一个函数库，所述函数库中的函数为易受到代码注入攻击的敏感函数；

将待检测代码与所述函数库进行匹配，得到待检测代码中的敏感函数；

所述在待检测代码中为指定代码段添加监控代码包括：在待检测代码中为所述敏感函数添加监控代码。

B10、如B8或B9所述的方法，其中，该方法还包括：

对应用程序的安装包进行反编译，得到所述待检测代码；

将添加了监控代码的待检测代码编译为应用程序的安装包。

本发明的实施例还公开了C11、一种代码注入攻击的检测装置，其中，该装置包括：

代码检测单元，适于在在应用程序运行后，判断该应用程序的代码中是否包含指定代码段；

监控单元，适于在该应用程序的代码中包含指定代码段时，监控该指定代码段是否执行了非法跳转指令；当监控到指定代码段执行了非法跳转指令时，判断该指定代码段受到代码注入攻击。

C12、如C11所述的装置，其中，

所述指定代码段为：包含指定函数的代码段，所述指定函数还包含跳转指令。

C13、如C12所述的装置，其中，

所述监控单元，适于在所述跳转指令执行时，获取该跳转指令在内存中对应的跳转地址，判断所述跳转地址是否为非法地址；若是，则判断所述指定代码段执行了非法跳转指令。

C14、如C13所述的装置，其中，

所述监控单元，还适于在程序使用的共享库文件加载到内存后，获取所述共享库在内存中的地址范围；判断所述跳转地址是否在所述共享库在内存中的地址范围外，若是，则判断所述跳转地址为非法地址。

C15、如C11所述的装置，其中，该装置还包括：

对策单元，适于将指定代码段受到代码注入攻击的事件信息上报至应用程序的服务器。

C16、如C15所述的装置，其中，所述该指定代码段受到代码注入攻击的事件信息包括如下中的至少一种：应用程序的版本号；应用程序的签名信息；已登录该应用程序的用户的账户信息；指定代码段的描述信息。

C17、如C15所述的装置，其中，

所述对策单元，还适于接收所述应用程序的服务器下发的指令，对所述应用程序执行相应的操作；所述指令包括如下中的至少一种：显示应用程序受到代码注入攻击的提示信息；从所述应用程序的服务器获取应用程序的最新版本，对应用程序进行更新；强制注销用户账户。

本发明的实施例还公开了D18、一种代码注入攻击的检测装置，其中，该装置包括：

匹配单元，适于对待检测代码以代码注入攻击检测策略进行匹配，得到至少一个指定代码段；

添加单元，适于在待检测代码中为指定代码段添加如C11-C17中任一项所述的装置。

D19、如D18所述的装置，其中，

所述匹配单元，包含有预设的函数库，所述函数库中的函数为易受到代码注入攻击的敏感函数；所述匹配单元适于将待检测代码与所述函数库进行匹配，得到待检测代码中的敏感函数；

所述添加单元，适于在待检测代码中为所述敏感函数添加监控代码。

D20、如D18或D19所述的装置，其中，该装置还包括：

安装包处理单元，适于对应用程序的安装包进行反编译，得到所述待检测代码；以及适于将添加了监控代码的待检测代码编译为应用程序的安装包。