一种通过自调试防止外部调试的方法和装置与流程

本申请涉及计算机技术领域，尤其涉及一种通过自调试防止外部调试的方法和装置。

背景技术：

随着移动互联网产业的快速发展，移动应用程序呈井喷式爆发，其中，基于安卓系统开发的移动安卓应用程序也越来越多，为便于描述下文将安卓应用程序简称为应用程序。

由于安卓系统本身具有开源特性，超97％的应用程序会遭受盗版侵袭和病毒木马肆虐，应用程序正逐渐取代个人电脑端成为黑客攻击的主要对象。

现有技术中，应用程序攻击者可以利用调试器跟踪应用程序的运行，查看、修改应用程序的内存代码和数据，分析应用程序的程序逻辑，从而可以对应用程序进行攻击和破解。

技术实现要素：

本申请实施例提供一种通过自调试防止外部调试的方法，用于解决现有技术中应用程序攻击者可以利用调试器跟踪应用程序的运行，从而可以对应用程序进行恶意攻击和破解的问题。

本申请实施例还提供一种通过自调试防止外部调试的装置，用于解决现有技术中应用程序攻击者可以利用调试器跟踪应用程序的运行，从而可以对应用程序进行恶意攻击和破解的问题。

本申请实施例采用下述技术方案：

一种通过自调试防止外部调试的方法，包括：

基于应用程序的主进程创建所述应用程序的至少两个子进程；

通过各所述子进程对所述应用程序的主进程进行调试，以使得各所述子进程与所述主进程之间处于一个回环调试状态。

一种通过自调试防止外部调试的装置，包括：

子进程创建单元，用于基于应用程序的主进程创建所述应用程序的至少两个子进程；

进程调试单元，用于通过各所述子进程对所述主进程进行调试，以使得各所述子进程与所述主进程之间处于一个回环调试状态。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

本申请中，由于能够基于应用程序的主进程创建应用程序的至少两个子进程，应用程序在启动之后，该应用程序的主进程和其子进程便会同时启动，并能够在各进程启动后通过该应用程序的子进程对该应用程序进行调试，使得主进程与其子进程之间形成一个回环调试状态，由于一个进程只能被一个进程调试，这样当有其他外部进程试图调试主进程和其子进程时，主进程与其子进程便会被终止，从而能够避免安卓应用攻击者对其进行恶意攻击和破解。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1a为本申请实施例提供的通过自调试防止外部调试方法的实施流程示意图；

图1b为本申请实施例提供的通过自调试防止外部调试方法中三个进程间进行调试时所形成的回环调试状态示意图；

图1c为本申请实施例提供的通过自调试防止外部调试方法中四个进程间进行调试时所形成的回环调试状态示意图；

图2为本申请实施例提供的通过自调试防止外部调试装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

如背景技术所述，由于安卓系统本身具有开源特性，应用程序攻击者为获取应用程序中包含的数据，往往会对应用程序进行恶意攻击，安卓软件逆向技术也逐渐被这些攻击者恶意利用。在安卓软件逆向技术中，安卓调试技术是一个非常重要的组成部分，通过进行应用程序的调试，可以得到应用程序的运行流程，通常可以非常顺利且快速地绕过一些登录限制或功能限制，获取到一些用户的私密信息，具有较大的危害。

攻击者在对应用程序进行调试时，通常是对应用程序对应的进程进行调试，从广义上而言，进程是一个具有一定独立功能的程序关于某个数据集合的几次运行活动，它是操作系统动态执行的基本单元，在传统的操作系统中，进程既是基本的分配单元，也是基本的执行单元。由于每个进程都有自己的地址空间，通常包括文本区域(textregion)、数据区域(dataregion)和堆栈(stackregion)，其中，文本区域存储处理器执行的代码，数据区域存储变量和进程执行期间使用的动态分配的内存，堆栈区域存储着进程活动过程调用的指令和本地变量，因此一旦某个应用程序的进程被攻击者进行恶意攻击和破解，便能够获取该应用程序的关键信息和数据。

为用于解决现有技术中应用程序攻击者可以利用调试器跟踪应用程序的运行，从而可以对应用程序进行恶意攻击和破解的问题，本申请实施例提供一种通过自调试防止外部调试的方法，该方法的执行主体可以是实现本申请提供的通过自调试防止外部调试方法的应用程序。为便于描述，下文以该方法的执行主体是应用程序为例，对该方法的实施方式进行介绍。可以理解，该方法的执行主体为应用程序只是一种示例性的说明，并不应理解为对该方法的限定。

本申请提供的通过自调试防止外部调试方法的实现流程示意图如图1a所示，包括下述步骤：

步骤11，基于应用程序的主进程创建该应用程序的至少两个子进程；

本申请实施例中，主进程也可以称为父进程，指的是可以创建一个或多个子进程的进程。子进程是由另一进程所创建的进程，子进程继承了对应的父进程的大部分属性，如文件描述符。在linux系统中，子进程往往是系统调用fork()函数创建的产物。一个进程可能下属多个子进程，但最多只能有1个父进程，而若某一进程没有父进程，则可知该进程很可能由内核直接生成。

在基于应用程序的主进程创建该应用程序的至少两个子进程时，既可以通过应用程序的主进程分别创建至少两个子进程，也可以通过主进程创建第一子进程，然后再通过第一子进程创建第二子进程的方式，以此类推创建第三子进程等子进程来实现创建该应用程序的至少两个子进程。

在实际应用中，可以通过fork()函数来创建子进程，在本申请实施例中，主进程既可以通过fork()函数创建两个子进程，还可以首先通过fork()函数创建第一子进程，然后第一子进程再通过fork()函数创建第二子进程的方式，以此类推创建第三个子进程等应用程序的子进程来创建应用程序的至少两个子进程。

其中，fork()函数可以通过系统调用，创建一个与调用fork()函数的进程几乎完全相同的进程，换言之，一个父进程调用fork()函数后，系统首先会给将要创建的子进程分配资源，比如存储数据和代码的空间，然后将调用fork()函数的父进程的所有值都复制到将要创建的子进程中，只有少数值与父进程的值不同，即相当于克隆了一个与父进程本身相同的子进程。

在实际应用场景中，一个进程只能被另外一个进程调试，如果有第三个进程试图对其进行调试，该进程则会被终止，这样三个进程间便可以实现一种不被外部进程调试的调试状态，如图1b所示，主进程、第一子进程与第二子进程之间进行调试便可以形成一种回环调试状态。本申请实施例提供一种优选的实施方式，基于应用程序的主进程可以只创建该应用程序的两个子进程，具体的创建方式可以通过主进程利用fork()函数创建两个子进程，也可以通过主进程利用fork()函数创建第一子进程，然后再通过第一子进程利用fork()函数创建第二子进程。

由于安卓系统没有禁止用于调试的系统调用，攻击者在利用恶意程序在拿到root权限的情况下，可以使用这个应用程序接口(applicationprograminterface,api)对应用程序的进程的内存、寄存器进行修改，以达到执行shellcode、注入恶意模块的目的。在注入恶意模块后，恶意模块就可以动态地获取内存中的各种敏感信息，例如应用程序用户的用户名和密码等重要信息和数据，为了避免这些问题，可以通过执行以下步骤对主进程进行双向调试保护，从而阻止其他进程对主进程进行调试操作。

步骤12，通过各子进程对主进程进行调试，以使得各子进程与主进程之间处于一个回环调试状态。

其中，回环调试状态指的是至少三个进程间进行调试所形成的一种回环调试状态，下面以主进程、第一子进程和第二子进程三个进程间进行调试为例进行说明，如图1b所示为三个进程间进行调试所形成的回环调试状态的示意图，其中第一子进程对主进程进行调试，主进程对第二子进程进行调试，第二子进程对第一子进程进行调试，这样便形成了一种回环调试状态，由于一个进程只能被另外一个进程调试，这样在形成这种回环调试状态后，如果有外部进程试图对这三个进程中的任一进程进行调试，便会导致这三个进程终止，从而可以避免外部进程对这三个进程进行调试从而获取应用程序的重要信息和数据的行为。

需要说明的是，在安卓系统中，可以有多种调试方法，其中ptrace调试方法提供了一种使父进程得以监视和控制其它进程的方式，它还能够改变子进程中的寄存器和内核映像，因而可以实现断点调试和系统调用的跟踪，是较为常用的一种调试方法，本申请实施例采用的调试方法均可以通过ptrace对进程进行调试。

当基于主进程创建了两个子进程时，通过各子进程对主进程进行调试，以使得各子进程与主进程之间处于一个回环调试状态，如图1b所示可以是通过第一子进程对主进程进行调试、通过主进程对第二子进程进行调试、通过第二子进程对第一子进程进行调试，也可以是通过第二子进程对主进程进行调试、通过主进程对第一子进程进行调试、通过第一子进程对第二子进程进行调试所形成的回环调试状态。

当基于主进程创建了三个子进程时，通过各子进程对主进程进行调试，以使得各子进程与主进程之间处于一个回环调试状态，如图1c所示可以是通过第一子进程对主进程进行调试、通过主进程对第三子进程进行调试、通过第三子进程对第二子进程进行调试、以及通过第二子进程对第一子进程进行调试，也可以是通过第三子进程对主进程进行调试、通过主进程对第一子进程进行调试、通过第一子进程对第二子进程进行调试、通过第二子进程对第三子进程进行调试所形成的回环调试状态，等等也可以是其他调试关系所形成的回环调试状态，这里对该调试关系不做具体限定。

下面以基于应用程序的主进程创建了两个子进程，并以如图1b所示的回环调试状态为例，对各进程间进行调试的具体过程进行详细描述。在应用程序启动后，其主进程和其子进程也会相应地启动，该应用程序的子进程中的第一子进程则会对其主进程进行安卓调试。具体来说，首先可以通过第一子进程获取主进程的进程控制模块中的进程状态，然后确定主进程的进程状态是否处于被追踪或被停止状态。为了避免主进程被攻击者进行恶意跟踪，当确定主进程的状态处于被追踪状态时，则终止主进程、第一子进程和第二子进程。同样地，为避免攻击者利用第一子进程和第二子进程获取与主进程相关的数据，当主进程被终止时，则可以终止第一子进程和第二子进程。

在上述场景中，主进程对第二子进程进行安卓调试。具体来说，首先可以通过主进程获取第二子进程的进程控制模块中的进程状态，然后确定第二子进程的进程状态是否处于被追踪或被停止状态。为避免攻击者利用第二子进程获取与主进程相关的数据，与主进程相关的数据比如可以是安卓应用程序的用户的注册信息、用户名和密码等信息，当确定第二子进程的进程状态处于被追踪状态时，则终止主进程、第一子进程和第二子进程。同样地，为避免攻击者利用第一子进程和第二子进程获取与主进程相关的数据，当第二子进程被终止时，则终止主进程和第一子进程。

延用上述场景，第二子进程则会对第一子进程进行安卓调试。具体来说，首先可以通过第二子进程获取第一子进程的进程控制模块中的进程状态，然后可以根据第一子进程的进程状态，确定第一子进程是否处于被追踪或被停止状态。当确定第一子进程的进程状态处于被追踪状态时，终止主进程、第一子进程和第二子进程。当确定第一子进程处于被终止的状态时，则终止主进程和第二子进程。

本申请中，由于能够基于应用程序的主进程创建应用程序的子进程，应用程序在启动之后，该应用程序的主进程和其子进程便会同时启动，并能够在各进程启动后通过该应用程序的子进程对该应用程序进行调试，使得主进程与其子进程之间形成一个回环调试状态，由于一个进程只能被一个进程调试，这样当有其他外部进程试图调试主进程和其子进程时，主进程与其子进程便会被终止，从而能够避免安卓应用攻击者对其进行恶意攻击和破解的问题。

为解决现有技术中安卓应用攻击者可以利用调试器跟踪应用程序的运行，对应用程序进行攻击和破解的问题，基于与上述通过自调试防止外部调试方法相同的发明构思，本申请实施例还提供一种通过自调试防止外部调试的装置，如图2所示，包括：

子进程创建单元21，用于基于应用程序的主进程创建所述应用程序的至少两个子进程；

进程调试单元22，用于通过各所述子进程对所述主进程进行调试，以使得各所述子进程与所述主进程之间处于一个回环调试状态。

上述装置实施例的具体工作流程是，首先，子进程创建单元21，基于应用程序的主进程创建应用程序的至少两个子进程，然后，进程调试单元22，通过各子进程对主进程进行调试，使得各子进程与主进程之间处于一个回环调试状态。这样便当有其他外部进程试图调试主进程和其子进程时，主进程与其子进程便会被终止，从而能够避免应用程序攻击者对其进行恶意攻击和破解的问题。

本申请实施例中，通过自调试防止外部调试的具体实施方式可以有很多种，在一种实施方式中，所述子进程创建单元21，具体用于：

通过所述主程序创建第一子进程；

通过所述第一子进程创建第二子进程。

在一种实施方式中，为了使得各进程间进行调试形成一种回环调试状态，所述进程调试单元22，具体用于：

通过所述第一子进程对主进程进行调试；

通过所述主进程对所述第二子进程进行调试；

通过所述第二子进程对所述第一子进程进行调试。

在一种实施方式中，为了避免及时获取主进程的进程状态，避免其他进程对主进程进行调试，进程调试单元22，具体用于：

通过所述第一子进程获取所述主进程的进程控制模块中的进程状态；

确定所述主进程的进程状态是否处于被追踪或被停止状态。

在一种实施方式中，为了避免其他外部进程获取主进程的重要数据和信息，当所述主进程的进程状态处于被追踪状态时，所述装置还包括：

第一终止单元23，用于终止所述主进程、所述第一子进程和所述第二子进程。

在一种实施方式中，当所述主进程被终止时，所述装置还包括：

第二终止单元24，用于终止所述第一子进程和所述第二子进程。

在一种实施方式中，所述进程调试单元22，具体用于：

通过所述主进程获取所述第二子进程的进程控制模块中的进程状态；

确定所述第二子进程的进程状态是否处于被追踪或被停止状态。

在一种实施方式中，当确定所述第二子进程的进程状态处于所述被追踪状态时，所述装置还包括：

第三终止单元25，用于终止所述主进程、所述第一子进程和所述第二子进程。

在一种实施方式中，当所述第二子进程被终止时，所述装置还包括：

第四终止单元26，用于终止所述主进程和所述第一子进程。

在一种实施方式中，所述进程调试单元22，具体用于：

通过所述第二子进程获取所述第一子进程的进程控制模块中的进程状态；

根据所述第一子进程的进程状态，确定所述第一子进程是否处于被追踪或被停止状态。

在一种实施方式中，当确定所述第一子进程的进程状态处于被追踪状态时，所述装置还包括：

第五终止单元27，用于终止所述主进程、所述第一子进程和所述第二子进程。

在一种实施方式中，当所述第一子进程被终止时，所述装置还包括：

第六终止单元28，用于终止所述主进程和所述第二子进程。

本申请中，由于能够基于应用程序的主进程创建应用程序的至少两个子进程，应用程序在启动之后，该应用程序的主进程和其子进程便会同时启动，并能够在各进程启动后通过该应用程序的子进程对该应用程序进行调试，使得主进程与其子进程之间形成一个回环调试状态，由于一个进程只能被一个进程调试，这样当有其他外部进程试图调试主进程和其子进程时，主进程与其子进程便会被终止，从而能够避免安卓应用攻击者对其进行恶意攻击和破解的问题。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。