(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115618345A(43)申请公布日2023.01.17(21)申请号202211333688.6(22)申请日2022.10.28(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人董帅克张作为田旭宏(74)专利代理机构济南信达专利事务所有限公司37100专利代理师李世喆(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书8页附图2页(54)发明名称代码注入行为的检测方法和装置(57)摘要本说明书实施例提供了代码注入行为的检测方法和装置。在该方法中，针对待检测的应用程序(APP)，从运行该APP的进程的内存中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第一代码；针对待检测的所述APP，从硬盘中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第二代码；比较第一代码与第二代码是否相同，如果相同，则确定针对待检测的所述APP未发生外部代码注入行为，如果不相同，则确定针对待检测的所述APP发生了外部代码注入行为。本说明书实施例能够更为有效地检测出针对APP是否发生了外部代码注入行为。CN115618345ACN115618345A权利要求书1/2页1.代码注入行为的检测方法，其中，包括：针对待检测的应用程序APP，从运行该APP的进程的内存中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第一代码；针对待检测的所述APP，从硬盘中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第二代码；比较第一代码与第二代码是否相同，如果相同，则确定针对待检测的所述APP未发生外部代码注入行为，如果不相同，则确定针对待检测的所述APP发生了外部代码注入行为。2.根据权利要求1所述的方法，其中，所述读取与该APP相关联的第一函数的代码，包括：读取与该APP相关联的所述第一函数的函数序言的代码；和/或，所述代码为二进制代码；和/或，所述外部代码注入行为包括：基于Frida的inlinehook将外部代码注入运行所述APP的进程中。3.根据权利要求1所述的方法，其中，所述第一函数包括：所述待检测的APP中包括的任意一个或多个函数。4.根据权利要求1所述的方法，其中，所述第一函数包括：指定的系统库函数。5.根据权利要求4所述的方法，其中，所述指定的系统库函数包括：指定的libc函数。6.根据权利要求5所述的方法，其中，所述指定的libc函数包括如下中的至少一个：exit函数、_exit函数、abort函数。7.根据权利要求1所述的方法，其中，在所述确定针对待检测的所述APP发生了外部代码注入行为之后，进一步包括：直接确定所述外部代码注入行为是针对所述待检测APP的攻击行为；或者，获取在终端设备执行所述待检测APP时形成的终端设备内部的运行环境信息，以利用所述运行环境信息检测外部代码注入行为是否为攻击行为；其中，所述运行环境信息为：终端设备执行所述待检测APP时不需要使用的信息，但是又是终端设备执行所述待检测APP所影响到的终端设备的运行信息。8.根据权利要求1所述的方法，其中，该方法进一步包括：预先自定义读取函数；所述从运行该APP的进程的内存中读取与该APP相关联的第一函数的代码，包括：通过自定义函数从运行该APP的进程的内存中读取所述第一函数的代码；所述从硬盘中读取与该APP相关联的第一函数的代码，包括：通过自定义函数从硬盘中读取所述第一函数的代码。9.代码注入行为的检测装置，其中，该装置包括：第一读取模块，配置为针对待检测的应用程序APP，从运行该APP的进程的内存中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第一代码；第二读取模块，配置为针对待检测的所述APP，从硬盘中读取与该APP相关联的第一函数的代码，以便得到对应该第一函数的第二代码；注入行为检测模块，配置为比较第一代码与第二代码是否相同，如果相同，则确定针对2CN115618345A权利要求书2/2页待检测的所述APP未发生外部代码注入行为，如果不相同，则确定针对待检测的所述APP发生了外部代码注入行为。10.一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1‑8中任一项所述的方法。3CN115618345A说明书1/8页代码注入行为的检测方法和装置技术领域[0001]本说明书一个或多个实施例涉及电子信息技术，尤其涉及代码注入行为的检测方法和装置。背景技术[0002]随着网络技术的不断发展，基于网络出现了能够实现各种业务功能的各个应用程序(APP)。比如，能够实现人脸识别的APP，能够实现网上