火眼自动化分析APKv03金山网络白彦庚.pptVIP

个人简介 白彦庚 就职于金山网络 从事反病毒技术研究 目录 APK是什么 火眼是什么 框架设计 监控体系 模拟器对抗 行为触发 问题分享 APK是什么 Android系统 Dalvik虚拟机 Android手机上的应用程序. Java开发 框架设计 火眼采用分布式的动态可扩展架构 监控体系 分析节点的架构 smali hook 解包并反编译Android程序成Smali指令代码 插入监控程序段至反编译后Smali代码中 监控程序段用于监控Android程序运行过程中的运行行为 修改Android程序调用系统API所传的参数或API的返回值 重新编译修改后的Smali代码并打包为新的Android程序 运行重新编译的新Android程序，并通过插入的监控程序段获取该Android程序的运行行为数据 smali hook smali 代码 smali hook的不足之处 利用so实现相应的功能. 利用反射机制调用相应的功能 加载jar作为代码执行 通过so发送短信 针对smali hook的补充方案 so注入监控 framework编译替换 so注入 inline hook 利用ptrace函数attach到zygote进程, 使该进程暂停运行. 获取并保存zygote进程当前的寄存器 在目标进程申请内存 写入soloader代码到目标进程 设置目标进程寄存器, 执行soloader代码. 加载so实现inline hook. 恢复目标进程寄存器, 并恢复执行. 对新创建的进程执行的功能进行监控输出. 模拟器对抗 模拟器的检测 通过hook代码实现欺骗 行为触发 样本启动广播触发 拦截短信智能触发 智能切换网络环境 操作交互触发（点击触发） 简单的例子 例如在xml文件中扫描到相应的监控短信权限, 或模拟向模拟器中发送一条短信. telnet localhost 5554 sms send +10086 hello world 发送特定内容的短信给模拟器 遇到的问题分享 加速模拟器传输技术 网上抄来so注入代码的阅读 加速模拟器分享 安装apk遇到性能瓶颈 传输效率的解决方案 加速模拟器分享 安装apk遇到性能瓶颈 加速模拟器分享 传输效率的解决方案 so注入问题分享 runSelectLoopMode函数部分代码 so注入问题分享 selectReadable函数so层部分代码细节 so注入问题分享 libc.so中select的反汇编代码 so注入问题分享 so注入问题分享 ptrace_attach停止目标进程 zygote进程的select函数因信号由内核返回 通知父进程 父进程保存并修改寄存器, 改变执行流程 恢复zygote进程执行 so注入问题分享 do_signal函数内部 so注入问题分享 setup_syscall_restart函数 是一个压缩包 包含xml描述， 代码(java, c) 用户眼中的火眼. 金山的火眼 基于数据中心，统一分配和管理动态分析处理节点； 动态分析处理节点的状态对于调度中心透明； 处理节点异常，调度中心能第一时间发现并发出警报，同时停止该处理节点的任务处理； 新增处理节点，只需要通过向数据中心注册并获取授权，即可动态扩容。 相关详细说明如下： Unpack APK: 　　从apk文件解压出Androidmanifest.xml、resources.arsc、classes.dex、证书文件； 　　对Androidmanifest.xml、resources.arsc进行解码。 Patch Dex: 　　将classes.dex反编译成smali代码，对smali代码进行patch（hook API见附表）； 　　对证书自校验进行patch； 　　重新编译patch过的smali代码。 Repackage: 　　将重新编译的classes.dex与Androidmanifest.xml打包回apk程序。 　　对apk程序重新签名。 Patch SD image: 　　创建新的SD卡镜像文件； 　　对SD卡镜像文件（FAT32文件系统）进行解析，把目标apk样本写进SD卡镜像文件，目的是解决模拟器传输速度慢的问题。 Android VD Controler: 　　开启/关闭模拟器和logcat（模拟器日志系统）； 　　安装目标apk样本、重新挂载SD卡设备； 　　多开模拟器控制。 Action Controler: 　　模拟器主屏截图、窗口/控件后台截图； 　　获取正在运行的样本界面信息，对特定关键字进行点击； 　　根据样本需要的环境，触发相应的行为，如给模拟器发短信，打入电话，发送重启完成 广播。 Logs module: 　　对原始日志进行解析出相应的行为。如发送短信、拦