应用加固攻防.pdf

应用加固攻防 汪海（逆巴） 议题内容 1.加固脱壳意 2. 目前加固现状 3.某些加固分析 4.如何制作通用脱壳 目前国内加固厂商 Ali,360,tencent,baidu,bangcle,ijiami,naga,通付盾，网秦等 加固意 • android java编写，开发门槛低容易被反编译 • android市场混乱，且可自签名，导致大量应用被二 次打包，植入广告，木马 • 手机root后，利用hook等技术手段对应用进行动态 攻击 脱壳的意 • 灰色产业大量利用加固 • 给病毒分析人员，以及杀毒引擎带来了挑战 • 漏洞审计，游戏辅助 挖掘到灰色产业大量使用的加固 加固技术 第一代加固技术 • 原理：基于android本身提供的类加载技术，源dex被整包加 密放到资源目录，壳接管进程启动点 目前某保使用次方案 存在的问题 • 内存中存在连续的解密后dex，可直接dump拿到 • 整体加密对于逆向分析相对简单（存放明显） • 加固厂商应对内存dump dex加载完后抹掉混，淆dex头部等 内存检查进程是否被注入，以及ZjDroid等脱壳工具 使用Inotify对/proc/pid/mem和/proc/pid/pagemap进行监视 第二代Dex加密－基于方法保护 • 原理：Java虚拟机在第一次执行某个类的某个方 法前，才需要加载这个方法的代码指令 加固方案 • 1.修改 DexCode，access_flag • 2.修改DexCode,hook DvmReceloveClass 优点 • 此方案dex在内存中不连续，内存dump成本高 • 对于静态分析也是一个挑战 • 将原dex方法指令提取（DexCode），加密存放。存放形式多种相对dex整 体加密，更加隐蔽 缺点 与第一代相比性能折损 目前大多加固厂商都使用此方案 某些加固分析 某保-第一代dex加固 某厂商－第二代dex加固 dex加载过程，以及dex结构 java层 BaseDexClassLoader DexFile mCookie native层 DexOrJar isDex RawDexFile* pRawDexFile; JarFile* pJarFile; JarFile RawDexFile DvmDex* pDvmDex