Android应用程序通用自动脱壳方法研究-杨文博.pdf

Android 应用程序 通用自动脱壳方法研究 杨文博 简介 Profile • GoSSIP 软件安全小组 • 微博 @GoSSIP_SJTU • • 上海交通大学网络信息安全 杨文博 协会 （0ops ） 上海交通大学计算机系在读博士 Android 加壳保护 Android 加壳保护 可保护 不可保护 • 程序逻辑 • 安全问题 • 算法、协议 • 数据存储传输 • 完整性 • 程序漏洞 • 盗版 • 权限泄露 • 外挂 • 不安全的API 为什么要脱壳 SandDroid AVL Team 脱壳的影响 • 程序真实逻辑暴露 • 降低分析门槛 • 篡改APP • 静态代码审查 • 更容易挖掘漏洞 加固程序特点 ·Manifest保留 ·增加入口点类 ·Native执行 加固程序特点 ·ARM ELF 头部破坏 ·.init_array 段花指令 加固程序特点 ·解密 JNI_OnLoad 函数 ·解密出另一个ELF文件 ·ELF中解压 .text 段 ·.text段中提取key再解密.rotext ·真正的壳程序 加固程序特点 · 取原 DEX 中的padding数据 · 取一些解密解压参数 · 解密解压padding数据 · 得到 DEX 文件 · 反调试，反分析 加固程序特点 ·隐藏DEX · 反分析手段 ·反调试 ·静态逆向难 ·反内存dump ·反静态工具 ·变化快 制作通用脱壳机 通用自动化脱壳 • Dalvik 源码插桩 • Portable 解释器 • 绕过反调试 • 运行时数据 • 任意脱壳点 • 真机部署 通用自动化脱壳 ·内存中的 Dalvik 数据结构 一个Naïve的实现 · 读取 DexFile 结构体 · 基于源码: C/C++ 实现 · 以DexFile为输入 · 他山之石 · dalvik/dexdump/ DexDump.cpp