代码保护之道——混淆的艺术.docxVIP

代码爱护之道——混淆的艺术 黑产的现状及常用的盈利手段是什么？这里给出三个数字：第一个数字是 150 万，这是 2021 年网络平安生态峰会上评估出的黑产从业人员的人数。跟这个人数相比，目前业界顶尖公司中平安从业人员最多不过千余人，与黑产对比可谓凤毛麟角。其次个数字是千亿，这是网络平安生态峰会上评估的黑产年产值。依据 2021 年的腾讯阿里两家巨头的财报，两家公司净利润总和接近千亿元，黑产的年产值基本可以与这两家巨头公司并驾齐驱。第三个是 20%，这是依据我们之前阅历评估的营销活动的资损率。举例来说比如要做一个新注册的拉新活动，投了 100 万去吸引用户，最终会发觉至少有 20 万会进入到黑产的口袋里。 简约列举两个黑产的盈利场景。第一种是撞库，就是把其他平台泄露的一些用户名和密码，不停地拿到另外一些平台上去试，假如登录成功之后首先会窃取账号内的资产信息，之后会使用窃取的账号去做一些薅羊毛等相关的事情。其次种是垃圾注册，黑产要盈利必需要有海量的帐号，黑产会注册成千上万个小号来为后续的活动进行预备，这是万恶之源。但是实际上批量账号注册是成本格外高的事情，需要海量的手机号码、手机设备等等。工欲善其事必先利其器，黑产也深知这个道理。为了以最小的成本猎取最大的收益，外挂应运而生。外挂具有批量化、虚拟化、自动化的力量，可以最大程度来满足黑产的需求。 为了抵挡黑产，各家公司都会有本人特地的风控团队，使用各种各样的技术手段去进行对抗。这里引见一个比较通用的架构（参见下图）。首先客户端会把采集到的数据加密后 (包括平安签名等) 通过业务 API 接口恳求传平安网关，网关这里会有一些实时的策略引擎来进行风控，包括但不限于 IP 策略、环境设备、帐号属性、行为序列以及一些 AI 机器学习模型等等。风控结果会发送到后端的二次验证系统，假如发觉前端的恳求是非法的，就直接阻断恳求或者弹出验证码等等。假如没有问题，就会真正交给业务系统，然后由业务系统来做一些相关的处理。同时，各家也会有对应的离线策略引擎，它会通过旁路数据进行无监督聚类甚或有监督的机器学习等等，生成更多的模型，协助后端的风控。 接下来重点引见客户端爱护相关的工作。整个风控系统是一个格外浩大的链路，仅就客户端而言也是一个格外简单的体系，这里包括具体采集什么样的风控数据、如何保证采集数据的平安性和对抗的实时性等等。在移动时代，PC 时代的 WEB 的业务几乎全部都落地到了客户端，假如客户端的风控没有做好，无异于门户大开，直接给黑产供应了攻击的入口。这里引见了基于客户端进行风控的例子，我们可以看到攻击曲线完全降低到了冰点，实际上这里并没有使用多么简单的机器学习方法，而仅仅是基于客户端本身的混淆规律来实现了业务爱护达到的结果。 防备方法论 第一点是天下武功唯快不破。攻防的本质实际上是成本和收益的对抗。良好的代码混淆会大大提高破解所需的时间和门槛，只需保证核心代码的更新速度快于攻击者破解的速度，就可以实现很好的爱护效果。 其次点是重剑无峰，大巧不工。攻防的核心是基于可信数据的对抗，谁对系统的底层理解得愈加深化，谁就在整个攻防里面把握了自动权。同样，良好的代码混淆可以保证你的数据采集规律不被攻击者所知悉，这可以大大提高后端风控数据的精确?????性和平安性。 第三点是藏叶于林。平安是业务的自然?属性，业务是平安的最佳载体。只要结合了业务的平安才是真正的平安，孤立的平安是很简约被攻击者攻破的。将业务代码和平安代码放在一起进行混淆，攻击者要破解的话，不但要摸清平安规律，还要了解清楚整个业务规律。同时，业务上的风吹草动也会为平安起到格外好的预警作用。 黑客攻击流程 在引见完防备方法论之后，具体引见代码混淆之前，引见下黑客的攻击流程（参见下图）。 攻击的第一步是查找入口，一般有两种方式：静态分析和动态分析。静态分析就是首先查看.so、.elf 等文件，查看其导出表。假如找不到，就看字符串表，在字符串里找信息，找到之后也可以定位到对应的位置。假如字符串表再没有，就看导入表，由于导入表里面可能会引入 MD5 等一些签名算法的值，假如导入表也没有，就得看代码规律了。举例来说，AES 算法有一个 S 盒，可以直接在源码中找 S 盒的特征，然后就晓得这是 AES 算法，这是一个很好的线索，可以顺着该线索进而去摸清全体的规律。假如这些方法都行不通，还有符号执行等技术可以用来协助分析。 动态分析首先可以利用常用的 trace 工具，如 ltrace、strace 等来分析函数的调用流，对全体流程大致有了一个了解之后需要定位到关键函数的入口，定位到关键入口之后需要结合动态调试技术，通过 GDB、LLDB 等工具利用单步调试等一些调试方法去猎取信息。除此之外还有一个利器是 Hook，结合 Hook 技术将关键参数信息打印出来。