CN108681457A - 基于代码下沉与残码解释的Android应用程序保护方法 - Google Patents
基于代码下沉与残码解释的Android应用程序保护方法 Download PDFInfo
- Publication number
- CN108681457A CN108681457A CN201810446991.4A CN201810446991A CN108681457A CN 108681457 A CN108681457 A CN 108681457A CN 201810446991 A CN201810446991 A CN 201810446991A CN 108681457 A CN108681457 A CN 108681457A
- Authority
- CN
- China
- Prior art keywords
- code
- files
- key method
- key
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 270
- 230000004224 protection Effects 0.000 claims abstract description 34
- 238000000605 extraction Methods 0.000 claims abstract description 14
- 230000006870 function Effects 0.000 claims description 27
- 238000013507 mapping Methods 0.000 claims description 22
- 238000013519 translation Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 230000009467 reduction Effects 0.000 claims description 11
- 210000000746 body region Anatomy 0.000 claims description 7
- 238000009434 installation Methods 0.000 claims description 7
- 238000005206 flow analysis Methods 0.000 claims description 3
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 230000002441 reversible effect Effects 0.000 abstract description 5
- 238000004458 analytical method Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 238000012856 packing Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000001681 protective effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003014 reinforcing effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002633 protecting effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000001154 acute effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007850 degeneration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000008140 language development Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/53—Decompilation; Disassembly
Abstract
本发明公开了一种基于代码下沉与残码解释的Android应用程序保护方法,包括:查找dex文件中需要进行保护的关键方法,包括需要代码反射下沉技术保护的关键代码段和需要多样性虚拟解释Dex残码技术保护的关键代码段;对需要代码反射下沉技术保护的关键代码段进行转化为Native类型和JNI反射翻译操作,编译形成解释性so文件;对需要多样性虚拟解释残码保护的关键代码段进行指令抽取,预处理后进行多样性虚拟,处理结果存储至自定义文件中,编译运行本地层CPP文件,最后形成解释性so文件;将两个so文件进行加载连接,应用程序在加载运行时解释性so文件代替了关键代码段的执行。本发明结合两种不同的保护方法,极大的提升了攻击者攻击的门槛、增大了逆向的成本。
Description
技术领域
本发明属于Android应用程序中Dex文件加固的技术领域,具体涉及基于Java层代码反射下沉与多样性虚拟解释Dex残码相结合的Android APP保护方法。
背景技术
近年来,随着Android手机市场占有率的不断提高,随之而来的安全问题也愈发严峻,其中二次打包的问题尤为严重。由二次打包引起的隐私泄露、资金窃取、流量耗费案例层出不穷,给开发厂商和广大用户带来了巨大的损失。
Android程序大多是由Java作为原生语言开发的,故而保护安卓应用程序中由java语言编译的classes.dex文件显得尤为重要,目前对于dex文件(APK中的classes.dex的简称,Android应用中可执行文件)的保护方式有:Dex整体加密技术、部分方法的类加载加密、虚拟化保护技术等。Dex整体加密技术基于Java虚拟机的动态加载技术,将原APK或DEX进行加密,再加一层壳,壳通过自定义DexClassload在运行的时候进行动态加载解密原始DEX文件,这种方法能够有效防止静态分析,但在解析Dex时进行内存dump,攻击者便可得到完整的Dex文件,随后进行二次打包;部分方法的类加载加密主要是通过抽离Dex中的关键函数指令,保存到一个单独的文件中,运行时在内存中对Dex关键函数进行指令还原,能够有效防止动态分析和内存被dump,目前可以通过修改Android源码来自定义虚拟机进行攻击分析;虚拟机保护技术是使用自定义的语言翻译之前的语言,同时使用本地层自定义的解释器进行解释,加大了还原代码的难度。但由于Dalvik指令集指令的有限性,有经验的攻击者可通过分析Dalvik指令和自定义指令集之间的映射关系来攻击该技术。
因而亟需一种既防止内存dump又增加代码还原难度的保护Dex文件的技术方案。因此本专利提出一种基于Java层代码反射下沉与多样性虚拟解释Dex残码相结合的Android APP保护方法。攻击测试实验表明,在牺牲可接受的性能开销情况下,我们提出的保护方法可以有效防止当前逆向工具的攻击,大多数的静态和动态逆向分析也起不到相应地效果和作用。
发明内容
本发明提出并设计了一种基于代码反射下沉与多样性虚拟解释残码相结合的Android应用程序保护方法,其核心是通过将Dex文件部分方法Native化和基于寄存器的Dalvik指令多样性虚拟化来提高应用程序安全性。本发明方法可以有效防止DEX文件内存被Dump,从根源上杜绝二次打包。
为达到上述目的,本发明采用如下技术方案:
基于代码下沉与残码解释的Android应用程序保护方法,包括以下步骤:
将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;
对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器;
将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包。
进一步地,所述的对第一关键方法采用代码反射下沉的方式进行反射翻译,包括:
将第一关键方法的所有指令逐条从Dex文件中抽离,并进行控制流分析,依照控制流结构进行反射翻译,然后结合JNI接口函数进行解释还原,同时生成CPP文件。
进一步地,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,包括:
将第二关键方法里的所有指令逐条从Dex文件中抽离,并执行预处理操作;所述的预处理操作是根据指令类型提取相关信息及指令上下文;
自定义多套映射规则,然后随机选择一套映射规则对抽离的每条指令进行加密,以对指令进行虚拟化保护。
进一步地,所述的自定义文件包括文件头和文件体,其中,
所述的文件头包括魔术字、文件头大小、抽取结构总大小,抽取方法结构偏移、字符串大小,字符串偏移,类型信息大小,类型信息偏移,引用方法描述体大小,引用方法描述体偏移;
所述的文件体包括字符串区域,类型区域,引用方法描述体区域,抽取方法结构体区域;抽取方法结构体区域包括:当前方法ID,当前方法大小,虚拟指令大小,虚拟指令。
进一步地,所述的编译形成第一关键方法的解释器和第二关键方法的解释器;包括:
将所述的第一关键方法采用代码反射下沉的方式进行反射翻译时生成的CPP文件生成第一关键方法的解释器,所述的第二关键方法进行指令抽取、虚拟化保护并将处理结果存储至自定义文件中的同时,生成包含签名信息的CPP文件,将该CPP文件与本地层已实现的包含解释器核心功能的CPP文件结合生成第二关键方法的解释器。
与现有技术相比,本发明具有以下技术效果:
1.本发明是在本地层实现了自定义文件中抽取指令的虚拟解释,并经过编译以动态库的形式绑定于受保护的apk,故而兼容性好,可以完美兼容安卓4.4之前的Dalvik虚拟机和安卓4.4及之后的ART虚拟机。
2.本发明中提出了多样性虚拟保护的概念,多套自定义映射规则多样性虚拟解释dex文件中的关键方法,在加固端对抽取指令的操作码、操作数随机选择一套转换规则进行映射,在解释器端直接根据变换之后的指令进行相应的解释而不需要指令还原的过程,且指令变化作为后台处理部分,其逻辑不会出现在受保护apk中,对于攻击者来说,这样的随机性和其余正确指令的干扰大大增强了逆向者去分析的时间开销和成本开销。
3.本发明设计的虚拟机可扩展性强、灵活性高。解释器可以对所有Dalvik指令进行处理,对待保护的方法进行指令抽取、自定义转换、本地层解释可以有效的防止动态调试时内存dump得到真实指令。
4.由于Java语义性较强,易被反编译,较为理解。我们采用Dex文件中部分方法的Native化技术,使待保护Java层方法通过JNI反射转换为本地层方法。Native层代码较为底层,很多程序员不具备分析本地代码的能力。代码下沉大大增加了攻击者还原Java层中关键逻辑的难度。
5.本发明设计中多重虚拟解释Dex残码的引入为系统提供了灵活性及鲁棒性,用户可以根据需求自由选配多重虚拟模块的占比以及多重虚拟的处理函数。两种方法的结合从一定程度来讲再一次提升了攻击者攻击的门槛,攻击者需要同时对两种方式内部实现进行深入研究。
6.测试实验表明,在本发明中,保护前后应用程序安装包的大小体积有所增加,但变化不大;启动时间几乎没有差别;内存的消耗基本不变甚至减少,这是因为在本地层运行要比在虚拟机本身执行消耗的内存少。
附图说明
图1是本发明的流程图;
图2是本发明的整体系统框架图;
图3(a)是“OnCreate”方法的反射下沉示例代码;图3(b)是“const_string”指令所对应的处理函数示例;
图4是对NOP指令多样性虚拟的示例图;
图5是自定义NISL文件的结构示例图;
图6(a)是利用本发明方法保护前Dex文件的伪java图;图6(b)是利用本发明方法保护后Dex文件的伪java图。
图7(a)分别是两个Android应用程序利用本发明方法保护前后内存消耗对比图、启动时间对比图;图7(b)是两个Android应用程序利用本发明方法保护前后体积对比图。
具体实施方式
本实施例提出了一种基于代码下沉与残码解释的Android应用程序保护方法,我们将从该套保护方法的加固过程和保护后安卓程序的执行过程两个方面来进行说明。在本发明中我们选择APP中“MainActivity”类的“OnCreate”方法作为Native化的目标函数进行JNI反射下沉,在本地层实现了“OnCreate”方法的功能,编译生成解释性so文件,这是该保护方法的第一步。考虑到除了OnCreate方法之外的一些方法可能含有重要逻辑,同时为了增大逆向分析的难度,本发明提出了多样性虚拟解释残码技术。该方案采用了代码虚拟化技术,即将Dex文件中待保护的方法进行指令抽取,将抽取方法存放至特定格式的自定义NISL文件中,通过本地层自定义解释器的Handler(处理函数)对该文件进行逐条解释。本文提出了多样性虚拟方案,即加固端和解释器之间存在多套映射关系,每次在加固过程中随机选择一套映射规则进行加固,故每次经过该系统保护后的同一应用程序中的关键方法段Hex码不尽相同。这无疑增大了攻击者通过分析Dalvik指令和自定义指令的映射关系来分析破解该虚拟机的难度,代码反射下沉与多样性虚拟解释残码相结合的方式极大的保护了本地层的解释器和Java层的关键代码、逻辑。
基于代码下沉与残码解释的Android应用程序保护方法,如图1所示,包括以下步骤:
将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;具体包括以下步骤:
步骤1,获取安卓程序安装包的Dex文件中待保护的关键方法
步骤1.1,对于待保护的安卓程序安装包,解包安装包获取Dex文件,并按照Dex文件格式解析,将Dex文件反汇编为Smali汇编指令;
步骤1.2,指定需要保护的第一关键方法以及第二关键方法,并确定第一关键方法和第二关键方法的方法名以及所在类的类名。
其中,第一关键方法在后续处理过程中,利用代码反射下沉的方式进行保护;而第二关键方法则采用基于多样性虚拟解释残码保护的方式进行保护。本方案中,第一关键方法选择程序的入口方法,例如设定为“MainActivity”主类中的“OnCreate”方法,原因是“OnCreate”方法是安卓程序中的重要方法,程序中其他方法通过该方法进行调用,因此本方案中首先对第一关键方法,即入口函数进行代码反射下沉方式进行保护,以有效增强逆向分析的难度。第二关键方法可以是程序中除了入口函数之外的任意一个或多个方法,由用户指定,例如第二关键方法可以是包含数据调用、数据处理等重要逻辑的方法。本实施例中,为了便于说明,选择“MainActivity”主类中的“Test”方法作为第二关键方法。
步骤1.3,获取所述Smali汇编指令中所有类的入口,分别找到第一关键方法所在类、第二关键方法所在类的入口后,在两个类的Smali汇编指令中遍历查找所有方法,由此来定位第一关键方法、第二关键方法的代码段。
该步骤中,可通过解析Androidmanifest.xml文件来获取所有类的入口。
步骤1.4,找到待保护的第一关键方法、第二关键方法后,将第一关键方法、第二关键方法的属性均修改为Native类型。
在后续处理过程中,第一关键方法“OnCreate”函数经步骤2后按照步骤3代码反射下沉的方式进行处理;用户输入的方法经步骤2后按照步骤4进行处理,即基于多样性虚拟解释残码保护的方式进行保护。
步骤2,在第一关键方法、第二关键方法所在类的执行类构造器中分别插入生成第一关键方法的解释器、第二关键方法的解释器调用代码的Smali指令语句,然后重写Dex文件。
本实施例中,插入Smali指令语句的作用是生成两条System.loadlibrary(“**.so”)代码。第一关键方法的解释器为“libDexvmp.so”,第二关键方法的解释器为“libDexvmp01.so”,步骤2中写入这两个解释器的调用代码后重写Dex文件。
具体的示例为:
解释器调用代码为:
“System.loadlibrary(“libDexvmp.so”);System.loadlibrary(“libDexvmp01.so”);”。
插入的两条Smali语句为:
“const-string v1“libDexvmp”;
invoke-static{v1},Ljava/lang/System;
->loadLibrary(Ljava/lang/String;)V;”。
“const-string v1“libDexvmp01”;
invoke-static{v2},Ljava/lang/System;
->loadLibrary(Ljava/lang/String;)V;”。
对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器,具体包括以下步骤:
步骤3,对第一关键方法采用代码反射下沉的方式进行保护
步骤3.1,将步骤2重写后的Dex文件反汇编为Smali汇编指令,循环读取反汇编后的第一关键方法,即“OnCreate”方法里的Smali语句,从而将第一关键方法中的所有Smali语句逐条从Dex文件中抽离;
步骤3.2,对循环读取的第一关键方法里的Smali语句进行控制流分析,依照控制流结构进行反射翻译;所述的Smali语句可分为调用语句、赋值语句,对于不同形式的语句结构利用不同的JNI接口函数进行解释还原;解释还原的同时生成CPP文件。
解释还原后的C++代码如图3(b)所示,对于调用语句,此示例解释还原后的代码为获取对象实例的GetObjectClass方法、获取其父类对象的
GetsuperClass方法、构造函数jmethodID的GetmethodID方法,调用执行的CallNonvirtualVoidMethod方法。对于赋值语句,解释还原后的代码为加载对应类的FindClass方法、类的初始化及返回静态域的ID的GetStaticFieldID方法,获得对象静态域值的GetStaticintField方法。
顺序读取至第一关键方法结束,此时抽空DEX文件中的第一关键方法;其解释还原的CPP文件将在步骤5.1中被编译成“libDexVmp01.so”文件。
在本步骤中,JNI(Java Native Interface)技术打通了Android系统Java层与C/C++层之间的调用关系,JNI技术的出现屏蔽了不同平台之间的一个差异,使得Java层和C/C++两个世界能够相互通信,将“OnCreate”方法Native化后,即使逆向时在内存中Dump出一个Dex文件,也是无效的。因此Dex部分方法的本地化可以有效的防止内存Dump。生成的C++代码在保护程序编译过程中产生了一个onCreate方法的解释性So文件,即:libDexvmp01.so。另外,生成的libDexvmp01.so文件与Java层代码有着功能等价关系。
本实施例中,具体的示例为:我们选择“OnCreate”方法中的一段代码来执行代码反射下沉操作,此代码段从super.onCreate(savedInstanceState)和this.setContentView(R.layout.activity_main)反汇编而来,转换示例代码如图3(a)所示,包括了待保护的Java层方法、反汇编后的Smali代码、反射下沉后的C++代码。本例中C++代码段的JNI方法按操作类型可以分为三类:类相关操作方法,获取类成员方法,执行实例方法。
步骤4,对第二关键方法采用基于多样性虚拟解释残码的方式进行保护
步骤4.1,将步骤2重写后的Dex文件反汇编为Smali汇编指令,将第二关键方法里的所有指令逐条从Dex文件中抽离,并执行预处理操作;
所述的预处理操作是根据Smali汇编指令的指令类型提取相关信息及指令上下文;其中相关信息即索引信息,而指令上下文则为数据信息。根据索引信息可以获得类名、方法名、参数名,根据数据信息可以获取数组内容。
在本步骤中,提取指令相关信息时,以引用类指令为例,根据不同的索引信息可以拿到相应的类名、方法名、参数名等信息。采用这样的方法,能够确保保护后程序在解释执行时能正确还原或构造对象,最终实现指令重构的目的。
步骤4.2,自定义多套映射规则,然后随机选择一套映射规则对第二关键方法每条指令所提取到的信息(即Hex码形式)进行加密,具体来讲是对每条指令的操作码、操作数、指令长度中的一种或几种按某套映射规则进行加密。
在选择加固方案时,首先自定义多套映射规则,该映射规则用于将第二关键方法中的每条指令转换成自定义指令,以进行指令的虚拟化;多样性虚拟分为指令操作码多样性虚拟、指令操作数多样性虚拟、指令长度多样性虚拟三种类型。采用这样的方法,能够保证每个保护后应用程序关键方法段的编码不同,充分保障了该技术的抗逆向能力。映射规则的定义和指令的虚拟化在现有技术中多有应用,在此不赘述。
本实施例中,以一种映射规则为例进行说明:将256个操作码的Opcode值作为一个数组,前128个数组元素与后128个数组元素进行整体交换,再将该数组元素循环右移77位。
步骤4.3,自定义文件NISL,将步骤4.2加密后的指令按照不同的字段信息写入到NISL文件中,同时生成包含签名信息和触发虚拟机解释器执行的CPP文件;将第二关键方法中的所有指令抽空并加密、写入到NISL文件中后,重写形成新的Dex文件。在一个程序中,可指定一个或多个第二关键方法。
NISL的文件格式如图5所示,该自定义文件中的每个字段与Dex文件中第二关键方法的信息结构有着对应关系。NISL包括文件头和文件体,其中:
所述的文件头包括魔术字、文件头大小、抽取结构总大小,抽取方法结构偏移、字符串大小,字符串偏移,类型信息大小,类型信息偏移,引用方法描述体大小,引用方法描述体偏移。在文件头中,各部分结构的说明如下:
魔术字是一段在定义NISL文件时生成的Hex码,用于在解释器解释执行的过程中识别和定位NISL文件。
头文件大小:头文件的占用空间大小,头文件包括魔术字、头文件大小、方法个数、起始方法偏移。
抽取方法结构总大小:表示一共抽取/虚拟化保护了多少个第二关键方法。
抽取方法偏移:首个第二关键方法描述距离NISL文件的偏移地址。
字符串大小:NISL文件中存储的所有字符串的数量。
字符串偏移:所有字符串在NISL文件中的起始偏移地址。
类型信息大小:记录受到保护的第二关键方法中所有引用到的类型数量。
类型信息偏移:所有类型数据相对于NISL文件的偏移。
引用方法描述体大小:记录受到保护第二关键方法中所有引用到的方法对应的结构体数量。
引用方法描述体偏移:所有方法结构体的相对与nisl文件的起始地址偏移。
所述的文件体包括字符串区域,类型区域,引用方法描述体区域,抽取方法结构体区域(当前方法ID,当前方法大小,虚拟指令大小,虚拟指令)。在文件体中,各部分结构的说明如下:
字符串区域:由字符串偏移字段引用/指向,对应第二关键方法所有引用到的字符串(和原始dex文件存在对应关系)。
类型区域:存储类型索引,索引内容指向字符串区域。
引用方法描述体区域:存储所有的方法结构体,结构体主要由三个部分组成:方法名称索引,方法签名索引,方法所属类名称索引。其中方法名称和方法签名索引都指向字符串区域,方法所属类索引指向类型区域。
抽取方法结构体区域:可能包含多个结构体副本,结构体副本数量依据“抽取方法结构总大小”而指定,每个结构体中包含:当前方法ID,当前方法大小(当前方法结构体占用NISL文件的大小),虚拟指令大小,虚拟指令(对应原始指令变换后的指令,自定义解释器就是通过读取它进行解释执行的)。
本步骤在生成CPP文件和自定义NISL文件时,该CPP文件一方面能根据第二关键方法的签名信息来实现本地函数的动态注册,另一方面作为JNI桥来触发虚拟解释器执行解释。另外,重写后的Dex文件是不完整的,对于整个APK文件是无效的。
本实施例中,具体的示例为:我们以Dalvik指令中的NOP指令为例来对多样性虚拟进行说明,如图4所示,NOP指令的Dalvik字节码为0000h,映射规则1、6是对操作码进行多样性虚拟,操作码00h替换为操作码12h和0Ah,最终生成0012h(const/4v0,#0)和000Ah(move-result v0)。逆向分析者即便找到虚拟机的入口点处,通过Hex码分析语义,其语义完整,但结果错误。映射规则2、3是对操作码操作数同时进行多样性虚拟,将0000h替换为7312h(const/4v3,#7)和2112h(const/4v1,#2)。映射规则4、5是对操作码操作数进行填充多样性虚拟,增加了原始指令的长度,转换后为b332 0066h(if-eq v3,v11,0080)和20240D530000h(filled-new-array v0,v0,type@0D53),另外,生成的自定义文件为NISL文件。
将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包,具体包括以下步骤:
步骤5,生成虚拟机解释器,打包形成保护后的APK文件
步骤5.1,将步骤3.2生成的CPP文件与含有打包so文件功能的CPP文件在保护程序编译执行过程中结合生成第一关键方法的解释器,即虚拟机解释器“libDexvmp01.so”;将步骤4.3生成的包含签名信息的CPP文件与本地层包含Dalvik指令处理函数的解释(即已实现的包含解释器核心功能的)CPP文件在保护程序编译执行过程中结合生成第二关键方法的解释器,即虚拟机解释器“libDexvmp.so”。
步骤5.2,将步骤4.3生成的Dex文件、两个解释性so文件(即第一关键方法的解释器、第二关键方法的解释器)、以及与libDexvmp.so文件配套的自定义NISL文件进行重打包、签名,最终生成一个与保护前安卓应用程序功能等效的安卓应用程序。
在本步骤中,其他本地层解释CPP文件包含了所有Dalvik指令的Handller(处理函数)和将所有CPP文件打包成“libDexvmp.so”文件的方法。图3(b)为数据定义指令const_string的Handler,在保护程序执行过程中我们只是将所有Handler打包进“libDexvmp.so”文件,并未执行Handler,在保护后安卓程序的执行过程我们将会对Handler内部结构进行详细说明。另外两个解释器在本地层通过编译形成,采用这样的方法,能够使得保护后的安卓程序完美兼容Dalvik系统和ART系统,能在基于ARM、X86、MIPS体系结构的Android手机上正常运行。
本实施例中,具体的示例为:我们将该套保护方法保护前后Dex文件的伪java代码以附图形式进行说明,如图6(a)、6(b)所示。在测试保护效果方面,样本一为2048小游戏.apk,样本二为DoubleVmp01.apk,DoubleVmp01.apk是一款CrackMe算法应用程序。保护前后安卓应用程序的内存消耗、启动时间、体积如图7(a)、7(b)所示,图7(a)的横坐标为实验次数。在内存消耗方面,可以看到样本1、2中在保护后所消耗的内存在某个时刻比保护前消耗的少,这是由于在本地层运行比在虚拟机本身执行消耗的内存少;在启动时间方面,保护前后几乎没有差别;在体积大小方面,有所增加但变化不大,这是因为保护后的应用程序在结构上增加了两个解释性so文件和自定义NISL文件。
本实施例中,保护后安卓程序的执行过程主要包括以下步骤,如图2所示:
步骤1,程序以自然顺序正常执行,在执行到包含Native关键字的“OnCreate”方法时,通过load.library函数调用JNI反射下沉所产生的定制解释器libDexvmp01.so;
步骤2,调用结束libDexvmp01.so,顺序执行至“Test”方法,调用多样性解释残码所产生的libDexvmp.so;
步骤2.1,执行解释器libDexvmp01.so后,安卓应用程序执行到包含Native关键字的“Test”方法时,通过load.library函数调用定制的解释器libDexvmp.so;
步骤2.2,在调用该解释so文件开始时对自定义NISL文件进行读取,首先确定是哪套加固映射规则,根据加固映射规则选择相对应的解密规则,对虚拟指令操作码、操作数以及指令长度中的一种或几种进行解密后,进入相应Handler原子操作中进行解释,直至解释器执行完成;
步骤2.3,执行结束、跳出虚拟机解释器,返回与初始函数返回类型一致的返回值;
步骤3,顺序执行代码至结束。
在本步骤中,在执行解释器libDexvmp.so时,这个定制解释器完全替代ART或Dalvik虚拟机的功能,程序执行时使用自定义虚拟机解释器来还原与目标代码等价的逻辑功能。在执行定制解释器libDexvmp01.so中相应的Handler时,我们按照Dalvik指令相关类型编写相应类型的Handler,一方面是因为Dalvik字节码有一套类型、方法及字段表示方法,其指令类型包括数据定义与操作指令、实例操作指令、方法调用指令等等,多达256条;另一方面也是为了防止保护时间过长、避免程序冗余。理论上讲不存在不可模拟指令。采用多样性虚拟的保护方法,攻击者若想攻击该套保护方法,必须先行分析虚拟解释器和虚拟指令集的语义和逻辑,多样性加大逻辑分析难度,从而大大增加逆向分析的难度。
本实施例中,具体的示例为:我们以libDexvmp01.so的OnCreate本地方法为例进行说明。如图3(a)所示,首先GetObjectClass获取当前对象的类,GetSuperClass获取当前对象的超类。然后通过GetMethodID获取具有特定名称方法对应的标识符,GetStaticFieldID获取相应静态字段的标识符。最后是执行实例方法,该JNI方法是根据方法的返回值类型、关键字确定的。例如,CallVoidMethod是执行返回值类型为void的实例方法调用例程。若为Static关键字Int类型方法,则调用CallStaticIntMethod。另外,在libDexvmp.so的执行过程中,我们以数据定义指令const_string的Handler为例进行说明,该条指令功能是通过字符串索引构造一个字符串并赋给目的寄存器,如图3(b)所示。HANDLE_OPCODE(),INST_AA(),FETCH(),SET_REGISTER(),FINISH(),OP_END()是宏定义。其中,HANDLE_OPCODE标志处理程序的开始.INST_AA、FETCH获取当前虚拟指令的偏移地址。INST_AA用于获取当前函数处理虚拟指令的低8位中的高4位,FETCH用于获得给定偏移的单个字节。同时,INST_A,INST_B等具有类似的功能。SET_REGISTER表示以默认方式设置相应的虚拟寄存器值,SET_REGISTER_DOUBLE,SET_REGITSTER_WIDE,SET_REGISTER_OBJECT根据参数类型设置寄存器的值。FINISH起到调度的功能,它控制解释器指向下一个处理程序。OP_END表示当前指令处理结束。获取当前指令的偏移地址,根据字段索引获取到字符串。进行压栈操作,设置目的寄存器的值。
Claims (5)
1.基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,包括以下步骤:
将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;
对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器;
将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包。
2.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,所述的对第一关键方法采用代码反射下沉的方式进行反射翻译,包括:
将第一关键方法的所有指令逐条从Dex文件中抽离,并进行控制流分析,依照控制流结构进行反射翻译,然后结合JNI接口函数进行解释还原,同时生成CPP文件。
3.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,包括:
将第二关键方法里的所有指令逐条从Dex文件中抽离,并执行预处理操作;所述的预处理操作是根据指令类型提取相关信息及指令上下文;
自定义多套映射规则,然后随机选择一套映射规则对抽离的每条指令进行加密,以对指令进行虚拟化保护。
4.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,所述的自定义文件包括文件头和文件体,其中:
所述的文件头包括魔术字、文件头大小、抽取结构总大小,抽取方法结构偏移、字符串大小,字符串偏移,类型信息大小,类型信息偏移,引用方法描述体大小,引用方法描述体偏移;
所述的文件体包括字符串区域,类型区域,引用方法描述体区域,抽取方法结构体区域;抽取方法结构体区域包括:当前方法ID,当前方法大小,虚拟指令大小,虚拟指令。
5.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,所述的编译形成第一关键方法的解释器和第二关键方法的解释器;包括:
将所述的第一关键方法采用代码反射下沉的方式进行反射翻译时生成的CPP文件编译生成第一关键方法的解释器,所述的第二关键方法进行指令抽取、虚拟化保护并将处理结果存储至自定义文件中的同时,生成包含签名信息的CPP文件,将该CPP文件与本地层已实现的包含解释器核心功能的CPP文件结合生成第二关键方法的解释器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446991.4A CN108681457B (zh) | 2018-05-11 | 2018-05-11 | 基于代码下沉与残码解释的Android应用程序保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446991.4A CN108681457B (zh) | 2018-05-11 | 2018-05-11 | 基于代码下沉与残码解释的Android应用程序保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108681457A true CN108681457A (zh) | 2018-10-19 |
CN108681457B CN108681457B (zh) | 2020-09-01 |
Family
ID=63805855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810446991.4A Active CN108681457B (zh) | 2018-05-11 | 2018-05-11 | 基于代码下沉与残码解释的Android应用程序保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108681457B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109492354A (zh) * | 2018-10-23 | 2019-03-19 | 海南新软软件有限公司 | 一种混淆代码的方法、装置及系统 |
CN109543369A (zh) * | 2018-11-23 | 2019-03-29 | 杭州哲信信息技术有限公司 | 一种dex的保护方法 |
CN110196714A (zh) * | 2019-06-04 | 2019-09-03 | 上海合桀软件技术有限公司 | 一种原始命令的转化还原方法、存储设备及终端 |
CN110348206A (zh) * | 2019-07-11 | 2019-10-18 | 网易(杭州)网络有限公司 | 应用于安卓安装包apk的保护方法、介质、装置和计算设备 |
CN111597514A (zh) * | 2020-04-15 | 2020-08-28 | 卓望数码技术(深圳)有限公司 | 安卓源代码保护方法和装置 |
CN112052463A (zh) * | 2020-08-05 | 2020-12-08 | 北京智游网安科技有限公司 | 一种代码处理方法、终端及存储介质 |
CN112052460A (zh) * | 2020-08-05 | 2020-12-08 | 北京智游网安科技有限公司 | 一种dex文件虚拟化加密方法、计算机设备及存储介质 |
CN112114809A (zh) * | 2020-08-07 | 2020-12-22 | 厦门安胜网络科技有限公司 | 一种程序代码安全防护方法、装置及存储介质 |
CN112287306A (zh) * | 2020-10-29 | 2021-01-29 | 中国银联股份有限公司 | 一种应用程序安装包的保护方法、装置及计算机可读存储介质 |
CN113254890A (zh) * | 2021-06-01 | 2021-08-13 | 中电万维信息技术有限责任公司 | 基于虚拟机多样性的android软件防护装置及其使用方法 |
CN113392416A (zh) * | 2021-06-28 | 2021-09-14 | 北京恒安嘉新安全技术有限公司 | 获取应用程序加解密数据的方法、装置、设备及存储介质 |
CN113626773A (zh) * | 2020-05-06 | 2021-11-09 | 上海蜚语信息科技有限公司 | 一种基于中间语言的代码保护方法 |
CN116467221A (zh) * | 2023-06-16 | 2023-07-21 | 荣耀终端有限公司 | 一种基于解释器的插桩方法、系统及相关电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023279319A1 (en) * | 2021-07-08 | 2023-01-12 | Irdeto B.V. | Protected data packages |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014142430A1 (ko) * | 2013-03-15 | 2014-09-18 | 주식회사 에스이웍스 | 안드로이드에서의 dex파일 바이너리 난독화 방법 |
CN104463002A (zh) * | 2014-12-24 | 2015-03-25 | 北京奇虎科技有限公司 | 一种加固apk的方法和装置以及apk加固客户端和服务器 |
CN104866734A (zh) * | 2014-02-25 | 2015-08-26 | 北京娜迦信息科技发展有限公司 | 一种dex文件的保护方法及装置 |
CN106599627A (zh) * | 2016-11-22 | 2017-04-26 | 江苏通付盾科技有限公司 | 基于虚拟机保护应用安全的方法及装置 |
CN107766096A (zh) * | 2016-08-19 | 2018-03-06 | 阿里巴巴集团控股有限公司 | 应用程序安装包的生成方法、应用程序的运行方法及装置 |
CN107871065A (zh) * | 2016-09-27 | 2018-04-03 | 武汉安天信息技术有限责任公司 | 一种Dalvik模式下dex文件的保护方法及装置 |
CN107977553A (zh) * | 2017-12-25 | 2018-05-01 | 中国电子产品可靠性与环境试验研究所 | 移动应用程序的安全加固的方法及装置 |
-
2018
- 2018-05-11 CN CN201810446991.4A patent/CN108681457B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014142430A1 (ko) * | 2013-03-15 | 2014-09-18 | 주식회사 에스이웍스 | 안드로이드에서의 dex파일 바이너리 난독화 방법 |
CN104866734A (zh) * | 2014-02-25 | 2015-08-26 | 北京娜迦信息科技发展有限公司 | 一种dex文件的保护方法及装置 |
CN104463002A (zh) * | 2014-12-24 | 2015-03-25 | 北京奇虎科技有限公司 | 一种加固apk的方法和装置以及apk加固客户端和服务器 |
CN107766096A (zh) * | 2016-08-19 | 2018-03-06 | 阿里巴巴集团控股有限公司 | 应用程序安装包的生成方法、应用程序的运行方法及装置 |
CN107871065A (zh) * | 2016-09-27 | 2018-04-03 | 武汉安天信息技术有限责任公司 | 一种Dalvik模式下dex文件的保护方法及装置 |
CN106599627A (zh) * | 2016-11-22 | 2017-04-26 | 江苏通付盾科技有限公司 | 基于虚拟机保护应用安全的方法及装置 |
CN107977553A (zh) * | 2017-12-25 | 2018-05-01 | 中国电子产品可靠性与环境试验研究所 | 移动应用程序的安全加固的方法及装置 |
Non-Patent Citations (1)
Title |
---|
樊如霞,房鼎益等: ""一种代码碎片化的Android应用程序防二次打包方法"", 《小型微型计算机系统》 * |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109492354A (zh) * | 2018-10-23 | 2019-03-19 | 海南新软软件有限公司 | 一种混淆代码的方法、装置及系统 |
CN109543369A (zh) * | 2018-11-23 | 2019-03-29 | 杭州哲信信息技术有限公司 | 一种dex的保护方法 |
CN110196714A (zh) * | 2019-06-04 | 2019-09-03 | 上海合桀软件技术有限公司 | 一种原始命令的转化还原方法、存储设备及终端 |
CN110348206A (zh) * | 2019-07-11 | 2019-10-18 | 网易(杭州)网络有限公司 | 应用于安卓安装包apk的保护方法、介质、装置和计算设备 |
CN111597514A (zh) * | 2020-04-15 | 2020-08-28 | 卓望数码技术(深圳)有限公司 | 安卓源代码保护方法和装置 |
CN111597514B (zh) * | 2020-04-15 | 2023-10-13 | 卓望数码技术(深圳)有限公司 | 安卓源代码保护方法和装置 |
CN113626773A (zh) * | 2020-05-06 | 2021-11-09 | 上海蜚语信息科技有限公司 | 一种基于中间语言的代码保护方法 |
CN113626773B (zh) * | 2020-05-06 | 2024-04-02 | 上海蜚语信息科技有限公司 | 一种基于中间语言的代码保护方法 |
CN112052463A (zh) * | 2020-08-05 | 2020-12-08 | 北京智游网安科技有限公司 | 一种代码处理方法、终端及存储介质 |
CN112052460A (zh) * | 2020-08-05 | 2020-12-08 | 北京智游网安科技有限公司 | 一种dex文件虚拟化加密方法、计算机设备及存储介质 |
CN112114809B (zh) * | 2020-08-07 | 2022-09-09 | 厦门安胜网络科技有限公司 | 一种程序代码安全防护方法、装置及存储介质 |
CN112114809A (zh) * | 2020-08-07 | 2020-12-22 | 厦门安胜网络科技有限公司 | 一种程序代码安全防护方法、装置及存储介质 |
CN112287306A (zh) * | 2020-10-29 | 2021-01-29 | 中国银联股份有限公司 | 一种应用程序安装包的保护方法、装置及计算机可读存储介质 |
CN112287306B (zh) * | 2020-10-29 | 2024-04-26 | 中国银联股份有限公司 | 一种应用程序安装包的保护方法、装置及计算机可读存储介质 |
CN113254890A (zh) * | 2021-06-01 | 2021-08-13 | 中电万维信息技术有限责任公司 | 基于虚拟机多样性的android软件防护装置及其使用方法 |
CN113392416A (zh) * | 2021-06-28 | 2021-09-14 | 北京恒安嘉新安全技术有限公司 | 获取应用程序加解密数据的方法、装置、设备及存储介质 |
CN113392416B (zh) * | 2021-06-28 | 2024-03-22 | 北京恒安嘉新安全技术有限公司 | 获取应用程序加解密数据的方法、装置、设备及存储介质 |
CN116467221A (zh) * | 2023-06-16 | 2023-07-21 | 荣耀终端有限公司 | 一种基于解释器的插桩方法、系统及相关电子设备 |
CN116467221B (zh) * | 2023-06-16 | 2024-04-02 | 荣耀终端有限公司 | 一种基于解释器的插桩方法、系统及相关电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN108681457B (zh) | 2020-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108681457A (zh) | 基于代码下沉与残码解释的Android应用程序保护方法 | |
Liljestrand et al. | {PAC} it up: Towards pointer integrity using {ARM} pointer authentication | |
Sharif et al. | Automatic reverse engineering of malware emulators | |
CN108733988B (zh) | 安卓平台上可执行程序的保护方法 | |
CN108932406B (zh) | 虚拟化软件保护方法和装置 | |
CN108614960B (zh) | 一种基于前端字节码技术的JavaScript虚拟化保护方法 | |
Nelson et al. | Specification and verification in the field: Applying formal methods to {BPF} just-in-time compilers in the linux kernel | |
Lu et al. | AutoD: Intelligent blockchain application unpacking based on JNI layer deception call | |
CN108491235A (zh) | 结合动态加载和函数Native化的DEX保护方法 | |
CN109684794B (zh) | 一种代码保护虚拟机kvm系统实现方法、装置、计算机设备及存储介质 | |
Zhao et al. | Haepg: An automatic multi-hop exploitation generation framework | |
CN109598107A (zh) | 一种基于应用安装包文件的代码转换方法及装置 | |
De Keulenaer et al. | Link-time smart card code hardening | |
CN111597514B (zh) | 安卓源代码保护方法和装置 | |
Stiévenart et al. | Static stack-preserving intra-procedural slicing of webassembly binaries | |
Shivakumar et al. | Typing high-speed cryptography against spectre v1 | |
Casset | Development of an embedded verifier for java card byte code using formal methods | |
Larmuseau et al. | A secure compiler for ML modules | |
Kang | Function call interception techniques | |
CN108763924A (zh) | 一种安卓应用程序中不可信第三方库访问权限控制方法 | |
Farhadi et al. | Chronicle of a Java Card death | |
Brandl et al. | Modular Abstract Definitional Interpreters for WebAssembly | |
Haijiang et al. | Nightingale: Translating embedded VM code in x86 binary executables | |
Tröger | Specification-driven dynamic binary translation | |
Kicinski et al. | Xdp hardware offload: Current work, debugging and edge cases |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |