CN112883374A - 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 - Google Patents

一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 Download PDF

Info

Publication number
CN112883374A
CN112883374A CN202110145973.4A CN202110145973A CN112883374A CN 112883374 A CN112883374 A CN 112883374A CN 202110145973 A CN202110145973 A CN 202110145973A CN 112883374 A CN112883374 A CN 112883374A
Authority
CN
China
Prior art keywords
shell
function
program
shelling
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110145973.4A
Other languages
English (en)
Other versions
CN112883374B (zh
Inventor
牛伟纳
鲁启扬
张小松
张洪彬
周杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202110145973.4A priority Critical patent/CN112883374B/zh
Publication of CN112883374A publication Critical patent/CN112883374A/zh
Application granted granted Critical
Publication of CN112883374B publication Critical patent/CN112883374B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于ART环境下的Android平台应用程序通用脱壳方法及系统,属于软件安全检测领域,主要方案包括:在查壳组件中判别程序的壳类型,在提取dex组件中从内存里得到初始化完成后的dex文件,在主动调用组件中对原程序所有类进行加载并得到其方法体,在修复组件中对dex文件的函数体进行完整性填充。本发明从android源码层进行修改编译有效绕过反调试手段,并且无需进行反混淆即可得到完整的函数体,大大提高了脱壳的效率。

Description

一种基于ART环境下的Android平台应用程序通用脱壳方法及 系统
技术领域
本发明属于软件安全检测领域,公开了一种基于新一代ART环境下的Android平台应用程序通用脱壳方法和系统,其被测试的程序为安卓程序,有效针对安卓恶意程序的脱壳。
背景技术
如今,诸如智能手机之类的移动设备已广泛应用于我们的日常生活中。由于Android设备的普及和AndroidOS的开放性,Android恶意软件的数量正在迅速增加。移动设备感染了恶意软件可能会导致重要的私人信息泄漏,例如用户的帐户和密码。而且,浪费用户时间和骗取盗窃钱财的恶意软件的兴起会导致用户的经济损失。因此,迫切需要有效地检测和防御Android恶意软件。
而Android恶意软件分析和检测的最重要的一步就是对其做脱壳处理,传统的脱壳方法通过对恶意程序进行静态的字段特征提取来判断壳的种类进而用相应的方法还原程序的字节码,其存在的主要缺陷包含以下几点:
1.字段特征不具备可靠性,被多轮加密的字节码已经失去了原有的标记功能,与真实业务脱钩。
2.特征提取具有欺骗性,当前业务中存在大量迷惑并绕过检测系统的技术,传统方法并不通用。
3.固定的脱壳方法不具备对APK的修复功能,可能使文件受损。
4.静态分析对强混淆壳基本无效。
发明内容
针对上述现有技术问题,本发明的目的在于提供基于新一代ART环境下的Android平台应用程序通用脱壳方法和系统,该方法从android源码层进行修改编译有效绕过反调试手段,并且无需进行反混淆即可得到完整的函数体,大大提高了脱壳的效率。
为了达到上述目的,本发明采用如下技术方案:
一种基于新一代ART环境下的Android平台应用程序通用脱壳方法和系统,包括以下步骤:
S1:通过查壳组件把加壳程序判定为vmp壳,dex2c壳,普通壳;
S2:在dex提取组件中对符合本程序运行环境的oasp进行源码级修改后编译,刷进新的系统镜像后启动加壳程序得到提取的dex文件和加载类列表;
S3:在oasp中插入一条主动调用链,在clinit中对加载类列表进行主动加载,编译后启动程序得到所有类中所有被抽取的函数指令;
S4:如加壳程序为dex2c壳,普通壳,则在修复组件中把函数指令按照dex文件格式填充回之前提取的dex文件中得到完整的非vmp壳脱壳后程序,如为vmp壳则进行步骤S5;
S5:用之前得到的加载类列表和函数指令辅助对vmp壳解释器的分析,得到其解释模式和指令之间的关系,最终得到vmp壳脱壳后程序。
上述技术方案中,所述步骤S1通过以下具体步骤实现:
S1-1:对程序任意一个函数进行多次hook记录其加载地址,同时读取多个方法在dex字段中的属性值,若属性值相似且加载地址几乎不变则判定为vmp壳。
S1-2:对非vmp壳的多个被抽取函数进行hook,记录其栈帧信息,若统计到的函数几乎都溯源到so文件则判定为dex2c壳,其他判定为普通壳。
上述技术方案中,步骤S2通过以下具体步骤实现:
S2-1:在oasp中查找有inline符号修饰的一系列包含dexfile,classloader,dex2oat关键字的方法,并找到引用此方法的上一层方法,对这些方法的前两个参数进行记录,若其类型分别是地址和整数则在执行此方法时以第一个参数为基地址,第二个参数为长度从内存数据中dump到文件里面。
S2-2:在oasp对类进行初始化之前的所有内存映射相关函数(mmap,unmmap)的参数进行记录,在执行这些方法时把它们映射的内存区域dump到文件里。
S2-3:取以上操作得到的所有文件大小相同且数量最多的一组为提取到的dex文件。
上述技术方案中,所述的步骤S3通过以下具体步骤实现:
S3-1:主动调用链是由findclass得到的jclass系统类创建的,之后经过jmethod方法得到methodid,然后调用方法callmethod对寻找到的方法进行装载,最后在invoke处实现调用。
S3-2:在clinit系统方法中对所有类进行加载而不对其进行初始化,把所有类的构造函数传递给主动调用链,由上述主动调用链欺骗加固程序解密函数指令。
S3-3:主动调用后在loadclassinvoke方法得到函数指令的artmethod结构,dump出每个类的所有函数体。
上述技术方案中,步骤S3所述的提取函数体是指:
若判定为普通壳,则函数体的基址通过artmethod结构的getitemoffset方法得到,其在内存中的长度通过固定属性长度加指令长度乘以指令列表数得到,若函数体有异常处理部分,则还需根据固定偏移位置的加上tryitem的长度。
若判定为dex2c壳,则需要用angr对函数指令进行汇编级模拟,直到进入其对应的so文件加载的内存里,记录此时的汇编指令直到第一层函数返回。
上述技术方案中,步骤S4通过以下具体步骤实现:
若判定为普通壳,所得到的指令依照codeitem的结构体格式填充回S1得到的dex文件中得到完整脱壳后的文件。若判定为dex2c壳,需要把所有记录下的汇编指令编译成已被脱壳的so文件,其符号表对应在填充了dex文件后的每个函数体中引用的函数名。
上述技术方案中,所述的步骤S5通过以下具体步骤实现:
S5-1:将得到的完整dex文件重新作为加壳文件输入到上述系统中,记录其多个类中多个函数属性的变化。
S5-2:记录到的类属性变化趋于稳定则判定为脱壳成功。
一种基于新一代ART环境下的Android平台应用程序通用脱壳方法和系统,包括以下组件:
查壳模块:通过统计方法加载基址和方法体相似度把壳的类型分为三种。
抽取dex模块:对oasp进行源码级修改和编译,对程序加载过程中的多个脱壳点进行dex抽取。
主动调用模块:对程序所有类进行主动加载并调用其构造函数实现函数指令的抽取。
修复模块:将得到的函数指令填充到抽取到的dex中完成脱壳。
本发明同现有技术相比,其有益效果表现在:
一、本发明从源码级对类初始化,dex文件生成,dex文件优化进行hook,有效,被hook的函数都是inline形式的内联汇编,而反调试一般会反hook有特征的源码函数却没法反hook由inline修饰的内联汇编,这样就有效阻止了反调试的干扰。
二、本发明采用主动调用配合模拟分析的方式有效地对原程序每个类的方法进行完全的覆盖。
三、本发明可以避开脱壳时反混淆技术带来的问题,反混淆是在静态分析和运行阶段对分析造成阻碍,本发明不需要静态分析且运行阶段采用主动调用的形式得到函数体而非真正运行因此可以有效对抗反混淆技术。
附图说明
图1是本发明的系统结构框图;
图2为本发明提取出ART环境下的Android平台应用程序通用脱壳流程示意图。
具体实施方式
以下通过具体实施例对本发明做进一步解释说明。
本发明提供一种基于新一代ART环境下的Android平台应用程序通用脱壳方法和系统,其特征在于,包括以下步骤:
S1:通过查壳组件把加壳程序判定为vmp壳,dex2c壳,普通壳。
S2:在dex提取组件中对符合本程序运行环境的oasp进行源码级修改后编译,刷进新的系统镜像后启动加壳程序得到提取的dex文件和加载类列表。
S3:在oasp中插入一条主动调用链,在clinit中对加载类列表进行主动加载,编译后启动程序得到所有类中所有被抽取的函数指令。
S4:在修复组件中把函数指令按照dex文件格式填充回之前提取的dex文件中得到完整的非vmp壳脱壳后程序。
S5:用之前得到的类列表和函数指令辅助对vmp壳解释器的分析,得到其解释模式和指令之间的关系,最终得到vmp壳脱壳后程序。
本发明中,步骤S1通过以下具体步骤实现:
S1-1:对程序任意一个函数进行多次hook记录其加载地址,同时读取多个方法在dex字段中的属性值,若属性值相似且加载地址几乎不变则判定为vmp壳。
S1-2:对非vmp壳的多个被抽取函数进行hook,记录其栈帧信息,若统计到的函数几乎都溯源到so文件则判定为dex2c壳,其他判定为普通壳。
本发明中,步骤S2通过以下具体步骤实现:
S2-1:在oasp中查找有inline符号修饰的一系列包含dexfile,classloader,dex2oat关键字的方法,并找到引用此方法的上一层方法,对这些方法的前两个参数进行记录,若其类型分别是地址和整数则在执行此方法时以第一个参数为基地址,第二个参数为长度从内存数据中dump到文件里面。
S2-2:在oasp对类进行初始化之前的所有内存映射相关函数(mmap,unmmap)的参数进行记录,在执行这些方法时把它们映射的内存区域dump到文件里。
S2-3:取以上操作得到的所有文件大小相同且数量最多的一组为提取到的dex文件。
本发明中,步骤S3通过以下具体步骤实现:
S3-1:主动调用链是由findclass得到的jclass系统类创建的,之后经过jmethod方法得到methodid,然后调用方法callmethod对寻找到的方法进行装载,最后在invoke处实现调用。
S3-2:在clinit系统方法中对所有类进行加载而不对其进行初始化,把所有类的构造函数传递给主动调用链,由上述主动调用链欺骗加固程序解密函数指令。
S3-3:主动调用后在loadclassinvoke方法得到函数指令的artmethod结构,dump出每个类的所有函数体。若判定为普通壳,则函数体的基址通过artmethod结构的getitemoffset方法得到,其在内存中的长度通过固定属性长度加指令长度乘以指令列表数得到,若函数体有异常处理部分,则还需根据固定偏移位置的加上tryitem的长度。若判定为dex2c壳,则需要用angr对函数指令进行汇编级模拟,直到进入其对应的so文件加载的内存里,记录此时的汇编指令直到第一层函数返回。
本发明中,步骤S4通过以下具体步骤实现:
若判定为普通壳,所得到的指令依照codeitem的结构体格式填充回S1得到的dex文件中得到完整脱壳后的文件。若判定为dex2c壳,需要把所有记录下的汇编指令编译成已被脱壳的so文件,其符号表对应在填充了dex文件后的每个函数体中引用的函数名。
本发明中,步骤S5通过以下具体步骤实现:
S5-1:将得到的完整dex文件重新作为加壳文件输入到上述系统中,记录其多个类中多个函数属性的变化。
S5-2:记录到的类属性变化趋于稳定则判定为脱壳成功。
应将实施例看作是示范性的,并不是限制性,本发明的范围由所附权利要求而不是上述说明限定。凡采用变换或者是等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (10)

1.一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,包括以下步骤:
S1:通过查壳组件把加壳程序判定为vmp壳,dex2c壳,普通壳;
S2:在dex提取组件中对符合本程序运行环境的oasp进行源码级修改后编译,刷进新的系统镜像后启动加壳程序得到提取的dex文件和加载类列表;
S3:在oasp中插入一条主动调用链,在clinit中对加载类列表进行主动加载,编译后启动程序得到所有类中所有被抽取的函数指令;
S4:如加壳程序为dex2c壳,普通壳,则在修复组件中把函数指令按照dex文件格式填充回之前提取的dex文件中得到完整的非vmp壳脱壳后程序,如为vmp壳则进行步骤S5;
S5:用之前得到的加载类列表和函数指令辅助对vmp壳解释器的分析,得到其解释模式和指令之间的关系,最终得到vmp壳脱壳后程序。
2.根据权利要求1所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S1通过以下具体步骤实现:
S1-1:对程序任意一个函数进行多次hook记录其加载地址,同时读取多个方法在dex字段中的属性值,若属性值相似且加载地址不变则判定为vmp壳。
S1-2:对非vmp壳的多个被抽取函数进行hook,记录其栈帧信息,若统计到的函数能溯源到so文件则判定为dex2c壳,其他判定为普通壳。
3.根据权利要求1所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S2通过以下具体步骤实现:
S2-1:在oasp中查找有inline符号修饰的一系列包含dexfile,classloader,dex2oat关键字的方法,并找到引用此方法的上一层方法,对这些方法的前两个参数进行记录,若其类型分别是地址和整数则在执行此方法时以第一个参数为基地址,第二个参数为长度从内存数据中dump到文件里面;
S2-2:在oasp对类进行初始化之前的所有内存映射相关函数(mmap,unmmap)的参数进行记录,在执行这些方法时把它们映射的内存区域dump到文件里;
S2-3:取以上操作得到的所有文件大小相同且数量最多的一组为提取到的dex文件。
4.根据权利要求1所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S3通过以下具体步骤实现:
S3-1:主动调用链是由findclass得到的jclass系统类创建的,之后经过jmethod方法得到methodid,然后调用方法callmethod对寻找到的方法进行装载,最后在invoke处实现调用;
S3-2:在clinit系统方法中对所有类进行加载而不对其进行初始化,把所有类的构造函数传递给主动调用链,由上述主动调用链欺骗加固程序解密函数指令;
S3-3:主动调用后在loadclassinvoke方法得到函数指令的artmethod结构,dump出每个类的所有函数体,最终得到所有类中所有被抽取的函数指令。
5.根据权利要求4所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S3-3提取函数体有以下两种情况:
A.若判定为普通壳,则函数体的基址通过artmethod结构的getitemoffset方法得到,其在内存中的长度通过固定属性长度加指令长度乘以指令列表数得到,若函数体有异常处理部分,则还需根据固定偏移位置的加上tryitem的长度;
B.若判定为dex2c壳,则需要用angr对函数指令进行汇编级模拟,直到进入其对应的so文件加载的内存里,记录此时的汇编指令直到第一层函数返回。
6.根据权利要求1所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S4的实现有两种情况:
A.若判定为普通壳,所得到的指令依照codeitem的结构体格式填充回S1得到的dex文件中得到完整脱壳后的文件;
B.若判定为dex2c壳,需要把所有记录下的汇编指令编译成已被脱壳的so文件,其符号表对应在填充了dex文件后的每个函数体中引用的函数名。
7.根据权利要求1所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于,S5的具体步骤为:
S5-1:将得到的完整dex文件重新作为加壳文件输入到上述系统中,记录其多个类中多个函数属性的变化;
S5-2:记录到的类属性变化趋于稳定则判定为脱壳成功。
8.根据权利要求3所述的的一种基于ART环境下的Android平台应用程序通用脱壳方法,S2-1有两种情况:
A.若加壳程序必须在quick模式下执行则对dex2oat方法的参数做记录;
B.若加壳程序可以在interpreter模式下执行,则可以将dex2oat方法禁
用,以保证还原后函数指令的可读性。
9.根据权利要求7所述的一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于:描述的函数属性值,包括了CodeItem结构体当中的outs_size_,tries_size_,ins_size_三个成员。
10.一种基于ART环境下的Android平台应用程序通用脱壳方法,其特征在于:
查壳模块:通过统计方法加载基址和方法体相似度把壳的类型分为三种;
抽取dex模块:对oasp进行源码级修改和编译,对程序加载过程中的多个脱壳点进行dex抽取;
主动调用模块:对程序所有类进行主动加载并调用其构造函数实现函数指令的抽取;
修复模块:将得到的函数指令填充到抽取到的dex中完成脱壳。
CN202110145973.4A 2021-02-02 2021-02-02 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 Active CN112883374B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110145973.4A CN112883374B (zh) 2021-02-02 2021-02-02 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110145973.4A CN112883374B (zh) 2021-02-02 2021-02-02 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统

Publications (2)

Publication Number Publication Date
CN112883374A true CN112883374A (zh) 2021-06-01
CN112883374B CN112883374B (zh) 2022-07-01

Family

ID=76056784

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110145973.4A Active CN112883374B (zh) 2021-02-02 2021-02-02 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统

Country Status (1)

Country Link
CN (1) CN112883374B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113378123A (zh) * 2021-06-10 2021-09-10 福建省天奕网络科技有限公司 一种安卓端抽取壳的实现方法及系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105068932A (zh) * 2015-08-25 2015-11-18 北京安普诺信息技术有限公司 一种Android应用程序加壳的检测方法
CN105989252A (zh) * 2015-12-12 2016-10-05 武汉安天信息技术有限责任公司 一种针对函数级别加壳的脱壳方法及系统
CN106022130A (zh) * 2016-05-20 2016-10-12 中国科学院信息工程研究所 加固应用程序的脱壳方法及装置
CN106778088A (zh) * 2016-11-28 2017-05-31 四川长虹电器股份有限公司 基于Hook技术的动态加载方法
WO2017107706A1 (zh) * 2015-12-25 2017-06-29 北京奇虎科技有限公司 基于arm指令虚拟化的elf文件保护方法及系统
CN107066886A (zh) * 2017-04-13 2017-08-18 深圳海云安网络安全技术有限公司 一种Android加固脱壳的检测方法
US20170270296A1 (en) * 2016-03-15 2017-09-21 Carbon Black, Inc. System and Method for Reverse Command Shell Detection
CN107742078A (zh) * 2017-05-04 2018-02-27 四川大学 一种通用的dex自动脱壳方法与系统
CN108154011A (zh) * 2018-01-12 2018-06-12 广州汇智通信技术有限公司 基于art模式的脱壳方法、系统、设备及可读存储介质
CN108229107A (zh) * 2016-12-21 2018-06-29 武汉安天信息技术有限责任公司 一种Android平台应用程序的脱壳方法及容器
CN108229148A (zh) * 2016-12-21 2018-06-29 武汉安天信息技术有限责任公司 一种基于Android虚拟机的沙箱脱壳方法及系统
CN109165019A (zh) * 2018-07-28 2019-01-08 安徽捷兴信息安全技术有限公司 一种针对手机应用的脱壳方法及装置
CN110348214A (zh) * 2019-07-16 2019-10-18 电子科技大学 对恶意代码检测的方法及系统
CN111581639A (zh) * 2020-03-27 2020-08-25 北京大学 一种Android加壳应用程序通用自动化脱壳方法及系统

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105068932A (zh) * 2015-08-25 2015-11-18 北京安普诺信息技术有限公司 一种Android应用程序加壳的检测方法
CN105989252A (zh) * 2015-12-12 2016-10-05 武汉安天信息技术有限责任公司 一种针对函数级别加壳的脱壳方法及系统
WO2017107706A1 (zh) * 2015-12-25 2017-06-29 北京奇虎科技有限公司 基于arm指令虚拟化的elf文件保护方法及系统
US20170270296A1 (en) * 2016-03-15 2017-09-21 Carbon Black, Inc. System and Method for Reverse Command Shell Detection
CN106022130A (zh) * 2016-05-20 2016-10-12 中国科学院信息工程研究所 加固应用程序的脱壳方法及装置
CN106778088A (zh) * 2016-11-28 2017-05-31 四川长虹电器股份有限公司 基于Hook技术的动态加载方法
CN108229107A (zh) * 2016-12-21 2018-06-29 武汉安天信息技术有限责任公司 一种Android平台应用程序的脱壳方法及容器
CN108229148A (zh) * 2016-12-21 2018-06-29 武汉安天信息技术有限责任公司 一种基于Android虚拟机的沙箱脱壳方法及系统
CN107066886A (zh) * 2017-04-13 2017-08-18 深圳海云安网络安全技术有限公司 一种Android加固脱壳的检测方法
CN107742078A (zh) * 2017-05-04 2018-02-27 四川大学 一种通用的dex自动脱壳方法与系统
CN108154011A (zh) * 2018-01-12 2018-06-12 广州汇智通信技术有限公司 基于art模式的脱壳方法、系统、设备及可读存储介质
CN109165019A (zh) * 2018-07-28 2019-01-08 安徽捷兴信息安全技术有限公司 一种针对手机应用的脱壳方法及装置
CN110348214A (zh) * 2019-07-16 2019-10-18 电子科技大学 对恶意代码检测的方法及系统
CN111581639A (zh) * 2020-03-27 2020-08-25 北京大学 一种Android加壳应用程序通用自动化脱壳方法及系统

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
YANHUI GAO 等: "Research on the technology of shelling of android reinforced application", 《2016 IEEE INTERNATIONAL CONFERENCE ON NETWORK INFRASTRUCTURE AND DIGITAL CONTENT(IC-NIDC)》 *
ZHONGKAI HE 等: "Exploiting Binary-Level Code Virtualization to protect Android Application Against App Repackaging", 《IEEE ACCESS》 *
孙才俊: "可对抗加壳技术的安卓恶意应用检测方法研究", 《中国优秀博士学位论文全文数据库 信息科技辑》 *
张勇威: "Android自动脱壳管理平台的设计和实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
王李松 等: "基于Dalvik虚拟机的Android Application脱壳技术", 《现代计算机(专业版)》 *
简容 等: "一种多层次的自动化通用Android脱壳系统及其应用", 《北京理工大学学报》 *
蒋钟庆 等: "ART虚拟机中的DEX文件脱壳技术", 《计算机应用》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113378123A (zh) * 2021-06-10 2021-09-10 福建省天奕网络科技有限公司 一种安卓端抽取壳的实现方法及系统

Also Published As

Publication number Publication date
CN112883374B (zh) 2022-07-01

Similar Documents

Publication Publication Date Title
CN108133139B (zh) 一种基于多运行环境行为比对的安卓恶意应用检测系统
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
CN105068932B (zh) 一种Android应用程序加壳的检测方法
CN108229148B (zh) 一种基于Android虚拟机的沙箱脱壳方法及系统
Lu et al. DeepAutoD: Research on distributed machine learning oriented scalable mobile communication security unpacking system
CN104598823A (zh) 一种安卓系统中内核级rootkit检测方法及其系统
CN109255235B (zh) 基于用户态沙箱的移动应用第三方库隔离方法
CN111400757B (zh) 防止安卓第三方库中native代码泄露用户隐私的方法
CN104995630A (zh) 基于动态污点的安全性扫描
CN106557695A (zh) 一种恶意应用检测方法和系统
CN105868630A (zh) 恶意pdf文档检测方法
CN104881610B (zh) 一种针对虚函数表劫持攻击的防御方法
CN111191243B (zh) 一种漏洞检测方法、装置和存储介质
CN111967044B (zh) 一种适用于云环境的被泄漏隐私数据的追踪方法及系统
CN106845234A (zh) 一种基于函数流关键点监控的安卓恶意软件检测方法
CN104732145A (zh) 一种虚拟机中的寄生进程检测方法和装置
CN108763924B (zh) 一种安卓应用程序中不可信第三方库访问权限控制方法
CN112883374B (zh) 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统
Yuhala et al. Montsalvat: Intel SGX shielding for GraalVM native images
CN115758356A (zh) 一种对Android应用实施可信静态度量的方法、存储介质及设备
WO2023031679A1 (en) Systems and methods for inhibiting exploitations in runtime environments
Chen et al. {VScape}: Assessing and escaping virtual call protections
Al-Sharif et al. The Effects of Platforms and Languages on the Memory Footprint of the Executable Program: A Memory Forensic Approach.
CN102831334A (zh) 一种目标地址定位方法和系统
CN107066886A (zh) 一种Android加固脱壳的检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant