WO2016188134A1

WO2016188134A1 - 一种实现应用加固的方法及装置

Info

Publication number: WO2016188134A1
Application number: PCT/CN2016/071604
Authority: WO
Inventors: 陈华; 卫伟; 张家明
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-05-22
Filing date: 2016-01-21
Publication date: 2016-12-01
Also published as: CN106295263A

Abstract

本文公布了一种实现应用加固的方法及装置，包括：对经压缩包破坏处理的第一安装包文件进行加壳，生成第二安装包文件，以对应用进行加固。

Description

一种实现应用加固的方法及装置

技术领域

本文涉及但不限于应用安全领域，尤指一种实现应用加固的方法及装置。

背景技术

随着智能终端的发展，终端应用的数量得到快速的膨胀，用户通过终端应用进行越来越多的日常事务处理，终端应用的安全成为开发者和用户都关注的技术问题。为了提高终端应用的安全，技术人员对终端应用进行处理，其中，包含对安装包的加固。以安卓(Android)平台为例，安卓系统是移动终端普及最广的操作系统之一，Android平台以开放性吸引众多开发者、以免费性赢得大量的用户。越来越多的Android应用被人们用来处理如收发邮件、电子支付、社交通信等日常事务。Android应用在使用过程中不可避免的需要访问和存储用户的账号、密码等数据，因而成为恶意软件的攻击对象。随着Android应用范围的增大，威胁范围越来越广，威胁程度也在加深。为了提高Android应用的安全性，开发人员对Android安装包(APK)进行了加固处理，通过加固处理，可以提高Android应用的安全，常用的加固方法有：伪加密、压缩包破坏、代码混淆、签名验证等。

伪加密是通过java代码对APK压缩文件进行伪加密。压缩包破坏则通过在APK的标志尾添加其他数据，由于Android系统对APK的识别是将APK当作压缩文件，从APK的标志头到标志尾的逻辑进行识别的，如果在APK的标志尾添加其他数据，则APK会被判断为已被破坏，在对经过压缩包破坏的APK进行解压、查看或用反编译处理时，均会提示文件已损坏，压缩包破坏与伪加密类似，但标志尾添加其他数据的APK不会影响其在Android系统的正常运行和安装。代码混淆主要是干扰逆向工作人员的分析，加大破解者对软件的分析难度，达到混淆视听的效果，经过混淆后的代码在反汇编或者反编译后，会出现程序间交叉引用异常复杂，从而达到加固APK的目的。签名验证通过与APK绑定，实现APK的加固。

上述加固方法中，由于在Android4.2之后推出的系统，修改了签名验证的方式导致无法安装伪加密的APK；通过采用压缩文件修复工具，会将APK中采用压缩包破坏方法添加到标志尾的其他数据进行修复，使APK加固保护消失。经过混淆后的代码在反汇编或者反编译后，有可能与反射发生冲突，且代码混淆方法只是增大破解难度，并不能真正阻止反向工程，无法达到真正的保护目的。签名验证存在APK被反编译后签名会自动消失，APK保护也会同时失效。综上，现有的应用加固方法，仍存在安全问题，影响移动终端的应用的安全和发展。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种实现应用加固的方法及装置，能够加固应用，提高应用安全。

本发明实施例提供了一种实现应用加固的方法，包括：

服务器对应用的第一安装包文件进行压缩包破坏处理得到第二安装包文件；

服务器对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。

可选地，服务器对第二安装包文件进行加壳得到第三安装包文件之后，该方法还包括：

服务器从所述第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密；

服务器将加密后的部分数据添加到所述第四安装包文件的尾部得到第五安装包文件。

可选地，部分数据包括：所述第三安装包文件中任意的可执行指令和/或动态链接表和/或段信息和/或节信息。

可选地，服务器提取出部分数据时，该方法还包括：

服务器记录所述部分数据在所述第三安装包文件中的第一位置。

可选地，服务器对提取出的部分数据进行加密之前，该方法还包括：

服务器将第一位置添加到所述提取出的部分数据中的预设位置。

服务器对提取出的部分数据进行加密包括：对添加第一位置后的部分数据进行加密。

可选地，服务器将加密后的部分数据添加到所述第四安装包文件的尾部时，该方法还包括：

服务器记录所述加密后的部分数据在第五安装包文件中的第二位置。

可选地，服务器对提取出的部分数据进行加密具体包括：

服务器对所述提取出的部分数据通过消息摘要算法第五版MD5进行加密。

可选地，第一安装包文件为安卓安装包APK文件。

可选地，终端在对第五安装包文件进行安装时，该方法还包括：

终端根据第五安装包文件中的所述加密后的部分数据将第五安装包文件还原为所述第三安装包文件；

终端对第三安装包文件进行去壳处理得到第二安装包文件，将所述第二安装包文件进行APK安装。

可选地，终端根据第五安装包文件中的加密后的部分数据将第五安装包文件还原为第三安装包文件具体包括：

终端根据记录的第二位置从第五安装包文件中提取加密后的部分数据得到第四安装包文件；对提取的加密后的部分数据进行解密得到部分数据和第一位置，将解密得到的部分数据还原到第四安装包文件的第一位置得到第三安装包文件。

本发明实施例还提出了一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述描述的任意一个方法。

另一方面，本发明实施例还提供一种实现应用加固的装置，包括预处理单元和加固单元，其中，

预处理单元，设置为对应用的第一安装包文件进行压缩包破坏处理得到第二安装包文件；

加固单元，设置为对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。

可选地，该装置还包括：提取处理单元，设置为从所述第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密；

将加密后的部分数据添加到所述第四安装包文件的尾部得到第五安装包文件。

可选地，该装置还包括：记录单元，设置为记录部分数据在所述第二安装包文件中的第一位置。

可选地，该装置还包括：添加处理单元，设置为将第一位置添加到所述提取出的部分数据中的预设位置。

可选地，所述记录单元还设置为，记录所述加密后的部分数据在第四安装包文件中的第二位置。

与现有技术相比，本申请技术方案包括：对第一安装包文件进行压缩包破坏处理得到第二安装包文件，对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。本发明实施例的方法对第二安装包文件进行加壳，避免了第二安装包文件被压缩文件修复工具修复而的导致的加固保护消失的问题；通过对第二安装包文件进行加壳，避免了在执行完第三安装包文件中的壳代码跳转到安装包的原始入口后，被保护的安装包的数据都暴露在内存中，实现了应用的加固，提高了安装包文件的安全性。

可选地，通过从第三安装包文件中提取出部分数据并对提取出的部分数据进行加密，放置于第三安装包文件的尾部的处理，加大了安装包文件的保护力度，进一步提高了安装包文件的安全性。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本发明实施例实现应用加固的方法的流程图；

图2为本发明实施例实现应用加固的装置的结构框图。

本发明的实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1为本发明实施例实现应用加固的方法的流程图，如图1所示，包括：

步骤100、服务器对应用的第一安装包文件进行压缩包破坏处理得到第二安装包文件，对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。

本步骤中，第一安装包文件可以是APK文件。

本步骤中，具体如何对第一安装包文件进行压缩包破坏处理得到第二安装包文件可以采用本领域技术人员的公知技术实现，并不用于限定本发明的保护范围，在此不再赘述。

本步骤中，对第二安装包文件进行加壳包括：

在第二安装包文件中插入一段代码(即壳代码)。

在安装过程中，安装文件的入口点即安装包执行的第一条指令指向壳代码，经过加壳处理的软件在运行时会首先进入到壳代码中，在壳代码中把第三安装包文件还原，然后再执行第三安装包文件中的壳代码跳转到第二安装包文件的原始入口。

通过加壳可以减小第二安装包文件体积，便于传输，提高执行效率。

步骤101、服务器从第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密。

本步骤中，部分数据包括：第三安装包文件中任意的可执行指令和/或动态链接表和/或段信息和/或节信息。

本步骤中，对提取出的部分数据进行加密包括：

对提取出的部分数据通过消息摘要算法第五版(MD5，Message Digest Algorithm 5)进行加密。

可选地，提取出部分数据时，该方法还包括：

记录部分数据在第三安装包文件中的第一位置，以获得提取位置信息。

可选地，对提取出的部分数据进行加密之前，该方法还包括：

将部分数据在第三安装包文件中的第一位置添加到提取出的部分数据中的预设位置。

其中，预设位置可以是部分数据的头部或尾部，当然，也可以是部分数据的其他位置。

步骤102、服务器将加密后的部分数据添加到第四安装包文件的尾部得到第五安装包文件。

可选地，服务器将加密后的部分数据添加到第四安装包文件的尾部得到第五安装包文件时，该方法还包括：

服务器记录加密后的部分数据在第五安装包文件的第二位置。

终端根据第五安装包文件中的加密后的部分数据将第五安装包文件还原为第三安装包文件；

终端对第三安装包文件进行去壳处理得到第二安装包文件，将第二安装包文件进行APK安装。

其中，终端根据第五安装包文件中的加密后的部分数据将第五安装包文件还原为第三安装包文件包括：

其中，终端对第三安装包文件进行去壳处理得到第二安装包文件包括：

终端执行第三安装包文件中的壳代码跳转到第二安装包文件的原始入口。

本发明实施例对第二安装包文件进行加壳，避免了第二安装包文件被压缩文件修复工具修复而导致的加固保护的消失；通过对第二安装包文件进行加壳，避免了在执行完第三安装包文件中的壳代码跳转到安装包的原始入口后，被保护安装包的数据都暴露在内存中，实现了应用的加固，提高了安装包文件的安全性。

图2为本发明实施例实现应用加固的装置的结构框图，如图2所示，包括预处理单元和加固单元，其中，

本发明实施例的装置还包括提取处理单元，设置为从第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密；

将加密后的部分数据添加到第四安装包文件的尾部得到第五安装包文件。

本发明实施例的装置还包括记录单元，设置为记录部分数据在第二安装包文件中的第一位置。

记录单元还设置为，记录所述加密后的部分数据在第四安装包文件中的第二位置。

本发明实施例的装置还包括添加处理单元，设置为将第一位置添加到提取出的部分数据中的预设位置。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明不限于任何特定形式的硬件和软件的结合。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

工业实用性

本发明实施例的方法避免了第二安装包文件被压缩文件修复工具修复而的导致的加固保护消失的问题；避免了在执行完第三安装包文件中的壳代码跳转到安装包的原始入口后，被保护的安装包的数据都暴露在内存中，实现了应用的加固，提高了安装包文件的安全性。

可选地，加大了安装包文件的保护力度，进一步提高了安装包文件的安全性。

Claims

一种实现应用加固的方法，包括：

服务器对应用的第一安装包文件进行压缩包破坏处理得到第二安装包文件，对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。
根据权利要求1所述的方法，该方法还包括：所述服务器对第二安装包文件进行加壳得到第三安装包文件之后，

服务器从所述第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密；

服务器将加密后的部分数据添加到所述第四安装包文件的尾部得到第五安装包文件。
根据权利要求2所述的方法，其中，所述部分数据包括：所述第三安装包文件中任意的可执行指令和/或动态链接表和/或段信息和/或节信息。
根据权利要求2所述的方法，该方法还包括：所述服务器提取出部分数据时，记录所述部分数据在所述第三安装包文件中的第一位置。
根据权利要求4所述的方法，该方法还包括：所述服务器对提取出的部分数据进行加密之前，将所述第一位置添加到所述提取出的部分数据中的预设位置；

所述服务器对提取出的部分数据进行加密包括：

所述服务器对添加所述第一位置后的部分数据进行加密。
根据权利要求5所述的方法，该方法还包括：所述服务器将加密后的部分数据添加到所述第四安装包文件的尾部时，记录所述加密后的部分数据在所述第五安装包文件中的第二位置。
根据权利要求2～6任一项所述的方法，其中，所述服务器对提取出的部分数据进行加密包括：

所述服务器对所述提取出的部分数据通过消息摘要算法第五版MD5进行加密。
根据权利要求1～6任意一项所述的方法，其中，所述第一安装包文件包括安卓安装包APK文件。
根据权利要求2～6任意一项所述的方法，该方法还包括：终端在对所述第五安装包文件进行安装时，根据所述第五安装包文件中的所述加密后的部分数据将所述第五安装包文件还原为所述第三安装包文件；

终端对第三安装包文件进行去壳处理得到所述第二安装包文件，将所述第二安装包文件进行APK安装。
根据权利要求9所述的方法，其中，所述终端根据第五安装包文件中的加密后的部分数据将第五安装包文件还原为第三安装包文件包括：

所述终端根据记录的第二位置从所述第五安装包文件中提取加密后的部分数据得到所述第四安装包文件；

所述终端对提取的加密后的部分数据进行解密得到所述部分数据和所述第一位置；

所述终端将解密得到的部分数据还原到第四安装包文件的第一位置得到第三安装包文件。
一种实现应用加固的装置，包括预处理单元和加固单元，其中，

预处理单元，设置为对应用的第一安装包文件进行压缩包破坏处理得到第二安装包文件；

加固单元，设置为对第二安装包文件进行加壳得到第三安装包文件，以对应用进行加固。
根据权利要求11所述的装置，该装置还包括提取处理单元，设置为从所述第三安装包文件中提取出部分数据得到第四安装包文件并对提取出的部分数据进行加密；

将加密后的部分数据添加到所述第四安装包文件的尾部得到第五安装包文件。
根据权利要求12所述的装置，该装置还包括记录单元，设置为记录所述部分数据在所述第二安装包文件中的第一位置。
根据权利要求13所述的装置，还包括添加处理单元，设置为将所述第一位置添加到所述提取出的部分数据中的预设位置。
根据权利要求12所述的装置，所述记录单元还设置为，记录所述加密后的部分数据在所述第四安装包文件中的第二位置。
一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1～10任意一项所述的方法。