【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析

admin 2022年6月1日23:20:19移动安全评论16 views1514字阅读5分2秒阅读模式


编者按


5月28日,由InForSec主办,清华大学(网络研究院)-奇安信联合研究中心、复旦大学系统软件与安全实验室承办,中国科学院计算技术研究所计算机体系结构国家重点实验室、中国科学院软件研究所可信计算与信息保障实验室、百度安全、奇安信集团、蚂蚁集团、阿里安全协办的“网络安全四大顶会研究成果分享”之“移动互联网安全”(一)论坛在线上成功召开。中国科学技术大学特任教授糜相行、香港理工大学博士生赵开发 、香港理工大学薛磊老师、香港中文大学博士生徐枫皓在会上作了精彩的报告。本次会议由复旦大学教授张源主持,共156人参加会议。


InForSec将对会议精彩报告进行内容回顾,本文分享的是薛磊老师的报告——《硬件辅助的安卓程序脱壳分析》。


薛磊老师首先介绍了APP加壳的背景知识。APP加壳行为旨在通过代码混淆等方式实现对软件代码的保护,抵抗恶意攻击者的分析,目前也存在很多专业的企业级应用加固服务,有研究表明APP加壳行为正在被恶意软件滥用以实现对恶意软件检测的对抗。

【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析


随后,薛老师对目前主流的APP脱壳技术手段进行了总结分析。目前关于APP脱壳的研究和技术方法可以分为5类,即基于调试器的脱壳技术,基于模拟器的脱壳技术,基于代码插装的脱壳技术,基于定制化系统的脱壳技术以及基于代码相似度的脱壳技术。但是上述脱壳技术都是基于软件层次的手段实现的脱壳,会在应用运行环境中留下痕迹,而通过对对应的痕迹进行分析捕捉,恶意软件可以发现这些脱壳器的存在并执行对应的对抗措施。

【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析


为了解决目前脱壳技术中存在的局限性,薛老师详细介绍了他们提出的基于硬件辅助的脱壳工具(Happer)。在APP的动态运行过程中,Happer利用ARMv8平台的硬件特性实现对APP中采用的加壳技术的识别,然后生成采用对应的脱壳技术对APP进行脱壳,生成脱壳后的Dex文件。这里使用的硬件特性有3种,包括Embedded Trace Microcell (ETM),Hardware Breakpoints (HBRKs)以及Memory Management Unit (MMU)。

【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析


最后,薛老师介绍了Happer工具的脱壳效果。通过对当前主流加壳服务处理过的APP进行脱壳分析,证明了Happer工具的有效性,并且根据实验结果,也对目前商业加壳服务中所采用的技术手段进行了总结,这些实验结论,可以进一步用于辅助提升静态恶意软件检测工具的有效性。

【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析


【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析

演讲者简介

薛磊,2017年毕业于香港理工大学,现为香港理工大学计算学系助理教授(研究),长期从事系统安全研究,目前已经在IEEE S&P、USENIX Security、TIFS、TSE等会议和期刊上发表论文三十余篇,并申请授权中国和美国专利四项,主要研究方向为移动系统安全、软件分析、车联网安全等。


报告内容详情视频请点击上方的小程序观看。明天将继续发布香港中文大学徐枫皓博士的报告内容——《Android on PC: 探索面向终端用户的安卓模拟器中的安全风险 》。


欢迎小伙伴们在哔哩哔哩关注「InForSec学术社区」解锁更多精彩视频。


我们会定期邀请国内外安全领域知名专家学者开展报告,交流相关领域最新技术以及进展。敬请期待6月4日(本周六14:00举办的“移动互联网安全”(二)论坛

相关阅读

【“移动互联网安全”论坛回顾】赵开发:针对基于图的安卓恶意软件检测系统的结构攻击


【“移动互联网安全”论坛回顾】糜相行:针对大规模住宅网络代理的安全研究


【InForSec论坛预告】网络安全四大顶会研究成果分享之“移动互联网安全”论坛将于5月28日、6月4日举办

【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析




原文始发于微信公众号(网安国际):【“移动互联网安全”论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日23:20:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【移动互联网安全论坛回顾】薛磊:硬件辅助的安卓程序脱壳分析 http://cn-sec.com/archives/1074635.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: