APP加固攻防梳理

  • A+
所属分类:移动安全


APP加固攻防梳理

背景

APP加固攻防梳理


现在市面上对APP的安全合规管控越来越严格了,也就要求了APP在上架之前一定要做合规检测和加固处理。对APP就是加固的好处,可以提高APP的安全性,提高APP被逆向分析破解的门槛,同时通过加固保护可以提高过安全合规的检测。由于APP加固技术不断被攻破情况,因此加固技术也是不断在快速迭代的过程。现在市面上的加固产品的还是比较多的,并且各个加固技术产品都有其各自优缺点,但是加固产品的所采用技术去有很多共性的地方。下面就对加固和脱壳对抗方案做些梳理总结。


APP加固攻防梳理

加固准备

APP加固攻防梳理


APP加固主要是对APP中的dex文件、so文件、资源文件等进行保护,因此这边对这APP中的关键文件结构做简短梳理总结。


App文件的结构


APP加固攻防梳理


Dex文件结构


APP加固攻防梳理


SO文件结构


APP加固攻防梳理


简单的APP加固原理的流程

  • 加固的代码先运行,进行初始化工作;

  • 加固的代码开始解密被保护的核心代码;

  • 加固的代码开始加载解密后的核心代码;

  • 加固的代码把控制权转交给核心代码。


APP加固攻防梳理

第一代加固和脱壳

APP加固攻防梳理


第一代加固技术主要做了进行对app的dex文件进行保护和做了一些简单的反调试保护。


Dex保护:

Dex文件整体加密、字符串加密、自定义DexClassLoader。

动态防护:

ptrace反调试、TracePid值校验反调试。



第一代加固的出现也同时出现各种对加固技术的攻破。从而出现了各种对抗加固的脱壳方法。


最突出的是直接从内存dump出dex完整结构脱壳原理:

程序在启动过程中,要保证程序正常运行,那么加固壳会自动解密受保护的dex文件并完成加载,基于这个子解密的原理,我可以选择在dex加载完成这个时机点,将其dump下来。从而实现第一层防护壳、加密壳的脱壳。


下面罗列几个脱壳方案

  1. 缓存脱壳法:

第一代的某些加固产品,安装包是加密压缩的,安装后回在data/dalvik-cache目录下生成解密的odex文件,这时候只需要获取odex文件进行做为分析的突破点。


  1. 内存 dump脱壳法

通过工具:IDA Pro + dumpDEX

1、通过/proc/%d/maps获取内存映射

2、在内存中查找关键字 dex.035或dex.036

3、手动dump查找到的数据。


  1. 动态调试脱壳法

1、通过基于IDA的android_server的代理方式进行附加app。

2、再IDA中下dvmDexFileOpenPartial 断点,确认要dump的起始地址和大小。

3、用ida的脚本方式进行dump出原始数据。


  1. HOOK脱壳法

Hook脱壳法一般都是基于frida和xposed这两个框架进行做hook操作的。

这种hook脱壳法:先需要进行分析app应用,找到可以进行hook的函数,

然后在选择用的顺手的、适用的frida或xposed框架进行 hook。

(xposed是java编译,适用于java层hook;frida适用于java层和native层hook)。


通过对关键函数dvmDexFileOpenPartial进行hook实现脱壳。

也可以通过xposed框架hook ClassLoader的loadClass函数实现脱壳。


  1. 定制系统脱壳法

主要是通过修改系统源码中的关键函数,接着将修改后的源码重新编译并进行刷机。


例如通过修改系统dvmdexfileopenpartial函数的关键逻辑。在函数里面修改写入我们想要实现的功能。


APP加固攻防梳理

第二代加固和脱壳

APP加固攻防梳理


由于第一代加固是整体性加固的,因此只要dump到关键点后,就可以完整的获取到dex整个内容。由于第一代壳的缺点,随之而来的就是进行对APP中关键类的抽取技术。那么第二代加固主要进行如下的功能点。

  1. DEX保护: DEX类抽取、DEX动态加载、SO动态加载

  2. So保护:SO加密

  3. 动态防护: 反调试,防HOOK

  4. 资源文件保护:本地数据库保护、本地文件保护


脱壳技术方案

脱壳原理:

主动调用类中的每一个方法,并实现函数指令的还原

常见的加固厂商的指令抽取的实现方式主要又两大类,一种是指令代码在dex文件原便宜位置处还原,另外一种就是随机分配,通过修订偏移的方式,使程序在执行过程中通过修定的便宜找到函数指令;android程序在执行过程,使用到类时候,都需要进行加载,而在加载过程中,函数指令就会进行指令还原或修订函数指令指向的位置,我们可以利用这个时机,将代码拷贝到原代码位置,进而实现类抽取壳的脱壳。


下面罗列针对第二代加固的脱壳法

  1. 内存重组脱壳法

通过内存中dex文件的格式,找到完整的dex文件,将其组合到一起。


  1. 内存dump脱壳法

通过工具:IDA Pro + dumpDEX

1、通过/proc/%d/maps获取内存映射

2、在内存中查找关键字 dex.035或dex.036

3、手动dump查找到的数据。

也可以直接用frida中的dump脚本进行内存dump脱壳。


  1. 动态调试脱壳法

1、通过基于IDA的android_server的代理方式进行附加app。

2、再IDA中下dvmDexFileOpenPartial 断点,确认要dump的起始地址和大小。

3、用ida的脚本方式进行dump出原始数据。


  1. HOOK脱壳法

Hook脱壳法一般都是基于frida和xposed这两个框架进行做hook操作的。

这种hook脱壳法:先需要进行分析app应用,找到可以进行hook的函数,

然后在选择用的顺手的、适用的frida或xposed框架进行 对关键函数hook。

(xposed是java编译,适用于java层hook;frida适用于java层和native层hook)。


通过对关键函数memcmp、dexFileParse进行hook实现脱壳。

也可以通过hook ClassLoader的loadClass函数实现脱壳。


  1. 定制系统脱壳法

主要是通过修改系统源码中的关键函数,接着将修改后的源码重新编译并进行刷机。


例如通过修改系统memcmp、dexFileParse函数的关键逻辑。在函数里面修改写入我们想要实现的功能。



APP加固攻防梳理

第三代加固和脱壳

APP加固攻防梳理


第三代加固方案主要进行对函数进行做抽取,并进行做动态加解密方式,下面罗列关键的加固技术点

  1. DEX保护: DEX Method代码抽取、Dex Method动态解密

  2. SO保护:SO加壳

  3. 动态防护:防内存dump、防系统核心库HOOK

  4. 资源文件保护:H5文件保护


APP函数抽取指令流程:

1、解析原始dex文件格式,保存所有方法的代码结构体信息。

2、通过传入需要置空指令的方法和类名,检索到其代码结构体信息。

3、通过方法的代码结构体信息获取指令个数和偏移地址,构造空指令集,然后覆盖原始指令。

4、重新计算dex文件的checksum和signature信息,回写到头部信息中。


脱壳方法:

  1. HOOK脱壳法

通过利用frida框架进行hook关键函数DexFile,OpenFile、dexFindClass等关键函数实现脱壳。

  1. 定制系统脱壳法

通过修改系统源码中的关键函数如DexFile、OpenFile、dexFindClass函数的关键逻辑,然后进行重编系统。

在ART中通过修改定制dex2oat法进行脱壳。


APP加固攻防梳理

第四代加固和脱壳

APP加固攻防梳理


现在市面上强度最强加固方案实属代码虚拟化保护的方案。通过将程序的代码编译为虚拟机指令也就是虚拟机代码(也就是自定义的代码集),通过虚拟机cpu解释并执行的一种方式。

下面罗列下关键的加固技术点

  1. DEX保护:代码VMP虚拟化保护

  2. SO保护:基于llvm的SO文件保护(ELF VMP)


脱壳方案

  • HOOK脱壳法

    可以基于frida框架进行针对不同虚拟机(dalvik和art)实现进行hook。

  • 定制系统脱壳法



APP加固攻防梳理

总结

APP加固攻防梳理


利用frida脱壳方法:

1、通过找到DexFile对象(art虚拟机是DexFile对象,dalvik虚拟机下是DexFile结构体),获取到DEX文件的起始地址和大小,然后dump下来。

常见能够找到DexFile对象的函数有LoadMethod、ResolveMethod函数等,能直接获取到DEX起始地址和大小的常见函数有openMemory、dexparse、dexFileParse、dvmDexFileOpenPartial等函数。frida_unpack便是其中的代表作。


2、利用frida的搜索内存,通过匹配DEX文件的特征,例如DEX文件的文件头中的魔法值---dex.035或dex.036这个特征。frida-Dexdump便是这种脱壳方法的代表作。



自定义系统和定制的android设备方法:


1、采用定制的android的rom,可以有效对抗市场中所有的加密壳、类抽取类型的壳;相比开源的脱壳工具,大体都是基于hook框架,例如frida、Xposed;目前大多加固厂商已经对hook框架,以及脱壳框架的特征进行了安全检测,这会导致app启动失败,从而实现脱壳失败,而通过自定义的rom,没有依赖hook框架,也就没有相关框架特征代码标志,所以脱壳成功率会比较高。


2、采用定制android硬件设备优势,基于android的开源性,google公司每次发布新版的rom,都会率先在Pixel、Nexus系列的设备上最早应用,这也导致大部分安全从业者为了提升工作效率,间隔的采用自定义ROM实现方式,在市场中开源脱壳ROM,大多是需要刷Nexus、Pixel系列机型,这也使得大多加固厂商对这Nexus、Pixel系列机型做特殊,更深层次的安全防护检测,以此保证程序在运行过程中的安全性。通过定制android硬件设备,没有Nexus、pixel设备相关特征,更能提高脱壳的成功率。



APP加固攻防梳理

E N D

APP加固攻防梳理


 ▲往期相关文章▼


App安全测试


你需要了解的APP安全


APP安全合规



APP加固攻防梳理

点个在看你最好看


APP加固攻防梳理

原文始发于微信公众号(小道安全):APP加固攻防梳理

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: