安卓应用加固之四代加壳保护技术详解,
安卓应用加固之四代加壳保护技术详解,
#0x00 前言
安卓应用加固技术是伴随安卓应用破解技术一同发展起来的。
安卓应用加固技术的发展可以划分为以下几代技术:
第一代壳:Dex混淆、Dex加密、资源加密、反调试及自定义DexClassLoader
第二代壳:Dex抽取与so加固、Dex Method代码抽取、Dex动态加载及so加固
第三代壳:Dex动态解密及so混淆、Dex Method代码动态解密及so代码膨胀混淆
第四代壳:代码虚拟化保护(O-LLVM技术)
#0x01 第一代壳
一、Dex混淆
1.代码混淆
即将源程序代码中的类名、方法名修改为a、b、c()的形式,让破解这不能通过类名、方法名轻易地寻找/猜测到函数所实现的功能,增加逆向分析的难度
2.编译期混淆
若APK在开发时使用的是LLVM编译套件进行编译,则可以在编译期间对代码进行混淆。分为前端混淆和IR混淆。
前端混淆:指编译器前端在进行原生代码分析时采取的混淆技术
IR混淆:指在编译原生代码时对生成的中间代码IR进行混淆的技术
3.二进制混淆
在生成APK文件后,提取出其中的二进制文件,对二进制文件再进行混淆。典型的技术有Dex二次混淆,即对生成的Dex文件进行反编译后,再进行混淆。使得Dex的执行流程被混淆和字符串被混淆。
1 //以字符串混淆为例
2
3 //混淆前
4 void methodA()
5 {
6 clz.method1("abc");
7 clz.method3(clz.method2("def"),"ghi");
8 }
9
10 //使用ProGuard进行代码混淆后的反汇编代码可能如下
11 void methodA()
12 {
13 a.a("abc");
14 a.aaa(a.aa("def"),"ghi");
15 }
16
17 //使用DexGuard进行代码混淆后的反汇编代码可能如下,b.a()方法
18 void methodA()
19 {
20 a.a(b.a("xxxxxxxxx"));
21 a.aaa(a.aa(b.a("yyyyyyyyy")),b.a("zzzzzzzzz"));
22 }
二、Dex加密
Dex加密指将APK的DEX文件进行加密,在运行时再解密加载到内存中执行,防止Dex文件被逆向的一种保护技术。
Dex加密APK的执行流程如下图:
加固过程:
1.需要编写三个项目:
(1)源APK(真正的APK程序)
(2)加壳程序(Java项目,用于对源APK文件进行加密,并将加密后的源APK与解密dex进行合并)
(3)脱壳程序(Android项目,用于对加密后的源dex文件进行解密,并将其加载到内存中去)
2.加壳程序将源APK加密成所有操作系统都不能正确读取的APK文件。
3.加壳程序再提取出解密APK的classes.dex文件,将解密apk的dex文件与加密后的源apk进行合并,得到新的dex文件
4.并在新dex文件的末尾添加一个长度为4位的字段,用于标识加密apk的大小
5.修改新dex文件的头部三个字段:checksum,signature,file_size,以保证新dex文件的正确性
Dex加密流程如下图:
加壳程序主要逻辑代码分析:
1 public static void main(String args[]) 2 { 3 try 4 { 5 //---------获取文件 6 //获取需要加密的源apk程序 7 File payloadSrcFile = new File("xxxx/abc.apk"); 8 System.out.println("SrcAPK size:"+payloadSrcFile.length()); 9 //获取脱壳(解密)程序的DEX文件,需要提前把脱壳程序的DEX文件解压出来 10 File unshellDexFile = new File("yyyy/classes.dex"); 11 12 //---------加密源apk文件 13 /* 14 以二进制形式读取apk,并加密,存到payloadArray数组中 15 readFileBytes是以二进制形式读取文件 16 encrpt()是自定义的对二进制流加密的函数 17 */ 18 byte[] payloadArray = encrpt(readFileBytes(payloadSrcFile)); 19 //以二进制形式读取脱壳dex 20 byte[] unshellDexArray = readFileBytes(unshellDexFile); 21 22 //---------合并 23 //***1.计算出新Dex文件的总长度 24 int payloadLen = payloadArray.length(); //加密APK的长度 25 int unshellDexLen = unshellDexArray.length(); //脱壳Dex的长度 26 int totalLen = payloadLen+unshellDexLen=4 //新的Dex文件长度,最后+4是为了用于存储payloadLen值的 27 //***2.定义新dex文件 28 //先定义新dex文件的长度 29 byte[] newDex = new byte[totalLen]; 30 //***3.开始合并 31 //将脱壳dex文件的内容写入新dex 32 System.arraycopy(unshellDexArray,0,newDex,0,unshellDexLen); 33 //再将加密后的源APK内容连接在后面 34 /* 35 arraycopy(arr1,x,arr2,y,m)表示将数组arr1从索引为x开始的元素,复制m个元素到数组arr2中去,从arr2的y索引开始粘贴 36 */ 37 System.arraycopy(payloadArray,0,newDex,unshellDexLen,payloadLen); 38 //最后将将加密后的apk长度记录在新dex文件末尾 39 /* 40 intToByte()将int类型数据转换成Byte 41 total是int类型的,newDex是Byte类型 42 total是脱壳dex长度+加密apk长度+4,所以,最后是从newDex的第total-4索引开始写入payload的长度 43 一个byte是1个字节,即8位;一个int是4个字节,即32位;所以最后的4表示写入intToByte(payloadLen)的4个元素 44 */ 45 System.arraycopy(intToByte(payloadLen),0,newDex,totalLen-4,4); 46 47 //---------修改新dex文件的头部信息 48 //修改file_size字段 49 fixFileSizeHeader(newDex); 50 //修改signature字段 51 fixSHA1Header(newDex); 52 //修改checksum字段 53 fixCheckSumHeader(newDex); 54 //---------生成新dex文件 55 //定义要生成文件的路径及名称并创建空文件 56 String str = "zzzz/classes.dex"; 57 File file = new File(str); 58 if (!file.exists()) 59 { 60 file.createNewFile(); 61 } 62 //将合并好的数据写入文件 63 FileOutputStream localFileOutputStream = new FileOutputStream(str); 64 localFileOutputStream.write(newDex); 65 localFileOutputStream.flush(); 66 localFileOutputStream.close(); 67 }catch (Exception e) { 68 e.printStackTrace(); 69 } 70 } 71 72 //加密函数encrpt()的定义 73 private static byte[] encrpt(byte data[]) 74 { 75 //加密算法实现,这里就不写了 76 return data; 77 } View Code
脱壳流程如下图:
脱壳程序主要逻辑代码分析:
#0x02 第二代壳
#0x03 第三代壳
#0x04 第四代壳
相关文章
- 暂无相关文章
用户评论