摘要:的工作原理是,反编译文件,遍历代码,搜索配置文件中配置的需要监控的,如果找到一个的调用,则分析其参数,然后调用包空间下对应的类的静态函数。这些静态函数实现都是解析参数,打印输出信息。
一、Dalvik层源码逆向对于未进行保护的Android应用,有很多方法和思路对其进行逆向分析和攻击。使用一些基本的方法,就可以打破对应用安全非常重要的机密性和完整性,实现获取其内部代码、数据,修改其代码逻辑和机制等操作。这篇文章主要介绍一些基本的应用逆向和分析方法,演示Android应用的代码机密性和完整性是如何被破坏,进而被应用攻击者所用的。
在dalvik层代码的分析中,(一般情况下,对于未进行防护的应用)在Dalvik层,我们只关心classes.dex的逆向分析。
classes.dex是APK运行时的代码,是由源代码编译成的可以在dalvik上运行的代码。Dalvik虚拟机类似java虚拟机,所以可以用类似java的class文件的反编译方法,反编译classes.dex为java代码。对于未被保护的应用,可以用此方法还原出大部分代码。
整个过程中,涉及的代码形式如下:
· 1.dex文件,APK的可执行文件。
· 2.smali文件,Dalvik VM内部执行的代码。
· 3.jar文件和java文件,根据dex文件转换成的java代码文件.。
用到的工具介绍:
· 1.smali/baksmali :dex可执行文件向smali字节码文件互相转换的工具,转换的过程不丢失信息。
· 2.dex2jar:dex文件转化成java的jar文件的工具。因为Dalvik虚拟机和Java虚拟机的差异,转换无法做到一一对应,会有信息丢失和代码的错误。(该工具是整个源码逆向中非常有意义的一步 )。
· 3.jd/jd-gui:java的jar文件反编译工具。
· 4.APK改之理(ApkIDE):Windows平台下一个集成了上述工具的有GUI的平台。
最终生成的java源码形式如图。此时Dalvik层源码的逆向已经完成,可以对应用进行进一步的准源码级别的分析。
Dalvik层的代码篡改主要发生在smali文件上。反编译出的java代码虽然易读,但已经丢失了部分信息,同时可能存在若干错误,基本上没办法再编译回可执行文件。同时dex二进制文件不具备可读性。所以一般情况下,只能在smali中的代码上进行修改,重新打包生成APK。
代码层的篡改,可以修改应用的逻辑流程,插入恶意代码、绕过关键的安全流程(注册、验证、付款),打印敏感数据等。篡改代码、重打包技术一般应用在破解软件的注册验证机制(AD block破解注册,海卓破广告VIP,MIUI收费主题破解),修改游戏的规则(微信飞机大战破解),应用的敏感API调用的监控(APIMonitor,通过Android重打包加固APK拦截软件行为)。
Dalvik层代码篡改的使用的一个比较著名的例子是:APIMonitor。
APIMonitor的工作原理是,反编译apk文件,遍历smali代码,搜索配置文件中配置的需要监控的Api,如果找到一个Api的调用,则分析其参数,然后调用droidbox包空间下对应的类的静态函数。这些静态函数实现都是解析参数,打印输出log信息。处理完毕后,重新编译生成apk。
samli代码的篡改需要重新打包,新的包的签名和文件校验都和原有的包不同,可以被应用内的完整性检查模块识别,进而限制进一步的操作。解决这个问题的一个方法是,可以通过把自定义代码注入到应用的进程空间,实时的代码hook,不修改代码,实现对应用的代码逻辑的修改。
可以实现上述功能的的框架工具是xposed,和cyida substrate。xposed应用相对广泛。xposed的原理可以参考之前分享的文档《Xposed原理及实现》。
Xposed的应用比较有名的两个例子分别是
1.Zjdroid,通过hook系统挂载dex文件的函数,自动化脱掉大部分android的加密壳。
2.Xprivicy,通过hook大部分隐私函数的调用,监控或者阻断应用对隐私API的调用。
Dalvik层代码的hook会在第三篇文章中详细介绍。
本地.so文件一般提供敏感函数的封装。对于未被保护的.so文件,可以通过IDA进行静态分析和动态挂载调试。so文件的分析会在第四篇文章中详细介绍。
五、浅谈Android应用保护系列文章浅谈Android应用保护(零):出发点和背景
作者:纳池@阿里移动安全,更多技术文章,请点击这里
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/12700.html
摘要:无线端应用对抗的出发点和背景根本上来说,手机客户端是完全控制在使用者手上的,是不可信的,不应该依靠客户端来实现任何安全逻辑业务相关的控制。无线客户端分析和保护的出发点就是基于上述背景。 近几年来,无线平台特别是Android平台的安全逐渐成为各厂商关注的重点。各种新的思路和玩法层出不穷。所以,笔者基于前一段时间的学习和整理,写了这系列关于Android应用安全和保护的文章。这5篇文章主...
摘要:简介在阿里聚安全的漏洞扫描器中和人工安全审计中,经常发现有开发者将密钥硬编码在代码文件中,这样做会引起很大风险。阿里聚安全开发建议通过以上案例,并总结下自己平时发现密钥硬编码的主要形式有密钥直接明文存在文件中,这是最不安全的。 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码、文件中,这样做会引起很大风险。信息安全的基础在于密码学,...
摘要:本篇章主要介绍应用加固的最基础的四种方式混淆签名比对验证编译动态库代码动态加载原文地址反逆向之二四种基本加固方式简介应该大多数开发者都不会关注应用会不逆向破解,而且现在有第三方厂商提供免费的加固方案,所以应用的安全性就全部依赖于第三方。 近些年来移动 APP 数量呈现爆炸式的增长,黑产也从原来的PC端移到了移动端,伴随而来的逆向攻击手段也越来越高明。本篇章主要介绍应用加固的最基础的四种...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
阅读 2081·2021-11-23 09:51
阅读 871·2021-11-18 10:02
阅读 3213·2021-10-13 09:49
阅读 1039·2021-09-22 14:57
阅读 8892·2021-08-18 10:20
阅读 993·2019-08-30 15:55
阅读 2043·2019-08-29 16:06
阅读 3105·2019-08-29 11:14
