VMP加固PK第三代加固

2020-01-22 01:07 数码

VMP 加固 PK 第三代加固,谁才能为 APP 保平安?

编者按:不少基于Java的 APP 很容易被破解,之前曾有报道,一些专职的 APP 打包党专门从各种渠道找到 apk,将其文件破解、反编译,然后加入广告、病毒代码,重新打包投入市场,不明真相的用户若将带病毒广告的 apk 下载下来,影响使用体验不说,还容易造成损失,若不采取安全措施,简直如同“裸奔”。

为了提升APP的安全性,加固技术应运而生。目前,App加固技术经历了以下四代技术发展↓↓↓

第一代加固技术——混淆技术;

第二代加固技术——加壳技术;

第三代加固技术——指令抽离;

第四代加固技术——指令转换,即现在经常被应用的VMP加固技术。

但是由于VMP加壳技术目前无标准化,所以各厂商加固的效果也不尽相同,来自爱加密攻防实验室的研究人员,抽选了一款经过 VMP 加壳过加固的APP来验证加固的安全强度,以此对比第三代加固的安全性,让我们一起来看看效果对比。

以下为爱加密攻防实验室对的投稿。

1、首先来验证三代加固的安全:三代加固:即抽取 dex 文件中 DexCode 的部分结构,即虚拟机操作码。在虚拟机加载到此类的时候对 DexCode 结构进行还原。从而保证 app 能正常的运行。

如图,可知 accountLogin() 方法被抽取了,经过分析得知其 hook 系统函数 dvmResolveClass(以andorid4.4.4 为例),在系统执行此函数之前会先对 ClassObject 进行修复,修复之后即可正常运行。

修复演示:修复代码可以参考开源工具 DexHunter ,在 dvm 情况下,DexHunter 脱壳工具主要的实现思路是修改 Android 源码文件 /dalvik/vm/native/dalvik_system_p 里的 Dalvik_dalvik_system_DexFile_defineClassNative 函数的实现,具体操作是在 Android 系统代码调用函数 dvmDefineClass进行类加载之前,主动地一次性加载并初始化 Dex 文件所有的类。

此时拿到类就是已经修复过的。以上为修复思路,仅仅作为参考。

修复工具部分代码见图

修复后的效果:如图。

反编译为java源码文件,代码逻辑更加清晰,如图

总结:抽取加固一般可以防住一些基础手段的攻击,但上有很大一部分工具可以破解此类技术的加固,核心代码保护强度不够,对上的工具稍作修改即可破解。

2、再次验证VMP加壳的安全性:VMP加壳:VMP加壳在三代基础上,抽取代码后,并没有对代码进行还原,而是通过厂商自研的“虚拟机”来进行解析opcode,然后通过JNI 接口反射执行各个方法。VMP加壳对于对代码保护的效果、加壳后的运用价值相对于历代加壳技术就高出不止一个台阶了,那么下一步让我们拿出各加固厂商的自称的“VMP加壳”版本进行验证:

我们获取到*(匿名)厂商自称VMP加壳样本,通过初步分析确认该厂商VMP加壳版本有自己一套虚拟机操作码表,这个表和正常虚拟机操作码表是一一对应的关系。也就是说拿到了这个表就可以还原操作码。

首先通过HOOK JNI部分接口查看其是否是通过JNI接口来实现VMP函数执行。效果图如下

可以确定此VMP是通过JNI接口来执行VMP函数。

通过一些手段可以拿到此加固的操作码表,需要一个一个操作码比较,其置换表(测试样本)如下图所示,

加固前被加固的方法如下图,通过简单查看这些被”vmp”方法基本都是是一些事件方法,核心代码基本上采用的都是三代加固技术(测试样本)。

可以知道,此加固是将原有的方法内容抽取掉并替换掉成自己的方法,然后在这个方法里通过反射调用原先的代码。还原工具部分代码如下图

通过hook dlopen函数等待库加载,一旦加载成功开始获取相关函数

VMP加固PK第三代加固西安碑林科大医院电话
治疗老人骨质疏松
肚子痛拉肚子快速止泻