本发明专利技术公开了一种基于代码下沉与残码解释的Android应用程序保护方法,包括:查找dex文件中需要进行保护的关键方法,包括需要代码反射下沉技术保护的关键代码段和需要多样性虚拟解释Dex残码技术保护的关键代码段;对需要代码反射下沉技术保护的关键代码段进行转化为Native类型和JNI反射翻译操作,编译形成解释性so文件;对需要多样性虚拟解释残码保护的关键代码段进行指令抽取,预处理后进行多样性虚拟,处理结果存储至自定义文件中,编译运行本地层CPP文件,最后形成解释性so文件;将两个so文件进行加载连接,应用程序在加载运行时解释性so文件代替了关键代码段的执行。本发明专利技术结合两种不同的保护方法,极大的提升了攻击者攻击的门槛、增大了逆向的成本。
【技术实现步骤摘要】
基于代码下沉与残码解释的Android应用程序保护方法
本专利技术属于Android应用程序中Dex文件加固的
,具体涉及基于Java层代码反射下沉与多样性虚拟解释Dex残码相结合的AndroidAPP保护方法。
技术介绍
近年来,随着Android手机市场占有率的不断提高,随之而来的安全问题也愈发严峻,其中二次打包的问题尤为严重。由二次打包引起的隐私泄露、资金窃取、流量耗费案例层出不穷,给开发厂商和广大用户带来了巨大的损失。Android程序大多是由Java作为原生语言开发的,故而保护安卓应用程序中由java语言编译的classes.dex文件显得尤为重要,目前对于dex文件(APK中的classes.dex的简称,Android应用中可执行文件)的保护方式有:Dex整体加密技术、部分方法的类加载加密、虚拟化保护技术等。Dex整体加密技术基于Java虚拟机的动态加载技术,将原APK或DEX进行加密,再加一层壳,壳通过自定义DexClassload在运行的时候进行动态加载解密原始DEX文件,这种方法能够有效防止静态分析,但在解析Dex时进行内存dump,攻击者便可得到完整的Dex文件,随后进行二次打包;部分方法的类加载加密主要是通过抽离Dex中的关键函数指令,保存到一个单独的文件中,运行时在内存中对Dex关键函数进行指令还原,能够有效防止动态分析和内存被dump,目前可以通过修改Android源码来自定义虚拟机进行攻击分析;虚拟机保护技术是使用自定义的语言翻译之前的语言,同时使用本地层自定义的解释器进行解释,加大了还原代码的难度。但由于Dalvik指令集指令的有限性,有经验的攻击者可通过分析Dalvik指令和自定义指令集之间的映射关系来攻击该技术。因而亟需一种既防止内存dump又增加代码还原难度的保护Dex文件的技术方案。因此本专利提出一种基于Java层代码反射下沉与多样性虚拟解释Dex残码相结合的AndroidAPP保护方法。攻击测试实验表明,在牺牲可接受的性能开销情况下,我们提出的保护方法可以有效防止当前逆向工具的攻击,大多数的静态和动态逆向分析也起不到相应地效果和作用。
技术实现思路
本专利技术提出并设计了一种基于代码反射下沉与多样性虚拟解释残码相结合的Android应用程序保护方法,其核心是通过将Dex文件部分方法Native化和基于寄存器的Dalvik指令多样性虚拟化来提高应用程序安全性。本专利技术方法可以有效防止DEX文件内存被Dump,从根源上杜绝二次打包。为达到上述目的,本专利技术采用如下技术方案:基于代码下沉与残码解释的Android应用程序保护方法,包括以下步骤:将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器;将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包。进一步地,所述的对第一关键方法采用代码反射下沉的方式进行反射翻译,包括:将第一关键方法的所有指令逐条从Dex文件中抽离,并进行控制流分析,依照控制流结构进行反射翻译,然后结合JNI接口函数进行解释还原,同时生成CPP文件。进一步地,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,包括:将第二关键方法里的所有指令逐条从Dex文件中抽离,并执行预处理操作;所述的预处理操作是根据指令类型提取相关信息及指令上下文;自定义多套映射规则,然后随机选择一套映射规则对抽离的每条指令进行加密,以对指令进行虚拟化保护。进一步地,所述的自定义文件包括文件头和文件体,其中,所述的文件头包括魔术字、文件头大小、抽取结构总大小,抽取方法结构偏移、字符串大小,字符串偏移,类型信息大小,类型信息偏移,引用方法描述体大小,引用方法描述体偏移;所述的文件体包括字符串区域,类型区域,引用方法描述体区域,抽取方法结构体区域;抽取方法结构体区域包括:当前方法ID,当前方法大小,虚拟指令大小,虚拟指令。进一步地,所述的编译形成第一关键方法的解释器和第二关键方法的解释器;包括:将所述的第一关键方法采用代码反射下沉的方式进行反射翻译时生成的CPP文件生成第一关键方法的解释器,所述的第二关键方法进行指令抽取、虚拟化保护并将处理结果存储至自定义文件中的同时,生成包含签名信息的CPP文件,将该CPP文件与本地层已实现的包含解释器核心功能的CPP文件结合生成第二关键方法的解释器。与现有技术相比,本专利技术具有以下技术效果:1.本专利技术是在本地层实现了自定义文件中抽取指令的虚拟解释,并经过编译以动态库的形式绑定于受保护的apk,故而兼容性好,可以完美兼容安卓4.4之前的Dalvik虚拟机和安卓4.4及之后的ART虚拟机。2.本专利技术中提出了多样性虚拟保护的概念,多套自定义映射规则多样性虚拟解释dex文件中的关键方法,在加固端对抽取指令的操作码、操作数随机选择一套转换规则进行映射,在解释器端直接根据变换之后的指令进行相应的解释而不需要指令还原的过程,且指令变化作为后台处理部分,其逻辑不会出现在受保护apk中,对于攻击者来说,这样的随机性和其余正确指令的干扰大大增强了逆向者去分析的时间开销和成本开销。3.本专利技术设计的虚拟机可扩展性强、灵活性高。解释器可以对所有Dalvik指令进行处理,对待保护的方法进行指令抽取、自定义转换、本地层解释可以有效的防止动态调试时内存dump得到真实指令。4.由于Java语义性较强,易被反编译,较为理解。我们采用Dex文件中部分方法的Native化技术,使待保护Java层方法通过JNI反射转换为本地层方法。Native层代码较为底层,很多程序员不具备分析本地代码的能力。代码下沉大大增加了攻击者还原Java层中关键逻辑的难度。5.本专利技术设计中多重虚拟解释Dex残码的引入为系统提供了灵活性及鲁棒性,用户可以根据需求自由选配多重虚拟模块的占比以及多重虚拟的处理函数。两种方法的结合从一定程度来讲再一次提升了攻击者攻击的门槛,攻击者需要同时对两种方式内部实现进行深入研究。6.测试实验表明,在本专利技术中,保护前后应用程序安装包的大小体积有所增加,但变化不大;启动时间几乎没有差别;内存的消耗基本不变甚至减少,这是因为在本地层运行要比在虚拟机本身执行消耗的内存少。附图说明图1是本专利技术的流程图;图2是本专利技术的整体系统框架图;图3(a)是“OnCreate”方法的反射下沉示例代码;图3(b)是“const_string”指令所对应的处理函数示例;图4是对NOP指令多样性虚拟的示例图;图5是自定义NISL文件的结构示例图;图6(a)是利用本专利技术方法保护前Dex文件的伪java图;图6(b)是利用本专利技术方法保护后Dex文件的伪java图。图7(a)分别是两个Android应用程序利用本专利技术方法本文档来自技高网...
【技术保护点】
1.基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,包括以下步骤:将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器;将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包。
【技术特征摘要】
1.基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,包括以下步骤:将Android应用程序的安装包中的Dex文件反汇编得到汇编指令,在汇编指令中指定待保护的关键方法,包括第一关键方法和第二关键方法;其中,第一关键方法为入口方法,第二关键方法为除了入口方法之外的其他方法;将第一关键方法、第二关键方法的属性均修改为native类型;对所述的第一关键方法采用代码反射下沉的方式进行反射翻译,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保护,然后将处理结果存储至自定义文件中,重写形成新的Dex文件;编译形成第一关键方法的解释器和第二关键方法的解释器;将第一关键方法的解释器、第二关键方法的解释器、自定义文件以及重写形成的Dex文件经打包、签名后生成新的安装包。2.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,所述的对第一关键方法采用代码反射下沉的方式进行反射翻译,包括:将第一关键方法的所有指令逐条从Dex文件中抽离,并进行控制流分析,依照控制流结构进行反射翻译,然后结合JNI接口函数进行解释还原,同时生成CPP文件。3.如权利要求1所述的基于代码下沉与残码解释的Android应用程序保护方法,其特征在于,对所述的第二关键方法进行指令抽取,并对指令进行虚拟化保...
【专利技术属性】
技术研发人员:汤战勇,李振,何中凯,房鼎益,陈晓江,龚晓庆,陈峰,王薇,
申请(专利权)人:西北大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。