基于圖譜化的Android加固惡意插件逆向技術(shù)研究.pdf

1、傳統(tǒng)的殺毒引擎大部分采用特征碼查殺技術(shù)，使用加固技術(shù)加密后的惡意代碼在運(yùn)行時從內(nèi)存中解密，可以繞過靜態(tài)掃描特征碼技術(shù)，從而逃避檢測。最新的病毒木馬APP會延遲啟動惡意代碼，開啟定時器，利用動態(tài)加載技術(shù)，反射執(zhí)行惡意代碼。安全加固目前是很多安全廠商的主打產(chǎn)品，在保護(hù)開發(fā)者版權(quán)的同時，也給了不法分子很多便利。很多木馬使用了安全廠商提供的免費(fèi)加固服務(wù)。安全公司一般需要提取惡意應(yīng)用的源代碼，對惡意加固應(yīng)用進(jìn)行樣本分析。當(dāng)前少有系統(tǒng)能夠?qū)庸痰膼?/p>

2、意應(yīng)用逆向，對動態(tài)加載的加固惡意應(yīng)用dex文件的提取就更少了。
　　系統(tǒng)地分析了當(dāng)前主要的Android應(yīng)用加固服務(wù)商所使用的加固技術(shù)和Android應(yīng)用動態(tài)加載技術(shù)的原理。設(shè)計(jì)并實(shí)現(xiàn)了PluginExtractDroid系統(tǒng)，PluginExtractDroid系統(tǒng)復(fù)用了Dexhunter系統(tǒng)對加固應(yīng)用的逆向功能，根據(jù)dex文件的結(jié)構(gòu)特點(diǎn)，將dex文件各部分用不同的顏色表示，生成圖譜圖像，用以區(qū)分未知加固惡意使用的加固服務(wù)。此外

3、分析了應(yīng)用執(zhí)行動態(tài)加載時的關(guān)鍵路徑，通過修改Dalvik虛擬機(jī)的源碼，在宿主應(yīng)用動態(tài)加載插件時記錄插件在內(nèi)存中的位置信息。當(dāng)插件觸發(fā)下載到手機(jī)上后，插件需要被Dalvik虛擬機(jī)解釋執(zhí)行時，對插件中的Java類主動的進(jìn)行類加載和初始化，記錄內(nèi)存中的信息，生成新的dex文件。
　　PluginExtractDroid系統(tǒng)是基于Android4.4.4實(shí)現(xiàn)原型系統(tǒng)，從加固惡意應(yīng)用逆向、動態(tài)加載插件獲取和系統(tǒng)性能開銷三方面進(jìn)行了實(shí)驗(yàn)。實(shí)驗(yàn)