[发明专利]一种被混淆APP三方库的识别并还原的方法与装置

说明书

本发明提出了一种被混淆APP三方库的识别并还原的方法与装置，包括：响应于提取常用三方库的类特征，并且每个所述三方库对应一个特征文件，所述特征文件保存所述三方库中每个类的特征；响应于提取APP中每个类的特征，并判断每个所述类的特征是否包含某个库，若包含某个库，则将APP中的每个类与所述三方库的特征文件中的每个类进行比对；以及若检测到APP某个类与所述第三方库中某个类的特征相似度达到预设阈值，则认为APP中该类与库中的类属于同一个类，并对APP中的该类进行重命名处理，使APP还原成未混淆状态。本发明提供识别混淆App中的常用三方库，并对三方库进行代码还原的方法，使其三方库恢复到未混淆状态，以减轻app的混淆程度，提高代码的可读性。

技术领域

本发明属于软件安全技术领域，具体涉及一种被混淆APP三方库的识别并还原的方法与装置。

背景技术

随着移动设备的普及、Android操作系统的发展，移动应用也越来越多，而移动应用为了保护自身程序不被逆向破解，采取了多种保护保护措施。

其中源代码的混淆，成为了最为常用的源代码保护手段，AndroidStudio更是自带了proguard工具，为开发者提供源代码混淆功能。源代码的混淆，主要采用的是对类名，函数名，变量名等信息，进行重新命名，将其命名为a、b、c或其他无意义的字符，使逆向人员在分析过程中，无法得知其类、变量、函数的真实意义。

很多恶意程序，也紧跟潮流，使用代码混淆来保护自己，这无疑给安全人员提高了不少分析的难度。而App在开发过程中，会集成大量的三方库，这些三方库，也会被一并混淆，这意味着混淆过后，逆向分析的安全人员将很难分清哪些代码属于三方库，哪些代码属于App自身代码。

而在现有技术方案中，反混淆技术一般分为二次混淆和函数名推测，而不管是哪一种，除了效果并不理想外，都没有对三方库做特殊处理。

有鉴于此，提出一种被混淆APP三方库的识别并还原的方法与装置是非常具有意义的。

发明内容

为了解决现有安全人员在逆向分析app的过程中，经常会处于很难分清代码到底是三方库还是App库的尴尬状态的问题，本发明提供一种被混淆APP三方库的识别并还原的方法与装置，以解决上述存在的技术缺陷问题。

第一方面，本发明提出了一种被混淆APP三方库的识别并还原的方法，该方法包括如下步骤：

响应于提取常用三方库的类特征，并且每个所述三方库对应一个特征文件，所述特征文件保存所述三方库中每个类的特征；

响应于提取APP中每个类的特征，并判断每个所述类的特征是否包含某个库，若包含某个库，则将APP中的每个类与所述三方库的特征文件中的每个类进行比对；以及

若检测到APP某个类与所述第三方库中某个类的特征相似度达到预设阈值，则认为APP中该类与库中的类属于同一个类，并对APP中的该类进行重命名处理，使APP还原成未混淆状态。

优选的，还包括：编写类特征提取工具，用于反编译apk和jar，并对每个类进行特征提取，并在提取的特征文件中存储每个类的所有函数名、函数类型、变量名；

提取的特征包括：该类中有几个常用的变量，其中int、boolean以及String的个数；该类中有几个函数，其中有几个返回值是void，几个int；该类中有个几个静态变量，几个常量。

进一步优选的，还包括：对每个三方库人工设定一个唯一指纹，一般用字符串作为指纹，用以判断APP中是否包含该库。

进一步优选的，特征相似度达到预设阈值设置为95％。

进一步优选的，还包括：对某类中的变量，进行特征提取并识别，主要特征为：变量类型、变量修饰符、被自身类引用几次、被哪个函数引用；