[发明专利]一种安卓加固插件的逆向处理方法

说明书

本发明公开了一种安卓加固插件的逆向处理方法，包括如下步骤：对应用的可执行文件dex进行图谱化处理，生成dex文件的可视化图谱；获取虚拟机对Java类的类加载的关键函数，确定逆向插件的时间节点；对安卓系统的Dalvik虚拟机进行修改，将应用中所有的类一次性的进行类加载和初始化，将所有的类将解密并加载到内存中，收集内存中所有的类信息，将所有逆向后的类进行重新组合生成新的dex文件，由于在类初始化过程中会修改Java类在内存中的指令，在收集内存中的信息时进行修正，因此本发明提供的这种逆向处理方法可以获取大部分的加固插件源代码，并且自动化程度较高，以较小的性能开销为代价实现了针对安卓加固插件的逆向处理。

技术领域

本发明属于移动安全技术领域，更具体地，涉及一种安卓加固插件的逆向处理方法。

背景技术

作为移动互联网时代计算的主要载体，移动智能终端存储着更多的隐私数据，包括联系人信息、通话记录和地理位置信息等，更易产生安全问题，用户隐私数据泄漏可能带来灾难性的后果。

安卓(Android)应用基于Java语言开发，容易被恶意攻击者逆向，导致开发者辛苦开发的应用被恶意攻击者获取；有的恶意攻击者还会把逆向后的应用源代码植入恶意代码，导致重打包恶意应用盛行。安全厂商为了解决此类问题，提供了Android应用加固服务。然而，由于安全厂商通常没有对上传应用进行安全扫描，导致很多恶意攻击者将恶意应用进行加固，以逃避安全引擎的查杀。目前恶意攻击者采用更先进的技术是使用动态加载技术，延迟启动恶意代码，开启定时器，反射执行恶意代码。

为解决Android应用程序加固和动态加载技术所存在的安全问题，国内外的研究人员已经进行了一些探索与研究。DexHunter(Zhang Y,Luo X,Yin H.Dexhunter:Towardextracting hidden code from packed android applications.in:Proceedings of 20^thEuropean Symposium on Research in Computer Security.Vienna:Springer,2015.293-311.)从目前主流的加固服务商入手，提出了针对目前加固服务商的逆向处理方法，在应用加载进内存后，获取可执行文件在内存中的位置，遍历可执行文件中所有的Java类，对其进行主动的加载和初始化，再获取内存中的信息，此时得到的就是应用真实的指令，但该方法没有解决动态加载插件逆向问题。Poeplau S(Poeplau S,Fratantonio Y,Bianchi A,etal.Execute This！Analyzing Unsafe and Malicious Dynamic Code Loading inAndroid Applications.in:21st Annual Network and Distributed System SecuritySymposium.San Diego:ISOC,2014.34-46)系统性的分析了动态加载代码带来的安全性问题，采用静态分析工具自动发现动态加载的代码；对于良性应用可能被恶意攻击者利用漏洞加载恶意插件的问题，通过修改Android系统Framework层来动态加载代码的完整性校验；但该方法缺少实用性和完整性；综上所述，目前的方法主要是针对Android应用进行逆向，或者是对动态加载存在的安全问题提出解决方案；从实施的角度来看，已有的解决方案只是获取应用安装后优化后的odex文件，对于加固的插件则无法获取其源代码。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种安卓加固插件的逆向处理方法，其目的在于识别出未知恶意应用使用的加固方案，在触发插件安装时即可获取到插件，并对其进行逆向，以对插件进行源代码分析。