主页 / 2023 KCon 大会 / 内窥镜-反混淆虚拟化加固的安卓程序
-
作者余帘,美团信息安全专家
-
简介
1、研究灵感
研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同,因为二者使用的加固混淆器、使用的指令集都不同,且移动端app涉及到程序与安卓框架和native接口的交互。因此,该研究放在“恶意软件”、“移动安全”方向较为合适。
2、该研究提出了什么新概念或方法?
针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序,分别提出较为可用的反混淆方案。业界对于虚拟化加固逆向的其他研究更多是针对PC端加壳器(VMProtect等),无法直接移植用于移动端的虚拟化加固,而本研究更专注于移动端的研究。
3、研究要点
虚拟化加固被移动恶意软件用作对抗逆向分析的技术,并且当前没有方便现成的工具和方法; 对于在开源虚拟机上执行的混淆后的代码,我们模拟虚拟机的执行流程,并经过“反汇编-重组AST-AST翻回源码”的流程,做了相应的demo,逆向出部分源码; 为逆向闭源虚拟化加固器所混淆的安卓程序,我们 准备原始和混淆后的程序样本,收集trace并从中定位出p-code分发和处理器,学习dalvik代码和native机器代码之间的映射关系,复原出与原始代码相似的代码。
4、解决什么问题
解决对于虚拟化加固的安卓程序,缺少现成的逆向工具和方法的问题。
-
援引https://paper.seebug.org/3014/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2016-09-08 11:43:32 -
2016-04-16 16:23:47 -
2017-12-27 09:31:38 -
2016-05-18 06:12:29
附件下载
-
内窥镜.反混淆虚拟化加固的安卓程序.更新.pdf