主页 / 2023 KCon 大会 / 内窥镜-反混淆虚拟化加固的安卓程序
  • 作者
    余帘,美团信息安全专家
  • 简介

    1、研究灵感

    研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同,因为二者使用的加固混淆器、使用的指令集都不同,且移动端app涉及到程序与安卓框架和native接口的交互。因此,该研究放在“恶意软件”、“移动安全”方向较为合适。

    2、该研究提出了什么新概念或方法?

    针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序,分别提出较为可用的反混淆方案。业界对于虚拟化加固逆向的其他研究更多是针对PC端加壳器(VMProtect等),无法直接移植用于移动端的虚拟化加固,而本研究更专注于移动端的研究。

    3、研究要点

    虚拟化加固被移动恶意软件用作对抗逆向分析的技术,并且当前没有方便现成的工具和方法; 对于在开源虚拟机上执行的混淆后的代码,我们模拟虚拟机的执行流程,并经过“反汇编-重组AST-AST翻回源码”的流程,做了相应的demo,逆向出部分源码; 为逆向闭源虚拟化加固器所混淆的安卓程序,我们 准备原始和混淆后的程序样本,收集trace并从中定位出p-code分发和处理器,学习dalvik代码和native机器代码之间的映射关系,复原出与原始代码相似的代码。

    4、解决什么问题

    解决对于虚拟化加固的安卓程序,缺少现成的逆向工具和方法的问题。

  • 援引
    https://paper.seebug.org/3014/
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
附件下载
  • 内窥镜.反混淆虚拟化加固的安卓程序.更新.pdf
    时间: 大小: 8.0 M 下载: 38