五分鐘技術(shù)趣談 | Android應(yīng)用加固的那點事

作者：蔣曉燕，單位：中國移動智慧家庭運營中心成都業(yè)務(wù)支持中心

隨著人們對智能手機依賴的程度越來越高，因智能手機軟件安全導(dǎo)致用戶信息泄露、財產(chǎn)損失事件頻發(fā)，人們開始越來越關(guān)注App安全這個領(lǐng)域。從開發(fā)的角度來講則是App源代碼安全問題，基于代碼審計層次的；從軟件保護角度來講app安全則是對源代碼的代碼混淆,資源加密，邏輯加固；從用戶的角度來講就是App本身的安全性，是否會對個人隱私財產(chǎn)造成損失。

Part 01●??為什么要進行加固？?●

Android操作系統(tǒng)全部開源，可以對Android應(yīng)用程序Apk進行解包，對DEX文件進行逆向工程，就可以獲取到原始的源代碼和應(yīng)用程序邏輯。通過逆向工程可以竊取應(yīng)用程序的核心代碼、攻破程序邏輯限制、篡改應(yīng)用程序或注入惡意代碼、嗅探應(yīng)用服務(wù)器API接口。

通過應(yīng)用加固可以增加軟件的逆向成本，保護軟件的利益不受損壞，保護軟件版權(quán)，防止應(yīng)用被破解，保護應(yīng)用程序的關(guān)鍵信息不被竊取。

Part 02●??Apk加固的原理?●

應(yīng)用程序Apk的關(guān)鍵信息都保存在DEX文件中，加固重點是保護DEX文件不被逆向。常用思路就是打包時使用私有算法改變DEX文件結(jié)構(gòu)，無法使用常規(guī)手段讀取DEX文件內(nèi)容；由于DEX文件結(jié)構(gòu)發(fā)生了變化，宿主機也無法讀取識別DEX文件，就需要應(yīng)用程序提供自定義的加載程序，完成DEX文件的解密與加載。

Apk加固后主DEX文件已經(jīng)是看不到原碼，這樣就達到了加固的效果，但是這樣做會導(dǎo)致主App的Application已經(jīng)是沒有效了，可以通過自定義Application生命周期里的創(chuàng)建函數(shù)attachBaseContext和onCreate函數(shù)，在attachBaseContext中將解密出來的DEX交給系統(tǒng)處理，onCreate的時候要將主App的Application創(chuàng)建出來，并替換系統(tǒng)中的Application引用，這樣就可以保證Activity順利加載執(zhí)行。

Part 03●? 加固發(fā)展過程?●

Apk加固技術(shù)，前后經(jīng)歷了四代技術(shù)變更，保護級別在每一代都有所提升。

3.1 第一代加固：動態(tài)加載

原理? 第一代加固技術(shù)用于保護應(yīng)用的邏輯不被逆向與分析，主要基于Java虛擬機提供的動態(tài)加載技術(shù)。開發(fā)階段中將程序切分成加載（Loader）與關(guān)鍵邏輯（Payload）兩部分，并分別打包；運行時加載部分（Loader）會先運行，釋放出關(guān)鍵邏輯（Payload），然后使用Java的動態(tài)加載技術(shù)進行加載，并轉(zhuǎn)交控制權(quán)。

缺陷：第一代加固技術(shù)的缺陷是動態(tài)加載機制要求其關(guān)鍵邏輯（Payload）部分必須解壓，并且釋放到文件系統(tǒng)，這就給了攻擊者機會去獲取對應(yīng)的文件。攻擊者可以通過自定義虛擬機，攔截動態(tài)加載機制所使用的關(guān)鍵函數(shù)，在這個函數(shù)內(nèi)部，復(fù)制文件系統(tǒng)中的關(guān)鍵邏輯（Payload）文件。

3.2 第二代加固：不落地加載

原理? 第二代加固技術(shù)主要為了解決解密后的Payload需要寫入文件系統(tǒng)被竊取的問題，由代碼接管Application對象的創(chuàng)建，主要流程：

1）Loader被系統(tǒng)加載。

2）系統(tǒng)初始化Loader內(nèi)的StubApplication。

3）StubApplication解密并且加載原始的DEX文件（Payload）。

4）StubApplication從原始的DEX文件（Payload）中找到原始的Application對象，創(chuàng)建并初始化。

5）借助Java反射機制，將系統(tǒng)內(nèi)所有對StubApplication對象的引用使用替換成原始Application。

6）由Android系統(tǒng)進行其他組件的正常生命周期管理。

缺陷：第二代加固技術(shù)不會將解密后的DEX存儲到文件系統(tǒng)，但是在應(yīng)用啟動時要處理大量的加解密加載操作，會造成應(yīng)用長時間假死（黑屏），用戶體驗差。相對于第一代技術(shù)沒有本質(zhì)區(qū)別，雖然能防止第一代加固技術(shù)文件必須落地被復(fù)制的缺陷，但是逆向工作者也可以從內(nèi)存中找到DEX文件，通過GDB等調(diào)試工具，相對于第一代加固提高了DEX獲取的成本。

3.3 第三代加固：指令抽離

原理? 由于前兩代加固技術(shù)均是對文件級別進行加密，DEX文件在內(nèi)存中的Payload是連續(xù)的，可以被攻擊者輕易獲取。第三代加固技術(shù)保護級別深入到了函數(shù)級別。發(fā)布階段將原始DEX內(nèi)的函數(shù)內(nèi)容（Code Item）清除，單獨寫入到一個文件中，App啟動后，在運行階段將函數(shù)內(nèi)容重新恢復(fù)到對應(yīng)的函數(shù)體。

缺陷：指令抽離技術(shù)使用了大量的虛擬內(nèi)部結(jié)構(gòu)與未被文檔公開的特性，再加上Android復(fù)雜的廠商定制，給DEX文件竊取帶來了很大的難度。但是指令抽離技術(shù)的某些方案與虛擬機的JIT性能優(yōu)化沖突，無法達到最佳的運行性能。攻擊者可以通過自定義Android虛擬機，在解釋器的代碼上記錄每一個函數(shù)的內(nèi)容（CodeItem），通過遍歷觸發(fā)所有函數(shù)，從而獲取到全部的函數(shù)內(nèi)容，最終重新組裝成一個完整的DEX文件。目前已經(jīng)有自動化工具可以指令抽離技術(shù)中脫殼。

3.4 第四代加固：指令轉(zhuǎn)換

原理? 第四代加固技術(shù)提供了函數(shù)級別的級別的保護，但是攻擊者借助Android虛擬機內(nèi)的解釋器執(zhí)行代碼，依然可以獲取到DEX文件，第四代加固技術(shù)使用自定義的的解釋器來替代標(biāo)準(zhǔn)解釋器，由于自定義的解釋器無法對Android系統(tǒng)內(nèi)的其他函數(shù)進行直接調(diào)用，必須使用JAVA的JNI接口進行調(diào)用。

缺陷：指令轉(zhuǎn)換技術(shù)必須通過虛擬機提供的JNI接口與虛擬機進行交互，攻擊者可以直接將指令轉(zhuǎn)換/VMP加固方案當(dāng)作黑盒，通過自定義的JNI接口對象，對黑盒內(nèi)部進行探測、記錄和分析，進而得到完整DEX程序。

3.5 下一代加固：虛擬機源碼保護

原理? 虛機源碼保護加固是用虛機技術(shù)保護所有的代碼，包括Java，Kotlin，C/C++，Objective-C，Swift等多種代碼，具備極高的兼容性；使App得到更高安全級別的保護，運行更加穩(wěn)定。虛機源碼保護在App內(nèi)部隔離出獨立的執(zhí)行環(huán)境，該核心代碼的運行程序在此獨立的執(zhí)行環(huán)境里運行。即便App本身被破解，這部分核心代碼仍然不可見。

虛機源碼保護擁有獨特的可變指令集，極大的提高了指令跟蹤、逆向分析的難度。同時，虛機源碼保護還提供了反調(diào)試能力和監(jiān)控能力。虛機源碼保護可以通過自身的探針感知到環(huán)境的變化，實時探測到外界對本環(huán)境的調(diào)試、注入等非正常執(zhí)行流程變化，將調(diào)試動作引入程序陷阱，并發(fā)出警報，進而進行實時更新，提高安全強度。虛機源碼保護加固作為當(dāng)前領(lǐng)先的加固技術(shù)，在未來很長一段時間，能夠為App提供足夠強度的保護。

Part 04●?結(jié)束語?●

Apk加固是一把雙刃劍，一方面可以保護App的核心代碼算法，提高破解/盜版/二次打包的難度，緩解通過代碼注入/動態(tài)調(diào)試/內(nèi)存注入等形式攻擊；另一方面加固是改變標(biāo)準(zhǔn)執(zhí)行流程，增加了許多防護機制，會影響兼容性，影響程序運行效率，增加App維護難度，部分應(yīng)用市場會拒絕加殼后的應(yīng)用上架。因此我們需要選擇一個平衡點，不要追求一味的安全，也不要過于開放，要保護好自身的數(shù)據(jù)與知識產(chǎn)權(quán)。

參考文獻

[1]?簡書：DEX文件格式淺析，https://www.jianshu.com/p/55e107acd202，2022年10月24日.

[2]? CSDN：Android APK加固原理，https://blog.csdn.net/kingwjh/article/details/128814421，2023年3月23日.