[发明专利]一种安卓脱壳加速方法、装置、存储介质及计算机设备

说明书

本发明实施例提供了一种安卓脱壳加速方法、装置、存储介质及计算机设备。选择函数到达路径并选择脱壳点，基于过滤机制对调用方法进行精准化调用，利用调用方法在JNI层完成JAVA层函数的虚拟调用，对Dex文件进行修复实现了在复杂多变的源码环境下寻找到一个较为通用的脱壳点，并使用构造虚拟参数并进行调用的方式去加载Dex文件中所有的类，通过添加类白名单文件的方式解决脱壳过程中调用所有类方法所带来的时间消耗，过滤掉一些不必要加载的类从而加速逆向安全分析效率，以尽可能的低成本去修改，最好使用安卓系统开发中本身存在的方法或类，避免多安装新的模块和单元使得安卓脱壳更加简便快捷。

【技术领域】

本发明涉及安卓加固逆向分析领域，尤其涉及一种安卓脱壳加速方法、装置、存储介质及计算机设备。

【背景技术】

第一代Android加固技术用于保护应用的逻辑不被逆向与分析，最早普遍在恶意软件中使用，其主要基于Java虚拟机提供的动态加载技术。相对第一代加固技术，第二代加固技术在安卓应用程序包文件Apk(Android Package，简称Apk)修改方面已经完善，能做到对开发的零干扰。开发过程中不需要对应用做任何特殊处理，仅需要在最终发布前进行保护即可。而为了实现这个零干扰的流程，保护者需要处理好Android的组件的生命周期。由于第二代加固技术仅仅对文件级别进行加密，其带来的问题是内存中的载荷是连续的，可以被攻击者轻易获取。第三代加固技术对这部分进行了改进，将保护级别降到了函数级别。第三代加固技术强调函数级别的保护，使用虚拟机内的解释器执行代码，不过存在可能被记录的缺陷。第四代加固技术则使用自定义的解释器来避免第三代的缺陷，而自定义的解释器无法对Android系统内的其他函数进行直接调用，必须使用Java的本地接口(JavaNative Interface,简称JNI)接口进行调用。根据以上内容，Android加固技术前后经历了四代技术变更，保护级别在每一代都有所提升，但其固有的安全缺陷和兼容性问题始终未能得到解决。

加固Android应用程序的脱壳技术已经引起了业界的极大关注。研究脱壳技术是Android移动终端安全的首要防线，这样才能在保护日常应用程序的同时也能够防止恶意程序利用加固技术逃避检测去危害网络生态。因此国内外众多的研究人员为加固技术的发展做出了不可磨灭的贡献。

有不少技术研究者在一些会议上演示了手工脱壳应用程序的结果。如Strazzere和Sawyer等人报告了他们的工具Android-unpacker，破解了包括APKProtect、Bangcle、360Mobile和LIAPP在内的四家公司。

往后的研究者们意识到问题根源后也开始纷纷将目光转向脱壳领域。由百度发布的ZjDroid依赖于Xposed并在运行时通过它挂载到BaseDexClassLoader来定位dex文件以获得DexOrJar。

Kang等人提出的Renovo，这个系统考虑到原始代码应该存在于内存中，并在运行时的某个时刻会解密执行。因此Renovo会在运行时监视程序执行和内存写。如果正在执行的代码是新生成的，它就会提取可执行文件的隐藏代码，从而完成脱壳。Fanglu Guo等人提出的Justin采用了脏页执行、内存避免脱壳、堆栈指针检查和命令行参数访问等启发式方法来强化对解包结束的检测。

AppSpear搜集内存中的运行时Dalvik数据结构(Dalvik Data Structure，简称DDS)来重新组装一个正常的Dex文件。一般而言，一个应用程序只能通过某些固定的系统服务完成转换。因此，AppSpear就选择通过监控某些JNI接口并确定何时开始收集Dalvik数据结构。其次，无论加固厂商加密原始数据有多复杂，Dalvik都很少修改原始字节码的语义。Dex加载过程结束后，从DDS中就可观察到原App的字节码的准确内容。最后取出anti-analysis代码并进一步综合Dex文件、清单文件和其他资源文件然后重打包并进行解包分析。