立即注册 登录
一牛网 返回首页

御安全的个人空间 http://bbs.16rd.com/?32997 [收藏] [复制] [RSS]

日志

【android开发代码保护】ARM平台代码保护之虚拟化

热度 8已有 2992 次阅读2016-6-13 18:59 |系统分类:移动应用开发| 腾讯御安全

背景:现在由于手机APP安全性缺乏导致用户敏感数据泄露的例子越来越多,APP开发者应该从开发阶段到运营阶段都关注APP安全防护问题,无论是漏洞还是病毒等等。今日分享一个与App安全相关的技术之一&nBSP—— 代码保护之虚拟化。

 

1.1什么是代码虚拟化?

  我们知道程序的执行,是依靠CPU对于符合规范的指令集的解析处理。如果将原指令集通过自定义规范进行变形处理,生成新的指令集(称之为虚拟指令集),CPU将无法识别虚拟指令。此时若配合能够解析虚拟指令集的解释器(称之为虚拟机),就可以达到不直接通过CPU而是通过虚拟机来执行虚拟指令。这个过程就叫做代码的虚拟化。

 

1.2为何将代码虚拟化?

  为了避免App资源被窃取、网络协议被破解、游戏被外挂摧毁等情况出现,越来越多的开发者不得不投入更多的时间和精力来考虑代码安全问题。但在移动平台上,攻和防却是不对等的,攻击者往往比防御者拥有更高级别的权限。随着技术材料的普及,使得移动平台的逆向分析变得容易,也有众多安全高手推出了很多加壳产品,虽说加壳以后对抗静态分析会有不错的效果,可是运行后会在内存里暴露原本的代码,从而使得攻击者抓住窗口期dump内存,再进行必要的修复,即可在IDA里面进行阅读分析。 将代码虚拟化后,可防止上述情况的发生,即使被dumpIDA也无法阅读被虚拟化的代码,因为程序运行时并不会将虚拟指令集还原为原生指令集。所以攻击者只能转而去分析逻辑复杂性极高的虚拟机。这样大大地增加了代码分析的难度和所需要的时间,若配合混淆等手段,相信绝大部分攻击者会望而却步。

  当然,为了相对的安全也会付出相对的损失。虚拟指令集的执行效率会比原生指令集稍低一些,所以被虚拟化保护的代码往往都是最关键最核心的部分。

 

1.3如何将代码虚拟化?

  基于上述理论,我们发现有最关键的两个部分是必需的,一是新的指令集,二是虚拟机。对于新的指令集,我们可以暂且将一些带有opcode的指令进行变形,生成的数据直接回填回原文件。将文件拖进IDA后会发现指令已经错乱,达到抵抗静态分析的目的。 此时若运行程序,会发生crash,因为还缺了虚拟机。为什么叫虚拟机?因为需要模拟出当前代码运行所需要的环境,包括寄存器、堆栈等。将所需的虚拟环境初始化后,解析执行虚拟指令,同时注意保护和恢复现场。

 

1.4如何使用相关的加固技术?

  市面上已有的加固产品如腾讯御安全,已经实现了arm平台的代码虚拟化保护功能,并综合了安卓加密压缩壳、安卓apk代码混淆等主流功能,对于动静态分析有着较强的防御能力。同时,应用安全加固服务完全基于二进制文件操作,无需移动应用开发者提供源代码

2

路过

鸡蛋

鲜花

握手

雷人

刚表态过的朋友 (2 人)

发表评论 评论 (5 个评论)

回复 lz_kwok 2016-11-13 08:37
好牛叉!
回复 Mr刘 2016-11-15 11:18
专业开发硬件,软件,手机APP,云服务,研发工程师有300多名。希望有合作的机会,联系电话:181-3829-8019  QQ:2992127947  刘经理       
回复 lianyanjue 2017-9-30 11:12
感觉好多东西啊。。。
回复 gb357435737 2018-1-11 09:35
好东西,学习了,谢谢
回复 xiaojifen 2019-3-5 13:59
挤挤学习

facelist

您需要登录后才可以评论 登录 | 立即注册

联系我们|小黑屋