200 多家明星企业,20 位著名投资机构顶级投资人共同参与!「新智造成长榜」致力于发掘 AI 领域有 “三年十倍” 成长潜力的创新公司,下一波 AI 独角兽,会有你么?点击阅读原文了解详情!
曾有一个吓人的数据:高达 99.99 % 的安卓手机存在安全漏洞!
在 2016 年的 XPwn 未来安全探索盛会上,一个黑客团队对国内 20 家银行提供给消费者的、基于安卓系统的 20 个手机银行 App 进行攻击,发现 17 家银行的 App 存在漏洞,消费者的手机一旦被黑,无论转账给 “张三” 还是 “李四”,在输入正确账号与密码的情况下,钱最终都会转给 “王五”。
只要你敢把自家的 App 拿出来,北京娜迦信息科技发展有限公司 CTO、国内著名安全论坛 “看雪学院” 版主的阎文斌(玩命)就敢试一试,攻下你家看似严丝密合的 “堡垒”。
阎文斌太了解 App 的薄弱地带了,正因为太了解攻击手段,所以他才想要研究如何给 App 穿上铠甲,走向明枪暗箭的战场 。
本期,雷锋网宅客频道邀请到阎文斌做一期线上硬创公开课,聊聊 Android 原生保护壳的原理与实现、流行趋势等。
嘉宾介绍
阎文斌,现任北京娜迦信息科技发展有限公司 CTO,同时身为国内著名安全论坛 “看雪学院” 版主,有深厚的安全领域背景,长期研究计算机病毒与软件保护技术,并深耕密码学研究领域。曾负责国家信息技术安全研究中心的多个网络安全相关项目,参与多家政府网站的风险评估工作。此外,阎文斌连续多年在 XCon 会议上进行安全演讲。
以下是公开课总结文实录 + 视频,在不妨碍原意的表达上,雷锋网编辑对该实录略有整理和修订:
我是北京娜迦信息的阎文斌,由于写保护壳是个完整的过程,首先就是要对目标文件格式的熟悉程度,这次公开课只有 90 分钟,我将大部分精力放到 ELF 文件结构科普的方面。其实只要弄明白文件格式,写保护壳是自然而然的一个过程。在课程中会讲到一些文件结构特性在保护中的利用。在课程中会结合娜迦产品的代码一同讲解。
本节课一共有四个部分,第一,我介绍一下当前流行的 Android 原生程序保护技术。第二,精讲一下 ELF 文件,ELF 文件和实现保护壳有关。第三,Android 系统,就是 Linux 如何加载一个 so 的过程,这个部分直接放原代码。第四,如何写一个软件保护壳,以我司产品为例。
我们当前流行的原生保护的技术大致有三种:第一种,直接对 SO 进行一个加密,第二种,自定义加载器加载,第三种,软件保护壳技术。
第一种就是直接加密文件的基础原理。很简单,很粗暴,没有什么技术含量,因为 so 文件是被 dex 文件通过 load library 之类的函数加载,所以直接对 so 文件加密后,把一些解密代码和密钥写到 dex。
在这个地方对 so 进行解密,或者在其他地方都不限,只要在 so 加载之前,对它进行解密就行,实际上手法很多,最粗暴的就是直接写到代理里,这是一种最省事,但是最无耻的做法。稍微有良心一点,也可以 hook 掉 dlopen 类型的函数,即加载 so 类型的函数,在其中做一些解密操作,这是比较有良心的做法。
直接对 so 文件进行加密,dex 代理启动后对 so 文件进行解密。这是一种粗暴并且带有欺骗性质的保护方式。这种类型太容易实现,没有什么技术含量,但是现在很多厂商在用。
无论你是自己模拟一个加载器,把 so 加载起来,还是做一个 so 保护壳,这两种方式都有技术成本,需要调试,很麻烦,但是上述那种没良心的操作很简单,但是它有一个好处——可以过检测。现在的检测机构对 Android 程序进行检测时,专门有一项就是对 so 进行检测,对 so 检测,其实很难分辨加了壳还是未加壳,只有一些硬性的标准来匹配。
比如,一个 ELF 文件被加壳后,其实还是一个 ELF 文件,它可以直接被单独调用,但是直接对文件加密之后,它不再是一个 ELF 文件,有一些自动保护系统、检测系统会发现你是有 ELF 文件的,然后它就会报可以被反汇编程序,所以我觉得这是带有欺骗性质的。
第二种就是自定义加载器的技术原理,这是现在几家做得不错的保护加工厂商使用的一种通用方式,它比加壳的实现难度低,这种技术能达到一定保护强度,原理就是模拟 ELF 文件的格式的加载方式。这种被保护的 so 程序,换成自己程序识别的文件格式,可以把 so 的符号表、重定位表等组成 so 的 ELF 的自段码都抽取出来,定义成自己的格式,只保留它的代码段,保存成一个文件,也可以把文件加密。随后 hook 掉 dlopen 和 dlsym 等函数,因为要对这两个函数做一些 hook 或者是劫持,无论是在哪一层做 hook 操作,做 so 都是 JNI 函数,当 dex 调动反调 JNI 函数时,会调用 java 里的 load libray,直接调用 C 语言的 dlopen,然后又把 dlopen 做了,所以就在这个 hook 操作里,你会实现自己的加载操作,把自己的格式加载起来。
另外,hook dlsym 是因为当 dex 获取历程的,或者是有一些写程序的人直接自己使用 dlsym,自己 dlopne 自己的 so,有一些这样的实现,所以必须 hook 到 dlsym,因为它本身已经不是一个 ELF 文件,所以需要实现一套自己寻找符号的这么一个流程,这是基本原理。这种原理实现起来简单,因为 Android 是开源的,直接可以把它的 Link 扒出来,在上面进行修改,修改成什么都可以,然后包含到自己的程序里。
第三种技术就是软件保护壳技术,这种是比较正统的软件保护技术,很早就有。它的原理是:壳代码像病毒一样附着到文件上,并且加密文件代码,修订入口点,然后到保护壳时,优先起动的就是保护壳代码。程序起动后,首先跳入到保护壳程序中,这里你就可以做任何操作了,如:加解密操作,包括一些反调操作等,最后壳持续解密目标代码,并且跳入到目标代码中。它的基本原理是这样,如果只做加解密操作,这种壳的保护强度还是很低。在 Windows 保护时代,就有很多很多很牛逼的壳,用了很多技术,不光对壳本身做加解密操作,因为这个壳的引导段仅起到引导作用,但是其真正的保护代码和目标代码是混合到一起的。
ELF 文件是什么?
我们写 Android 程序时,有两部分,一部分是 dex 文件,一部分是 so 文件,dex 文件本身就是用 java 写的,就是把 java 代码,编译成 Dalvik 虚拟机的代码,承载 Dalvik 虚拟机本身的这个东西,就是一个文件格式,是谷歌自己实现的,称为 dex。ELF 文件就是用 C 写的这部分,编译出来是 so 文件,这部分遵从一个开放性协议的标准,这个标准就是 ELF。它是一个工业标准,基本在所有 poxis 标准上都进行了实现,只要是覆盖这个标准的操作系统,都用 ELF 作为 API 文件的接口,这就是 ELF 的介绍,如果你想写一个软件保护壳,必须对其结构非常了解。
接着讲 ELF 的文件格式。有六个章节,第一,简单介绍 ELF,第二,整体结构的介绍,第三,讲一下头,第四,节表的作用,第五,段表,第六,动态段。
我要用到这三个工具来工具来辅助,readelf 的作用是对 ELF 文件格式进行解析,因为它是一个格式浏览器。objdump 对目标进行反汇编 操作,hexdump 对目标二进制代码进行观察。
ELF 的基本介绍摘自百度百科:在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。是 UNIX 系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是 Linux 的主要可执行文件格式。
那我们现在就做一些实验(雷锋网 (公众号:雷锋网) 编者注:涉及到视频演示,以下部分不做整理,读者请结合 PPT 自行看视频)。
直播视频
