對于未進行保護的android應用,有很多方法和思路對其進行逆向分析和攻擊。使用一些基本的方法,就可以打破對應用安全非常重要的機密性和完整性,實作擷取其内部代碼、資料,修改其代碼邏輯和機制等操作。這篇文章主要介紹一些基本的應用逆向和分析方法,示範android應用的代碼機密性和完整性是如何被破壞,進而被應用攻擊者所用的。
在dalvik層代碼的分析中,(一般情況下,對于未進行防護的應用)在dalvik層,我們隻關心classes.dex的逆向分析。
classes.dex是apk運作時的代碼,是由源代碼編譯成的可以在dalvik上運作的代碼。dalvik虛拟機類似java虛拟機,是以可以用類似java的class檔案的反編譯方法,反編譯classes.dex為java代碼。對于未被保護的應用,可以用此方法還原出大部分代碼。
整個過程中,涉及的代碼形式如下:
· 1.dex檔案,apk的可執行檔案。
· 2.smali檔案,dalvik vm内部執行的代碼。
· 3.jar檔案和java檔案,根據dex檔案轉換成的java代碼檔案.。
用到的工具介紹:
· 1.smali/baksmali :dex可執行檔案向smali位元組碼檔案互相轉換的工具,轉換的過程不丢失資訊。
· 2.dex2jar:dex檔案轉化成java的jar檔案的工具。因為dalvik虛拟機和java虛拟機的差異,轉換無法做到一一對應,會有資訊丢失和代碼的錯誤。(該工具是整個源碼逆向中非常有意義的一步 )。
· 3.jd/jd-gui:java的jar檔案反編譯工具。
· 4.apk改之理(apkide):windows平台下一個內建了上述工具的有gui的平台。
最終生成的java源碼形式如圖。此時dalvik層源碼的逆向已經完成,可以對應用進行進一步的準源碼級别的分析。
dalvik層的代碼篡改主要發生在smali檔案上。反編譯出的java代碼雖然易讀,但已經丢失了部分資訊,同時可能存在若幹錯誤,基本上沒辦法再編譯回可執行檔案。同時dex二進制檔案不具備可讀性。是以一般情況下,隻能在smali中的代碼上進行修改,重新打包生成apk。
代碼層的篡改,可以修改應用的邏輯流程,插入惡意代碼、繞過關鍵的安全流程(注冊、驗證、付款),列印敏感資料等。篡改代碼、重打包技術一般應用在破解軟體的注冊驗證機制(ad block破解注冊,海卓破廣告vip,miui收費主題破解),修改遊戲的規則(微信飛機大戰破解),應用的敏感api調用的監控(apimonitor,通過android重打包加強apk攔截軟體行為)。
dalvik層代碼篡改的使用的一個比較著名的例子是:apimonitor。
apimonitor的工作原理是,反編譯apk檔案,周遊smali代碼,搜尋配置檔案中配置的需要監控的api,如果找到一個api的調用,則分析其參數,然後調用droidbox包空間下對應的類的靜态函數。這些靜态函數實作都是解析參數,列印輸出log資訊。處理完畢後,重新編譯生成apk。
samli代碼的篡改需要重新打包,新的包的簽名和檔案校驗都和原有的包不同,可以被應用内的完整性檢查子產品識别,進而限制進一步的操作。解決這個問題的一個方法是,可以通過把自定義代碼注入到應用的程序空間,實時的代碼hook,不修改代碼,實作對應用的代碼邏輯的修改。
可以實作上述功能的的架構工具是xposed,和cyida substrate。xposed應用相對廣泛。xposed的原理可以參考之前分享的文檔《xposed原理及實作》。
xposed的應用比較有名的兩個例子分别是
1.zjdroid,通過hook系統挂載dex檔案的函數,自動化脫掉大部分android的加密殼。
2.xprivicy,通過hook大部分隐私函數的調用,監控或者阻斷應用對隐私api的調用。
dalvik層代碼的hook會在第三篇文章中詳細介紹。
本地.so檔案一般提供敏感函數的封裝。對于未被保護的.so檔案,可以通過ida進行靜态分析和動态挂載調試。so檔案的分析會在第四篇文章中詳細介紹。