首  页 新闻中心 萍乡要闻 国际国内   萍乡宣传 专题报道 财经保险 科技文化   房  产 乡镇街 教  育
领  导 民声民情 社会新闻 农林水土   视  频 数 字 报 计生卫生 金 鳌 洲   汽  车 旅  游 娱  乐
  新闻、广告热线:7072859  投稿邮箱:592112994@qq.com
搜索:
您当前的位置 : 中国江西网首页  >  中国萍乡网  >  萍乡要闻
安源镇目鱼岭观光项目初具规模
2017-12-15 21:52:09  字体:   | 萍乡论坛 | 查看评论
来源:中国萍乡网-萍乡日报
新闻热线:0799-7072859 编辑:徐��
 

江西lasik准分子激光手术,

曾有一个吓人的数据:高达 99.99 %的安卓手机存在安全漏洞!

在 2016 年的XPwn 未来安全探索盛会上,一个黑客团队对国内 20 家银行提供给消费者的、基于安卓系统的 20 个手机银行 App 进行攻击,发现 17 家银行的 App 存在漏洞,消费者的手机一旦被黑,无论转账给“张三”还是“李四”,在输入正确账号与密码的情况下,钱最终都会转给“王五”。

只要你敢把自家的App 拿出来,北京娜迦信息科技发展有限公司 CTO、国内著名安全论坛“看雪学院”版主的阎文斌(玩命)就敢试一试,攻下你家看似严丝密合的“堡垒”。

阎文斌太了解 App 的薄弱地带了,正因为太了解攻击手段,所以他才想要研究如何给App穿上铠甲,走向明枪暗箭的战场 。

本期,雷锋网宅客频道邀请到阎文斌做一期线上硬创公开课,聊聊 Android 原生保护壳的原理与实现、流行趋势等。

嘉宾介绍

阎文斌,现任北京娜迦信息科技发展有限公司 CTO,同时身为国内著名安全论坛“看雪学院”版主,有深厚的安全领域背景,长期研究计算机病毒与软件保护技术,并深耕密码学研究领域。曾负责国家信息技术安全研究中心的多个网络安全相关项目,参与多家政府网站的风险评估工作。此外,阎文斌连续多年在XCon会议上进行安全演讲。

以下是公开课总结文实录+视频,在不妨碍原意的表达上,雷锋网编辑对该实录略有整理和修订:

我是北京娜迦信息的阎文斌,由于写保护壳是个完整的过程,首先就是要对目标文件格式的熟悉程度,这次公开课只有90分钟,我将大部分精力放到ELF文件结构科普的方面。其实只要弄明白文件格式,写保护壳是自然而然的一个过程。在课程中会讲到一些文件结构特性在保护中的利用。在课程中会结合娜迦产品的代码一同讲解。

本节课一共有四个部分,第一,我介绍一下当前流行的Android原生程序保护技术。第二,精讲一下ELF文件,ELF文件和实现保护壳有关。第三,Android系统,就是Linux如何加载一个so的过程,这个部分直接放原代码。第四,如何写一个软件保护壳,以我司产品为例。

我们当前流行的原生保护的技术大致有三种:第一种,直接对SO进行一个加密,第二种,自定义加载器加载,第三种,软件保护壳技术。

第一种就是直接加密文件的基础原理。很简单,很粗暴,没有什么技术含量,因为so文件是被dex文件通过loadlibrary之类的函数加载,所以直接对so文件加密后,把一些解密代码和密钥写到dex。

在这个地方对so进行解密,或者在其他地方都不限,只要在so加载之前,对它进行解密就行,实际上手法很多,最粗暴的就是直接写到代理里,这是一种最省事,但是最无耻的做法。稍微有良心一点,也可以hook掉dlopen类型的函数,即加载so类型的函数,在其中做一些解密操作,这是比较有良心的做法。

直接对so文件进行加密,dex代理启动后对so文件进行解密。这是一种粗暴并且带有欺骗性质的保护方式。这种类型太容易实现,没有什么技术含量,但是现在很多厂商在用。

无论你是自己模拟一个加载器,把so加载起来,还是做一个so保护壳,这两种方式都有技术成本,需要调试,很麻烦,但是上述那种没良心的操作很简单,但是它有一个好处——可以过检测。现在的检测机构对Android程序进行检测时,专门有一项就是对so进行检测,对so检测,其实很难分辨加了壳还是未加壳,只有一些硬性的标准来匹配。

比如,一个ELF文件被加壳后,其实还是一个ELF文件,它可以直接被单独调用,但是直接对文件加密之后,它不再是一个ELF文件,有一些自动保护系统、检测系统会发现你是有ELF文件的,然后它就会报可以被反汇编程序,所以我觉得这是带有欺骗性质的。

第二种就是自定义加载器的技术原理,这是现在几家做得不错的保护加工厂商使用的一种通用方式,它比加壳的实现难度低,这种技术能达到一定保护强度,原理就是模拟ELF文件的格式的加载方式。这种被保护的so程序,换成自己程序识别的文件格式,可以把so的符号表、重定位表等组成so的ELF的自段码都抽取出来,定义成自己的格式,只保留它的代码段,保存成一个文件,也可以把文件加密。随后hook掉dlopen和dlsym等函数,因为要对这两个函数做一些hook或者是劫持,无论是在哪一层做hook操作,做so都是JNI函数,当dex调动反调JNI函数时,会调用java里的loadlibray,直接调用C语言的dlopen,然后又把dlopen做了,所以就在这个hook操作里,你会实现自己的加载操作,把自己的格式加载起来。

另外,hookdlsym是因为当dex获取历程的,或者是有一些写程序的人直接自己使用dlsym,自己dlopne自己的so,有一些这样的实现,所以必须hook到dlsym,因为它本身已经不是一个ELF文件,所以需要实现一套自己寻找符号的这么一个流程,这是基本原理。这种原理实现起来简单,因为Android是开源的,直接可以把它的Link扒出来,在上面进行修改,修改成什么都可以,然后包含到自己的程序里。

第三种技术就是软件保护壳技术,这种是比较正统的软件保护技术,很早就有。它的原理是:壳代码像病毒一样附着到文件上,并且加密文件代码,修订入口点,然后到保护壳时,优先起动的就是保护壳代码。程序起动后,首先跳入到保护壳程序中,这里你就可以做任何操作了,如:加解密操作,包括一些反调操作等,最后壳持续解密目标代码,并且跳入到目标代码中。它的基本原理是这样,如果只做加解密操作,这种壳的保护强度还是很低。在Windows保护时代,就有很多很多很牛逼的壳,用了很多技术,不光对壳本身做加解密操作,因为这个壳的引导段仅起到引导作用,但是其真正的保护代码和目标代码是混合到一起的。

ELF文件是什么?

我们写Android程序时,有两部分,一部分是dex文件,一部分是so文件,dex文件本身就是用java写的,就是把java代码,编译成Dalvik虚拟机的代码,承载Dalvik虚拟机本身的这个东西,就是一个文件格式,是谷歌自己实现的,称为dex。ELF文件就是用C写的这部分,编译出来是so文件,这部分遵从一个开放性协议的标准,这个标准就是ELF。它是一个工业标准,基本在所有poxis标准上都进行了实现,只要是覆盖这个标准的操作系统,都用ELF作为API文件的接口,这就是ELF的介绍,如果你想写一个软件保护壳,必须对其结构非常了解。

接着讲ELF的文件格式。有六个章节,第一,简单介绍ELF,第二,整体结构的介绍,第三,讲一下头,第四,节表的作用,第五,段表,第六,动态段。

我要用到这三个工具来工具来辅助,readelf的作用是对ELF文件格式进行解析,因为它是一个格式浏览器。objdump对目标进行反汇编操作,hexdump对目标二进制代码进行观察。

ELF的基本介绍摘自百度百科:在计算机科学中,是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件。是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式。

那我们现在就做一些实验(雷锋网编者注:涉及到视频演示,以下部分不做整理,读者请结合PPT自行看视频)。

直播视频

   
我来说两句:
[ 网友留言只代表个人观点,不代表本网立场 ] 昵称:     
 
 热点图片
新城区一景 情暖孤寡老人
"兵妈妈"送新兵 漫画达人侯玉良
 点击排行
?习近平点赞的优秀党员
?“全国手机媒体看江西”活动走进武功山
?市国税局 市地税局联合举行新闻发布会...
?我市作者黄宜辉连获�w光明日报》原创...
?向萍乡好人致敬,为萍乡好人投票 4月...
?武功山马拉松5月15日开跑
?“数额较大”如何起步?“死刑立即执...
?习近平就日本熊本县强烈地震向日本天...
 萍乡要闻 更多
?李小豹调研督导安全生产工作
?梅仕灿到我市反腐败协调小组成员单位调研
?杨宣公路建设工作推进会召开
?姚虎到挂点联系企业走访
?今春起全市公办普通高中免学费
?(网络中国节)中国?芦溪第六届灯彩艺...
 网友活动  
网友赏映山红活动精彩瞬间
“万龙松针杯”第二届网友采茶对歌活动
“广寒寨三通电线杯 ”网友赏映山红活动
“追寻――重走秋收起义之旅”大型主题活动圆满结束(多图)
[视频]白源街首届粽子文化节
周洛漂流第二季(视频)
网友温盘村摘菜活动(视频)
 民声民情  
?麓林湖养生公馆门卫特么牛逼,竟然限制参观者人身自由!你不怕?
?私人停车场合法吗?
?[投诉]V3国际空中游泳健身会所言行不一
?[投诉]外地办理无犯罪记录证明咋这么难
?山口岩水库野泳现象好转 仍有个别市民不配合
?丁家冲居民告别“摸黑路”
?大树倾斜存隐患 老站社区组织清理
关于我们 联系我们 萍乡日报社
Copyright 2003-2015 www.pxnews.cn All Rights Reserved
主管:中共萍乡市委宣传部 主办:萍乡市人民政府新闻办公室 萍乡日报社
赣ICP备05010164-1号 萍乡日报社?中国萍乡网 版权所有,未经允许不得复制或镜像