内窥镜: 反混淆虚拟化加固的安卓程序

余帘，美团信息安全专家。

团队介绍：美团信息安全部，肩负统筹与负责美团线上安全与平台治理的重要职责。随着业务升级与拓展，我们拥有诸多全球化安全与风控领域人才、依托前瞻的安全技术视野、创新的机器学习技术、领先的产品运营体系，构建全方位、多维度的智能防御体系，为美团业务生态链上亿万C端、B端用户的安全提供有力保障。

（1）研究灵感

研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同，因为二者使用的加固混淆器、使用的指令集都不同，且移动端app涉及到程序与安卓框架和native接口的交互。因此，该研究放在“恶意软件”、“移动安全”方向较为合适。

（2）该研究提出了什么新概念或方法？

针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序，分别提出较为可用的反混淆方案。业界对于虚拟化加固逆向的其他研究更多是针对PC端加壳器(VMProtect等)，无法直接移植用于移动端的虚拟化加固，而本研究更专注于移动端的研究。

（3）研究要点

• 虚拟化加固被移动恶意软件用作对抗逆向分析的技术，并且当前没有方便现成的工具和方法；

• 对于在开源虚拟机上执行的混淆后的代码，我们模拟虚拟机的执行流程，并经过“反汇编-重组AST-AST翻回源码”的流程，做了相应的demo，逆向出部分源码；

• 为逆向闭源虚拟化加固器所混淆的安卓程序，我们 准备原始和混淆后的程序样本，收集trace并从中定位出p-code分发和处理器，学习dalvik代码和native机器代码之间的映射关系，复原出与原始代码相似的代码。
  

（4）解决什么问题

解决对于虚拟化加固的安卓程序，缺少现成的逆向工具和方法的问题。

2023年8月20日 13:40-14:10

本届KCon大会为线下会议，无线上视频直播，敬请知悉！购票方式如下：

点击阅读原文

立即购票