Android 插件化VAHunt 检测插件化引擎的具体细节
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 插件化VAHunt 检测插件化引擎的具体细节相关的知识,希望对你有一定的参考价值。
文章目录
一、VAHunt 检测插件引擎具体细节
上图的执行顺序是 ⑤ -> ④ -> ③ -> ② -> ① ;
存在 2 2 2 个 Intent 对象 , StubIntent 是 “桩” 组件对应的 Intent 对象 , TargetIntent 是插件包中的 Intent 对象 ;
StubIntent 对应的组件需要欺骗 AMS , 因此该组件一定在 androidManifest.xml 中注册过 ;
如果找到了上述模式 , 可以反向查找找到对应的在 AndroidManifest.xml 清单文件中注册过的 “桩” 组件 ;
在 ① 中启动了 Activity 组件 ;
在 ② 中发现启动的组件 StubIntent 类型 来自内部封装的 TargetIntent 中 , 调用 setType / setClassName ( setComponent ) 设置启动的组件是插件组件 ;
一旦发现了上述模式 , 就直接根据执行路径 , 反向找到 ⑤ 中在 AndroidManifest.xml 中注册的组件信息 ;
插件组件可以以不同的方式存储 , 字符串 , 对象 , 特殊标识 等 ; 可以使用 setData , setDataAndType , putExtra 和 putExtras 等 API 设置插件组件信息 ;
查找 " 桩 " 组件 : 追踪 Intent 的 setComponent 或 setClassName 方法 , 这是最常用的为 Intent 设置组件的方法 , 如果参数不是直接的字符串和对象 , 而是调用的方法的返回值 , 那么分析该方法的调用链 , 一直找到最终设置的组件类型 ;
匹配 " 桩 " 组件 : 获取到 " 桩 " 组件 , 与 AndroidManifest.xml 清单文件中的组件进行对比 , 如果查到了相应的组件 , 则可以直接判定该应用是插件化应用 ;
以上是关于Android 插件化VAHunt 检测插件化引擎的具体细节的主要内容,如果未能解决你的问题,请参考以下文章
Android 插件化VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎
Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )
Android 插件化恶意软件判定规则 | 恶意软件的范围定义
Android 插件化使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中 )