Android 插件化VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 插件化VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎相关的知识,希望对你有一定的参考价值。





一、VAHunt 引入



从应用开发者角度出发 , 保护自己开发的应用不被恶意开发者使用插件化虚拟引擎二次打包 , 并植入恶意代码插件 , 避免自己的应用运行在插件化引擎中 , 是很有必要的 ;

从应用市场角度出发 , 识别出基于插件化引擎的恶意软件 , 并避免恶意软件上架 , 是一项很重要的工作 ;

VAHunt 是用于对 APK 文件进行静态分析 , 可以识别出 使用了插件化引擎的 恶意应用 ;

GitHub : https://github.com/whucs303/VAHunt





二、VAHunt 原理



VAHunt 原理 :

使用 aapt 工具从 APK 文件中提取 androidManifest.xml 清单文件 , 从 AndroidManifest.xml 中可以提取应用中的组件信息 , 之后需要根据这些组件 , 查询是否有插件化引擎的特点 ;

使用 dexdump 工具反编译 Dex 字节码文件 , 获取 Smali 代码 , 如果有多个 Dex 文件 , 合并这些 Dex 文件 , 并使用 FlowDroid 为每个 APK 文件建立控制流图 ;

首先识别出该应用是否是插件化应用 , 然后识别该应用时良性应用 , 还是恶意应用 ;





三、识别插件化引擎



识别插件化引擎 :

插件化引擎特点参考 【Android 插件化】静态分析应用 APK 安装包是否使用了插件化引擎 ( 虚拟化引擎运行特点 | 恶意软件特点 ) 一、插件引擎运行特点 ;

之前已经记录了 AndroidManifest.xml 清单文件中的组件信息 , 如果该应用是插件化应用 , 那么假设这些组件都是占坑用的 “桩” 组件 , 用于欺骗 AMS 用的 ;

获取 Intent 操作 : 假设当前应用是插件化应用 , 那么启动插件化组件 , 需要先创建 Intent , 然后设置插件化信息到 extra 中 , 插件化一般是将 插件 Intent 放在该 Intent 的 数据中 , 提取该 Intent 操作的所有 API , 观察是否有设置插件组件信息 ;

Intent 状态转换 : 如果在一个 Intent 中 , 包含了另外一个 插件 Intent 或者插件信息 , 那么该 Intent 极有可能是一个插件 Intent ;

宿主应用 中 , 在主线程 启动 Activity , Intent 的目标对象是 “桩” 组件 , 将其传入 AMS , 欺骗 AMS , 然后从 AMS 切换到主线程后 , 将 Intent 中隐藏的插件 Intent 取出 , 创建该插件组件 , 并启动该组件 ;

以上是关于Android 插件化VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎的主要内容,如果未能解决你的问题,请参考以下文章

Android 插件化VAHunt 检测插件化引擎的具体细节

Android 插件化恶意软件判定规则 | 恶意软件的范围定义

Android 插件化"偷梁换柱"的高手-VirtualApk源码解析

Android 插件化"偷梁换柱"的高手-VirtualApk源码解析

Android 插件化插件化简介 ( 组件化与插件化 )

Android 插件化插件化简介 ( 组件化与插件化 )