浅谈android代码保护技术_加固
导语
我们知道Android中的反编译工作越来越让人操作熟练,我们辛苦的开发出一个apk,结果被人反编译了,那心情真心不舒服。虽然我们混淆,做到native层,但是这都是治标不治本。反编译的技术在更新,那么保护Apk的技术就不能停止。现在网上有很多Apk加固的第三方平台,最有名的应当属于:爱加密和梆梆加固了。其实加固有些人认为很高深的技术,其实不然,说的简单点就是对源Apk进行加密,然后在套上一层壳即可,当然这里还有一些细节需要处理,这就是本文需要介绍的内容了。
类装载器ClassLoader
Java中.class 文件类似于我们的windows 的DLL或者Linux下的.SO 文件,在Winodows 下我们使用DLL的服务,我们必须使用使用LoadLibaray函数加载它。同理在java中我们要使用.class
中的的类,我们必须使用类加载器加载后,才能使用。在android中我们如果提供一个DexClassLoader(继承 ClassLoader), 这个DexClassLoader 可以用来加载.jar, .apk, .class 文件。可
以在android源码中找到这个类的实现:
关于的DexClassLoader使用,DexClassLoader 只有一个构造函数,如下。 这里我们特别关注的是ClassLoader parent. 关于ClassLoader 有一个特性:子ClassLoader加载过的类
可以访问/使用 父ClassLoader加载过的类, 而父ClassLoader加载过的类不可以访问父 ClassLoader。对于这个值我们一般获取当前的加载器器,当前的加载器。
类装载器的替换
如何替换原来的ClassLoader, 关于为什么要替换原始ClassLoader,笔者在一个简单加固案例会阐述的。
1.在Android源码 搜索关于ClassLoader 的引用, 由于Android源码中ClassLoade应用特别多,搜索应用仅限Java 源码
2.在众多引用有一个类LoadedApk, 于是查看觉得 这就是我们想要的类
从类作用描述可知这个类,是用来维护已加载的APK的信息, 并且里面有两个类加载器,mBaseClassLoader, 和mClassLoader. 显然我们我想要的是mClassLoader , 要想获得mClassLoader, 我们必须先获取LoadedApk 对象
3.在Android源码 搜索关于LoadedApk的引用, 由于Android源码中LoadedApk应用特别多,搜索应用仅限Java 源码; 在众多引用有一个类ActivityThread, 从类作用描述看,是我们要找的类
从类的描述可知,这个类是用于来调度Activity.Bradcast,Severices 等组件的, 并且在这个类中找到一个静态函数。获取当前activity的ActivityThread 对象
总结:
* 1. 反射 调用这个函数 ActivityThread.currentActivityThread 拿到一个当前ActivityThread对象
* 2. 反射获取 ActivityThread对象的 final HashMap<String, WeakReference<LoadedApk>> mPackages 成员
* 3. 从mPackages获取已在加载的 LoadedApk 对象
* 4. 反射获取LoadedApk 对象 的 LoadedApk.mClassLoader成员
* 5. 用新的ClassLoaded 替换原来的mClassLoader
代码如下:
Android加固简史
版本一:
加固方案
1.源APK文件存放壳APK的资源目录asset下
2.使用DexClassLoader 动态加载APK,并运行
1.重写Application, 默认情况一个android 应用程序启动一个默认的Application 对象, 由于我们加固工具需要替换加固的的程序,我们必须在加固程序的Activity前动态加载我们APK。
我们可以选择重写Application 的虚函数 attachBaseContext 或者onCreate. 笔者选择在attachBaseContext 加载我们的原APK,并启动它
2.释放资源中源APK 到目标目录下(init函数)
3. 我们启动一个动态一个android应用程序程序,通常我们需要在某个组件使用意图Intent 启动, 我们学习开发的时候,我们知道Intent 是两个组件通信的的关键,如果我们要启动android程序,我们必须有一个组件,所以启动代码在加固的工具的Activity。 代码如下:
分析以上代码 Class clsDestActivity = dexClsLoader.loadClass("cr.dest.DestActivity"); 这句代码返回值为null的,为什么会这样, 这是因为我们的当前ClassLoader 并不能加载源APK中类。
所以我们必须替换ClassLoader.
4. 新建一个DexClassLoader , 并且替换员ClassLoader. 关于替换ClassLoader 请参考上.
5. 资源如何替换
方案一:直接替换(手工替换)
方案二:代码替换
6. 如果员APK中lib有SO文件, 需要释放到指定目录下, 代码如下:
加固版本一原理:
1.由第一个版本,我们知道DexClassLoader可以实现, 于是笔者根据去看DexClassLoader的实现,
再进基类BaseDexClassLoader的构造函数
在进DexPathList 的构造函数
在进makeDexElements函数
在进makeDexElements函数
代码行为分析
a) 具体加载DexFile 还是使用loadDex 文件进行的, 并且loadDex是个静态函数,猜想DexFile 可能除
在进loadDex函数
在进DexFile构造函数
发现我们使用了openDexFile , 这是我们最
进入Native层看openDexFile 的实现代码
发现调用核心函数addToDexFileTable, 再进
行为分析结果:
2.我们在从使用代码, ClassLoader的loadClass分析函数
再进
再进
再进:
再进Native 的实现层:
原理总结:
1. DexClassLoader 构造函数就通过遍历.APK, .JAR包所有的dex,class 文件,依次通过DexFile的openDexFile, 把DexFile的dex文件中添加到一张表中(Hash表)
2. 然后通过 DexClassLoader的loadClass 函数去加载类
版本一评价:
致命缺陷: 直接暴露文件路径,在新建DexClassLoader类的时候,我们发现需要指定解压好的APK地址。
版本二:
我们知道加固版本一的缺陷在于需要指APK文件路径。 为了更隐蔽写我们有两种改进方法:
1.重写一个ClassLoader, 这个ClassLoader 不须指定APK的路径, 这样我们就不需要释放APK文件了。(代码量比较大)
2.不是ClassLoader替换的方法,而是在原来的ClassLoader 上直接添加一个类。 定义一个类不需要指定.dex 文件路径
版本2的方法就是是使用第二种改进方案. 这个版本仅限在android4.0 - android5.0之间
原理: 我们在分析版本一的原理,发现版本利用DexFile.openDexFile() 实现的, 如果能在这个类找到一个相似的函数。 于是代开在 android源码的\libcore\dalvik\src\main\java\dalvik\system 下的DexFile.java 文件, 类描述:的DexFile类就是负责把一个把文件中类加载到ClassLoader
于是笔者发现函数 native private static int openDexFile(byte[] fileContents); 加固版本二的核心在openDexFile 的参数, 这个参数不需要指定具体文件,
而是直接文件的字节数组。这就我们隐藏文件的操作。顺藤摸瓜,笔者还发发现这几个函数。
里面有4个重要的静态方法:
native private static int openDexFile(byte[] fileContents);
native private static String[] getClassNameList(int cookie);
native private static Class defineClass(String name, ClassLoader loader, int cookie);
native private static void closeDexFile(int cookie);
于是笔者就可以利用四个函数可以实现加固版的原理:
a) 将源android应用程序的 lasses.dex 存放在加固工具工程asset 目录下, 并把源android应用程序的的资源替换加固工具的资源
b) 将classes.dex 的信息读取到ByeArrayOutputStream 字节数组流中。
d) 调用native private static int openDexFile(byte[] fileContents);得到DexFile 的cookie
e) 调用 native private static String[] getClassNameList(int cookie); 获取DexFile文件中所有的类名
f) 遍历e步骤的获取的类名信息, 调用native private static Class defineClass(String name, ClassLoader loader, int cookie); 想当前的加载器注册类
g) 调用native private static void closeDexFile(int cookie); 关闭DexFile文件
实现代码案例:
然后就可以通过Class.forname 或者ClassLoader.loadClss 得到DexFile 的主Activity类,最后通过意图Inetent启动,调用startActivity
原理探索:
关于DexFile 是具体怎么实现,这就需要分析native 函数的实现, 笔者在此就不再探索,笔者会另辟一篇文章来探究的
native private static int openDexFile(byte[] fileContents);
native private static String[] getClassNameList(int cookie);
native private static Class defineClass(String name, ClassLoader loader, int cookie);
native private static void closeDexFile(int cookie);
版本二评价:
运行版本要求高(android4.0 -android5.0之间版本,不包含android5.0) 由于版本而依赖DexFile类中3个私有静态函数,由于这个四个私有函数并没有公开,
所以并不是所有版本都兼容。具体是否支持请查看对应android源码,笔者发现在android是支持的,但是在android5.0 就不支持了。 如果不支持,笔者建议深入
native private static int openDexFile(byte[] fileContents);
native private static String[] getClassNameList(int cookie);
native private static Class defineClass(String name, ClassLoader loader, int cookie);
native private static void closeDexFile(int cookie);
的实现,自己重写一个。 所以android源码的重要性不言而喻。
版本三:
版本一,版本二,都有个致命缺点,那就是在内存中有Dex 文件,利用这点,我们可以在内存中找到Dex 文件头,然后把文件dump下来,这样这两种加固都失效了。为了防止这一点我们,我们希望能在我们的Dex本身具有代码加密功能, 并且在运行前,解密后运行, 这种技术叫做:运行时自修改字节码技术(RSMC,Run Self Modify Code) ,利用这种技术就可以把我们核心的代码使用DEX的运行。
问题: 运行时自修改字节码技术(RSMC,Run Self Modify Code),一个重要的技术难点就是如何在DEX 字节码运行的时候,找到函数的实现地址。
现在 笔者通过分析java.lang.reflect.Method类的invoke 函数字节码存储地址。这是invoke必定会找到函数的自己吗,并且解释执行这个字节码。
1.android源码找到java.lang.reflect.Method类的invoke的代码
再进invokeNative 函数查看
再进invokeNative的native 实现层查看代码
再进dvmInvokeMethod 查看: 代码:(dalvik\vm\interp\Stack.cpp)
//nativeFunc 指的函数地址为字节码解释后的结构代码(JTI)
再进函数 void dvmInterpret(Thread* self, const Method* method, JValue* pResult)
发现当前线程的pc = method->insns 可知insns 是自己地址 , 结果存储在方法的字节码存储Method 结构的insns中
2.找到JNI编程jmethodID 和结构Method的关系, 在Java层我们是无法拿到Method 结构体的,所以我们必须使用JNI编程。在JNI编程我们只能拿到一个函数jmethodID, 所以我们要找到这两个关系。
通过分析函数是如何GetMethodID是如何获取jmethod的。
所以加固版本三的原理:
a) 通过GetMethodID 获取获取jmethodid, 并强转Method*
b) 修改a步返回Method 的insns 所在页开启可写权限
d) 解密insns内容为源DEX 的功能
e) 解密后,又将代码加密回去,防止被Dump下
版本三案例:代码如下:
Java 层代码:
函数Sub:解密前是两数加法, 经过decode 运行时解密为两数加法, encode 后字节码在此称为减法, 修改字节码代码使用JNI本地代码实现。
本地解密代码的实现
代码行为分析:
a)调用GetMethodID获取结构体Method
b)调用mprotected 修改Method 结构中insns所在页属性
c)解密操作-》 加法:0x90 减法:0x91
同理解密代码: 不贴图了
版本三加固评价:
1.在android5.0 以上版本不再适用了, 因为android5.0 强制是ART(Andorid Runtime)模式。 ART模式下,APK安装时,就会把字节码编译成汇编码,这个方法就不能使用了, 由于没有字节码
运行时就找不到对象的字节码,这样加固后的android APP 是运行不了了。 所以加固版本三模式不适合单独使用
2.特征代码,调用mprotected修改页属性, 利用这点做对抗,
版本四:
版本四就是解决版本三在android5.0 不能使用问。我们可以使用版本3 和版本1或版本2 结合使用
原理:
1.版本3的运行时解密, 静态反编译找不到代码/或者代码是错误的。
2.版本3的的DEX文件/JAR 文件 使用版本1 或者版本2的方式动态运行。
关于ART 和Dalivk 的简介
Dalvik是Google公司自己设计用于Android平台的Java虚拟机。Dalvik虚拟机是Google等厂商合作开发的Android移动设备平台的核心组成部分之一。它可以支持已转换为 .dex(即Dalvik Executable)格式的Java应用程序的运行,.dex格式是专为Dalvik设计的一种压缩格式,适合内存和处理器速度有限的系统。Dalvik 经过优化,允许在有限的内存中同时运行多个虚拟机的实例,并且每一个Dalvik 应用作为一个独立的Linux 进程执行。独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。
ART: Android操作系统已经成熟,Google的Android团队开始将注意力转向一些底层组件,其中之一是负责应用程序运行的Dalvik运行时。Google开发者已经花了两年时间开发更快执行效率更高更省电的替代ART运行时。 ART代表Android Runtime,其处理应用程序执行的方式完全不同于Dalvik,Dalvik是依靠一个Just-In-Time (JIT)编译器去解释字节码。开发者编译后的应用代码需要通过一个解释器在用户的设备上运行,这一机制并不高效,但让应用能更容易在不同硬件和架构上运 行。ART则完全改变了这套做法,在应用安装时就预编译字节码到机器语言,这一机制叫Ahead-Of-Time (AOT)编译。在移除解释代码这一过程后,应用程序执行将更有效率,启动更快。
ART优点:
1、系统性能的显著提升。
2、应用启动更快、运行更快、体验更流畅、触感反馈更及时。
3、更长的电池续航能力。
4、支持更低的硬件。
ART缺点:
1、更大的存储空间占用,可能会增加10%-20%。
2、更长的应用安装时间。
总的来说ART的功效就是“空间换时间”。
