文章目录
一、VAHunt 引入
二、VAHunt 原理
三、识别插件化引擎
一、VAHunt 引入
从应用开发者角度出发 , 保护自己开发的应用不被恶意开发者使用插件化虚拟引擎二次打包 , 并植入恶意代码插件 , 避免自己的应用运行在插件化引擎中 , 是很有必要的 ;
从应用市场角度出发 , 识别出基于插件化引擎的恶意软件 , 并避免恶意软件上架 , 是一项很重要的工作 ;
VAHunt 是用于对 APK 文件进行静态分析 , 可以识别出 使用了插件化引擎的 恶意应用 ;
GitHub : https://github.com/whucs303/VAHunt
二、VAHunt 原理
VAHunt 原理 :
使用 aapt 工具从 APK 文件中提取 AndroidManifest.xml 清单文件 , 从 AndroidManifest.xml 中可以提取应用中的组件信息 , 之后需要根据这些组件 , 查询是否有插件化引擎的特点 ;
使用 dexdump 工具反编译 Dex 字节码文件 , 获取 Smali 代码 , 如果有多个 Dex 文件 , 合并这些 Dex 文件 , 并使用 FlowDroid 为每个 APK 文件建立控制流图 ;
首先识别出该应用是否是插件化应用 , 然后识别该应用时良性应用 , 还是恶意应用 ;
三、识别插件化引擎
识别插件化引擎 :
插件化引擎特点参考 【Android 插件化】静态分析应用 APK 安装包是否使用了插件化引擎 ( 虚拟化引擎运行特点 | 恶意软件特点 ) 一、插件引擎运行特点 ;
之前已经记录了 AndroidManifest.xml 清单文件中的组件信息 , 如果该应用是插件化应用 , 那么假设这些组件都是占坑用的 “桩” 组件 , 用于欺骗 AMS 用的 ;
获取 Intent 操作 : 假设当前应用是插件化应用 , 那么启动插件化组件 , 需要先创建 Intent , 然后设置插件化信息到 extra 中 , 插件化一般是将 插件 Intent 放在该 Intent 的 数据中 , 提取该 Intent 操作的所有 API , 观察是否有设置插件组件信息 ;
Intent 状态转换 : 如果在一个 Intent 中 , 包含了另外一个 插件 Intent 或者插件信息 , 那么该 Intent 极有可能是一个插件 Intent ;
宿主应用 中 , 在主线程 启动 Activity , Intent 的目标对象是 “桩” 组件 , 将其传入 AMS , 欺骗 AMS , 然后从 AMS 切换到主线程后 , 将 Intent 中隐藏的插件 Intent 取出 , 创建该插件组件 , 并启动该组件 ;
