KCon演讲议题巡展|内窥镜: 反混淆虚拟化加固的安卓程序
2023-8-7 10:1:3 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

“归源·智变” 2023年KCon黑客大会

举办时间:2023年8月19日-20日

举办地点:北京环球贸易中心·会议中心

KCon 2023 演讲议程已尘埃落定

为展示演讲议题风采

帮助大家更好地了解议题

特此开展

KCon 2023演讲议题巡展活动

欢迎朋友们围观

* 议题展示顺序以议程先后顺序为准~

演讲议题

内窥镜: 反混淆虚拟化加固的安卓程序

演讲人:余帘

余帘,美团信息安全专家。

团队介绍:美团信息安全部,肩负统筹与负责美团线上安全与平台治理的重要职责。随着业务升级与拓展,我们拥有诸多全球化安全与风控领域人才、依托前瞻的安全技术视野、创新的机器学习技术、领先的产品运营体系,构建全方位、多维度的智能防御体系,为美团业务生态链上亿万C端、B端用户的安全提供有力保障。

演讲人谈议题

(1)研究灵感

研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。分析这些程序跟分析PC端的类似程序不同,因为二者使用的加固混淆器、使用的指令集都不同,且移动端app涉及到程序与安卓框架和native接口的交互。因此,该研究放在“恶意软件”、“移动安全”方向较为合适。

(2)该研究提出了什么新概念或方法?

针对开源/闭源的虚拟化加固器所混淆的恶意安卓程序,分别提出较为可用的反混淆方案。业界对于虚拟化加固逆向的其他研究更多是针对PC端加壳器(VMProtect等),无法直接移植用于移动端的虚拟化加固,而本研究更专注于移动端的研究。

(3)研究要点

  • 虚拟化加固被移动恶意软件用作对抗逆向分析的技术,并且当前没有方便现成的工具和方法;

  • 对于在开源虚拟机上执行的混淆后的代码,我们模拟虚拟机的执行流程,并经过“反汇编-重组AST-AST翻回源码”的流程,做了相应的demo,逆向出部分源码;

  • 为逆向闭源虚拟化加固器所混淆的安卓程序,我们 准备原始和混淆后的程序样本,收集trace并从中定位出p-code分发和处理器,学习dalvik代码和native机器代码之间的映射关系,复原出与原始代码相似的代码。

(4)解决什么问题

解决对于虚拟化加固的安卓程序,缺少现成的逆向工具和方法的问题。

演讲时间

2023年8月20日 13:40-14:10

本届KCon大会为线下会议,线上视频直播,敬请知悉!购票方式如下:

KCon 2023 门票

购票网址:

https://www.4hou.com/tickets/aADO

长按识别下方二维码

点击文末“阅读原文

立即购票

● 学生票:410元(需提供相关证明)

● 团队票:1434元(3张起购)

● 普通票:2048元

点击阅读原文

立即购票


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzOTAwNzc1OQ==&mid=2651136934&idx=1&sn=926de0b69e06109c4345ae1283b7ea76&chksm=f2c122c6c5b6abd097cf91973e6594e777d8cf7f4fc123f8ed8a07ce152469635878ce2a16fa&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh