移动应用程序混淆和漏洞挑战研究：保护知识产权及安全性

L’UNIVERSITE DE RENNESC OMUE U NIVERSITE B代表OireE科尔 第601章第一次见面数学与信息与通信科学与技术由皮埃尔·格劳原生Android应用面临的挑战：混淆和漏洞论文于2020年12月10日在Lieu发表并答辩研究单位：IRISA论文编号：T Hesa 德 博士学位答辩前的报告员：Guillaume Bonfante洛林大学HDR讲师Christian Rossow萨尔大学教授评审团组成：检查员：玛丽-洛尔·波特格勒诺布尔INP埃尔文·罗侯Inria研究总监莎拉·泽诺空客研究工程师Dir.论文：Valerie Viet Triem TongCentraleSupelec教授共同导演。论文：让-弗朗索瓦·拉朗德CentraleSupélec大学教授框架：皮埃尔·威尔克CentraleSupélec研究教授摘要Android是使用最广泛的操作系统，因此，确保其应用程序的安全性是一项关键任务。保护应用程序包括防止潜在的攻击者偏离目标应用程序的正常行为。特别是，攻击者可能会利用开发人员在代码中留下的漏洞，并试图窃取现有应用程序的知识产权。为了减缓试图逆转已发布应用程序逻辑的攻击者的工作，鼓励开发人员跟踪潜在的漏洞并在代码中引入对策。在可能的对策中，代码是一种通过使用逆向工程工具使对手无法使用代码来隐藏开发人员真实意图的技术。移动应用程序是复杂的实体，可以由字节码和程序集代码组成。这为增强混淆技术创造了新的机会，也使去混淆成为一个更加困难的挑战。模糊和去模糊程序已经被研究团体广泛研究，特别是对于桌面架构。对于移动设备，在Android首次发布十年后，研究人员主要致力于由嵌入式虚拟机执行的中间语言Dalvik字节码的去模糊然而，随着恶意软件和携带敏感信息的应用程序数量的不断增加，攻击者希望隐藏他们的意图，开发人员希望保护他们的知识产权和应用程序的完整性。因此，基于本机代码的新一代混淆方法已经出现。到目前为止，研究移动原生代码的后果还没有得到与桌面程序相同的关注，甚至超过了本文介绍了本机代码对应用于Android应用程序的逆向工程和漏洞发现的影响。首先，通过列出程序集和字节码之间可能存在的干扰，我们强调了新的混淆技术和软件漏洞。然后，我们提出了结合静态和动态分析块的新分析技术，如油漆跟踪或系统监控，以观察已经混淆的代码行为或揭示新的漏洞。这两个目标促使我们开发了两种新工具。第一个发现了一个特定的漏洞，该漏洞来自于本机和Java数据的不一致混合。第二个是提取应用程序的对象级行为，而不考虑该应用程序是否包含为混淆目的而嵌入的本机代码。最后，我们实施了这些新方法并进行了实验评估。特别是，我们在Android SSL库中自动发现了一个漏洞，并分析了几个Android固件，以检测特定类混淆的使用。出版物[1]皮埃尔·格劳（Pierre Graux）、让-弗朗索瓦·拉朗德（Jean-François Lalande）和瓦莱丽·越特里姆·唐（Valérie Viet Triem Tong）。"Android应用程序的最新解包技术"。在：会议的研究和法国拉布雷斯，2018年5月。[2]让- 弗朗索瓦·拉朗德（ Jean-François Lalande ）、瓦莱丽 ·维耶· 特里姆· 唐（Valérie Viet TriemTong）、穆拉德·莱斯卢斯（Mourad Leslous）和皮埃尔·格劳（Pierre Graux）Android恶意软件分析的可靠和大规模评估面临的挑战。2018年高性能计算模拟国际会议。法国奥尔良：IEEE，2018年7月，第1068-1070年。[3]皮埃尔·格劳（Pierre Graux）、让-弗朗索瓦·拉朗德（Jean-François Lalande）和瓦莱丽·越特里姆·唐（Valérie Viet Triem Tong）。"混淆的Android应用程序开发"。第三届中欧网络安全会议。德国慕尼黑：ACM，2019年11月，第1-6.[4]Valérie Viet Triem Tong、Cédric Herzog、Tomàs Concepción Miranda、Pierre Graux、Jean-François Lalande和Pierre Wilke隔离Android恶意软件中的恶意代码。第14届恶意和不需要的软件国际会议。美国马萨诸塞州楠塔基特岛：IEEE，10月。2019年。[5]让-弗朗索瓦·拉朗德（Jean-François Lalande）、瓦莱丽·维耶·特里姆·唐（Valérie Viet Triem Tong）、皮埃尔·格劳（Pierre Graux）、纪尧姆·海特（Guillaume Hiet）、沃伊切赫·马祖尔奇克（WojciechMazurczyk）、哈比巴·肖伊（Habiba Chaoui）和帕斯卡·贝尔托梅（Pascal Berthomé）。"教授Android移动安全"第50届ACM计算机科学教育研讨会。明尼阿波利斯，明尼苏达州，美国：ACM，2月2019年，第232-238。[6]让-弗朗索瓦·拉朗德（Jean-François Lalande）、皮埃尔·格劳（Pierre Graux）和托马斯·康塞普西翁·米兰达（Tomás Concepción Miranda）协调Android恶意软件实验。第27届IEEE计算机和电信系统建模、分析和仿真国际研讨会。法国雷恩：IEEE，2019年10月，第1-2.[7]皮埃尔·格劳（Pierre Graux）、让-弗朗索瓦·拉朗德（Jean-François Lalande）、皮埃尔·威尔克（Pierre Wilke）和瓦莱丽·越南特里姆·唐（Valérie Viet Triem Tong）。 软件攻击和防御研讨会。热那亚，意大利：IEEE，9月。2020年，第616-624年。[8]皮埃尔·格劳（Pierre Graux）、让-弗朗索瓦·拉朗德（Jean-François Lalande）、瓦莱丽·越特里姆·唐（Valérie Viet Triem Tong）和皮埃尔·威尔克（Pierre Wilke）。 第六届ACM/SIGAPP应用计算研讨会。韩国光州：ACM，2021年3月，第1598-1606年。确认-感谢首先，也是最重要的一点，我要感谢瓦莱丽·维耶·特里姆·唐、让-弗朗索瓦·拉朗德和皮埃尔·威尔克，他们为这篇论文提供了建议。他们总是可以提供很好的建议。我可以衡量有他们作为顾问的运气他们教我像研究人员一样看待问题，而不是像工程师一样看待问题。我想特别感谢Marie-Laure Potet，她在我寻找论文时帮助了我，并引导我找到了CIDRE团队。我和她一起迈出了进入研究世界的第一步，没有她的帮助，我不可能完成这篇论文我很高兴她同意考虑它，我希望它能满足她的期望。我还要感谢Christian Rossow和Guillaume Bonfante，他们同意审查我的论文并帮助我改进，以及ErvenRohou和Sarah Zennou，他们每年在个人后续行动委员会（CSI）期间跟踪我的工作，为我提供了有用和相关的建议。通过给我一份时间，他们允许我向仁慈的外部观点展示我的想法。最后但并非最不重要的是，我想感谢我所有的亲戚，朋友和同事。尽管他们给了我技术上的建议，但他们给了我道义上的支持，这是进行有时可能令人沮丧的研究工作所必需的。内容。摘要III出版物v确认-致谢vii内容IX词汇表17首字母缩略词xviiiProL OGUE11简介S1.1问题陈述31.1.1Android核心安全功能31.1.2分析本机应用程序的挑战51.2捐款61.3大纲72分析原生Android应用程序：最新技术水平2.1研究目标92.2Android应用程序数据集122.3技术分析2.3.1系统副作用152.3.2应用元数据152.3.3字节码级别152.3.4框架、运行时和系统级别162.4本机应用程序带来的挑战2.5结论18SE cU rity isESIN trodU cE d by nativeEIN tE rfEEN cESIN Java Android应用程序LIcations21SJava2S代码中的干扰带来的安全问题3.1使用本机代码243.1.1完全拆包253.1.2未打包的字节码隐藏253.1.3部分拆包253.1.4Android框架旁路263.2将Java字节码替换为本机代码263.2.1使用的字节码编译器3.2.2字节码修改的类型3.2.2.1删除字节码283.2.2.2替换字节码283.2.2.3修改字节码283.2.2.4三字节码修改子技术的比较293.3结论294Java数据S1中的干扰带来的安全问题4.1将本机数据注入Java数据324.1.1CVE-2015-3837：开源密码库中易受攻击的传输字段示例4.1.2有问题瞬态场的形式定义4.2通过本机代码修改Java数据364.2.1合法实现：DirectByteBuffer364.2.2原始实现：内存查找374.2.3高级实施：反思384.3结论40在Java Android应用程序中使用本机功能415Java代码455.1检测DEX文件中的本机干扰... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...455.2 检测OAT文件中的本机干扰。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...465.2.1检测删除的字节码。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...475.2.2检测未压缩字节码 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...475.2.3检测替换的字节码。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...495.2.3.1关于检测BFO使用的未来工作。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...505.3 结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...516Java数据5S6.1跨本机和Java接口的图像分析。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...546.2 在源代码级别分析本机和Java之间的数据流 . ... ... ... ... ... ... ... ... ... ... ... ... ...546.2.1静态检测源代码中的引用字段... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...556.2.1.1源代码中的引用字段模式。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...556.2.1.2使用色彩分析进行静态模式检测。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...576.2.1.3静态分析限制。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...586.2.2架构分析。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...586.2.3检测方法的验证。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...596.2.3.1模式的构造性验证。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...616.2.3.2捕获已知错误... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...616.2.3.3 Checking是一个广泛的开源应用程序。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...626.2.3.4分析时间。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...626.3 在运行时监视Java和本机代码之间的接口。... ... ... ... ... ... ... ... ...636.4 结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...65REVE rs e-engineineeringG of mUL ti-LanGU aGE Android应用程序LI阳离子677OATs7.1使仪器系统适应多种语言应用717.2OAT的.................................................................................................................................................................7.2.1RU NNE R模块757.2.2CFM创建器模块797.2.3内存转储模块817.2.4Concolic分析仪模块817.2.5单元测试结果827.3 OAT... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...857.3.1混淆的应用程序表示。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...857.3.2OAT... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...867.3.3关于OAT... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...897.4间接费用绩效。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...897.5 燕麦的内在隐蔽性... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...917.6结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...918OAT9S8.1 RU nnE r和MEM或YDUMPE r模块：自由修改。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...938.1.1初始化分析。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...948.1.2沟通渠道。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...948.1.3白名单方法。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...958.1.4垃圾收集器内部结构浏览和解析缓存。... ... ... ... ... ... ... ...958.1.5信号处理程序管理。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...968.1.6单步和原子指令管理。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...968.1.7多线程管理。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...978.2 CFM CrEA TOR模块：NetworkX实现。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...988.3 结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...101EpiL或GUE10S9结论1059.1论文贡献摘要1059.2对未来工作的展望106DicES中的应用程序109A 已测试固件111BJava行为单元测试B.1未混淆单元测试. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...11S113B.2混淆单元测试。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...117CConcolic分析功能证明12S法文实质性摘要1291引言。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1291.1 Android系统安全。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1291.2本机应用程序和安全性。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1301.3捐款。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1302 Android Java应用程序中原生干扰导致的安全问题1312.1字节码问题。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1312.2字节码数据的问题。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1323检测Android Java应用程序中的本机干扰。... ... ... ... ... ... ... ... ... ... ... ...1323.1字节码干扰检测。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1323.2检测对字节码数据的干扰... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1334OAT... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1345未来的工135作。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...参考书目1S7图列表1.1可操作窗口。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......52.1 防病毒软件识别恶意软件的比率至少为x。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...142.2 Android系统架构的经典表示。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...163.1 包装技术。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...243.2 无字节码OAT技术。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...273.3 字节码修改示例。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...293.4 无字节码OAT（BFO）子技术的分类 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...294.1 序列化X509证书的进程的地址空间。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...334.2 设置目标问题的视图。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...354.3 直接堆访问（DHA）技术。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...364.4 Android中Java对象的内存布局。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...395.1 OSPAndroid 7.0 APK方法的字节码熵。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...486.1 目标问题的设置视图，图4.2第4.1节的提醒。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...556.2 体系结构概述。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...556.3 Android应用程序源代码中的参考字段。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...566.4 引用流跟踪的表示。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...566.5OpenSSLX509证书Java分析输出。 . . . . . . . . . . . . . . . . . . . . . . . . . . . .627.1 OAT的... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...757.2SimpleTestPIN.test的预期输出。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...767.3 运行时修补程序体系结构。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...777.4 方法调用挂接过程。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...787.5SimpleTestPIN.test的对象级控制流图。 . . . . . . . . . . . . . . . . . . . . . . .807.6SimpleTestPIN.test的对象级控制流图。 . . . . . . . . . . . . . . . . . . . . . . .837.7 摘自MainActivity$1.onClickolCFM。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...877.8SimpleTestPIN.set_pinolCFM.... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...887.9SimpleTestPIN.olCFM测试。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...887.10 符号分析后的SimpleTestPIN.set_pinolIgG。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...887.11 符号分析后的SimpleTestPIN.olIgG检验 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...