白彦庚：火眼自动化分析APK.pdf

火眼自动化分析火眼自动化分析火眼自动化分析火眼自动化分析apkapkapkapk 个人简介 白彦庚 就职于金山网络 从事反病毒技术研究 目录 apk是什么 火眼是什么 框架设计 监控体系 模拟器对抗 行为触发 问题分享 apk是什么 android系统 dalvik虚拟机 android手机上的应用程序. java开发 火眼系统行为云火眼系统行为云火眼系统行为云火眼系统行为云 2013-4-7 框架设计 火眼采用分布式的动态可扩展架构 centralscheduling server emu server #1 (a p k) emu server #2 (a p k) emu server #3 (a p k) emu server #n . samples 监控体系 分析节点的架构 apk dynamic analyze syst em unpack apk patch dex repack apk patch sd image android vd controller action controller logs module storage db decompile dex patch smali recom pile dex activitysm s/ca l l/actio n basicinf analyserbasicinf analyserbasicinf analyserbasicinf analyserbehavior analyzerbehavior analyzerbehavior analyzerbehavior analyzer smali hook 解包并反编译android程序成smali指令代码 插入监控程序段至反编译后smali代码中 监控程序段用于监控android程序运行过程中的 运行行为 修改android程序调用系统api所传的参数或 api的返回值 重新编译修改后的smali代码并打包为新的 android程序 运行重新编译的新android程序，并通过插入的 监控程序段获取该android程序的运行行为数据 smali hook smali 代码 smali hook的不足之处 利用so实现相应的功能. 利用反射机制调用相应的功能 加载jar作为代码执行 通过so发送短信 针对smali hook的补充方案 so注入监控 framework编译替换 so注入 inline hook 利用ptrace函数attach到zygote进程, 使该进程暂停 运行. 获取并保存zygote进程当前的寄存器 在目标进程申请内存 写入soloader代码到目标进程 设置目标进程寄存器, 执行soloader代码. 加载so实现inline hook. 恢复目标进程寄存器, 并恢复执行. 对新创建的进程执行的功能进行监控输出. 模拟器对抗 模拟器的检测 通过hook代码实现欺骗 行为触发 样本启动广播触发 拦截短信智能触发 智能切换网络环境 操作交互触发（点击触发） 简单的例子 例如在xml文件中扫描到相应的监控短信权 限, 或模拟向模拟器中发送一条短信. telnet localhost 5554 sms send +10086 “hello world“ 发送特定内容的短信给模拟器 遇到的问题分享 加速模拟器传输技术 网上抄来so注入代码的阅读 加速模拟器分享 安装apk遇到性能瓶颈 传输效率的解决方案 加速模拟器分享 安装apk遇到性能瓶颈 加速模拟器分享 传输效率的解决方案 so注入问题分享 runselectloopmode函数部分代码 so注入问题分享 selectreadable函数so层部分代码细节 so注入问题分享 libc.so中select的反汇编代码 so注入问题分享 so注入问题分享 ptrace_attach停止目标进程 zygote进程的select函数因信号由内核 返回 通知父进程 父进程保存并修改寄存器, 改变执行流程 恢复zygote进程执行 so注