so vmp 加壳与混淆,为移动应用提供函数级保护-九游会国际娱乐

导读:vmp 是一种用于软件保护的软件,对软件进行加壳,加固厂商都有自己的 vmp 方案,但值得注意的是,native 层的 vmp 方案并不成熟,兼容性只是其中一个影响因素,性能更是导致该方案无法普及的重要原因之一。

文 | 吴政

网易易盾

1.前言

随着智能手机的兴起,android 应用逐渐普及,而破解、二次打包等恶意行为在 android 端屡见不鲜,移动应用安全越来越受到大家的重视。为了解决应用安全问题,各大加固厂商对外提供安卓加固服务,在一定程度上对抗掉一部分黑灰产行为,以保障应用开发商的权益。

但随着 xposed、magisk、frida、unidbg 等工具的普及,对抗难度日益增加,开发者近年来逐渐将重要代码转到 native 层开发,让逆向分析的难度加大。

vmp 是一种用于软件保护的软件,对软件进行加壳,通过这个软件保护的代码部分在虚拟机上执行,能最大程度保护代码不被分析和破解。当前,加固厂商都有自己的 vmp 方案。但值得注意的是,native 层的 vmp 方案并不成熟,兼容性只是其中一个影响因素,性能更是导致该方案无法普及的重要原因之一。

2.强度分析

从保护强度的角度来看,native vmp 是目前最强的代码保护策略。然而,目前商用的 native 层 vmp,几乎都是基于 llvm 实现 ir vmp,且针对源码,无法直接作用于 so。而让外部相对熟悉的二进制 vmp 保护方案是 windows 平台的 vmprotect。网络上更有不少针对 vmportect 的分析文章,甚至有一些低版本的脱壳教程,但因为加壳软件的定期更新,低版本“脱壳”黑产工具的可用性几乎为零,加壳的强度得到保证,让大量逆向工程失效。

3.性能分析

从性能的角度看,dex vmp 对性能的损耗在十几倍左右,而 ir vmp 要比 dex vmp 性能损耗高达几十倍。而这些损耗都是在自定义解释器在解析执行虚拟机代码造成的。如直接对汇编指令虚拟化,性能损耗可达成百上千倍。

下面是基于已知的加固方案进行的测试,且针对特定的代码逻辑构造的性能测试对比数据。



可以看出基于汇编的 vmp 方案,因每条指令都需要进行解析执行,性能损耗极高。但因测试代码本身的构造方式具有特殊性,构造了将近 10 亿次循环,并在循环内做运算和函数的调用。因此此类几乎属于极端情况。

如果受保护的代码只执行一次,即使增量上百倍,总增量只是增加一个固定值。如果保护代码是在循环体中执行,那执行时间将成倍增加。由此可知,无论选取哪一种保护方案,都不建议保护高频调用的函数。

4.方案优化

上述方法在强度和兼容性上难以两全,带来一定损失。有人要问,是否有一种方法既可提高保护强度,又能兼顾效率呢?

答案是有的。从另一个角度来讲,vmp 是一种高强度的混淆,只不过混淆规则是指令格式,最终均需要执行指令的语义,保证程序的正确运行。vmp 本身遵循一种规律执行代码,但从代码保护的角度,只使用一种高强度保护策略,其本身不如多种随机化的保护方案来得有效。即使 vmp 做得很强,如果一成不变,最终还是有被修复的可能,只是时间成本不同。.

易盾在研究二进制加固的过程中,提出一种指令混淆的方案,结合 vmp,最大程度的保护代码强度,同时兼顾代码的运行效率。


当然,混淆之后的代码也降低了代码的易读性,建议接入该功能的开发者,对保护的函数做好充分的单元测试,避免因自身代码崩溃导致无法正常排查。同时,单元测试也可以更好地验证加固后代码执行的正确性。

5.保护效果对比

只做 so 加固,能对抗静态分析,动态 dump 出来的 so,即使有缺陷,还是可以分析指令。


混淆后,从被保护的函数可见代码已被抽空加密,且跳转地址处的指令被混淆,能够分析指令执行流程,在没有获取和还原所有混淆代码前,无法知道原函数真实的调用逻辑。


vmp 后,被保护的函数可以看出代码已被抽空,跳转地址是虚拟机逻辑,除非破解虚拟机逻辑,否则函数逻辑无法还原。


易盾 native 层代码保护基于无源码方案进行实现,客户只需要提供需要保护的函数列表就能直接对函数进行保护。另外,如果 so 是 release 版本,可以提供编译过程中生成的带符号版本的 so,方便定位受保护的函数范围。功能选择可以遵循以下两大原则:

○ 重要函数可进行 vmp 或混淆。

○ 高频调用函数尽可能使用混淆。

因保护方式基于指令,理论上 so vmp 的混淆和 vmp 不仅仅适用于 android,只要架构相同,对应的 linux 环境下的可执行文件和 so 文件都可以使用该加固方案进行保护。

最后,没有绝对的安全,任何应用软件都有被破解的风险,但可以肯定的是,加壳以后肯定比不加壳要更安全,软件加壳后破解难度会增加。如果应用软件发布到市场上,那些想从你应用上获取漏洞点的黑灰产们,肯定要分析应用的代码,进行包括内购破解,加广告在内的恶意行为,损害用户使用体验的同时,致使开发商遭受商业损失。此外,开发者有核心的算法不想被友商分析,这个时候代码保护就比较重要,当然代码保护手段很多,加壳是其中一项。android 系统和 pc 端的攻防是动态的对抗,技术一直在进步,易盾也将持续跟进。

网站地图