title: Android APK的加固方法
date: 2020-08-18 20:09:42
categories:

• android
• apk_reverse
  tags:
• Android壳

引言

有人的地方就有竞争，在Android的发展过程中就伴随着逆向和安固加固的发展。逆向工作者可以通过一些非常好用的软件，如IDA、JEB等，来加快逆向的速度；应用开发工作者也会通过各种手段来阻止逆向工作者对自己的应用进行逆向。

但是往往情况下逆向是不可能做到百分百阻止的，所以只能通过其他的手段来提高自己应用被逆向时的难度，让逆向工作者需要(可不绕过)花费足够多的时间才能把应用逆向成功。在实际情况下，只要不明显影响应用运行速度，我们都可以采用这种思想来进行保护。

在这种背景下，膨胀与混淆就应运而生了，这就是我们最开始的一种保护方式。这种方式将代码中的方法名和变量名用非常易于混淆的方式进行命名，如0、o、O、l、I、1等组合命名方式。除了这种混淆方式外，为了提高逆向工作量，会在代码中加入相同或者类似方法名的方法或者增加一些没有必要的父类来达到代码膨胀的目的。

但是这种方式不能阻止逆向工作者的脚步，后来开发者发现可以通过DexClassLoader这个类来进行DEX文件的动态加载。我们一般情况下称呼这种加固方式为加壳，由于这种是动态加载DEX文件，所以我们一般可以成为DEX壳。但是Android 主要是由 Java 代码编写的，而 Java 代码是非常容易被逆向分析的，所以渐渐地将动态加载DEX的代码放入 so 层进行运行，so 层的代码主要为c/c++代码，逆向的难度比 Java 会高很多，提高了应用的安全性。

随着这种加固方式的不断普及，这种方式已经不能阻挡大多数的逆向工作了，加固人员就需要一种新的加固方式来和逆向进行对抗。后期不管是加固还是逆向，都将目光放在了 so 层的对抗，此时就发现了一种利用elf文件格式(Android中.so的共享库为elf文件格式)来进行加固的方法。

在 so 中，自己定义一个节，在这个节中存放我们的一些关键功能代码，通过elf文件格式将这部分的代码进行加密，然后在elf文件加载执行初始化函数数组时，将被加密的代码解密出来。

加壳或者其他加固的优势：能在一定程度上保护自己核心代码算法，提高破解、盗版或者二次打包的难度，还可以防范代码注入、动态调试、内存注入攻击。

加壳或者其他加固的劣势：从理论上来说，只要加了保护都可能会影响应用的兼容性、运行效率。

由于受Android手机的电池、CPU等硬件的限制，一般的应用都不可能像PC上进行强度非常大的保护。

混淆、膨胀

混淆

主题思想：用没有意义的字符，如a、b、c或者易于混淆的字符，如0、o、O、l、I、1代替原本的有意义的类名。

参数配置：将release下minifyEnabled的值改为true，打开混淆； 加上shrinkResources true，打开资源压缩。

更多混淆配置参考：

https://juejin.cn/post/6844903471095742472

https://www.huaweicloud.com/articles/ae151e2f60923097cefc473bd131addf.html

膨胀

代码混淆能在一定程度上增加逆向的难度，但是给逆向工作者增加的工作量是比较小的，代码膨胀就能够增加总的代码量，让逆向工作者必须分析全部的代码才能得到最终的一些结果。代码膨胀也是初始防御的方法之一，主要思想是编写一些垃圾代码来扩充代码量，这样在逆向分析时就可能会消耗攻击者大量的时间，从而达到保护APK的目的。

膨胀代码有很多种实现的思想。比如乘法改加法、加法改自加等等，只要把代码量变大，不影响功能的实现就可以了。

这里自己写了一个简单的自动生成代码的工程。

https://gitee.com/koifishly/function_generator

DEX壳

之前Android的主要代码为Java代码，但是在逆向分析中，Java代码是很容易被分析出来的。为了解决这个问题，我们就希望在app运行起来后动态加载我们Java代码(.dex文件)。这种方法主要利用了DexClassLoader这个类来实现动态加载。DexClassLoader类支持动态加载.apk或者.dex。

动态加载APK

动态加载apk简单来说，就是将已经编译好的.apk文件放入到一个.dex文件中。这个.apk文件为我们真正的应用程序，以下就称呼这个apk为源APK；.dex文件为另外一个工程的.dex文件，这个工程主要是为了在运行时释放出源APK，然后将流程转到源APK执行。

根据上面的原理图，我们需要3个对象。

• 源APK：需要加壳的apk。

• 壳APK：将apk解密还原并执行。

• 加密工具：将源apk和壳dex进行组合成新的dex并且修正新的dex。

项目实现demo代码

IDE：Android Studio 4.1.3

Android版本：4.4+

项目源码：nisosaikou/AndroidDEX壳 - 码云 - 开源中国 (gitee.com)

源APK

1. 正常编写功能逻辑代码。这里的代码为简单的ctf 判断代码。

   

2. 新建类APP类并且这个类继承于类Application，实现onCreate方法。

   

3. 生成一个release版本apk，把这个apk保存起来。

• 修改MainActivity.java的父类，使得MainActivity继承于Activity。将文本显示修改为运行的是源APK。

  

壳APK

Proxy.java

新建一个代理类叫Proxy，继承于类Application。这个类用来释放和解密原始的APK。

• attachBaseContext()

  重写Application中的attachBaseContext方法。这个方法会在 Activity 的 onCreate 方法之前执行。

  方法实现的功能主要有：

  • 把壳dex中包含的源apk释放出来。

  • 把释放的apk进行解密。

  • 把源apk中的lib目录中的文件复制到当前程序(壳)的路径下。

  • 创建一个新的DexClassLoader，替换到父节点的DexClassLoader。

    DexClassLoader
    继承自BaseDexClassLoader，这个比较灵活，每个参数都可以自定义，我们一般用这个来加载自定义的apk/dex/jar文件。

  • 代码例子

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

    @Override protected void attachBaseContext(Context base) {     super.attachBaseContext(base);       // the getDir method will create a directory in /data/user/0(uid)/packagename/     // the dx directory holds the file of the source apk     File relesaeDir = this.getDir("dx", MODE_PRIVATE);     mSouceAPKLibAbsolutePath = this.getDir("lx", MODE_PRIVATE).getAbsolutePath();     mSourceAPKReleaseDir = relesaeDir.getAbsolutePath();     mSourceAPKAbsolutePath = mSourceAPKReleaseDir + "/" + mSouceAPKName;     // create the source apk     // if the source apk exist, do nothing, otherwise create the source apk file.     File sourceApk = new File(mSourceAPKAbsolutePath);     if (!sourceApk.exists()){         try{             sourceApk.createNewFile();         } catch (Exception e) {             Log.e(TAG, "failed to create file.");         }           // the source apk file is empty, you need to read source apk file from the dex         // file of the shell apk and save it.         byte[] shellDexData;         // get dex of shell apk.         shellDexData = getShellDexFileFromShellApk();         // get the source apk and decrypt it.         // copy the libs in the decrypted apk file to the lib directory.         getSourceApkFile(shellDexData);     }       // Configure dynamic load environment     Object currentActivityThread = RefInvoke.invokeStaticMethod("android.app.ActivityThread", "currentActivityThread", new Class[] {}, new Object[] {});     String packageName = this.getPackageName();     ArrayMap mPackages = (ArrayMap) RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mPackages");     WeakReference weakReference = (WeakReference) mPackages.get(packageName);       DexClassLoader newDexClassLoader = new DexClassLoader(mSourceAPKAbsolutePath, mSourceAPKReleaseDir, mSouceAPKLibAbsolutePath, (ClassLoader) RefInvoke.getFieldOjbect("android.app.LoadedApk", weakReference.get(), "mClassLoader"));       RefInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader", weakReference.get(), newDexClassLoader); }

• onCreate()

  • 加载源apk资源。

  • 获取manifest.xml中记录的源apk的启动类名。

  • 设置ActivityThread信息(android.app.ActivityThread->currentActivityThread)。

  • 代码例子

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

    @Override public void onCreate() {     super.onCreate();     // 源apk启动类     String srcAppClassName = "";     // 原apk所在路径     try     {         ApplicationInfo applicationInfo = this.getPackageManager().getApplicationInfo(this.getPackageName(), PackageManager.GET_META_DATA);         Bundle bundle = applicationInfo.metaData;         if (bundle != null && bundle.containsKey(SRC_APP_MAIN_ACTIVITY)) {             srcAppClassName = bundle.getString(SRC_APP_MAIN_ACTIVITY);//className 是配置在xml文件中的。         }         else {             return;         }     }     catch (Exception e)     {     }       //获取ActivityThread类下AppBindData类的成员属性 LoadedApk info;     Object currentActivityThread = RefInvoke.invokeStaticMethod("android.app.ActivityThread", "currentActivityThread", new Class[] {}, new Object[] {});     Object mBoundApplication = RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mBoundApplication");     Object loadedApkInfo = RefInvoke.getFieldOjbect("android.app.ActivityThread$AppBindData", mBoundApplication, "info");       // 将原来的loadedApkInfo置空     RefInvoke.setFieldOjbect("android.app.LoadedApk", "mApplication", loadedApkInfo, null);       // 获取壳线程的Application     Object oldApplication = RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mInitialApplication");     ArrayList<Application> mAllApplications = (ArrayList<Application>) RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mAllApplications");     mAllApplications.remove(oldApplication);     // 构造新的Application     // 1.更新 2处className     ApplicationInfo appinfo_In_LoadedApk = (ApplicationInfo) RefInvoke.getFieldOjbect("android.app.LoadedApk", loadedApkInfo, "mApplicationInfo");     ApplicationInfo appinfo_In_AppBindData = (ApplicationInfo) RefInvoke.getFieldOjbect("android.app.ActivityThread$AppBindData", mBoundApplication, "appInfo");     appinfo_In_LoadedApk.className = srcAppClassName;     appinfo_In_AppBindData.className = srcAppClassName;     // 2.注册application     Application app = (Application) RefInvoke.invokeMethod("android.app.LoadedApk", "makeApplication", loadedApkInfo, new Class[] { boolean.class, Instrumentation.class }, new Object[] { false, null });       //替换ActivityThread中的mInitialApplication     RefInvoke.setFieldOjbect("android.app.ActivityThread", "mInitialApplication", currentActivityThread, app);     //替换之前的 内容提供者为刚刚注册的app     ArrayMap mProviderMap = (ArrayMap) RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mProviderMap");       Iterator it = mProviderMap.values().iterator();     while (it.hasNext()) {         Object providerClientRecord = it.next();         Object localProvider = RefInvoke.getFieldOjbect("android.app.ActivityThread$ProviderClientRecord", providerClientRecord, "mLocalProvider");         RefInvoke.setFieldOjbect("android.content.ContentProvider", "mContext", localProvider, app);     }     app.onCreate(); }

ActivityThread功能

它管理应用进程的主线程的执行(相当于普通Java程序的main入口函数)，并根据AMS的要求（通过IApplicationThread接口，AMS为Client、ActivityThread.ApplicationThread为Server）负责调度和执行activities、broadcasts和其它操作。

在Android系统中，在默认情况下，一个应用程序内的各个组件(如Activity、BroadcastReceiver、Service)都会在同一个进程(Process)里执行，且由此进程的【主线程】负责执行。

在Android系统中，如果有特别指定(通过android:process)，也可以让特定组件在不同的进程中运行。无论组件在哪一个进程中运行，默认情况下，他们都由此进程的【主线程】负责执行。

【主线程】既要处理Activity组件的UI事件，又要处理Service后台服务工作，通常会忙不过来。为了解决此问题，主线程可以创建多个子线程来处理后台服务工作，而本身专心处理UI画面的事件。

类结构参考

• 调用currentActivityThread方法获取ActivityThread中的成员变量sCurrentActivityThread。

  1	Object currentActivityThread = RefInvoke.invokeStaticMethod("android.app.ActivityThread", "currentActivityThread", new Class[] {}, new Object[] {});

  

• 获取sCurrentActivityThread中的mBoundApplication。

  1	Object mBoundApplication = RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mBoundApplication");

  

• 获取mBoundApplication中成员变量info。

  1	Object loadedApkInfo = RefInvoke.getFieldOjbect("android.app.ActivityThread$AppBindData", mBoundApplication, "info");

  

• 观察LoadedApk这个类，能发现一些重要的属性，这个下面会用到。

  

• 将info中的mApplication属性置空。

  1	RefInvoke.setFieldOjbect("android.app.LoadedApk", "mApplication", loadedApkInfo, null);

• 在sCurrentActivityThread下的链表mAllApplications中移除mInitialApplication。mInitialApplication存放初始化的应用(当前壳应用)，mAllApplications存放的是所有的应用。把当前的应用，从现有的应用中移除掉，然后再把新构建的加入到里面去。

  1 2 3

  Object oldApplication = RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mInitialApplication"); ArrayList<Application> mAllApplications = (ArrayList<Application>) RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mAllApplications"); mAllApplications.remove(oldApplication);

  

• 构造新的Application

  • 更新2处className。

    1 2 3 4

    ApplicationInfo appinfo_In_LoadedApk = (ApplicationInfo) RefInvoke.getFieldOjbect("android.app.LoadedApk", loadedApkInfo, "mApplicationInfo"); ApplicationInfo appinfo_In_AppBindData = (ApplicationInfo) RefInvoke.getFieldOjbect("android.app.ActivityThread$AppBindData", mBoundApplication, "appInfo"); appinfo_In_LoadedApk.className = srcAppClassName; appinfo_In_AppBindData.className = srcAppClassName;

  • 注册application(用LoadedApk中的makeApplication方法注册)。

    1	Application app = (Application) RefInvoke.invokeMethod("android.app.LoadedApk", "makeApplication", loadedApkInfo, new Class[] { boolean.class, Instrumentation.class }, new Object[] { false, null });

    

  • 替换mInitialApplication为刚刚创建的app。

    1	RefInvoke.setFieldOjbect("android.app.ActivityThread", "mInitialApplication", currentActivityThread, app);

  • 更新ContentProvider。

    1 2 3 4 5 6 7 8

    ArrayMap mProviderMap = (ArrayMap) RefInvoke.getFieldOjbect("android.app.ActivityThread", currentActivityThread, "mProviderMap");   Iterator it = mProviderMap.values().iterator(); while (it.hasNext()) {     Object providerClientRecord = it.next();     Object localProvider = RefInvoke.getFieldOjbect("android.app.ActivityThread$ProviderClientRecord", providerClientRecord, "mLocalProvider");     RefInvoke.setFieldOjbect("android.content.ContentProvider", "mContext", localProvider, app); }

• 执行新app的onCreate方法。

  1	app.onCreate();

RefInvoke.java

Java反射调用的方法。

AndroidManifest.xml

关于资源的问题

到目前为止，源程序能够运行起来了，但是apk在运行的时候肯定会用到相关的资源，如布局文件等等，我们并没有介绍如何处理资源。

资源有2中大的处理方法。第一种是在壳dex解压出源apk时，把apk中的资源复制到现在程序下。第二种是替换壳apk中dex文件时，顺便用源apk中的资源文件替换到壳apk中。因为本文不重点讨论资源的处理问题，所以采用第二种方法，直接复制替换资源即可。

Dex组合修复工具

将APK和壳DEX文件合并，生成一个新的DEX文件，并且校正新的DEX文件头。

加壳步骤

• src.apk：源APK。
• des.apk：壳APK。
• DexFixed.jar：Dex工具。
• classes.dex：des.apk中的classes.dex。
• res：源APK中的文件夹。
• resources.arsc：源APK中的文件。

1. 用DEXFixed.jar工具把src.apk和classes.dex进行合并，生成一个新的Dex，替换到壳APK中。

   

2. 替换壳APK中的classes.dex、res、resources.arsc。

3. apk重新签名。

4. 正常运行。

   

总结

dex壳是比较基础的壳，只是将源APK加密后放入dex文件中，在运行时进行释放。我们只需要在壳程序解密出原始的APK运行后，在内存中把dexdump下来就可以了，我们也可以用frida框架进行脱壳。

动态加载DEX（Java）

我们在上面动态加载APK时是采用了两个工程，一个工程负责加载APK，一个负责业务流程，业务流程工程核心文件就是一个dex文件，可以考虑只将dex文件作为附件，然后进行动态加载dex。

项目实现demo代码

简单来说，这里存放git的链接。

源工程

• 新建一个简单功能的 Android 工程。
• 创建assets文件夹。

保存编译之后apk文件中的.dex文件，把.dex文件保存到assets目录下。dex文件重命名为origin.dex（可以重命名为任意文件名）。

删除MainActivity.java。注意：这里只删除源文件，不要删除Activity。

加密DEX

新建一个Java工程实现一个简单的加密。

把得到的加密文件放入刚刚创建的assets目录下。

把重命名后的文件可以通过加密后再放入assets目录下，然后再加载dex前进行解密。

壳工程

这里壳工程就在源工程的基础上修改就可以了，不需要在新建一个工程。

分别创建ProxyApplication.java和RefInvoke.java。这两个类的代码和上面基本一样，这里就不赘述了，直接看代码。

ProxyApplication.java

DexClassLoader加载Dex文件：

1 2 3 4 5 6 7 8 9

DexClassLoader(dexPath, optimizedDirectory, libraryPath, parent)   dexPath：目标类所在的APK或者jar包，/.../xxx.jar   optimizedDirectory：从APK或者jar解压出来的dex文件存放路径   libraryPath：native库路径，可以为null   parent：父类装载器，一般为当前类的装载器、

RefInvoke.java

AndroidManifest.xml

确认删除MainActivity.java，然后修改AndroidManifest.xml。

这样在执行时能解密原来dex文件。

APK中的DEX文件中，不包含重要代码。

动态加载DEX（SO）

在上面的基础上，想到可以把ProxyApplication.java和RefInvoke.java中的主要代码移到so中来运行，这就是我们这种壳的主要思路。和上面的实现方式是一样的，只是换到lib中运行而已。

创建一个Android 原生工程，和上面一样，在MainActivity中写一些简单代码。把dex文件加密后放入assets文件夹中。

新建ProxyApplication类，继承Application，把加载Dex这部分代码提取出来放入到一个新的类AttachBaseContent中。

ProxyApplication.java

这里新建一个koi.cpp文件，其中有一个Java_org_koi_dexsoshell_AttachBaseContext_onAttach函数，对应Java中AttachBaseContext类下的onAttach方法。

native-lib.cpp

这个例子中，进行加密解密的操作，可以根据实际情况进行修改。

JNI中有部分代码可以提取到JNI_OnLoad或者initarray中进行处理。

JNI中的所有字符串可以进行一些处理，不直接暴露在源码中。

AndroidManifest.xml

按照上面的方法进行修改。

注意

• 关闭minifyEnabled。

ELF文件壳

在学习这部分内容之前需要熟悉ELF的文件格式。

ELF节加密

主要思想

编写代码时：自定义一个代码节(.mytext)(以后要进行加密，现在没有处理)，然后一个初始化函数(.init_array)，在这个函数中找到elf文件加载到内存中的地址，然后根据elf文件格式找到.mytext节，对这个节的内容进行解密。

加密：在原始apk编译好后，利用自己写的代码，把目标lib中的.mytext进行加密。

最后进行签名。

代码

创建一个ndk项目。编写一段代码放入自定义的（代码）节.koitext中。

用__attribute__((section(".koitext")))来指定节。

写一个初始化的函数，用来查找elf文件的基址以及给自定义的.koitext解密。

头文件支持：

效果：

ida会提示elf文件错误。

节表解析错误。

附加加密代码：

Android安全&逆向进阶