本申請是對當前加固程序將部分方法執行時動態加解密，即調用時解密，結束時加密，針對防止脫殼程序設置的一些虛假函數提出了一種基于hook以及代碼抽取的通用自動化脫殼方法。本方法監控應用程序的運行，還原出應用程序的原始Dex文件。通過查找Dex文件中所有的Class對象，然后再使用多線程分組遍歷所有類并反射調用所有method。當執行完虛假函數后，將hook代碼寫入該method，隨后重啟應用程序，待下次進入此method時就會調用自己的代碼，以達到繞過虛假函數的目的。待所有方法都被調用后，重組脫殼后的Dex文件。

技術領域

本發明涉及一種Android平臺上一種繞過虛假函數的自動脫殼技術，屬于計算機應用安全技術領域。

背景技術

Android作為現在主流的移動端操作系統，由于對第三方應用程序的監控和審核機制存在缺陷，涌現出大量的第三方Android應用程序，很多惡意應用程序通過各種手段來竊取用戶的個人隱私信息。為了防止軟件被逆向破解或攻擊利用，許多開發采用應用加殼的方式，極大地增加逆向分析的難度，從而達到對程序保護的效果。但是以Android平臺為目標的惡意軟件也利用了加殼技術的特性，對自身攜帶的惡意代碼進行隱藏，無法利用靜態分析工具準確檢測應用內部是否存在隱私竊取等安全隱患。因此，研究者們提出了一系列的脫殼方案，這些脫殼方案可以分為以下幾類：

第一類脫殼方案是找到原應用程序的入口出，因為殼程序會將被加殼的應用程序進行解密，跳入程序的原入口并將解密后的原dex文件加載到內存中。這類脫殼方案可以通過直接搜索或轉儲內存的方式，從而達到對加殼的應用程序的脫殼。然而，對于目前的加殼應用，這類脫殼方案在一個指定的解密點進行脫殼，并不適用于目前殼程序采用的分階段解密策略，在殼程序解密時不能保證被加殼的程序進行完全的解密，因此脫殼后的應用程序并不完整。

第二類脫殼方案是通過Hook對應的系統函數對應用程序的運行進行監控，在應用程序運行的過程中部分代碼會被解密，最后將收集到的解密后的代碼和其它數據對原Dex文件進行重組。由于要保證應用程序能夠正常運行，因此在運行時收集到的被解密的代碼一定是可靠的。這類方案無法保證能收集到應用程序行的所有代碼，且脫殼效率較為低。隨著加殼技術的更新，針對防止脫殼程序設置的一些虛假函數，這類方案無法做到準確有效的脫殼。

綜上所述，加殼技術的出現使得安全研究人員難以對被加殼的惡意軟件進行深入的分析。現有的脫殼方案對被加殼的應用程序無法做到完美的脫殼。

發明內容

針對現有脫殼方案中存在的缺陷，本發明的目的在于使用hook技術來解決應用程序代碼中存在的虛假函數和多線程解決脫殼效率的問題。提供了一種繞過虛假函數的自動脫殼技術。

為實現上述目的，本發明研究的一種Android平臺上一種繞過虛假函數的自動脫殼技術，包括：

在目標應用程序主線程啟動前，插入hook代碼，從系統類中獲取已加載的所有類名稱和類加載器，并遍歷dvmUserDexFiles結構，獲取所有cookie(已加載的dex)；

創建多個子線程分組獲取Java類中的所有方法，利用堆內存中產生的真實對象參數來強制放射調用上述方法；

在上述方法執行時收集被解密的代碼，通過修改quick_code的值進入Interpreter(解釋器)其會由解釋器解釋執行，通過修改解析器完成代碼的收集。

待所有的數據收集完成之后，按照Dex文件的結構進行重組。

通過退出異常判斷是否是因進入了虛假函數，如果是則對該方法進行hook，插入自己的代碼，不執行原有代碼。重啟目標應用程序，并重新對該類進行脫殼。