近日,騰訊安全科恩實驗室ApkPecker上線了自動化脫殼服務,幫助安全人員更好地進行安全審計。經過大規模測試結果顯示, ApkPecker的脫殼成功率超過了85%。
移動應用脫殼是移動應用逆向及惡意應用分析最基本的操作,主要為在移動應用安全審計和病毒分析的過程中,幫助安全人員脫掉應用的殼程式碼,從而去分析其關鍵程式碼。移動應用脫殼有助於開發者及時發現應用開發程式碼本身存在的安全問題以及審查發現惡意行為。企業尤其是規模較大的企業經常需要採用第三方供應鏈提供的應用安全開發及加固服務,安全人員需要對其安全性進行校驗,移動應用脫殼就是其中的必經步驟。
常規而言,安全人員一般採用手動方式進行脫殼,一是受制於安全研究人員本身水平的高低,二是其中有大量重複性工作,耗費企業安全人力。而市面上現有的自動脫殼工具不能解決DEX虛擬化的加固方案,並且廠商自定義的直譯器會定期更換Opcode對映表,導致很多自動脫殼服務無法完整有效的還原DEX程式碼。
基於這個洞察,騰訊安全科恩實驗室根據多年安全攻防研究經驗,推出先進的自動化脫殼方案,支援恢復常見的DEX加密和指令抽取等型別的加固。同時,針對廠商的DEX虛擬化保護(DEX-VMP), ApkPecker也進行了針對性脫殼和恢復。
ApkPecker在確定廠商位元組碼格式的基礎上,透過AI學習廠商直譯器二進位制中opcode handler的執行時行為,從而自動化恢復出廠商直譯器的opcode語義,還原出原始Dalvik位元組碼,並重寫DEX檔案。ApkPekcer的脫殼方案解決了opcode handler識別的難點,自動化還原被DEX-VMP保護的程式碼,提高了脫殼的完整度和自動化程度。經過大規模測試結果顯示,ApkPecker的脫殼成功率超過了85%。
(ApkPecker對指令抽取和DEX-VMP的脫殼效果)
ApkPecker是騰訊安全科恩實驗室研發的一款全自動的Android 應用漏洞掃描工具,該系統透過Android應用生命週期建模和應用攻擊面建模,採用靜態資料流分析和汙點分析的技術,提高漏洞發現的準確率。ApkPecker能夠輸出高質量漏洞掃描報告,提供高品質漏洞資訊以及漏洞觸發完整路徑,精準定位漏洞並提供修復建議,幫助移動安全人員解決現有痛點,提升應用安全性。
此次上線的自動化APK脫殼服務,也是其整體能力的又一次升級。Apkpecke致力於成為安全研究人員的數字助手,廣大移動應用開發商可以藉助ApkPecker對各種移動應用風險進行有力的防禦,建立從APP開發到使用者互動的產品全生命週期的安全管理,開展安全風險檢測與控制,為使用者的手機資訊、財產安全保駕護航。