Android中的Apk的加固加壳原理解析和实现.docx
《Android中的Apk的加固加壳原理解析和实现.docx》由会员分享,可在线阅读,更多相关《Android中的Apk的加固加壳原理解析和实现.docx(35页珍藏版)》请在冰豆网上搜索。
Android中的Apk的加固加壳原理解析和实现
Android中的Apk的加固(加壳)原理解析和实现
一、前言
今天又到周末了,憋了好久又要出博客了,今天来介绍一下Android中的如何对Apk进行加固的原理。
现阶段。
我们知道Android中的反编译工作越来越让人操作熟练,我们辛苦的开发出一个apk,结果被人反编译了,那心情真心不舒服。
虽然我们混淆,做到native层,但是这都是治标不治本。
反编译的技术在更新,那么保护Apk的技术就不能停止。
现在网上有很多Apk加固的第三方平台,最有名的应当属于:
爱加密和梆梆加固了。
其实加固有些人认为很高深的技术,其实不然,说的简单点就是对源Apk进行加密,然后在套上一层壳即可,当然这里还有一些细节需要处理,这就是本文需要介绍的内容了。
二、原理解析
下面就来看一下Android中加壳的原理:
我们在加固的过程中需要三个对象:
1、需要加密的Apk(源Apk)
2、壳程序Apk(负责解密Apk工作)
3、加密工具(将源Apk进行加密和壳Dex合并成新的Dex)
主要步骤:
我们拿到需要加密的Apk和自己的壳程序Apk,然后用加密算法对源Apk进行加密在将壳Apk进行合并得到新的Dex文件,最后替换壳程序中的dex文件即可,得到新的Apk,那么这个新的Apk我们也叫作脱壳程序Apk.他已经不是一个完整意义上的Apk程序了,他的主要工作是:
负责解密源Apk.然后加载Apk,让其正常运行起来。
在这个过程中我们可能需要了解的一个知识是:
如何将源Apk和壳Apk进行合并成新的Dex
这里就需要了解Dex文件的格式了。
下面就来简单介绍一下Dex文件的格式
主要来看一下Dex文件的头部信息,其实Dex文件和Class文件的格式分析原理都是一样的,他们都是有固定的格式,我们知道现在反编译的一些工具:
1、jd-gui:
可以查看jar中的类,其实他就是解析class文件,只要了解class文件的格式就可以
2、dex2jar:
将dex文件转化成jar,原理也是一样的,只要知道Dex文件的格式,能够解析出dex文件中的类信息就可以了
当然我们在分析这个文件的时候,最重要的还是头部信息,应该他是一个文件的开始部分,也是索引部分,内部信息很重要。
我们今天只要关注上面红色标记的三个部分:
1)checksum
文件校验码,使用alder32算法校验文件除去maigc,checksum外余下的所有文件区域,用于检查文件错误。
2)signature
使用SHA-1算法hash除去magic,checksum和signature外余下的所有文件区域,用于唯一识别本文件。
3)file_size
Dex文件的大小。
为什么说我们只需要关注这三个字段呢?
因为我们需要将一个文件(加密之后的源Apk)写入到Dex中,那么我们肯定需要修改文件校验码(checksum).因为他是检查文件是否有错误。
那么signature也是一样,也是唯一识别文件的算法。
还有就是需要修改dex文件的大小。
不过这里还需要一个操作,就是标注一下我们加密的Apk的大小,因为我们在脱壳的时候,需要知道Apk的大小,才能正确的得到Apk。
那么这个值放到哪呢?
这个值直接放到文件的末尾就可以了。
所以总结一下我们需要做:
修改Dex的三个文件头,将源Apk的大小追加到壳dex的末尾就可以了。
我们修改之后得到新的Dex文件样式如下:
那么我们知道原理了,下面就是代码实现了。
所以这里有三个工程:
1、源程序项目(需要加密的Apk)
2、脱壳项目(解密源Apk和加载Apk)
3、对源Apk进行加密和脱壳项目的Dex的合并
三、项目案例
下面先来看一下源程序
1、需要加密的源程序Apk项目:
ForceApkObj
需要一个Application类,这个到后面说为什么需要:
MyApplication.Java
[java]viewplaincopy
packagecom.example.forceapkobj;
importandroid.app.Application;
importandroid.util.Log;
publicclassMyApplicationextendsApplication{
@Override
publicvoidonCreate(){
super.onCreate();
Log.i("demo","sourceapkonCreate:
"+this);
}
}
就是打印一下onCreate方法。
MainActivity.Java
[java]viewplaincopy
packagecom.example.forceapkobj;
importandroid.app.Activity;
importandroid.content.Intent;
importandroid.os.Bundle;
importandroid.util.Log;
importandroid.view.View;
importandroid.view.View.OnClickListener;
importandroid.widget.TextView;
publicclassMainActivityextendsActivity{
@Override
protectedvoidonCreate(BundlesavedInstanceState){
super.onCreate(savedInstanceState);
TextViewcontent=newTextView(this);
content.setText("IamSourceApk");
content.setOnClickListener(newOnClickListener(){
@Override
publicvoidonClick(Viewarg0){
Intentintent=newIntent(MainActivity.this,SubActivity.class);
startActivity(intent);
}});
setContentView(content);
Log.i("demo","app:
"+getApplicationContext());
}
}
也是打印一下内容。
2、加壳程序项目:
DexShellTools
加壳程序其实就是一个Java工程,因为我们从上面的分析可以看到,他的工作就是加密源Apk,然后将其写入到脱壳Dex文件中,修改文件头,得到一个新的Dex文件即可。
看一下代码:
[java]viewplaincopy
packagecom.example.reforceapk;
importjava.io.ByteArrayOutputStream;
importjava.io.File;
importjava.io.FileInputStream;
importjava.io.FileOutputStream;
importjava.io.IOException;
importjava.security.MessageDigest;
importjava.security.NoSuchAlgorithmException;
importjava.util.zip.Adler32;
publicclassmymain{
/**
*@paramargs
*/
publicstaticvoidmain(String[]args){
//TODOAuto-generatedmethodstub
try{
FilepayloadSrcFile=newFile("force/ForceApkObj.apk");//需要加壳的程序
System.out.println("apksize:
"+payloadSrcFile.length());
FileunShellDexFile=newFile("force/ForceApkObj.dex");//解客dex
byte[]payloadArray=encrpt(readFileBytes(payloadSrcFile));//以二进制形式读出apk,并进行加密处理//对源Apk进行加密操作
byte[]unShellDexArray=readFileBytes(unShellDexFile);//以二进制形式读出dex
intpayloadLen=payloadArray.length;
intunShellDexLen=unShellDexArray.length;
inttotalLen=payloadLen+unShellDexLen+4;//多出4字节是存放长度的。
byte[]newdex=newbyte[totalLen];//申请了新的长度
//添加解壳代码
System.arraycopy(unShellDexArray,0,newdex,0,unShellDexLen);//先拷贝dex内容
//添加加密后的解壳数据
System.arraycopy(payloadArray,0,newdex,unShellDexLen,payloadLen);//再在dex内容后面拷贝apk的内容
//添加解壳数据长度
System.arraycopy(intToByte(payloadLen),0,newdex,totalLen-4,4);//最后4为长度
//修改DEXfilesize文件头
fixFileSizeHeader(newdex);
//修改DEXSHA1文件头
fixSHA1Header(newdex);
//修改DEXCheckSum文件头
fixCheckSumHeader(newdex);
Stringstr="force/classes.dex";
Filefile=newFile(str);
if(!
file.exists()){
file.createNewFile();
}
FileOutputStreamlocalFileOutputStream=newFileOutputStream(str);
localFileOutputStream.write(newdex);
localFileOutputStream.flush();
localFileOutputStream.close();
}catch(Exceptione){
e.printStackTrace();
}
}
//直接返回数据,读者可以添加自己加密方法
privatestaticbyte[]encrpt(byte[]srcdata){
for(inti=0;isrcdata[i]=(byte)(0xFF^srcdata[i]);
}
returnsrcdata;
}
/**
*修改dex头,CheckSum校验码
*@paramdexBytes
*/
privatestaticvoidfixCheckSumHeader(byte[]dexBytes){
Adler32adler=newAdler32();
adler.update(dexBytes,12,dexBytes.length-12);//从12到文件末尾计算校验码
longvalue=adler.getValue();
intva=(int)value;
byte[]newcs=intToByte(va);
//高位在前,低位在前掉个个
byte[]recs=newbyte[4];
for(inti=0;i<4;i++){
recs[i]=newcs[newcs.length-1-i];
System.out.println(Integer.toHexString(newcs[i]));
}
System.arraycopy(recs,0,dexBytes,8,4);//效验码赋值(8-11)
System.out.println(Long.toHexString(value));
System.out.println();
}
/**
*int转byte[]
*@paramnumber
*@return
*/
publicstaticbyte[]intToByte(intnumber){
byte[]b=newbyte[4];
for(inti=3;i>=0;i--){
b[i]=(byte)(number%256);
number>>=8;
}
returnb;
}
/**
*修改dex头sha1值
*@paramdexBytes
*@throwsNoSuchAlgorithmException
*/
privatestaticvoidfixSHA1Header(byte[]dexBytes)
throwsNoSuchAlgorithmException{
MessageDigestmd=MessageDigest.getInstance("SHA-1");
md.update(dexBytes,32,dexBytes.length-32);//从32为到结束计算sha--1
byte[]newdt=md.digest();
System.arraycopy(newdt,0,dexBytes,12,20);//修改sha-1值(12-31)
//输出sha-1值,可有可无
Stringhexstr="";
for(inti=0;ihexstr+=Integer.toString((newdt[i]&0xff)+0x100,16)
.substring
(1);
}
System.out.println(hexstr);
}
/**
*修改dex头file_size值
*@paramdexBytes
*/
privatestaticvoidfixFileSizeHeader(byte[]dexBytes){
//新文件长度
byte[]newfs=intToByte(dexBytes.length);
System.out.println(Integer.toHexString(dexBytes.length));
byte[]refs=newbyte[4];
//高位在前,低位在前掉个个
for(inti=0;i<4;i++){
refs[i]=newfs[newfs.length-1-i];
System.out.println(Integer.toHexString(newfs[i]));
}
System.arraycopy(refs,0,dexBytes,32,4);//修改(32-35)
}
/**
*以二进制读出文件内容
*@paramfile
*@return
*@throwsIOException
*/
privatestaticbyte[]readFileBytes(Filefile)throwsIOException{
byte[]arrayOfByte=newbyte[1024];
ByteArrayOutputStreamlocalByteArrayOutputStream=newByteArrayOutputStream();
FileInputStreamfis=newFileInputStream(file);
while(true){
inti=fis.read(arrayOfByte);
if(i!
=-1){
localByteArrayOutputStream.write(arrayOfByte,0,i);
}else{
returnlocalByteArrayOutputStream.toByteArray();
}
}
}
}
下面来分析一下:
红色部分其实就是最核心的工作:
1>、加密源程序Apk文件
[java]viewplaincopy
byte[]payloadArray=encrpt(readFileBytes(payloadSrcFile));//以二进制形式读出apk,并进行加密处理//对源Apk进行加密操作
加密算法很简单:
[java]viewplaincopy
//直接返回数据,读者可以添加自己加密方法
privatestaticbyte[]encrpt(byte[]srcdata){
for(inti=0;isrcdata[i]=(byte)(0xFF^srcdata[i]);
}
returnsrcdata;
}
对每个字节进行异或一下即可。
(说明:
这里是为了简单,所以就用了很简单的加密算法了,其实为了增加破解难度,我们应该使用更高效的加密算法,同事最好将加密操作放到native层去做)
2>、合并文件:
将加密之后的Apk和原脱壳Dex进行合并
[java]viewplaincopy
intpayloadLen=payloadArray.length;
intunShellDexLen=unShellDexArray.length;
inttotalLen=payloadLen+unShellDexLen+4;//多出4字节是存放长度的。
byte[]newdex=newbyte[totalLen];//申请了新的长度
//添加解壳代码
System.arraycopy(unShellDexArray,0,newdex,0,unShellDexLen);//先拷贝dex内容
//添加加密后的解壳数据
System.arraycopy(payloadArray,0,newdex,unShellDexLen,payloadLen);//再在dex内容后面拷贝apk的内容
3>、在文件的末尾追加源程序Apk的长度
[java]viewplaincopy
//添加解壳数据长度
System.arraycopy(intToByte(payloadLen),0,newdex,totalLen-4,4);//最后4为长度
4>、修改新Dex文件的文件头信息:
file_size;sha1;check_sum
[java]viewplaincopy
//修改DEXfilesize文件头
fixFileSizeHeader(newdex);
//修改DEXSHA1文件头
fixSHA1Header(newdex);
//修改DEXCheckSum文件头
fixCheckSumHeader(newdex);
具体修改可以参照之前说的文件头格式,修改指定位置的字节值即可。
这里我们还需要两个输入文件:
1>、源Apk文件:
ForceApkObj.apk
2>、脱壳程序的Dex文件:
ForceApkObj.dex
那么第一个文件我们都知道,就是上面的源程序编译之后的Apk文件,那么第二个文件我们怎么得到呢?
这个就是我们要讲到的第三个项目:
脱壳程序项目,他是一个Android项目,我们在编译之后,能够得到他的classes.dex文件,然后修改一下名称就可。
3、脱壳项目:
ReforceApk
在讲解这个项目之前,我们先来了解一下这个脱壳项目的工作:
1>、通过反射置换android.app.ActivityThread中的mClassLoader为加载解密出APK的DexClassLoader,该DexClassLoader一方面加载了源程序、另一方面以原mClassLoader为父节点,这就保证了即加载了源程序又没有放弃原先加载的资源与系统代码。
关于这部分内容,不了解的同学可以看一下ActivityThread.java的源码:
如何得到系统加载Apk的类加载器,然后我们怎么将加载进来的Apk运行起来等问题都在这篇文章中说到了。
2>、找到源程序的Application,通过反射建立并运行。
这里需要注意的是,我们现在是加载一个完整的Apk,让他运行起来,那么我们知道一个Apk运行的时候都是有一个Application对象的,这个也是一个程序运行之后的全局类。
所以我们必须找到解密之后的源Apk的Application类,运行的他的onCreate方法,这样源Apk才开始他的运行生命周期。
这里我们如何得到源Apk的Application的类呢?
这个我们后面会说道。
使用meta标签进行设置。
下面来看一下代码:
[java]viewplaincopy
packagecom.example.reforceapk;
importjava.io.BufferedInputStream;
importjava.io.ByteArrayInputStream;
importjava.io.ByteArrayOutputStream;
importjava.io.DataInputStream;
importjava.io.File;
importjava.io.FileInputStream;
importjava.io.FileOutputStream;
importjava.io.IOException;
importjava.lang.ref.WeakReference;
importjava