混淆技术研究-混淆技术简介(1)

最新推荐文章于 2024-09-16 13:46:43 发布
最新推荐文章于 2024-09-16 13:46:43 发布
阅读量8.4k 收藏 1
点赞数
分类专栏: 混淆技术研究 文章标签: python 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/132762857
版权

背景

在实际的移动安全分析过程中,遇到的混淆防护技术越来越多,因此分析难度逐渐增大,本系列技术研究主要通过对目前已有的混淆技术进行详细的技术分析,包括原理分析、反混淆技术等。本文是此系列的第一篇,主要是介绍目前市场上存在的混淆技术及其简单原理概述。

混淆技术概述

代码混淆技术是一种软件保护技术,它通过对程序代码进行变换和加密来增加逆向分析的难度,从而提高软件的安全性。

具体来说,代码混淆技术可以将程序代码中的函数、变量名替换成无意义的字符,使得逆向分析者难以理解源代码的含义。同时,混淆技术还可以对代码进行重组、插入假代码、修改逻辑等操作,从而使得程序的行为变得更加复杂和难以理解。此外,混淆技术还可以对程序中的字符串、常量和数据进行加密处理,以增加破解难度。

代码混淆技术广泛应用于各种软件,尤其是移动应用和游戏等领域,可以有效地防止软件被盗版、破解和篡改。

混淆手段

  1. 标识符重命名:
    标识符重命名技术将程序中的变量、函数、类等标识符修改为无意义的名称。例如,将"username"重命名为"a",将"calculateSalary"重命名为"b"。这样做可以增加代码的可读性和理解难度。以下是一个示例:
// 混淆前的代码
int calculateSalary(int hoursWorked) {
    return hoursWorked * hourlyRate;
}

// 混淆后的代码
int a(int b) {
    return b * hourlyRate;
}
  1. 控制流平坦化:
    控制流平坦化技术通过将条件分支语句展开为多个基本块,并重新组合这些基本块来创建新的程序流程图。以下是一个例子:
// 混淆前的代码
void processInput(int input) {
    if (input > 10) {
        System.out.println("Large input!");
    } else {
        System.out.println("Small input!");
    }
}

// 混淆后的代码
void processInput(int input) {
    switch(input) {
        case 0: {
            System.out.println("Small input!");
            break;
        }
        case 1: {
            System.out.println("Small input!");
            break;
        }
        // ...
        case 100: {
            System.out.println("Large input!");
            break;
        }
        // ...
    }
}
  1. 字符串加密:
    字符串加密技术将程序中的字符串进行加密处理,可以使用对称或非对称加密算法来保护字符串内容免受直接查看。以下是一个示例:
// 混淆前的代码
String secretKey = "mySecretKey";
System.out.println("Encryption key: " + secretKey);

// 混淆后的代码
String encryptedKey = encryptString("mySecretKey");
System.out.println("Encryption key: " + decryptString(encryptedKey));

// 加密和解密函数实现略过
  1. 代码插入:
    代码插入技术向程序中插入一些可执行代码,增加程序的复杂度,使得程序的行为变得更难以理解和分析。以下是一个示例:
// 混淆前的代码
int calculate(int x, int y) {
    return x + y;
}

// 混淆后的代码
int calculate(int x, int y) {
    if (x > 10) {
        return x - y;
    } else {
        return x + y;
    }
}

Java混淆

混淆工具

  1. ProGuard:
    ProGuard 是 Android SDK 自带的默认混淆工具,可以在编译过程中对代码进行优化和混淆。它可以删除未使用的代码、重命名类和方法、压缩代码等操作,以减小应用的大小并增加代码的安全性。

  2. DexGuard:
    DexGuard 是商业化的混淆工具,专门为保护Android应用程序而设计。它提供更高级的代码保护功能,包括类似ProGuard的混淆和优化功能,以及额外的加密、反调试、反逆向工程等特性。

  3. Zelix KlassMaster:
    Zelix KlassMaster 是另一个商业化的Java混淆工具,支持Android平台。它提供了广泛的代码混淆和优化选项,包括重命名、字段混淆、控制流和数据流混淆等功能。

  4. Allatori:
    Allatori 是一款针对Java和Android的商业化混淆工具。它提供了多种代码混淆技术,例如名称混淆、字符串加密、控制流混淆等,以保护应用程序的源代码。

  5. R8:
    R8 是Google开发的Java字节码优化器和混淆工具,用于替换传统的ProGuard。它能够在编译期间对代码进行优化、压缩和混淆,以减小应用的大小并提高执行效率。

混淆分类

  1. 字符串混淆
  • 技术原理

Java字符串混淆的核心思想是将明文字符串进行加密处理,并在运行时动态解密。具体实现方式有以下两种:

(1)使用加密算法对字符串进行加密,然后将加密后的结果存储到代码中,运行时再通过解密算法进行解密。例如,可以使用AES或者DES等加密算法对字符串进行加密,然后在代码中存储加密后的密文。在运行时,通过调用解密算法进行解密,获取明文字符串。

(2)使用自定义的加密转换函数对字符串进行加密,然后将加密后的结果存储到代码中,运行时再通过解密函数进行解密。例如,可以定义一个简单的加密规则,如每个字符加上一个随机数,然后在代码中存储加密后的字符串。在运行时,通过调用解密函数进行解密,获取原始字符串。

  • 破解原理

寻找核心的解密函数,并还原解密算法,一般解密算法是在Java层实现,比较好分析

  1. 控制流混淆
  • 技术原理

Java控制流混淆的核心思想是通过改变程序的控制流程,使得源代码的逻辑结构变得模糊。具体实现方式有以下几种:

(1)条件语句重组:
将原始的条件语句进行重组,改变其执行顺序,增加分支和嵌套,使得逻辑关系变得复杂,增加逆向分析的难度。例如,将if语句和else语句进行交换、嵌套等操作。

(2)循环展开和优化:
对循环进行展开和优化,增加循环次数、调整循环结构等操作,使得循环逻辑变得复杂和不易识别。例如,将for循环展开成多个语句块,使用随机数作为循环条件等。

(3)插入冗余代码:
在源代码中插入一些无意义的冗余代码,增加代码量和复杂性,干扰逆向工程者分析程序的真正逻辑。例如,插入大量的空语句、无用的条件判断等。

(4)代码混淆器:
使用专门的代码混淆工具,对源代码进行自动化混淆处理,包括变量重命名、方法内联、代码拆分等操作。这些操作会改变源代码的结构和流程,增加逆向分析的难度。

  • 破解原理
    • 反混淆工具
    • Dex2Jar/通过转成ir,并优化ir的思路进行破解。dex -> ir > opt(ir) -> dex
  1. 名称混淆

Native混淆 (WIP)

  1. ollvm混淆
    在这里插入图片描述
  2. 其他混淆

资源混淆

  1. AndroidManiFest.xml混淆
  2. assert混淆

参考

dex-oracle
ollvm_deobf_fla.py

Tasfa
关注
专栏目录
混淆技术研究-OLLVM混淆-指令替换(SUB)
Tasfa的博客
09-28 1331
指令替换(Instruction Substitution)是一种代码混淆技术,用于将程序中的原始指令替换为等效但更难理解和还原的指令序列。通过指令替换,可以增加程序的复杂性和抵抗逆向工程的能力。指令替换可以采用不同的方式进行,下面是一些常见的替换方式:常量展开(Constant Unfold):将原始指令中的常量操作替换为等效的指令序列,增加了代码的复杂性和可读性。原始指令:a = b * 5替换指令:a = (b
混淆技术研究-OLLVM混淆-控制流平坦化(FLA)
Tasfa的博客
09-10 922
控制流平坦化通过将程序中的条件分支语句转化为等价的平铺控制流来实现。通常,这包括将原始的分支语句(如if语句、switch语句)中的每个分支提取出来,并将它们放置在一系列连续的基本块中,然后使用一个状态变量或标志来选择要执行的基本块。这样,原本嵌套的条件分支结构就被展开成了一个扁平的基本块序列。
代码混淆技术
weixin_43906500的博客
01-23 2670
代码混淆技术 代码混淆亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码,也可以用于程序编译而成的中间代码。执行代码混淆的程序被称作代码混淆器。已经存在许多种功能各异的代码混淆器。 在编译的过程中,有以下流程:源程序 - > 前端 - > 中间代码 - > 代码优化器 - > 中间代码 - > 代码生成器 - > 目标程序,混淆,就是代码优化器的逆过程。混淆技术分为两类:一类是基于...
混淆技术(Obfuscation techniques)
kl195375的博客
08-20 3236
混淆技术被病毒制作者大量使用于躲避防病毒扫描程序的检测。 现有的恶意软件种类有:加密(encrypted),寡态(oligomorphic),多态(ploymorphic),变形(metamorphic)。 多态与变形恶意软件中常用的混淆技术。 死码插入(Dead-Code Insertion) 程序无效指令改变其外观,但保证其行为。例如:通过插入无效指令nop可以轻松地对原始代码进行模糊处理...
Androd安全——混淆技术完全解析
weixin_30825581的博客
09-08 173
0.前言在上一篇Androd安全——反编译技术完全解析中介绍了反编译方面的知识,因此我们认识到为了安全我们需要对代码进行混淆混淆代码并不是让代码无法被反编译,而是将代码中的类、方法、变量等信息进行重命名,把它们改成一些毫无意义的名字。因为对于我们而言可能Cellphone类的call()方法意味着很多信息,而A类的b()方法则没有任何意义,但是对于计算机而言,它们都是平等的。所以说混淆代码可...
Android代码混淆技术总结(一)
github_30662571的博客
04-28 9770
* 作者:ix__xi,本文转载自安全客,原文地址:http://bobao.360.cn/learning/detail/3704.html 一、前言 最近一直在学习Android加固方面的知识,看了不少论文、技术博客以及一些github上的源代码,下面总结一下混淆方面的技术,也算是给想学习加固的同学做一些科普,在文中讲到的论文、资料以及源码,我都会给出相应的链接,供大家进一步
2020-11-13(混淆技术
寻梦&之璐
11-13 359
混淆技术分为两类:基于数据的混淆技术和基于控制的混淆技术 基于数据的混淆: a.常量展开 b.数据编码方案 c.插入死代码 d.恒等运算替换 e.基于模式的混淆技术 基于控制的混淆技术: a.函数内联和外联 b.对顺序局部性和时间局部性的破坏 c.基于处理器的控制间接化 d.基于操作系统的控制间接化 e.不透明谓词 ...
混淆技术研究-混淆技术-源码分析(2)
Tasfa的博客
09-28 627
OLLVM(Obfuscator-LLVM)是基于LLVM(Low Level Virtual Machine)框架的一种代码混淆器。它主要用于对C/C++和汇编语言程序进行混淆,以增加代码的复杂性,提高代码的安全性和抵抗逆向工程的能力。 IR(Intermediate Representation)是指中间表示,是编译器在将源代码转化为目标代码的过程中使用的一种中间形式。它作为源代码和目标机器代码之间的一个抽象层,方便进行代码优化、分析和生成。Module、Function、BasicBlock和Ins
混淆技术研究-OLLVM混淆-虚假控制流(BCF)
Tasfa的博客
09-10 8508
虚假控制流(BCF, Bogus Control Flow),该方法通过在当前基本块之前添加一个基本块来修改函数调用图。这个新的基本块包含一个不透明谓词,然后进行条件跳转到原始基本块。并且原始基本块也被克隆,并填充了随机选择的垃圾指令。
Tcl lnit error: Can’t find a usable init.tcl in the following directories 问题解决
梦想闹钟
09-15 412
实际研究后发现,其实py2exe已经把打包需要的lib放在dist文件夹下了,但是打包后的程序运行后却没有去lib下找,而是去找系统自带的环境变量里找,所以找不到。这个问题出现在我用py2exe打包了一个包含tkinter的图形化界面,在当前电脑上运行无问题,在移动到新电脑上后提示报错、getcwd用于获取当前工作目录绝对路径,在设置环境的变量的时候它用的是绝对路径-所以也导致了在当前电脑上能用而移动后不能用。解决方法是在你的程序里重新设置下环境变量,而且是用相对路径的形式。
Python世界:力扣29题两数相除算法实践
来知晓的博客
09-13 412
除法运算本质是减法,从理解原理到真正实现还是有距离,建议初步理解后,不参考任何代码,完全自己复现一遍,体会更深。注意提示:目的就是提醒越界问题:-2^31/-1=2&31,超过了整数表达范围。本问题来自于力扣29题,在做完大数相乘后,顺带也看下两数相除。将两数相除,要求不使用乘法、除法和 mod 运算符。给定两个整数,被除数。
Python办公自动化案例(二):对比两个Excel数据内容并标出不同
衍生星球的博客
09-14 445
在数据处理和分析的日常工作中,我们经常需要比较两个Excel文件的差异。这可能是为了验证数据的一致性、检查数据的准确性,或者在版本控制中追踪更改。手动比较这些文件不仅耗时,而且容易出错。幸运的是,Python的openpyxl库提供了一种自动化这一过程的方法。
JUC从实战到源码:中断机制与API实现
qq_43843951的博客
09-12 1152
在Java中,线程中断是一种机制,用于通知线程应该停止当前正在执行的任务。中断通常用于协同线程之间的合作,以便让线程在适当的时候终止其工作,尤其是在长时间运行的任务或阻塞操作中。通过学了多线程以及synchronized的相关知识,接下来就到了学习线程中断知识。
车辆检测与分类系统源码分享
xuehaikj的博客
09-13 1395
数据集信息展示在本研究中,我们采用了名为“comexit”的数据集,以支持对YOLOv8模型在车辆检测与分类任务中的改进。该数据集专注于交通工具的识别,特别是公共交通和货运车辆,具有明确的应用背景和实用价值。数据集的类别数量为三,具体包括“bus”(公交车)、“car”(小汽车)和“truck”(卡车)。这三类车辆在城市交通和物流系统中扮演着重要角色,因此,准确的检测与分类对于交通管理、智能交通系统以及自动驾驶技术的发展具有重要意义。
opencv学习:calcHist 函数绘制图像直方图及代码实现
mohanyelong的博客
09-13 1477
opencv学习:calcHist 函数绘制图像直方图及代码实现
面试真题 | web自动化关闭浏览器,quit()和close()的区别
NHB234567的博客
09-13 363
关闭所有的浏览器窗口,销毁driver操作,则需要使用的是quit方法;当打开了多个窗口,只想要关闭非最后一个窗口的时候,使用的是close方法。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!close():只关闭当前的浏览器标签页,如果当前浏览器标签页剩下最后一个,则所有标签页面退出。是否编写过对应浏览器退出的测试用例。quit():所有的浏览器窗口退出。关闭当前的标签页,其他窗口不退出。退出当前所有的窗口;
Python——俄罗斯方块
2302_81225694的博客
09-14 1262
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
2024.9.16 day 1 pytorch安装及环境配置
最新发布
m0_58285219的博客
09-16 387
pytorch安装及环境配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值