apk防标记.防报毒处理深入分析;附工具
背景
Google审核日益严格,很多包都会因为各种原因被拒,推广线下包也就成了PlanB
但在设备上直接安装apk,又会遇到另一个问题:报毒
报毒后,推广成本大大增加,用户安装意愿大大降低.
为什么一个apk会被标记成病毒呢.
1.为什么apk被报毒
就是你的apk里面包含病毒信息,或你的apk已经在病毒库里,安装时,病毒库直接告知系统有病毒
1.1 静态特征
静态特征主要是apk文件里的代码,资源,so,权限等静态文件或代码,当三方平台确定某些代码或文件为病毒,apk里只要包含了这些,就会认为包含病毒.
1.2动态特征
动态特征主要是在代码层面,有些用户会对自己的项目进行混淆在出包,但有时被标记的是执行逻辑,即使改了名字,运行逻辑汇编层面,都是一样的.
1.3 其他
比如Google手机安装线下apk时,会检测签名是否是Google商店上注册的签名.
还有可能被用户举报,然后被标记
2 如何解决被标记成病毒
2.1 解决静态标记
静态标记处理,只要将包的静态文件处理为不一样的就行,代码每次做混淆,文件进行加密,去除敏感权限.等
2.2 解决动态标记
在2.1的基础上,再在一些关键运行地方,插入垃圾代码,运行逻辑就会不一致
2.3 其他处理
只能见招拆招,比如Google检测签名报毒说非正规应用,那就用线上包的签名进行签名,上几个白包,线下用其签名就行.
至于被用户举报,然后被标记,这种最好优化App内容,处理用户遇到的问题,减少被举报.当然,还有下面这种方式曲线救国.
3 高端处理,防标记
除了上述处理外,还可以进行高端操作.
3.1 为什么被标记
大家都知道,那些病毒库都会有机器学习能力,同一个包一直被检测,多次被用户举报,多了就会被标记,轻则部分代码被标记入库,重则apk的MD5直接入库
3.2 如何解决
如果,每个用户安装的包都完全不一样,那安装时检测的包,被举报的包,根本没有关联,那相当于我的apk有千千万万分身,它标记的也只是其中一个分身而已.
3.3 如何实现
分析
1.保证每个用户下载的包不一样,(仅几个用户下载包一样)
2.实现1,需要每个包包名不一样,所以App内容不能跟包名绑定,能支持换包名.
3.要保证每次的包代码资源so都不一样,所以每次需要混淆
4.要保证每次的包运行逻辑不一样,所以每次都要插入不同的垃圾代码.
3.3 结果
经过上述处理,可以自动每几分钟生成新包,即使被标记,几分钟后的用户下载的又是全新的包,标记还没新包生成快.
目前已实现上述各个步骤,并实现了全自动化.
基本没在出现被报毒的情况.
亲测有效.
检测apk是否报毒网站
virustotal
Google,Facebook等都比较信赖的网站,被其检测出来有病毒,国外难推广
腾讯安全实验室
国内常用检测机构
工具地址
使用方法:
1.打开工具,账号设置,注册账号(注,注册的新账号为测试账号,加固的包有运行时效限制,勿正式发布)
2.点击选择需要加固的包(路径不能包含空格等特殊字符)
3.没有签名就勾选自动签名
点击 begin 会出现加载图片卡死的现象,别着急,这是在进行加固。静静等待即可。
mac打开App遇到恶意软件的处理方式
1.下载打开压缩包.
2.双击加固App,Apple会提示"无法打开,恶意软件字样"
3.打开电脑系统设置-隐私与安全性-安全性:会有刚才打开软件的提示,点击仍然打开就行.
App环境部署.
App需要Python3 和 openjdk的环境,
如果电脑已经装好,可以直接使用,如果没有,可以安装.
上述下载地址的百度网盘下载地址,里面有我使用的jdk版本,可以下载使用.
上述下载地址的百度网盘下载地址,里面有apk查看工具,可以查看对比加固前后apk的信息.
联系作者
如有疑问联系作者