APKiD项目中的中国主流应用加固技术分析

摘要

本文基于APKiD开源项目中的检测数据，对中国市场上主流的Android应用加固技术进行了系统性分析。我们将重点介绍7种具有代表性的加固方案及其技术特征，包括通付盾、腾讯御安全、几维安全等知名厂商的产品。通过分析这些加固方案的文件特征、目录结构和类名模式，帮助安全研究人员快速识别不同加固技术的实现方式。

通付盾加固技术特征分析

通付盾(Tongfu shield)是国内知名的移动应用安全加固方案提供商。其加固后的应用具有以下典型特征：

1. 文件系统特征：

   • assets目录下包含mode、PK、virtual等特殊目录
   • 存在libegis.a等特定库文件
   • lib目录下包含libegis.so等原生库

2. 代码特征：

   • 包含com.payegis包路径下的特定类
   • 存在FirstApplication等自定义Application类

3. 多架构支持：

   • 提供x86和ARM架构的库文件支持
   • 通过egis和egis-x86区分不同架构实现

腾讯御安全系列加固方案

腾讯御安全提供多个版本的产品线，包括企业版和标准版：

企业版特征

• 使用特定命名的数据文件(如dexMethod_00oo1l1l.dat)
• 包含libshell-supervbasic.2019.so等版本化的库文件
• 库文件命名中包含年份标识

标准版特征

• assets目录包含0OO00l111l1l等混淆命名的文件
• 支持多架构(t86、t86_64、tarm)
• 使用WrapperProxyApplication作为代理Application
• 包含com.wrapper.proxyapplication包路径

几维安全加固方案

几维安全(Kiwi Security)的加固方案具有以下识别特征：

1. 许可文件：

   • assets目录包含ec_dt.lic、kwpt.lincense等许可文件
   • 使用crash目录存放崩溃相关数据

2. 原生库特征：

   • 包含libkiwi_dumper.so等kiwi前缀的库
   • 提供数据加密库(libkwsdataenc.so)

3. 代码结构：

   • 使用com.kiwisec.crash等特定包路径
   • 包含StubApplication等自定义Application

爱加密企业版技术特征

爱加密(iCrypt)企业版加固方案的主要特征包括：

• 使用.ijiami扩展名的配置文件(ijiami.ajm)
• 包含多种架构的数据加密库
• 使用InteGration_4.5.1.ttf等版本化的资源文件
• 存在s.h.e.l.l.特殊目录结构
• 提供x86和ARM64架构的加密库变体

网易易盾加固方案

网易易盾(NetEase EasyShield)的识别特征相对简洁：

• 使用nedata.db等特定命名的数据库文件
• 原生库文件体积异常小(通常小于1KB)
• 包含com.netease.nis.wrapper包路径
• 使用MyApplication作为Wrapper应用
• 同样存在s.h.e.l.l.目录结构

梆梆加固企业版分析

梆梆加固(BangBang)企业版的识别特征包括：

1. 证书文件：

   • 包含特定域名的证书文件
   • 使用.js等脚本文件作为混淆手段

2. 原生库特征：

   • 包含libDexHelper.so等Dex处理库
   • 提供x86架构的变体库

3. 代码结构：

   • 使用com.secneo.apkwrapper包路径
   • 包含多种WebView相关的资源文件

顶象加固技术特征

顶象加固(DingXiang)的识别特征相对简单：

• 使用com.security.shell.AppStub1等特定类名
• 包含stub000等编号的存根类
• 包路径中包含security等关键词

检测建议

针对上述加固技术的检测，安全研究人员可以：

1. 优先检查assets和lib目录下的特殊文件
2. 关注Application类的继承关系
3. 检查包路径中的安全相关关键词
4. 对比不同版本间的文件变化
5. 注意多架构支持的实现方式

总结

中国市场的Android应用加固技术呈现出多样化特征，各厂商通过文件混淆、多架构支持、自定义Application等技术手段实现保护。了解这些特征有助于安全研究人员快速识别应用使用的加固方案，为进一步分析奠定基础。随着技术的演进，这些特征可能会发生变化，需要持续跟踪更新检测方法。