首页
/ APKiD项目:DingXiang加固样本检测技术分析

APKiD项目:DingXiang加固样本检测技术分析

2025-07-03 08:59:41作者:彭桢灵Jeremy

背景介绍

在移动应用安全领域,APKiD作为一款知名的Android应用识别工具,能够有效检测各类加固方案。近期项目组发现了一个疑似使用DingXiang加固的样本,经过技术团队深入分析,确认了该加固方案的特征和检测方法。

样本特征分析

该样本包名为org.ai.create.filter,版本v2.55.0。通过技术分析,我们发现该样本具有以下典型特征:

  1. 文件结构特征

    • 包含com.security.shell.V5App类
    • 存在dsnstub000.vd文件
    • assets目录下包含多个特殊文件:
      • __param.data
      • __version.txt
      • csn9fb7236d.data2(包含应用原始数据)
      • output-(arm.|x86.).data
  2. 库文件特征

    • /lib/arm64-v8a/libsys_misc.so(仅包含"Placeholder"文本的伪库文件)
    • 部分样本还包含libstub000.so
  3. 反调试和反虚拟机措施

    • 实现了Debug.isDebuggerConnected()检查
    • 包含多种Build属性检查(BOARD、FINGERPRINT等)
    • 包含SIM卡和网络运营商检查

加固方案确认

通过对比分析多个样本,技术团队确认这是DingXiang加固方案的典型特征。特别值得注意的是:

  1. 版本信息一致性:多个样本的__version.txt都显示为v6.0.4r
  2. 文件结构相似性:都包含__param.data和libsys_misc.so等特征文件
  3. 行为模式一致性:都采用了类似的资源隐藏和反调试策略

检测规则建议

基于以上分析,建议在APKiD中增加以下检测规则:

  1. 文件路径检测:

    • assets/__param.data
    • assets/__version.txt
    • lib/arm64-v8a/libsys_misc.so
  2. 内容特征检测:

    • 检查libsys_misc.so是否为空或包含"Placeholder"文本
    • 验证__version.txt内容是否符合已知版本格式
  3. 类名检测:

    • com.security.shell.V5App类的存在

技术意义

DingXiang作为国内常见的加固方案,其检测规则的完善对于Android应用安全分析具有重要意义。通过准确识别这类加固方案,安全研究人员可以:

  1. 更有针对性地进行逆向分析
  2. 开发相应的脱壳工具
  3. 评估应用的安全防护水平
  4. 发现潜在的安全风险

总结

本次分析不仅确认了一个新的DingXiang加固样本,还完善了APKiD对该加固方案的检测能力。随着移动应用安全对抗的不断升级,持续更新检测规则和保持对新加固方案的研究至关重要。技术团队将继续关注各类加固方案的发展动态,为Android应用安全研究提供有力支持。

登录后查看全文
热门项目推荐