APKiD项目：DingXiang加固样本检测技术分析

背景介绍

在移动应用安全领域，APKiD作为一款知名的Android应用识别工具，能够有效检测各类加固方案。近期项目组发现了一个疑似使用DingXiang加固的样本，经过技术团队深入分析，确认了该加固方案的特征和检测方法。

样本特征分析

该样本包名为org.ai.create.filter，版本v2.55.0。通过技术分析，我们发现该样本具有以下典型特征：

1. 文件结构特征：

   • 包含com.security.shell.V5App类
   • 存在dsnstub000.vd文件
   • assets目录下包含多个特殊文件：
     • __param.data
     • __version.txt
     • csn9fb7236d.data2（包含应用原始数据）
     • output-(arm.|x86.).data

2. 库文件特征：

   • /lib/arm64-v8a/libsys_misc.so（仅包含"Placeholder"文本的伪库文件）
   • 部分样本还包含libstub000.so

3. 反调试和反虚拟机措施：

   • 实现了Debug.isDebuggerConnected()检查
   • 包含多种Build属性检查（BOARD、FINGERPRINT等）
   • 包含SIM卡和网络运营商检查

加固方案确认

通过对比分析多个样本，技术团队确认这是DingXiang加固方案的典型特征。特别值得注意的是：

1. 版本信息一致性：多个样本的__version.txt都显示为v6.0.4r
2. 文件结构相似性：都包含__param.data和libsys_misc.so等特征文件
3. 行为模式一致性：都采用了类似的资源隐藏和反调试策略

检测规则建议

基于以上分析，建议在APKiD中增加以下检测规则：

1. 文件路径检测：

   • assets/__param.data
   • assets/__version.txt
   • lib/arm64-v8a/libsys_misc.so

2. 内容特征检测：

   • 检查libsys_misc.so是否为空或包含"Placeholder"文本
   • 验证__version.txt内容是否符合已知版本格式

3. 类名检测：

   • com.security.shell.V5App类的存在

技术意义

DingXiang作为国内常见的加固方案，其检测规则的完善对于Android应用安全分析具有重要意义。通过准确识别这类加固方案，安全研究人员可以：

1. 更有针对性地进行逆向分析
2. 开发相应的脱壳工具
3. 评估应用的安全防护水平
4. 发现潜在的安全风险

总结

本次分析不仅确认了一个新的DingXiang加固样本，还完善了APKiD对该加固方案的检测能力。随着移动应用安全对抗的不断升级，持续更新检测规则和保持对新加固方案的研究至关重要。技术团队将继续关注各类加固方案的发展动态，为Android应用安全研究提供有力支持。