Jadx项目处理加密ZIP文件的技术解析

背景介绍

Jadx是一款流行的Java反编译工具，主要用于分析Android应用程序(APK文件)。近期在处理一个名为"chrome_update_v136.apk"的恶意软件样本时，开发团队遇到了ZIP文件解析问题。这个案例揭示了Jadx在处理特殊构造的ZIP文件时的一些技术挑战和解决方案。

问题现象

当用户尝试使用Jadx 1.51版本反编译该APK文件时，遇到了"invalid CEN header (encrypted entry)"错误。具体表现为：

1. ZIP文件中的多个Central Directory和Local File头部设置了加密标志位(bit 0)
2. 虽然Android运行时忽略这个标志位，但标准ZIP解析器会将其视为加密文件而拒绝处理
3. 文件中还包含了一些伪造的ZIP文件作为干扰项

技术分析

ZIP文件格式特性

标准的ZIP文件格式规范中，每个文件条目都有一个称为"general purpose bit flag"的字段。其中bit 0表示该条目是否加密。正常情况下，Android APK不应该设置这个标志位，因为APK文件不应该加密。

然而，恶意软件作者经常故意破坏ZIP文件格式规范，设置各种非标准标志位来干扰分析工具。在这个案例中，样本设置了加密标志位，但实际内容并未真正加密。

Jadx的解决方案演进

Jadx团队针对这类问题提出了两种解决方案：

1. ZIP补丁方案：由贡献者qfalconer提出的PR #2298实现，通过修改ZIP解析逻辑来忽略某些特定的格式违规
2. 自定义ZIP解析器：由项目维护者skylot开发的"zip"分支，实现了一个更健壮的ZIP解析器，能够处理各种格式破坏情况

最终，团队选择了第二种方案，将其合并到主分支中。这个自定义解析器具有以下特点：

• 能够正确处理设置了加密标志位但实际未加密的文件
• 支持处理文件夹名称与文件名称冲突的情况
• 对ZIP文件结构有更强的容错能力

资源解码问题

尽管解决了ZIP解析问题，样本中的资源文件(resources.arsc)仍然无法正确解码。经过分析发现：

1. 资源文件中包含了一个null类型的chunk，这是REAndroid ARSCLib用于添加注释的特殊结构
2. ResTable_config chunk的尺寸异常小(仅0x10字节)，而Jadx预期至少28字节
3. Android系统会零填充ResTable_config对象，只读取实际存在的数据

qfalconer提出了解决方案：

• 添加对null类型chunk的检测和跳过逻辑
• 修改ResTable_config解析逻辑，使用足够大的缓冲区(至少52字节)来读取配置数据
• 对缺失的字段使用零值填充

技术意义

这个案例展示了：

1. 恶意软件分析中常见的格式破坏技术
2. 分析工具需要平衡严格遵循规范与实用性的关系
3. 自定义解析器在处理非标准文件时的重要性
4. Android资源文件的复杂性和解析挑战

实践建议

对于安全研究人员：

1. 当遇到类似问题时，可以尝试Jadx的最新开发版本
2. 即使资源解码失败，仍可通过搜索关键方法(如attachBaseContext)找到恶意代码
3. 注意恶意软件常用的技术，如伪造ZIP文件干扰分析

对于工具开发者：

1. 需要考虑各种边界情况和格式破坏的可能性
2. 实现自定义解析器时要注意性能与健壮性的平衡
3. 对Android特有文件格式需要有深入理解

总结

Jadx项目通过这次问题修复，增强了处理非标准ZIP文件的能力，为安全研究人员提供了更强大的分析工具。这个案例也提醒我们，在恶意软件分析领域，工具需要不断进化以应对各种新的挑战。