APKiD项目中的Appdome ELF保护规则增强分析

背景介绍

APKiD是一款用于识别Android应用程序打包工具、保护措施和编译器的工具。在分析过程中，发现某些使用Appdome保护方案的ELF二进制文件未能被正确识别，特别是在aarch64架构下。本文详细分析了这一检测问题的技术细节和解决方案。

问题分析

在分析样本"br.gov.caixa.tem"时，发现其ARM64架构的ELF二进制文件未被APKiD正确识别为Appdome保护。经过深入调查，发现现有规则存在以下不足：

1. 现有规则主要针对32位ARM架构设计
2. 新版本Appdome引入了新的节区特征
3. 64位架构下的保护特征与32位存在差异

技术细节

ELF节区特征分析

通过对32位和64位Appdome保护的ELF文件进行对比分析，发现以下关键特征：

32位ELF文件特征节区：

• .rhash (大小为0x5ba，具有特定标志)
• .adi (大小为0x264，包含实际数据)

64位ELF文件特征节区：

• .rhash (大小为0x5ba，具有特定标志0x33)
• .adi (大小为0x264，包含实际数据)
• 其他辅助节区如.gcc_abi、.eh_trace等

保护机制特点

Appdome保护方案在ELF文件中表现出以下技术特点：

1. 多节区协作：通过多个特殊节区共同实现保护功能
2. 节区标志特殊：部分节区具有非常规的标志组合(如0x33)
3. 架构差异：在不同架构下节区布局和命名存在细微差异

解决方案

基于上述分析，提出以下规则改进方案：

1. 扩展节区匹配列表：在现有规则基础上增加对.rhash节区的识别
2. 架构适配：确保规则同时适用于32位和64位ELF文件
3. 标志检测：加入对特殊节区标志的检测条件

改进后的YARA规则核心逻辑如下：

rule appdome_elf_a : protector {
    condition:
        is_elf and 
        // 匹配至少2个特征节区
        for 2 i in (0..elf.number_of_sections):
            (elf.sections[i].name matches /(hook|\.hookname|adinit|\.adi|ipcent|\.rhash|ipcsel)/)
}

实施效果

经过改进后，规则能够：

1. 准确识别32位和64位架构下的Appdome保护
2. 降低误报率，通过要求匹配多个特征节区
3. 保持对历史版本Appdome保护的兼容性

技术意义

本次规则改进不仅解决了特定样本的检测问题，更重要的是：

1. 完善了APKiD对现代化应用保护方案的检测能力
2. 为后续处理类似保护方案提供了技术参考
3. 展示了如何通过节区特征分析来识别保护方案

总结

通过对Appdome保护方案的深入分析，我们增强了APKiD的检测能力，使其能够更准确地识别各种架构下的保护ELF文件。这一工作也体现了持续维护开源工具以适应不断发展的移动安全环境的重要性。未来，我们将继续跟踪新型保护方案的发展，保持检测能力的时效性。