CN104216946B - 一种用于确定重打包应用程序的方法和装置 - Google Patents
一种用于确定重打包应用程序的方法和装置 Download PDFInfo
- Publication number
- CN104216946B CN104216946B CN201410373867.1A CN201410373867A CN104216946B CN 104216946 B CN104216946 B CN 104216946B CN 201410373867 A CN201410373867 A CN 201410373867A CN 104216946 B CN104216946 B CN 104216946B
- Authority
- CN
- China
- Prior art keywords
- item
- application program
- data portion
- arrangement
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/122—File system administration, e.g. details of archiving or snapshots using management policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种在计算机设备中用于确定重打包应用程序的方法,其中,该方法包括以下步骤:a.仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则;b.当所述数据部分中的项的排布符合重打包排布规则时,确定所述应用程序为重打包应用程序。根据本发明的方案,不需要将应用程序与相应的正版应用程序进行比对,也不需要收集大量的正版应用程序,仅根据应用程序的可执行文件即可确定该应用程序是否是重打包应用程序,其实现简单,操作方便,工作量小,且对计算机设备的性能不作特殊的要求。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种在计算机设备中用于确定重打包应用程序的方法和装置。
背景技术
随着开放式***更广泛的市场应用,出于各种目的,越来越多的正版应用程序在破解后被篡改,从而生成包含了篡改后的信息的重打包应用程序,也称山寨应用程序。这种重打包应用程序已成为安卓***中病毒的主要来源之一,严重影响了安卓***的安全性。
现有技术中,在确定一个应用程序是否为重打包应用程序时,往往需要借助除应用程序自身以外的各种信息。例如,作为一种方案,可收集大量正版应用程序来建立特征库,并通过将一个应用程序的数字签名等信息与特征库中正版应用程序的数字签名等信息进行比对,来判定该应用程序是否为重打包应用程序。又如,作为另一种方案,可将待确定的应用程序与正版应用程序或已确定的重打包应用程序进行比对分析,来确定该应用程序是否为重打包应用程序。
然而,市场上应用程序的数目在不断增加,很难收集到所有的正版应用程序或重打包应用程序,且收集速度很难跟上正版应用程序更新的速度,这使得上述方案存在一定的滞后性,从而通常仅适用于较为流行的少数应用程序。
发明内容
本发明的目的是提供一种在计算机设备中用于确定重打包应用程序的方法和装置。
根据本发明的一个方面,提供一种在计算机设备中用于确定重打包应用程序的方法,其中,该方法包括以下步骤:
a.仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则;
b.当所述数据部分中的项的排布符合重打包排布规则时,确定所述应用程序为重打包应用程序。
根据本发明的另一个方面,还提供了一种在计算机设备中用于确定重打包应用程序的装置,其中,该装置包括以下装置:
用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置;
用于当所述数据部分中的项的排布符合重打包排布规则时,确定所述应用程序为重打包应用程序的装置。
与现有技术相比,本发明具有以下优点:1)可仅根据一个应用程序的可执行文件,来判断该可执行文件的数据部分中的项的排布是否符合重新编译后的可执行文件通常具有的重打包排布规则,从而来确定一个应用程序是否是重打包应用程序;2)不需要将应用程序与相应的正版应用程序或已确定的重打包应用程序进行比对,也即不需要收集大量正版应用程序或已确定的重打包应用程序,且仅根据应用程序的可执行文件即可确定该应用程序是否是重打包应用程序,其实现简单,操作方便,工作量小,且对计算机设备的性能不作特殊的要求。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明一个优选实施例的在计算机设备中用于确定重打包应用程序的方法流程示意图;
图2为安卓应用程序的APK文件的结构示意图;
图3为DEX文件的结构示意图;
图4为本发明一个优选实施例的在计算机设备中用于确定重打包应用程序的装置的结构示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
图1为本发明一个优选实施例的在计算机设备中用于确定重打包应用程序的方法流程示意图。
其中,本实施例的方法主要通过计算机设备来实现;所述计算机设备包括但不限于网络设备和用户设备;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机;所述网络设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。所述用户设备包括但不限于PC机、平板电脑、智能手机、PDA、IPTV等。
需要说明的是,所述计算机设备仅为举例,其他现有的或今后可能出现的计算设备如可适用于本发明,也应包含在本发明保护范围以内,并以引用方式包含于此。
根据本实施例的方法包括步骤S1和步骤S2。
在步骤S1中,计算机设备仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则。
其中,所述应用程序可优选地适用于开放式***。更优选地,所述应用程序适用于安卓***。
其中,所述可执行文件为能够由操作***加载并执行的文件;优选地,所述可执行文件为DEX文件。作为一个示例,图2示出了安卓应用程序的APK(Android Package,安卓安装包)文件的一种目录结构,所述可执行文件可为其中所示的classes.dex文件。在图2中,res为存放资源文件的目录,res目录下的layout文件为被编译为屏幕布局(或屏幕的一部分)的XML文件,res目录下的drawable用于存放资源文件;META-INF为生成JAR文件时创建的文件,该目录下的MANIFEST.MF文件用于描述JAR文件的相关信息如属性信息等,CERT.SF和CERT.RSA文件为APK签名文件;resources.arsc为编译后的二进制资源文件,AndroidManifest.xml为程序全局配置文件,classes.dex为安卓应用程序的可执行文件。
其中,可执行文件可包括文件头、位于文件头之后的数据目录以及数据部分;其中,文件头可包括校验信息以及可执行文件中其他结构的偏移地址和长度信息,数据目录可包括数据索引信息,数据部分可包括数据目录中的索引所指向的数据。作为一个示例,图3示出了DEX文件的一种结构,DEX文件包括文件头(header),包括字符串列表(StringTable)、类型列表(Type Table)、函数原型列表(Proto Table)、变量列表(Field Table)、函数列表(Method Table)、类定义列表(Class Definition Table)的数据目录,以及数据部分(Data);其中,数据部分包括数据段(data Section)和Map段(Map Section);其中,数据段包括注释项(annotation item)、代码项(code item)、注释目录(annotationdirectory)、接口(interface)、参数(parameter)、字符串(string)、调试项(debug item)、注释设置(annotation set)、静态值(static value)以及类数据(class data)等;其中,Map段包括Map列表(Map List)。
其中,所述数据部分中的项可包括可执行文件的数据部分中所包含的任何项;优选地,所述数据部分中的项包括DEX文件的数据部分所包含的项(Item),如Map段中的Map_Item、数据段中的Class_Def_Item等。
其中,所述重打包排布规则可包括任何用于指示重打包应用程序中的项的特有排布的规则;优选地,所述重打包排布规则包括以下至少一项:
1)规则一:所述数据部分中存在预定项且该预定项在预定位置上。
其中,所述预定项为数据部分中的一个被指定的项。其中,所述预定位置用于指示被指定的、数据部分中的一个位置;优选地,所述预定位置对应于数据部分中连续的多个位(bit)或字节(byte);更优选地,可使用可执行文件中的一个数据地址来表示该预定位置,如使用0x238表示所述预定位置,也即0x238为该预定位置的基地址。
优选地,所述预定项包括所述数据部分的Map列表中的项。更优选地,所述预定项为TYPE_DEBUG_INFO_ITEM;且所述预定项为TYPE_DEBUG_INFO_ITEM时,所述预定位置可为Map列表中的倒数第二个Map_Item所在的位置。
2)规则二:所述数据部分中的类定义项的排序不符合预定排序规则。优选地,规则二包括:所述数据部分中的类定义项的偏移值的排序为乱序。
其中,所述类定义项包括可执行文件中所使用的任何类的定义项;优选地,所述类定义项为DEX文件的数据部分中所包含的Class_Def_Item。
其中,所述预定排序规则包括任何预定的、各类定义项的排序规则。例如,所述预定排序规则为:各个类定义项按照类的名称的字母进行顺序排列,且类定义项的偏移值按照从小到大的顺序进行排序。
需要说明的是,上述重打包排布规则仅为举例,而非对本发明的限制,本领域技术人员应能理解,任何可指示重打包应用程序的特有排布的规则,均应包含在本发明所述的重打包排布规则内。
以下说明当重打包排布规则包括上述规则一时,计算机设备仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式。
具体地,计算机设备仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式包括但不限于:
1)计算机设备在可执行文件的数据部分中查找预定项;当查找到预定项且该预定项的位置在预定位置上时,计算机设备确定项的排布符合所述规则一;当未能查找到该预定项,或者,查找到该预定项且该预定项的位置不在预定位置时,计算机设备确定项的排布不符合所述规则一。
例如,规则一为:可执行文件的数据部分中存在预定项TYPE_DEBUG_INFO_ITEM,且该预定项位于Map列表中的倒数第二个Map Item所在的位置。计算机设备在DEX文件的数据部分中查找该预定项;当查找到该预定项且该预定项的位置在Map列表中的倒数第二个MapItem所在的位置时,计算机设备确定该预定项的排布符合规则一;当未能查找到该预定项,或者,该预定项的位置在Map列表中的倒数第二个Map Item所在的位置以外的其他位置上时,计算机设备确定该预定项的排布不符合规则一。
其中,计算机设备可通过在数据部分中查找预定项所对应的类型码(Type Code),来查找该预定项。
例如,预定项为Map列表中的TYPE_DEBUG_INFO_ITEM,且其类型码为0x2003,则计算机设备可通过在DEX文件的数据部分中查找Type Code为0x2003的项,来查找TYPE_DEBUG_INFO_ITEM。
2)计算机设备在所述数据部分中查找所述预定位置;当所述预定位置上存在所述预定项时,计算机设备确定项的排布符合所述规则一;当所述预定位置上不存在所述预定项时,计算机设备确定所述项的排布不符合所述规则一。
例如,规则一为:可执行文件的数据部分中存在预定项TYPE_DEBUG_INFO_ITEM,且该预定项位于Map列表中的倒数第二个Map Item所在的位置。计算机设备查找数据部分中Map列表的倒数第二个Map Item所在的位置;当该位置上的Type Code为0x2003(即TYPE_DEBUG_INFO_ITEM的类型码)时,计算机设备确定该预定项的排布符合规则一;当该位置上的Type Code非0x2003时,计算机设备确定该预定项的排布不符合规则一。
其中,计算机设备可从可执行文件的文件头中获取预定项所在列表的数据基地址,从而进一步计算出预定位置。
例如,计算机设备可从可执行文件的文件头中首先获取Map数据基地址(map_off),并根据该Map数据基地址读取Map列表中的Map Item的个数,从而计算出Map列表的倒数第二个Map Item所在的位置。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式,均应包含在本发明的范围内。
需要说明的是,当重打包排布规则仅包括规则一时,若计算机设备确定可执行文件的数据部分中的项的排布符合规则一,相当于计算机设备确定可执行文件的数据部分中的项的排布符合重打包排布规则,且若计算机设备确定可执行文件的数据部分中的项的排布不符合规则一,相当于计算机设备确定可执行文件的数据部分中的项的排布不符合重打包排布规则。
以下说明当重打包排布规则包括上述规则二时,计算机设备仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式。
具体地,计算机设备仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式包括但不限于:
1)计算机设备检测当前相邻的两个类定义项的偏移值之间的差值;当所述差值小于零时,计算机设备将下一个相邻的两个类定义项作为当前相邻的两个类定义项,并重复前一步骤来继续执行检测操作;并当所述差值大于零时,计算机设备确定所述项的排布符合规则二。
例如,计算机设备首先获得第一个类定义项和第二个类定义项的偏移值,并检测该相邻的两个类定义的偏移值之间的差值;当该差值小于零时,计算机设备将第二个类定义项与第三个类定义项作为当前相邻的两个类定义项,并在获得第三个类定义项的偏移值之后,检测第二个类定义项与第三个类定义项的偏移值之间的差值;如此重复,直至检测到存在相邻的两个类定义项的偏移值之间的差值大于零,或者,已检测完所有相邻的两个类定义项的偏移值之间的差值。
需要说明的是,当计算机设备已检测完所有相邻的两个类定义项的偏移值之间的差值,且所检测的所有差值均小于零时,计算机设备确定项的排布不符合规则二。
其中,所述类定义项用于表示数据部分中对该应用程序所使用的类的定义;优选地,所述类定义项为DEX文件数据部分的数据段的类数据中的Class_Def_Item。
其中,所述偏移值用于指示该类定义项的开始位置距离可执行文件的文件头的偏移。优选地,在DEX文件中,可直接获取类定义项的类数据偏移(Class_Data_Off)作为该类定义项的偏移值。更优选地,计算机设备根据从DEX文件的文件头中读取到的类定义列表基地址,来获取类定义项的类数据偏移作为该类定义项的偏移值。
例如,计算机设备根据类定义列表基地址0x0110,计算得到第一个类定义项的偏移值的基地址=0x0110+0x0018=0x0128,从而根据该计算的到的基地址读取到第一个类定义项的类数据偏移,作为该类定义项的偏移值,其中,0x0018为可预先确定的固定值。
需要说明的是,重打包应用程序中类定义项的偏移值的排序往往与正版应用程序中类定义项的偏移值的排序不一致,正版应用程序中类定义项的偏移值是按照从小到大的顺序来进行排序,而重打包应用程序中会出现相邻的两个类定义项的偏移值之间的差值大于零的情况。
2)计算机设备读取每个类定义项的偏移值;当各个类定义项的偏移值的排列为顺序时,计算机设备确定项的排布不符合所述规则二;当所述偏移值的排列为乱序时,计算机设备确定项的排布符合所述规则二。
例如,DEX文件的数据部分包括4个类定义项,计算机设备读取该4个类定义项的偏移值依次为:0x0227、0x0247、0x0267、0x0287。计算机设备确定该等偏移值的排列为顺序,则计算机设备确定项的排布不符合规则二。
又例如,DEX文件的数据部分包括4个类定义项,计算机设备读取该4个类定义项的偏移值依次为:0x0227、0x0267、0x0287、0x0247。计算机设备确定该等偏移值的排列为乱序,则计算机设备确定项的排布符合规则二。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式,均应包含在本发明的范围内。
需要说明的是,当重打包排布规则仅包括规则二时,若计算机设备确定可执行文件的数据部分中的项的排布符合规则二,相当于计算机设备确定可执行文件的数据部分中的项的排布符合重打包排布规则,且若计算机设备确定可执行文件的数据部分中的项的排布不符合规则二,相当于计算机设备确定可执行文件的数据部分中的项的排布不符合重打包排布规则。
需要说明的是,当重打包排布规则包括上述规则一和规则二时,计算机设备可在可执行文件的数据部分中的项的排布同时符合规则一和规则二的情况下,才确定可执行文件的数据部分中的项的排布符合重打包排布规则;或者,计算机设备可在可执行文件的数据部分中的项的排布符合规则一或规则二中的一者的情况下,确定可执行文件的数据部分中的项的排布符合重打包排布规则。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的实现方式,均应包含在本发明的范围内。
在步骤S2中,当数据部分中的项的排布符合重打包排布规则时,计算机设备确定所述应用程序为重打包应用程序。
具体地,当可执行文件的数据部分中的项的排布符合重打包排布规则时,则计算机设备可确定该应用程序为重打包应用程序,即被破解并重新编译的程序。
现有技术中,通常采用重新编译可执行文件的方法来重打包一个应用程序。例如,对图2所示APK文件,通常采用Apktool工具将该APK文件中的classes.dex文件反编译成Smali文件,然后在该Smali文件进行一定的修改,再将修改后的Smali文件重新编译成Dex。
然而,在上述重新编译可执行文件的过程中,通常会引起可执行文件中项的排布发现变化。
根据本发明的方案,可仅根据一个应用程序的可执行文件,来判断该可执行文件的数据部分中的项的排布是否符合重新编译后的可执行文件通常具有的重打包排布规则,从而来确定一个应用程序是否是重打包应用程序;本发明的方案不需要将应用程序与相应的正版应用程序或已确定的重打包应用程序进行比对,也即不需要收集大量正版应用程序或已确定的重打包应用程序,且仅根据应用程序的可执行文件即可确定该应用程序是否是重打包应用程序,其实现简单,操作方便,工作量小,且对计算机设备的性能不作特殊的要求。
图3为本发明一个优选实施例的在计算机设备中用于确定重打包应用程序的装置的结构示意图。本实施例的用于确定重打包应用程序的装置(以下简称“重打包确定装置”)包括用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置(以下简称“检测装置1”),以及用于当数据部分中的项的排布符合重打包排布规则时,确定用于程序为重打包应用程序的装置(以下简称“第一确定装置2”)。
检测装置1仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则。
其中,所述应用程序可优选地适用于开放式***。更优选地,所述应用程序适用于安卓***。
其中,所述可执行文件为能够由操作***加载并执行的文件;优选地,所述可执行文件为DEX文件。作为一个示例,图2示出了安卓应用程序的APK(Android Package,安卓安装包)文件的一种目录结构,所述可执行文件可为其中所示的classes.dex文件。在图2中,res为存放资源文件的目录,res目录下的layout文件为被编译为屏幕布局(或屏幕的一部分)的XML文件,res目录下的drawable用于存放资源文件;META-INF为生成JAR文件时创建的文件,该目录下的MANIFEST.MF文件用于描述JAR文件的相关信息如属性信息等,CERT.SF和CERT.RSA文件为APK签名文件;resources.arsc为编译后的二进制资源文件,AndroidManifest.xml为程序全局配置文件,classes.dex为安卓应用程序的可执行文件。
其中,可执行文件可包括文件头、位于文件头之后的数据目录以及数据部分;其中,文件头可包括校验信息以及可执行文件中其他结构的偏移地址和长度信息,数据目录可包括数据索引信息,数据部分可包括数据目录中的索引所指向的数据。作为一个示例,图3示出了DEX文件的一种结构,DEX文件包括文件头(header),包括字符串列表(StringTable)、类型列表(Type Table)、函数原型列表(Proto Table)、变量列表(Field Table)、函数列表(Method Table)、类定义列表(Class Definition Table)的数据目录,以及数据部分(Data);其中,数据部分包括数据段(data Section)和Map段(Map Section);其中,数据段包括注释项(annotation item)、代码项(code item)、注释目录(annotationdirectory)、接口(interface)、参数(parameter)、字符串(string)、调试项(debug item)、注释设置(annotation set)、静态值(static value)以及类数据(class data)等;其中,Map段包括Map列表(Map List)。
其中,所述数据部分中的项可包括可执行文件的数据部分中所包含的任何项;优选地,所述数据部分中的项包括DEX文件的数据部分所包含的项(Item),如Map段中的Map_Item、数据段中的Class_Def_Item等。
其中,所述重打包排布规则可包括任何用于指示重打包应用程序中的项的特有排布的规则;优选地,所述重打包排布规则包括以下至少一项:
1)规则一:所述数据部分中存在预定项且该预定项在预定位置上。
其中,所述预定项为数据部分中的一个被指定的项。其中,所述预定位置用于指示被指定的、数据部分中的一个位置;优选地,所述预定位置对应于数据部分中连续的多个位(bit)或字节(byte);更优选地,可使用可执行文件中的一个数据地址来表示该预定位置,如使用0x238表示所述预定位置,也即0x238为该预定位置的基地址。
优选地,所述预定项包括所述数据部分的Map列表中的项。更优选地,所述预定项为TYPE_DEBUG_INFO_ITEM;且所述预定项为TYPE_DEBUG_INFO_ITEM时,所述预定位置可为Map列表中的倒数第二个Map_Item所在的位置。
2)规则二:所述数据部分中的类定义项的排序不符合预定排序规则。优选地,规则二包括:所述数据部分中的类定义项的偏移值的排序为乱序。
其中,所述类定义项包括可执行文件中所使用的任何类的定义项;优选地,所述类定义项为DEX文件的数据部分中所包含的Class_Def_Item。
其中,所述预定排序规则包括任何预定的、各类定义项的排序规则。例如,所述预定排序规则为:各个类定义项按照类的名称的字母进行顺序排列,且类定义项的偏移值按照从小到大的顺序进行排序。
需要说明的是,上述重打包排布规则仅为举例,而非对本发明的限制,本领域技术人员应能理解,任何可指示重打包应用程序的特有排布的规则,均应包含在本发明所述的重打包排布规则内。
以下说明当重打包排布规则包括上述规则一时,检测装置1仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式。
具体地,检测装置1仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式包括但不限于:
1)检测装置1包括第一查找装置(图未示)、第二确定装置(图未示)和第三确定装置(图未示)。第一查找装置用于在可执行文件的数据部分中查找预定项;第二确定装置用于当查找到预定项且该预定项的位置在预定位置上时,确定项的排布符合所述规则一;第三确定装置用于当未能查找到该预定项,或者,查找到该预定项且该预定项的位置不在预定位置时,确定项的排布不符合所述规则一。
例如,规则一为:可执行文件的数据部分中存在预定项TYPE_DEBUG_INFO_ITEM,且该预定项位于Map列表中的倒数第二个Map Item所在的位置。第一查找装置在DEX文件的数据部分中查找该预定项;当查找到该预定项且该预定项的位置在Map列表中的倒数第二个Map Item所在的位置时,第二确定装置确定该预定项的排布符合规则一;当未能查找到该预定项,或者,该预定项的位置在Map列表中的倒数第二个Map Item所在的位置以外的其他位置上时,第三确定装置确定该预定项的排布不符合规则一。
其中,第一查找装置可通过在数据部分中查找预定项所对应的类型码(TypeCode),来查找该预定项。
例如,预定项为Map列表中的TYPE_DEBUG_INFO_ITEM,且其类型码为0x2003,第一查找装置可通过在DEX文件的数据部分中查找Type Code为0x2003的项,来查找TYPE_DEBUG_INFO_ITEM。
2)检测装置1包括第二查找装置(图未示)、第四确定装置(图未示)和第五确定装置(图未示)。第二查找装置用于在所述数据部分中查找所述预定位置;第四确定装置用于当所述预定位置上存在所述预定项时,确定项的排布符合所述规则一;第五确定装置用于当所述预定位置上不存在所述预定项时,确定所述项的排布不符合所述规则一。
例如,规则一为:可执行文件的数据部分中存在预定项TYPE_DEBUG_INFO_ITEM,且该预定项位于Map列表中的倒数第二个Map Item所在的位置。第二查找装置查找数据部分中Map列表的倒数第二个Map Item所在的位置;当该位置上的Type Code为0x2003(即TYPE_DEBUG_INFO_ITEM的类型码)时,第四确定装置确定该预定项的排布符合规则一;当该位置上的Type Code非0x2003时,第五确定装置确定该预定项的排布不符合规则一。
其中,第二查找装置可从可执行文件的文件头中获取预定项所在列表的数据基地址,从而进一步计算出预定位置。
例如,第二查找装置可从可执行文件的文件头中首先获取Map数据基地址(map_off),并根据该Map数据基地址读取Map列表中的Map Item的个数,从而计算出Map列表的倒数第二个Map Item所在的位置。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则一的实现方式,均应包含在本发明的范围内。
需要说明的是,当重打包排布规则仅包括规则一时,若检测装置1确定可执行文件的数据部分中的项的排布符合规则一,相当于检测装置1确定可执行文件的数据部分中的项的排布符合重打包排布规则,且若检测装置1确定可执行文件的数据部分中的项的排布不符合规则一,相当于检测装置1确定可执行文件的数据部分中的项的排布不符合重打包排布规则。
以下说明当重打包排布规则包括上述规则二时,检测装置1仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式。
具体地,检测装置1仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式包括但不限于:
1)检测装置1包括子检测装置(图未示)、迭代装置(图未示)和第六确定装置(图未示)。子检测装置用于检测当前相邻的两个类定义项的偏移值之间的差值;迭代装置用于当所述差值小于零时,将下一个相邻的两个类定义项作为当前相邻的两个类定义项,并触发子检测装置重复执行操作;第六确定装置用于当所述差值大于零时,确定所述项的排布符合规则二。
例如,子检测装置首先获得第一个类定义项和第二个类定义项的偏移值,并检测该相邻的两个类定义的偏移值之间的差值;当该差值小于零时,迭代装置将第二个类定义项与第三个类定义项作为当前相邻的两个类定义项,并在获得第三个类定义项的偏移值之后,触发子检测装置重复执行操作来检测第二个类定义项与第三个类定义项的偏移值之间的差值;如此重复,直至检测到存在相邻的两个类定义项的偏移值之间的差值大于零,或者,已检测完所有相邻的两个类定义项的偏移值之间的差值。
需要说明的是,当已检测完所有相邻的两个类定义项的偏移值之间的差值,且所检测的所有差值均小于零时,检测装置1确定项的排布不符合规则二。
其中,所述类定义项用于表示数据部分中对该应用程序所使用的类的定义;优选地,所述类定义项为DEX文件数据部分的数据段的类数据中的Class_Def_Item。
其中,所述偏移值用于指示该类定义项的开始位置距离可执行文件的文件头的偏移。优选地,在DEX文件中,可直接获取类定义项的类数据偏移(Class_Data_Off)作为该类定义项的偏移值。更优选地,子检测装置可根据从DEX文件的文件头中读取到的类定义列表基地址,来获取类定义项的类数据偏移作为该类定义项的偏移值。
例如,子检测装置根据类定义列表基地址0x0110,计算得到第一个类定义项的偏移值的基地址=0x0110+0x0018=0x0128,从而根据该计算的到的基地址读取到第一个类定义项的类数据偏移,作为该类定义项的偏移值,其中,0x0018为可预先确定的固定值。
需要说明的是,重打包应用程序中类定义项的偏移值的排序往往与正版应用程序中类定义项的偏移值的排序不一致,正版应用程序中类定义项的偏移值是按照从小到大的顺序来进行排序,而重打包应用程序中会出现相邻的两个类定义项的偏移值之间的差值大于零的情况。
2)检测装置1包括读取装置(图未示)、第七确定装置(图未示)和第八确定装置(图未示)。读取装置用于读取每个类定义项的偏移值;第七确定装置用于当各个类定义项的偏移值的排列为顺序时,计算机设备确定项的排布不符合所述规则二;第八确定装置用于当所述偏移值的排列为乱序时,计算机设备确定项的排布符合所述规则二。
例如,DEX文件的数据部分包括4个类定义项,读取装置读取该4个类定义项的偏移值依次为:0x0227、0x0247、0x0267、0x0287。第七确定装置确定该等偏移值的排列为顺序,则第七确定装置确定项的排布不符合规则二。
又例如,DEX文件的数据部分包括4个类定义项,读取装置读取该4个类定义项的偏移值依次为:0x0227、0x0267、0x0287、0x0247。第八确定装置确定该等偏移值的排列为乱序,则第八确定装置确定项的排布符合规则二。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合规则二的实现方式,均应包含在本发明的范围内。
需要说明的是,当重打包排布规则仅包括规则二时,若检测装置1确定可执行文件的数据部分中的项的排布符合规则二,相当于检测装置1确定可执行文件的数据部分中的项的排布符合重打包排布规则,且若检测装置1确定可执行文件的数据部分中的项的排布不符合规则二,相当于检测装置1确定可执行文件的数据部分中的项的排布不符合重打包排布规则。
需要说明的是,当重打包排布规则包括上述规则一和规则二时,检测装置1可在可执行文件的数据部分中的项的排布同时符合规则一和规则二的情况下,才确定可执行文件的数据部分中的项的排布符合重打包排布规则;或者,检测装置1可在可执行文件的数据部分中的项的排布符合规则一或规则二中的一者的情况下,确定可执行文件的数据部分中的项的排布符合重打包排布规则。
需要说明的是,上述举例仅为更好地说明本发明的技术方案,而非对本发明的限制,本领域技术人员应该理解,任何仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的实现方式,均应包含在本发明的范围内。
当数据部分中的项的排布符合重打包排布规则时,第一确定装置2确定所述应用程序为重打包应用程序。
具体地,当可执行文件的数据部分中的项的排布符合重打包排布规则时,则第一确定装置2可确定该应用程序为重打包应用程序,即被破解并重新编译的程序。
现有技术中,通常采用重新编译可执行文件的方法来重打包一个应用程序。例如,对图2所示APK文件,通常采用Apktool工具将该APK文件中的classes.dex文件反编译成Smali文件,然后在该Smali文件进行一定的修改,再将修改后的Smali文件重新编译成Dex。
然而,在上述重新编译可执行文件的过程中,通常会引起可执行文件中项的排布发现变化。
根据本发明的方案,可仅根据一个应用程序的可执行文件,来判断该可执行文件的数据部分中的项的排布是否符合重新编译后的可执行文件通常具有的重打包排布规则,从而来确定一个应用程序是否是重打包应用程序;本发明的方案不需要将应用程序与相应的正版应用程序或已确定的重打包应用程序进行比对,也即不需要收集大量正版应用程序或已确定的重打包应用程序,且仅根据应用程序的可执行文件即可确定该应用程序是否是重打包应用程序,其实现简单,操作方便,工作量小,且对计算机设备的性能不作特殊的要求。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,本发明的各个装置可采用专用集成电路(ASIC)或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。***权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (18)
1.一种在计算机设备中用于确定重打包应用程序的方法,其中,该方法包括以下步骤:
a.仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则;
b.当所述数据部分中的项的排布符合重打包排布规则时,确定所述应用程序为重打包应用程序;
其中,所述数据部分中的项表示可执行文件的数据部分中所包含的Item,其中,不需要将所述应用程序与相应的正版应用程序或已确定的重打包应用程序进行比对。
2.根据权利要求1所述的方法,其中,所述重打包排布规则包括以下至少一项:
规则一:所述数据部分中存在预定项且该预定项在预定位置上;
规则二:所述数据部分中的类定义项的排序不符合预定排序规则。
3.根据权利要求2所述的方法,其中,所述重打包排布规则包括所述规则一,所述步骤a包括以下步骤:
-在所述数据部分中查找所述预定项;
-当查找到所述预定项且所述预定项的位置在所述预定位置上时,确定所述项的排布符合所述规则一;
-当未能查找到所述预定项,或者,查找到所述预定项且所述预定项的位置不在所述预定位置时,确定所述项的排布不符合所述规则一。
4.根据权利要求2所述的方法,其中,所述重打包排布规则包括所述规则一,所述步骤a包括以下步骤:
-在所述数据部分中查找所述预定位置;
-当所述预定位置上存在所述预定项时,确定所述项的排布符合所述规则一;
-当所述预定位置上不存在所述预定项时,确定所述项的排布不符合所述规则一。
5.根据权利要求2至4中任一项所述的方法,其中,所述预定项包括所述数据部分的Map列表中的项。
6.根据权利要求2所述的方法,其中,所述重打包排布规则包括所述规则二,所述步骤a包括以下步骤:
a1检测当前相邻的两个类定义项的偏移值之间的差值;
a2当所述差值小于零时,将下一个相邻的两个类定义项作为当前相邻的两个类定义项,并重复所述步骤a1;
a3当所述差值大于零时,确定所述项的排布符合规则二。
7.根据权利要求2所述的方法,其中,所述重打包排布规则包括所述规则二,所述步骤a包括以下步骤:
-读取每个类定义项的偏移值;
-当所述偏移值的排列为顺序时,确定项的排布不符合所述规则二;
-当所述偏移值的排列为乱序时,确定项的排布符合所述规则二。
8.根据权利要求1至4中任一项所述的方法,其中,所述应用程序适用于安卓***。
9.根据权利要求8所述的方法,其中,所述可执行文件为dex文件。
10.一种在计算机设备中用于确定重打包应用程序的装置,其中,该装置包括以下装置:
用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置;
用于当所述数据部分中的项的排布符合重打包排布规则时,确定所述应用程序为重打包应用程序的装置;
其中,所述数据部分中的项表示可执行文件的数据部分中所包含的Item,其中,不需要将所述应用程序与相应的正版应用程序或已确定的重打包应用程序进行比对。
11.根据权利要求10所述的装置,其中,所述重打包排布规则包括以下至少一项:
规则一:所述数据部分中存在预定项且该预定项在预定位置上;
规则二:所述数据部分中的类定义项的排序不符合预定排序规则。
12.根据权利要求11所述的装置,其中,所述重打包排布规则包括所述规则一,所述用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置包括以下装置:
用于在所述数据部分中查找所述预定项的装置;
用于当查找到所述预定项且所述预定项的位置在所述预定位置上时,确定所述项的排布符合所述规则一的装置;
用于当未能查找到所述预定项,或者,查找到所述预定项且所述预定项的位置不在所述预定位置时,确定所述项的排布不符合所述规则一的装置。
13.根据权利要求11所述的装置,其中,所述重打包排布规则包括所述规则一,所述用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置包括以下装置:
用于在所述数据部分中查找所述预定位置的装置;
用于当所述预定位置上存在所述预定项时,确定所述项的排布符合所述规则一的装置;
用于当所述预定位置上不存在所述预定项时,确定所述项的排布不符合所述规则一的装置。
14.根据权利要求11至13中任一项所述的装置,其中,所述预定项包括所述数据部分的Map列表中的项。
15.根据权利要求11所述的装置,其中,所述重打包排布规则包括所述规则二,所述用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置包括以下装置:
用于检测当前相邻的两个类定义项的偏移值时间的差值的装置;
用于当所述差值小于零时,将下一个相邻的两个类定义项作为当前相邻的两个类定义项,并触发用于检测差值的装置重复执行操作的装置;
用于当所述差值大于零时,确定所述项的排布符合规则二的装置。
16.根据权利要求11所述的装置,其中,所述重打包排布规则包括所述规则二,所述用于仅根据一个应用程序的可执行文件,检测该可执行文件的数据部分中的项的排布是否符合重打包排布规则的装置包括以下装置:
用于读取每个类定义项的偏移值的装置;
用于当所述偏移值的排列为顺序时,确定项的排布不符合所述规则二的装置;
用于当所述偏移值的排列为乱序时,确定项的排布符合所述规则二的装置。
17.根据权利要求10至13中任一项所述的装置,其中,所述应用程序适用于安卓***。
18.根据权利要求17所述的装置,其中,所述可执行文件为dex文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410373867.1A CN104216946B (zh) | 2014-07-31 | 2014-07-31 | 一种用于确定重打包应用程序的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410373867.1A CN104216946B (zh) | 2014-07-31 | 2014-07-31 | 一种用于确定重打包应用程序的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104216946A CN104216946A (zh) | 2014-12-17 |
| CN104216946B true CN104216946B (zh) | 2019-03-26 |
Family
ID=52098436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410373867.1A Active CN104216946B (zh) | 2014-07-31 | 2014-07-31 | 一种用于确定重打包应用程序的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104216946B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104317599B (zh) * | 2014-10-30 | 2017-06-20 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
| US10547626B1 (en) * | 2016-02-08 | 2020-01-28 | Palo Alto Networks, Inc. | Detecting repackaged applications based on file format fingerprints |
| CN108255695A (zh) * | 2016-12-29 | 2018-07-06 | 武汉安天信息技术有限责任公司 | Apk重打包的检测方法及*** |
| CN108173906A (zh) * | 2017-12-07 | 2018-06-15 | 东软集团股份有限公司 | 安装包下载方法、装置、存储介质及电子设备 |
| CN110390185B (zh) * | 2018-04-20 | 2022-08-09 | 武汉安天信息技术有限责任公司 | 重打包应用检测方法、规则库构建方法及相关装置 |
| CN108829406B (zh) * | 2018-06-13 | 2022-10-14 | 珠海豹趣科技有限公司 | 安装包打包方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1862493A (zh) * | 2005-05-12 | 2006-11-15 | 施乐公司 | 用于创建可执行代码的副本的唯一标识及其管理的方法 |
| CN101042657A (zh) * | 2006-03-22 | 2007-09-26 | 北京握奇数据***有限公司 | 带有安全需求的应用程序的构建方法和装置 |
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其*** |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| CN103473346A (zh) * | 2013-09-24 | 2013-12-25 | 北京大学 | 一种基于应用程序编程接口的安卓重打包应用检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
-
2014
- 2014-07-31 CN CN201410373867.1A patent/CN104216946B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1862493A (zh) * | 2005-05-12 | 2006-11-15 | 施乐公司 | 用于创建可执行代码的副本的唯一标识及其管理的方法 |
| CN101042657A (zh) * | 2006-03-22 | 2007-09-26 | 北京握奇数据***有限公司 | 带有安全需求的应用程序的构建方法和装置 |
| CN101119373A (zh) * | 2007-09-04 | 2008-02-06 | 北京大学 | 一种网关级流式病毒扫描方法及其*** |
| CN102663286A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种病毒apk的识别方法及装置 |
| CN103473346A (zh) * | 2013-09-24 | 2013-12-25 | 北京大学 | 一种基于应用程序编程接口的安卓重打包应用检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104216946A (zh) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104216946B (zh) | 一种用于确定重打包应用程序的方法和装置 | |
| US9798648B2 (en) | Transitive source code violation matching and attribution | |
| Scanniello et al. | Clustering support for static concept location in source code | |
| TWI524193B (zh) | 用於搜尋結果之語義目錄的電腦可讀取媒體及電腦實現方法 | |
| KR101106595B1 (ko) | 소프트웨어 테스트의 자동화 장치 및 그 방법 | |
| US20140279787A1 (en) | Systems And Methods for an Adaptive Application Recommender | |
| Pradel et al. | EventBreak: Analyzing the responsiveness of user interfaces through performance-guided test generation | |
| US20100287566A1 (en) | System and method for recording web page events | |
| US20170132638A1 (en) | Relevant information acquisition method and apparatus, and storage medium | |
| US9201964B2 (en) | Identifying related entities | |
| CN103678511B (zh) | 根据可视化模板进行网页内容抽取的方法及装置 | |
| CN103597469A (zh) | 集成开发环境中的实况浏览器工具 | |
| CN104933171B (zh) | 兴趣点数据关联方法和装置 | |
| WO2014190427A1 (en) | Identifying client states | |
| CN103678509A (zh) | 生成网页模板的方法及装置 | |
| Peng et al. | Graph-based ajax crawl: Mining data from rich internet applications | |
| CN110069693A (zh) | 用于确定目标页面的方法和装置 | |
| Buinevich et al. | Method for partial recovering source code of telecommunication devices for vulnerability search | |
| CN109542295A (zh) | 页面显示区的联动展现方法、电子设备及存储介质 | |
| EP4085336A1 (en) | Computer resource leak detection | |
| US10346450B2 (en) | Automatic datacenter state summarization | |
| US9880925B1 (en) | Collecting structured program code output | |
| JP5875961B2 (ja) | ソースコード類似度評価プログラム、ソースコード類似度評価装置、および、コンピュータ読み取り可能な記憶媒体 | |
| JP2018506783A (ja) | 要素識別子の生成 | |
| JP5462713B2 (ja) | Webページ収集装置、方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |