作者简介:肖文棣,OWASP中国广东分会负责人、网安加社区特聘专家,现任某外企安全架构师,负责应用安全设计、管理和评审等工作。
最近由于业务的需要,我对Java的加壳和反加壳等技术进行了一些研究,现在就和大家分享一下我的研究成果。
Java字节码
众所周知,Java程序编译的时候,最终生成的是字节码,然后以JVM将字节码转换为机器码。
Java字节码(Java bytecode)是Java虚拟机(JVM)执行的一种虚拟指令格式。它是Java源代码经过虚拟机编译器编译后产生的文件,这些文件具有.class扩展名。字节码是一种中间码,它比机器码更抽象,需要直译器转译后才能成为机器码的中间代码。这些字节码指令由JVM解释为对应系统可运行的机器指令,从而实现Java程序的跨平台执行。
字节码文件由十六进制值组成,而JVM以两个十六进制值为一组,即以字节为单位进行读取,这也是其被称为“字节码”的原因。字节码文件包含了程序执行所需的所有信息,包括类、方法、字段、字节码指令等。JVM通过加载、验证、解释(或即时编译)这些字节码指令来执行Java程序。
字节码的存在实现了JVM和编程语言的解耦,意味着非Java语言也可以运行在JVM之上,并可将其对应的源程序编译成字节码。这也是Java“一次编写,到处运行”理念的基础。
Java字节码是一种基于堆栈的语言,这意味着临时变量存储在堆栈中,而不是存储在寄存器中。这个就是字节码的例子:
这个是使用JDK自带的工具Javap进行反编译的效果,具体命令如下:
Javap -v -p “Class的名字”
通过这个简单的工具,很容易就获取源代码的信息,比如源文件的名称,Main函数的超类信息以及函数的具体内容。
为了避免使用简单的Javap就可以还原源代码,我们就要对生成的字节码进行混淆,或者称为加壳。Java加壳,即对Java字节码进行加密或混淆,使得未经授权的用户难以理解或修改代码。
业界常用的Java加壳有下面几种:
1.字节码加密:通过对Java字节码进行加密,使得字节码文件无法直接通过常规的反编译工具进行阅读。加密方式可以是简单的XOR加密、AES加密等。
2.代码混淆:通过改变类名、方法名、变量名等标识符,以及调整代码结构,使得反编译后的代码难以阅读和理解。混淆工具通常会使用一系列算法,如字符串加密、控制流混淆等,以增加反编译的难度。
3.资源加密:除了字节码本身,Java应用程序中的资源文件(如图片、音频等)也可以进行加密,以增加破解者的破解难度。
4.动态加载:通过动态加载加密后的字节码,使得应用程序在运行时才能解密和执行代码,进一步增加安全性。
加壳的流程如下图:
实践中,我们可以考虑工具,比如ProGuard。
ProGuard是一个用于Java应用程序优化的工具,它可以缩小、优化和混淆Java字节码。ProGuard通过移除未使用的代码、重命名类和方法等方式,使得反编译后的代码难以阅读和理解。
项目地址是:https://github.com/Guardsquare/proguard
它提供GUI工具,使用相当简单,但是我实际测试的效果一般,使用一些反加壳的逆向工具很容易被破解。
Java脱壳和逆向
有攻必有防,有矛必有盾。上面有对Java进行加壳,那么就一定会有对Java进行脱壳的过程。Java脱壳,即解密和恢复加壳后的Java字节码,以便进行正常的反编译和执行。
脱壳的原理与加壳的原理相反:
1.字节码解密:根据加壳时使用的加密算法,对加密后的字节码进行解密,还原为原始的字节码文件。
2.代码还原:对混淆后的代码进行还原,恢复原始的类名、方法名、变量名等标识符,以及代码结构,使得反编译后的代码易于阅读和理解。
3.资源解密:对加密的资源文件进行解密,以便应用程序能够正常使用这些资源。
4.动态加载处理:对于使用动态加载技术的加壳程序,需要处理动态加载的逻辑,以便在脱壳后能够正确加载和执行字节码。
Java脱壳也有相关的工具,这里推荐两个工具:
Jd-gui
Jd-gui是一个基于图形界面的Java反编译器,它可以直接打开加密的Java字节码文件,并显示反编译后的代码。虽然它不能直接解密加密的字节码,但对于混淆后的代码,Jd-gui仍然能够提供一个相对清晰的阅读界面。
项目地址是:https://java-decompiler.github.io/
Jadx-gui
Jadx是用于从Android Dex和Apk文件生成Java源代码的命令行和Gui工具,也支持普通的Jar文件翻译为Java源代码的工具。
项目地址是:https://github.com/skylot/jadx
根据我的实践经验,Jd-gui更加轻量级,使用的资源比较少。Jadx-gui虽然使用的资源比较多,但是反编译的效果更好。我在工作中就遇到使用Jd-gui不能有效反编译,但是使用Jadx-gui就可以顺利反编译的情况,所以实际应用中推荐两个同时使用。
实践总结
Java的加壳工具在实际测试中并不是非常理想的,开源的Java加壳工具也不是非常多。在实际应用中,Java加壳一般和授权管理一起使用,只有得到授权码的用户才能使用Java程序,Java代码运行的时候需要指定一个Agent才能运行,同时考虑Java加壳和Java授权管理的需求,最好考虑商业工具,比如国内的Virbox和Bitanswer,实际上由于这个市场比较小,可以选择的供应商并不是非常多。
如果要使用Spring框架的程序,混淆加壳就更加困难,因为Spring需要有特定的加载器进行加载,对混淆和加壳有限制。根据我现在的测试,Virbox和Bitanswer都没有对函数名以及参数列表进行处理,都要保持原有的形式,否则加壳后可能系统不能正常运行。
根据这两家的白皮书,它们的原理有所不同。
Bitanswer据称是Java程序混淆加壳处理后,在程序运行的时候,会把Java程序脱壳并运行在内存中,Java程序运行过程中是字节码运行了。这个时候的风险可能是通过Dump内存将字节码保存为Class文件,然后使用逆向工具进行破解。
Virbox据说用的是另外的思路,Java程序混淆加壳运行时,会根据系统的逐段处理,而不是一次加载到内存中,这个时候从内存中还原字节码的难度就更高了。
业界也有大佬表示,Java程序的混淆加壳不真正靠谱,Java程序还是可以还原的,所以大家的实际使用过程中还是要谨慎考虑。
在我的实际测试中,针对简单的Helloworld这样的单一Jar包,使用Virbox和Bitanswer都可以很好满足要求,这个时候使用Jd-gui和Jadx-gui都不能很好地还原代码。
但是对于Spring框架生成的Jar包,这种Jar包都有多层嵌套,无论Virbox和Bitanswer的处理都不是非常理想,不能真正识别出所有文件进行加密,这是一个比较大的隐患。此时用Jd-gui感觉代码被混淆加密了,但是用Jadx-gui却可以打开,看到源代码,这也是推荐Jd-gui和Jadx-gui同使用的原因。
Java除了考虑混淆加密后,还要考虑Java的反射特性,要防止用户虽然不能完整看到Java的源代码,但是可以利用反射对Java进行操作,间接避开混淆加密的特性。这个也是有案例的。
另外,Java的加壳混淆有两个场景,一个Apk的加固场景,相对比较成熟,有相关的认证标准。另外一个是Jar的混淆加壳场景,受众比较少,没有相关的标准,供应商也没有提供足够证据证明它们的Jar的混淆加壳的强度,也很难完全测试是否可以被破解,这个在实际应用中也要注意。
没有绝对的安全,也没有绝对的保险,大家只能衡量破解的难度以及风险。有朋友建议说将加密后的Jar包放到众包平台上进行悬赏破解,这也是一种好的思路。也可以考虑找专业的黑客进行尝试破解,但是企业在考虑将Jar包放到外网就要考虑这些风险,而且这些风险可能是无解的。