2023年8月19日-20日，国内知名安全技术盛会——第12届KCon黑客大会在北京环球贸易中心成功举办，众多网安爱好者欢聚一堂，以“归源 · 智变”为主题，共同论道网安，分享新技术、新成果的分享与应用，助推网安行业实现“真攻防”。

议题演讲者——美团安全研究员 余帘

就在8月初，该议题英文版本《Endoscope: Unpacking Android apps with VM-based obfuscation》成功入选世界信息安全行业的最高盛会——Black Hat USA 2023，并在8月10日（美国太平洋时间）通过线上连线参会的形式，登上了全球舞台。

虚拟化加固是一种应用程序保护技术，通过对代码进行混淆，生成一种无法与原始代码直接对应的程序形式，以提高程序的安全性。但是同时也有可能被黑客及黑灰产恶意利用，使恶意代码更难被发现和分析，从而增加了企业网络安全防御的难度。探索虚拟化加固逆向技术可以帮助安全专家和研究人员更好地理解和应对虚拟化加固技术的原理和应用，研发更先进的分析和防御技术，提高网络安全的防护水平。

但业界对虚拟化加固逆向研究主要集中在PC端，对虚拟化加固的安卓程序的逆向研究相对较少，因此我们对此进行了相关的探索和研究，本研究更专注于移动端的研究。

研究灵感来自于先前遇到一些在野的、虚拟化加固的恶意安卓程序的经历。几个月前，在分析 Android 恶意软件时，发现这些恶意软件使用了虚拟化加固技术来混淆和隐藏代码，且无法使用之前研究过的Rhino字节码方法来逆向破解。因此，需要寻找一种更通用的方法来逆向分析这些恶意软件代码。

在探索虚拟化加固的安卓程序的逆向过程中，克服了诸多的挑战和难题。其中最大的困难在于对于虚拟化加固的程序，无法获取闭源加固器的源码，因此缺乏有关虚拟化指令和虚拟机机制的信息。此外，加固后的程序控制流非常复杂，对静态和动态分析都很耗时，而且加密参数和地址顺序是随机的，导致人工分析结果无法复用。

未来，我们将持续深入研究有关混淆技术的议题，并与各位安全同行共同推进其研究与应用，为提高程序安全性提供技术支持，并为行业应对恶意程序的能力和效率做出贡献，从而提升安全防范的能力，建立更加完善的安全保障体系，以应对各种恶意攻击的挑战。

最后，感谢KCon 2023为我们提供分享机会和平台。未来，美团安全团队将继续保持探索精神，与业界伙伴分享、探讨更多实践经验和感悟，期待大家的持续支持和关注。

美团信息安全部

美团信息安全部肩负统筹保障公司整体业务和数据的信息安全重要职责，涵盖合规与隐私保护、基础安全、移动安全、数据安全、内容安全、业务风控等风险领域。随着业务升级与拓展，我们拥有诸多全球化安全领域人才，依托前瞻的安全技术视野、创新的机器学习技术、领先的产品运营体系和针对性的安全解决方案，构建全方位、多维度的智能防御体系，全面赋能公司各业务合规、安全和高质量的发展，为美团业务生态链上亿万C端、B端用户的安全提供有力保障。
我们致力于建设业界卓越的安全团队，落地更多业界认可的实践，同时助力业务奔跑。期待你的加入，让我们奔赴热爱，无畏山海，共筑安全长城。