Android仮想マシンを検出するための方法とコード実装

Android仮想マシンを検出するための方法とコード実装

Android エミュレーターの検出に関するオープンソース プロジェクト/記事/論文をいくつか読みました。私が読んだのは、実際には 2013 年と 2014 年に提案された方法です。これらの方法のほとんどは、何らかの環境特性を検出し、いくつかのファイルをチェックしますが、実際には検出のアイデアはこれに限定されません。いくつかの方法は qemu を検出するのに非常に直接的ですが、他の方法は adb の検出、ptrace の検出など間接的です。考え方も非常に柔軟です。

***QEMU などのシミュレートされた CPU と物理 CPU の実際の違い (タスク スケジューリングの違い)、シミュレートされたセンサーと物理センサーの違い、キャッシュの違いを活用して CPU を検出する方法を使用することを提案する人もいます。環境属性を検出する場合と比較して、検出効果が大幅に向上します。

[[228598]]

以下に、誰もがコミュニケーションをとり、学習できるように、さまざまな資料で提案されているいくつかの方法/アイデア/コードをリストします。

QEMU プロパティ

  1. パブリッククラスプロパティ{
  2. パブリック文字列;
  3. パブリック文字列 seek_value;
  4.  
  5. パブリックプロパティ(文字列、文字列シーク値) {
  6. this.name =名前;
  7. this.seek_value = シーク値;
  8. }
  9. }
  10. /**
  11. * 現在の環境がQEMUであるかどうかを判断するために使用される既知の属性([属性名、属性値]の形式)
  12. */
  13. プライベート静的プロパティ[] known_props = {新しいプロパティ( "init.svc.qemud" null )、
  14. 新しいプロパティ( "init.svc.qemu-props" null )、新しいプロパティ( "qemu.hw.mainkeys" null )、
  15. 新しいプロパティ( "qemu.sf.fake_camera" null )、新しいプロパティ( "qemu.sf.lcd_density" null )、
  16. 新しいプロパティ( "ro.bootloader" , "unknown" )、新しいプロパティ( "ro.bootmode" , "unknown" )、
  17. 新しいプロパティ( "ro.hardware" "goldfish" )、新しいプロパティ( "ro.kernel.android.qemud" null )、
  18. 新しいプロパティ( "ro.kernel.qemu.gles" null )、新しいプロパティ( "ro.kernel.qemu" "1" )、
  19. 新しいプロパティ( "ro.product.device" "generic" )、新しいプロパティ( "ro.product.model" "sdk" )、
  20. 新しいプロパティ ( "ro.product.name" "sdk" )、
  21. 新しいプロパティ( "ro.serialno" null )};
  22. /**
  23. * 閾値。いわゆる「既知の」シミュレータ特性は完全に正確ではないため、誤検知の結果が出る可能性があります。そのため、一定の閾値を維持することで検出効果を高めることができます。
  24. */
  25. プライベートスタティック  MIN_PROPERTIES_THRESHOLD を 0x5 に設定します
  26. /**
  27. * 指定されたシステム プロパティを照会して QEMU 環境を検出し、検出結果をしきい値と比較します。
  28. *
  29. * @param context Android アプリケーション{link Context} オブジェクト。
  30. *十分なプロパティが見つかった場合は {@code true }返しそうない場合{@code false }返します
  31. */
  32. パブリックブール値hasQEmuProps(コンテキストコンテキスト) {
  33. 見つかったプロパティが 0 である
  34.  
  35. (プロパティproperty : known_props) {
  36. 文字列 property_value = Utilities.getProp(context, property.name );
  37. // null以外の値を期待しているかどうかを確認します 
  38. if ((property.seek_value == null ) && (property_value != null )) {
  39. 見つかったプロパティ++;
  40. }
  41. //シークする値が期待されているかどうかを確認します
  42. ((property.seek_value != null ) && (property_value.indexOf(property.seek_value) != -1)) の場合 {
  43. 見つかったプロパティ++;
  44. }
  45.  
  46. }
  47.  
  48. 見つかったプロパティがMIN_PROPERTIES_THRESHOLD以上の場合
  49. 戻る 真実;
  50. }
  51.  
  52. 戻る 間違い;
  53. }

これらは、何らかの経験と機能に基づいて比較される属性です。ここでの属性と、後続のファイル属性の一部については詳しく説明しません。

デバイスID

  1. private static String[] known_device_ids = { "0000000000000000" , //デフォルトのエミュレータID
  2. "e21833235b6eef10" , // VirusTotal ID
  3. "012345678912345" };
  4. 公共 静的ブール型hasKnownDeviceId(コンテキストコンテキスト) {
  5. TelephonyManager telephonyManager = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
  6.  
  7. 文字列デバイスID = telephonyManager.getDeviceId();
  8.  
  9. (文字known_deviceId : known_device_ids) {
  10. 既知のデバイスIDがデバイスIDと等しい場合、
  11. 戻る 真実;
  12. }
  13.  
  14. }
  15. 戻る 間違い;
  16. }

デフォルト番号

  1. プライベート静的String[] known_numbers = {
  2. "15555215554" 、 // エミュレータのデフォルトの電話番号 + VirusTotal
  3. "15555215556" "15555215558" "15555215560" "15555215562" "15555215564" "15555215566"
  4. "15555215568" "15555215570" "15555215572" "15555215574" "15555215576" "15555215578"
  5. "15555215580" , "15555215582" , "15555215584" ,};
  6. 公共 静的ブール型hasKnownPhoneNumber(コンテキストコンテキスト) {
  7. TelephonyManager telephonyManager = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
  8.  
  9. 文字列 phoneNumber = telephonyManager.getLine1Number();
  10.  
  11. for (文字列番号:既知の番号) {
  12. if (number.equalsIgnoreCase(phoneNumber)) {
  13. 戻る 真実;
  14. }
  15.  
  16. }
  17. 戻る 間違い;
  18. }

IMSI

  1. private static String[] known_imsi_ids = { "3102600000000000" // デフォルトのIMSI番号
  2. };
  3. 公共 静的ブール型hasKnownImsi(コンテキストコンテキスト) {
  4. TelephonyManager telephonyManager = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
  5. 文字列 imsi = telephonyManager.getSubscriberId();
  6.  
  7. (文字列 known_imsi : known_imsi_ids)の場合{
  8. (既知のimsi.equalsIgnoreCase(imsi)の場合){
  9. 戻る 真実;
  10. }
  11. }
  12. 戻る 間違い;
  13. }

ビルドクラス

  1. 公共 静的ブール型hasEmulatorBuild(コンテキストコンテキスト) {
  2. 文字列 BOARD = android.os.Build.BOARD; //名前 基盤となるボード  "未知"
  3. // これはよく起こるようです 本物のハードウェア...それは悲しい
  4. // 文字列 BOOTLOADER = android.os.Build.BOOTLOADER; // システム ブートローダーのバージョン番号。
  5. 文字列 BRAND = android.os.Build.BRAND; // ソフトウェアカスタマイズされているブランド (例: キャリア) (存在する場合)。
  6. // "ジェネリック"  
  7. 文字列 DEVICE = android.os.Build.DEVICE; //名前 工業デザイン"ジェネリック"  
  8. 文字列 HARDWARE = ​​android.os.Build.HARDWARE; //名前 ハードウェアカーネルコマンドラインからまたは 
  9. ///proc)。 "金魚"  
  10. 文字列 MODEL = android.os.Build.MODEL; //エンドユーザー表示される名前 最終製品 「SDK」  
  11. 文字列 PRODUCT = android.os.Build.PRODUCT; //名前 製品全体
  12. if ((BOARD.compareTo( "不明" ) == 0) /* || (BOOTLOADER.compareTo( "不明" ) == 0) */
  13. || (BRAND.compareTo( "generic" ) == 0) || (DEVICE.compareTo( "generic" ) == 0)
  14. || (MODEL.compareTo( "sdk" ) == 0) || (PRODUCT.compareTo( "sdk" ) == 0)
  15. || (HARDWARE.compareTo( "金魚" ) == 0)) {
  16. 戻る 真実;
  17. }
  18. 戻る 間違い;
  19. }

オペレーター名

  1. 公共 静的ブール値isOperatorNameAndroid(コンテキストparamContext) {
  2. 文字列 szOperatorName = ((TelephonyManager) paramContext.getSystemService(Context.TELEPHONY_SERVICE)).getNetworkOperatorName();
  3. ブール値 isAndroid = szOperatorName.equalsIgnoreCase( "android" );
  4. isAndroidを返します
  5. }

QEMU ドライバー

  1. プライベート静的String[] known_qemu_drivers = { "金魚" };
  2. /**
  3. * ドライバファイルを読み込み、既知のqemuドライバが含まれているかどうかを確認します
  4. *
  5. *既知のドライバーが存在すること判明した場合は{@code true }を返しそうでない場合は{@code false }を返します
  6. */
  7. 公共 静的ブール型hasQEmuDrivers() {
  8. for (ファイル drivers_file : 新しいファイル[]{新しいファイル( "/proc/tty/drivers" ), 新しいファイル( "/proc/cpuinfo" )}) {
  9. drivers_file.exists() と drivers_file.canRead() が存在する場合 {
  10. // 気しない 私たちが関心のある情報はここにあるはずなので、過去のものをたくさん読んでください
  11. バイト[]データ = 新しいバイト[1024];
  12. 試す {
  13. InputStream= new FileInputStream(drivers_file);です。
  14. 読み取り( データ );
  15. 近い();
  16. } catch (例外例外) {
  17. 例外.printStackTrace();
  18. }
  19.  
  20. 文字列driver_data = 新しい文字列(data);
  21. (文字known_qemu_driver : FindEmulator.known_qemu_drivers) {
  22. (driver_data.indexOf(known_qemu_driver)!= -1)の場合{
  23. 戻る 真実;
  24. }
  25. }
  26. }
  27. }
  28.  
  29. 戻る 間違い;
  30. }

QEMU ファイル

  1. プライベート静的String[] known_files = { "/system/lib/libc_malloc_debug_qemu.so" "/sys/qemu_trace"
  2. "/system/bin/qemu-props" };
  3. /**
  4. * 既知のQEMU環境ファイルが存在するかどうかを確認する
  5. *
  6. *ファイルが存在することわかっ場合は{@code true }を返しそうでない場合は{@code false }返します
  7. */
  8. 公共 静的ブール型hasQEmuFiles() {
  9. for (文字列パイプ: known_files) {
  10. ファイル qemu_file = new File(pipe);
  11. (qemu_fileが存在する場合){
  12. 戻る 真実;
  13. }
  14. }
  15.  
  16. 戻る 間違い;
  17. }

Genymotion ファイル

  1. private static String[] known_geny_files = { "/dev/socket/genyd" , "/dev/socket/baseband_genyd" };
  2. /**
  3. * 既知のGenemytion環境ファイルがあるかどうかを確認します
  4. *
  5. *ファイルが存在することわかっ場合は{@code true }を返しそうでない場合は{@code false }返します
  6. */
  7. 公共 静的ブール型hasGenyFiles() {
  8. for (文字列ファイル: known_geny_files) {
  9. ファイル geny_file = new File(file);
  10. geny_fileが存在する場合(){
  11. 戻る 真実;
  12. }
  13. }
  14.  
  15. 戻る 間違い;
  16. }

QEMU パイプ

  1. プライベート静的String[] known_pipes = { "/dev/socket/qemud" "/dev/qemu_pipe" };
  2. /**
  3. * QEMUで使用されている既知のパイプがあるかどうかを確認します
  4. *
  5. *パイプ存在することわかっ場合は{@code true }を返し存在しない場合は{@code false }返します
  6. */
  7. 公共 静的ブール型hasPipes() {
  8. for (文字列パイプ: known_pipes) {
  9. ファイル qemu_socket = new File(pipe);
  10. (qemu_socketが存在する場合){
  11. 戻る 真実;
  12. }
  13. }
  14.  
  15. 戻る 間違い;
  16. }

ブレークポイントの設定

  1. 静的{
  2. // これ のみ有効
  3. System.loadLibrary( "anti" );
  4. }
  5. パブリックネイティブ静的  qemuBkpt()関数
  6.  
  7. 公共 静的ブール値 checkQemuBreakpoint() {
  8. ブール型 hit_breakpoint = false ;
  9.  
  10. // おそらく、これが特定の値であるかどうか確認したいかもしれません
  11. int結果 = qemuBkpt();
  12.  
  13. 結果 > 0 の場合 {
  14. ヒットブレークポイント = true ;
  15. }
  16.  
  17. hit_breakpointを返します
  18. }

以下は対応するC++コードです。

  1. void handler_sigtrap( int Signo) {
  2. 終了(-1);
  3. }
  4.  
  5. void handler_sigbus( intsigno ) {
  6. 終了(-1);
  7. }
  8.  
  9. intセットアップシグナルトラップ() {
  10. // BKPT はNexus 5 / OnePlus One (およびほとんどのデバイス)SIGTRAP をスローします
  11. シグナル(SIGTRAP、handler_sigtrap);
  12. // BKPT はNexus 4SIGBUS をスローします
  13. シグナル(SIGBUS、handler_sigbus);
  14. }
  15.  
  16. // これによりSIGSEGVが発生します  QEMU適切尊重される
  17. int tryBKPT() {
  18. __asm__ __volatile__ ( "bkpt 255" );
  19. }
  20.  
  21. jint Java_diff_strazzere_anti_emulator_FindEmulator_qemuBkpt(JNIEnv* env, jobject jObject) {
  22.  
  23. pid_t 子 = fork();
  24. int child_status、ステータス = 0;
  25.  
  26. if(子 == 0) {
  27. セットアップSigTrap();
  28. BKPT() を試行します。
  29. }そうでない場合(子 == -1) {
  30. ステータス = -1;
  31. }それ以外{
  32.  
  33. 整数タイムアウト = 0;
  34. 整数i = 0;
  35. while ( waitpid(child, &child_status, WNOHANG) == 0 ) {
  36. 睡眠(1);
  37. // ここで時間を調整することもできますが、私の経験、子供がすぐに戻ってこない場合は
  38. //何か問題が発生しエミュレートされたデバイスある
  39. i++ == 1の場合
  40. タイムアウト = 1;
  41. 壊す;
  42. }
  43. }
  44.  
  45. タイムアウト == 1 の場合
  46. // プロセスがタイムアウトました- エミュレートされたデバイス子がフリーズしている可能性があります
  47. ステータス = 1;
  48. }
  49.  
  50. if (WIFEXITED(child_status)) {
  51. // 子プロセスは正常に終了する
  52. ステータス = 0;
  53. }それ以外{
  54. // 正常に終了しませんでした - エミュレータである可能性が高いです
  55. ステータス = 2;
  56. }
  57.  
  58. // 子が死んでいること確認する
  59. 子を殺します。
  60. }
  61.  
  62. ステータスを返します
  63. }

関連する情報が見つからなかったため、ここでの説明は正確ではない可能性があります。私は自分の理解に基づいてのみそれを説明することができます:

SIGTRAP は、デバッガーがブレークポイントを設定したときに生成される信号です。これは、nexus5 や OnePlus フォンなど、ほとんどのフォンでトリガーできます。 SIGBUS はバス エラーです。ポインタは有効なアドレスにアクセスできますが、データの不整合などの理由によりバスは使用できません。 Nexus4 フォンでトリガーできます。 Bkpt は arm のブレークポイント命令です。これは qemu が提起した問題です。 SIGSEGV 信号により qemu がクラッシュします。著者はこのクラッシュを利用して qemu を検出したいと考えています。プログラムが正常に終了しなかったり、フリーズしたりする場合は、エミュレータに問題がある可能性が高いと判断できます。

アジア開発銀行

  1. 公共 静的ブール型hasEmulatorAdb() {
  2. 試す {
  3. FindDebugger.hasAdbInEmulator()を返します
  4. } catch (例外例外) {
  5. 例外.printStackTrace();
  6. 戻る 間違い;
  7. }
  8. }

isUserAMonkey()

  1. 公共 静的ブール型hasEmulatorAdb() {
  2. 試す {
  3. FindDebugger.hasAdbInEmulator()を返します
  4. } catch (例外例外) {
  5. 例外.printStackTrace();
  6. 戻る 間違い;
  7. }
  8. }

これは実際には、現在の操作がユーザーによって要求されたのか、スクリプトによって要求されたのかを検出するために使用されます。

デバッガが接続されているかどうか

  1. /**
  2. * 信じられないかもしれませんが、この方法を使用する強化プログラムは数多くあります...
  3. */
  4. 公共 静的ブール値isBeingDebugged() {
  5. Debug.isDebuggerConnected()を返します
  6. }

このメソッドは、デバッグを検出し、デバッガーが接続されているかどうかを判断するために使用されます。

ptrace

  1. プライベート静的文字列 tracerpid = "TracerPid" ;
  2. /**
  3. * アリババはこれを利用して、申請プロセスが追跡されているかどうかを検出します
  4. *
  5. * 回避は簡単です。使用方法は、3秒ごとにチェックするスレッドを作成することです。検出された場合は、プログラムがクラッシュします。
  6. *
  7. * @戻る 
  8. * @throwsIOException 例外をスローします
  9. */
  10. 公共 静的ブール型hasTracerPid()はIOExceptionをスローします{
  11. BufferedReader リーダー = null ;
  12. 試す {
  13. リーダー = 新しい BufferedReader(新しい InputStreamReader(新しい FileInputStream( "/proc/self/status" )), 1000);
  14. 文字列;
  15.  
  16. ((line = reader.readLine()) != null ) の場合 {
  17. (line.length() > tracerpid.length()) の場合 {
  18. 行のサブストリング(0、tracerpid.length())。equalsIgnoreCase(tracerpid)){
  19. 整数.decode(line.substring ( tracerpid.length() + 1).trim()) > 0 の場合
  20. 戻る 真実;
  21. }
  22. 壊す;
  23. }
  24. }
  25. }
  26.  
  27. } catch (例外例外) {
  28. 例外.printStackTrace();
  29. ついに
  30. リーダーを閉じる() ;
  31. }
  32. 戻る 間違い;
  33. }

この方法は、/proc/self/status 内の TracerPid 項目を確認することです。この項目は、トレースがない場合にはデフォルトで 0 に設定され、プログラムがトレースされている場合は対応する pid に変更されます。したがって、TracerPid が 0 でない場合は、シミュレータ環境にあると見なすことができます。

TCP接続

  1. 公共 静的ブール型hasAdbInEmulator()はIOExceptionをスローします{
  2. ブール値 adbInEmulator = false ;
  3. BufferedReader リーダー = null ;
  4. 試す {
  5. リーダー = 新しい BufferedReader(新しい InputStreamReader(新しい FileInputStream( "/proc/net/tcp" )), 1000);
  6. 文字列;
  7. //をスキップ
  8. リーダー.readLine();
  9.  
  10. ArrayList<tcp> tcpList = 新しいArrayList<tcp>();
  11.  
  12. ((line = reader.readLine()) != null ) の場合 {
  13. tcpリスト。追加(tcp.create ( line.split( "\\W+" )));
  14. }
  15.  
  16. リーダーを閉じる() ;
  17.  
  18. // Adb常に0.0.0.0バウンスされますが、ポートは変更される可能性があります
  19. //実際のデバイスは != 127.0.0.1 である必要があります
  20. 整数adbPort = -1;
  21. (tcp tcpItem : tcpList)の場合{
  22. tcpItem.localIp == 0 の場合 {
  23. adbPort = tcpItem.localPort;
  24. 壊す;
  25. }
  26. }
  27.  
  28. (adbPort != -1) の場合 {
  29. (tcp tcpItem : tcpList)の場合{
  30. tcpItem.localIp が 0 の場合、tcpItem.localPort は adbPort になります。
  31. adbInEmulator = true ;
  32. }
  33. }
  34. }
  35. } catch (例外例外) {
  36. 例外.printStackTrace();
  37. ついに
  38. リーダーを閉じる() ;
  39. }
  40.  
  41. adbInEmulatorを返します
  42. }
  43.  
  44. 公共 静的クラスtcp {
  45.  
  46. 公共 整数ID;
  47. パブリックlong localIp;
  48. 公共 ローカルポート番号
  49. 公共 リモートIPアドレス。
  50. 公共  intリモートポート;
  51.  
  52. 静的tcp作成(String[]パラメータ){
  53. 新しいtcp(params[1]、params[2]、params[3]、params[4]、params[5]、params[6]、params[7]、params[8]、
  54. パラメータ[9]、パラメータ[10]、パラメータ[11]、パラメータ[12]、パラメータ[13]、パラメータ[14]);
  55. }
  56.  
  57. パブリックtcp(文字列id、文字列localIp、文字列localPort、文字列remoteIp、文字列remotePort、文字列state、
  58. 文字列 tx_queue、文字列 rx_queue、文字列 tr、文字列 tm_when、文字列 retrnsmt、文字列 uid、
  59. 文字列タイムアウト、文字列inode) {
  60. this.id =整数.parseInt(id, 16);
  61. this.localIp = Long.parseLong(localIp, 16);
  62. this.localPort = Integer .parseInt(localPort, 16);
  63. }
  64. }

この方法は、/proc/net/tcp の情報を読み取って adb が存在するかどうかを判定します。例えば、実機の情報は 0:4604D20A:B512 A3D13AD8... ですが、シミュレーター上の対応する情報は 0:00000000:0016 00000000:0000 です。これは、adb が通常 IP アドレス 0.0.0.0 に反映されるためです。ポートは変更される可能性がありますが、確かに実現可能です。

テインドロイド

  1. 公共 静的ブール型hasPackageNameInstalled(コンテキストコンテキスト、文字列パッケージ名) {
  2. パッケージマネージャー packageManager = context.getPackageManager();
  3.  
  4. // 理論的には、パッケージインストーラが例外をスローしない場合は、パッケージが存在します
  5. 試す {
  6. packageManager.getInstallerPackageName(パッケージ名);
  7. 戻る 真実;
  8. } (IllegalArgumentException 例外をキャッチ) {
  9. 戻る 間違い;
  10. }
  11. }
  12. 公共 静的ブール型hasAppAnalysisPackage(コンテキストコンテキスト) {
  13. Utilities.hasPackageNameInstalled(context, "org.appanalysis" )を返します
  14. }
  15. 公共 静的ブール型hasTaintClass() {
  16. 試す {
  17. クラス.forName( "dalvik.system.Taint" );
  18. 戻る 真実;
  19. }
  20. (ClassNotFoundException 例外をキャッチ) {
  21. 戻る 間違い;
  22. }
  23. }

これは比較的簡単です。パッケージ名とTaintクラスを検出して、汚染解析ツールTaintDroidがインストールされているかどうかを判定します。さらに、TaintDroid のいくつかのメンバー変数を検出することもできます。

eth0

  1. プライベート静的ブール値hasEth0Interface() {
  2. 試す {
  3. ( Enumeration <NetworkInterface> en = NetworkInterface.getNetworkInterfaces(); en.hasMoreElements(); ) {
  4. NetworkInterface intf = en.nextElement();
  5. (intf.getName().equals( "eth0" ))の場合
  6. 戻る 真実;
  7. }
  8. } catch (SocketException ex) {
  9. }
  10. 戻る 間違い;
  11. }

eth0 ネットワーク カードが存在するかどうかを確認します。

センサー

携帯電話にはさまざまなセンサーが搭載されていますが、本質的には環境から収集した情報に基づいて値を出力するため、センサーをシミュレートするのは非常に困難です。これらのセンサーは、携帯電話やシミュレーターを識別するための新たな機会を提供します。

たとえば、論文「Rage Against the Virtual Machine: Hindering Dynamic Analysis of Android Malware」では、著者らが Android エミュレーターの加速度計をテストし、Android エミュレーターのセンサーが同じ時間間隔内に同じ値を生成することを発見しました (観測結果は 0.8 秒、標準偏差は 0.003043 でした)。明らかに、現実世界のセンサーではこれは不可能です。

まずセンサーリスナーを登録します。登録に失敗した場合は、シミュレーター側の問題である可能性があります(実機がセンサーに対応していない可能性は除く)。登録が成功した場合は、onSensorChanged コールバック メソッドを確認します。このメソッドを連続して呼び出した際に観測されたセンサー値や時間間隔が同じであれば、シミュレータ環境であると判断できます。

QEMU タスクスケジューリング

パフォーマンス上の理由から、QEMU は命令を実行するたびにプログラム カウンター (PC) を積極的に更新しません。変換された命令はローカルで実行されるため、PC を増やすと追加の命令が必要になり、オーバーヘッドが発生します。したがって、QEMU は線形実行プロセスを中断する命令 (分岐命令など) を実行するときにのみプログラム カウンターを更新します。

つまり、いくつかの基本ブロックの実行中にスケジューリング イベントが発生した場合、スケジューリング前に PC を復元する方法はありません。このため、QEMU は基本ブロックの実行後にのみイベントをスケジュールし、実行中にはスケジュールしません。

上図に示すように、スケジューリングはいつでも発生する可能性があるため、シミュレータ以外の環境では多数のスケジューリング ポイントが観察されます。シミュレータ環境では、特定のスケジュール ポイントのみが表示されます。

SMC 識別

QEMU はコード ページの変更を追跡するため、自己変更コード (SMC) を使用して QEMU をインストルメント化し、エミュレーターと実際のデバイス間の実行フローを変更する新しい方法があります。

ARM プロセッサには、命令アクセス用 (I キャッシュ) とデータ アクセス用 (D キャッシュ) の 2 つの異なるバッファ キャッシュが含まれています。しかし、ARM などのハーバード アーキテクチャでは、I-Cache と D-Cache 間の一貫性を保証することはできません。したがって、新しいコードがメイン メモリに書き込まれた後でも、CPU が古い (おそらく無効な) コードを実行する可能性があります。

この問題は、2 つのキャッシュを強制的に整合させることで解決できます。これには次の 2 つの手順があります。

  1. メインメモリをクリーンアップして、Dキャッシュに新しく書き込まれたコードをメインメモリに移動できるようにします。
  2. I-Cacheを無効にして、メインメモリから新しい内容で補充できるようにします。

ネイティブ Android コードでは、システム コールを通じて上記の操作を完了する cacheflush 関数を使用できます。

読み取り/書き込み権限を持つメモリを使用して、2 つの異なる関数 f1 と f2 のコードを含むコードを識別します。これら 2 つの機能は実は非常に単純です。それぞれの関数名をグローバル文字列変数の末尾に追加するだけです。これら 2 つの関数はループ内でインターリーブされるため、結果の文字列から関数呼び出しシーケンスを推測できます。

前述したように、キャッシュを同期するには cacheflush を呼び出します。実際のデバイスとシミュレーターでコードを実行すると、同じ結果が得られます。各実行で一貫した関数呼び出しのシーケンスが生成されます。

次に、cacheflush の呼び出しを削除し、同じ操作を実行します。実際のデバイスでは、実行するたびに関数呼び出しのランダムなシーケンスが観察されます。これは、I-Cache に古い命令が含まれている可能性があり、前述のように、呼び出されるたびにキャッシュが同期されなくなるためです。

これはシミュレータ環境では発生せず、関数呼び出しシーケンスは cacheflush が削除される前とまったく同じになります。つまり、各関数呼び出しの前にキャッシュは一貫しています。これは、QEMU がコード ページの変更を追跡し、生成されたコードが常にメモリ内のターゲット命令と一致するようにするため、QEMU は以前のバージョンのコード変換を破棄し、新しいコードを再生成するためです。

結論

これを読んで、検出方法が十分あると思われるかもしれませんが、私が読んだのは2013年と2014年の情報だけです。近年に関するデータは含まれていません。

***これらの検出方法をマインドマップ(添付ファイルを参照)に統合して、誰でも見られるようにします。私とコミュニケーションを取り、指導してください。

参考リンク

strazzere/anti-emulator: ***2013 年の HitCon で公開され、仮想マシンを検出するためのいくつかの方法とアイデアを提案しました。これは Android エミュレータ検出の先駆的な作業となるはずです。この記事は主にこのリポジトリに基づいています。

Rage Against the Virtual Machine: Android マルウェアの動的分析の妨害: タスク スケジューリングによる検出と SMC を使用した識別は、どちらもこの論文から引用されています。この論文と次の論文は参考として非常に価値があり、読む価値があります。

サンドボックス検出による Android ランタイム分析の回避: この論文では、Android ランタイム環境を検出するための多くの方法とアイデアを提案しています。内容が豊富で非常に包括的であり、読む価値もあります。

CalebFenton/AndroidEmulatorDetect: このリポジトリは、実際にいくつかの記事やリポジトリの検出方法とコードを統合しており、包括的ではありませんが、多くの参照リンクが提供されており、手がかりをたどることができました。

Android アプリケーションがエミュレータで実行されているかどうかをどのように検出できますか?ネットユーザーからは多くの解決策が提示されている。しかし実際には、それらは包括的なものではなく、エミュレータ検出における氷山の一角にすぎません。結局のところ、検出できる場所はたくさんあります。

タスク スケジューリング機能を使用して Android エミュレーターを検出する

<<:  Ben Feng: TusDesign プライベート クラウド データ センター構築の実践 | V教室109号室

>>:  仮想化について語る 5 - コンピューティング仮想化におけるメモリ仮想化

推薦する

IT の進化を考察し、業界のデジタル変革を分析する | ITE 2018のハイライト

12月5日、北京金宇シェラトンホテルにて、ITE 2018(IT進化会議)・業界デジタル変革会議の解...

クラウドとインテリジェンスを統合してデジタルの未来を創造する新しい清華紫光クラウドが第4回世界インテリジェンス会議でデビューしました。

6月23日、第4回世界情報会議(以下、「会議」という)が天津で盛大に開幕した。多くの著名な学者、政府...

最近、一部のウェブサイトのキーワードライブラリが急激に減少した理由

月収10万元の起業の夢を実現するミニプログラム起業支援プラン最近、一部のウェブサイトの記事のランキン...

#11.11# zji: 香港50G高防御サーバー、50%割引、香港アリババネットワーク(独立)サーバーは月額わずか480元

今から11月12日まで、zji(つまり、2011年に設立されたWeixiang Hostingですが...

#ブラックフライデー#: codero - 20% オフ、すべてのサーバー/VPS 登録が 3 か月無料

Codero は非常に信頼性の高いサーバー ホスティング プロバイダーです。公式の TOS には S...

Woothosting-quadranet ロサンゼルス 1Gメモリ KVM 年払い 21 米ドル

Woothosting、新しいプロモーションが再び登場しました。価格は毎回下がっており、引き続き Q...

Double 11 のコア システムは 100% クラウドに移行されています。 Alibaba Cloud Shenlong は、大きなパフォーマンス損失の問題を克服します。

先日終了した天猫ダブル11では、取引額2,684億元、ピーク時の注文件数54万4,000件/秒という...

企業における統合ハイブリッドクラウドストレージの重要性

あなたの組織はハイブリッド クラウド ストレージをさらに活用する準備ができていますか?テクノロジーを...

ビッグデータ時代のサードパーティデータ企業とパーティA企業の違い

今はビッグデータの時代であり、データによる価値創造やデータマイニングといったホットな言葉が話題になっ...

backupsy-KVM ベースのバックアップ VPS-500G ハードディスク-月額 7 ドル/G ポート

backupsy、それに関する情報は見つかりませんでしたので... VPSについてお話ししましょう。...

中小企業はインターネットマーケティングの人材を育成すべきでしょうか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますこれまでの...

Centos7 システムに基づく Pinpoint 分散監視のインストールと展開

概要Pinpoint は、GitHub でオープンソース化された APM 監視ツールです。これは J...

[更新] アメリカのクラウドサーバー、コスト効率が良く評判の良い商人の推薦

アメリカのクラウドサーバーベンダーはあまりにも多く、本物のクラウドを見分けられない人が多いです。クラ...

コア基盤: JVM とは何かを理解しますか? Java仮想マシンの本質を理解する

[[258795]] Java 仮想マシンは、他のプログラムを実行することを目的としたプログラムです...