Android 虚拟多开系列二——技术原理

时间 2020-07-18

标签 android 虚拟系列技术原理栏目 Android 繁體版

原文原文链接

Android虚拟多开应用有哪些？

Android虚拟多开应用技术原理有哪几类？

Android虚拟多开需求分析

反虚拟多开技术

正文

1、Android虚拟多开应用列表

应用名称	版本号	开源	公司名称	下载连接
太极		否	维术（我的）	微信公众号：虚拟框架
VirtualApp		2017.12月中止开源更新	罗盒科技	VirtualApp
LBE平行空间		否	LBE	LBE平行空间
360分身大师		否	360	360分身大师
DroidPlugin		是	360	DroidPlugin
小米应用分身		否	小米	小米手机
双开助手		否	卓盟	双开助手
360奇酷手机		否	360	360奇酷手机
克隆大师		否	未知	克隆大师（项目已停）

2、Android虚拟多开应用技术原理

Android应用分身的实现和解析

1）修改APK（例：克隆大师）

2）修改Framework（Android多用户机制。例：小米应用分身、360奇酷手机、等）

3）经过虚拟化技术实现（例：360分身大师、LBE平行空间）

4）以插件机制运行（例：DroidPlugin）

A. 原理简述：

如今市场上常见的虚拟多开应用主要是基于虚拟化技术实现，而虚拟化技术主要经过 Hook 技术实现，所以咱们主要考察 Hook 技术。

Hook技术的分类，在非虫写的《 Android软件安全权威指南》第十章有详细描述，推荐。现总结以下：

按 Java 层与 Native 层分类， Hook 技术能够分为 Java 层的 Hook 与 Native 层的 Hook。根据代码的运行环境，Java层的 Hook 能够分为 Dalvik Hook 与 ART Hook。根据 ELF 文件的特色，Native层的 Hook 能够分为基于动态库加载劫持的 LD_PRELOAD Hook、针对 .got.plt 节区的 GOT Hook 及针对汇编指令级别的 Inline Hook。

Hook技术主要分为五类：

a. Dalvik Hook；

b. ART Hook；

c. LOAD_PRELAD Hook；

d. GOT Hook；

e. Inline Hook；

已有的Hook框架：

a. Xposed（支持Java层的 Dalvik Hook 和 ART Hook，但不支持 Native 层的 Hook）

b. legend（支持Java层的 Dalvik Hook 和 ART Hook）

e. epic

c. whale（跨平台的Hook框架，支持Java层的 Dalvik Hook 和 ART Hook）

VirtualApp 采用了 Hook技术实现了在Android平台上的沙盒环境（容器），达到能够彻底控制其内运行的App的目的。

B. 实践

笔者主要看了 weishu 和 lody 对该技术的研究以及实现，所以主要讲这两位开发者对该问题的研究和实现。

1） weishu的主要产品是 taichi，其产品发展图以下所示：

2）lody主要产品是 VirtualApp，很是优秀的一款软件，weishu的 VirtualXpose 也是基于 VirtualApp 来实现的。

分析该软件原理的文章很是之多，也很专业，笔者在这里仅列出两篇实践应用的文章，用以实现基于VirtualApp来hook其余第三方应用。

VirtualHook：基于VirtualApp的Java代码hook工具

经过 VirtualApp 实现免 Root 权限 Hook

另：笔者经过借鉴以上两篇文章实现了基于 VirtualApp 并结合 whale hook框架来hook其余第三方应用的目的，在以后的文章将详述实现过程。感谢。

3、Android虚拟多开需求分析：

多帐号同时运行；

　　运营工具；

4、反虚拟多开技术

VirtualApp技术黑产利用报告

VirtualApp使恶意应用具备免杀能力；

VirtualApp给检测引擎识别恶意应用带来难度，由于其母包没有恶意应用，但可动态加载子包。

相应的解决方案文中有详细描述。