手机毒霸去广告功能分析二:广告View的识别
手机毒霸对于广告View的判定规则分析
上次我们提到手机毒霸获得root权限之后,生成一个root进程,然后通过进程注入的方式将广告应用中的广告检测出来,并且清除之。这次我们将详细介绍手机毒霸(v1.6.0)是如何找到广告View的。
一、广告View判定规则分析
接着上次的说,注入代码勾住了ActivityThread中的mH的mCallback回调【@】,拦截了RESUME_ACTIVITY(107)和PAUSE_ACTIVITY(101)消息。直接看dex2jar反编译ksremote.jar后的代码。
@com.ijinshan.remotejar.e
if (paramMessage.what == 107)
{
if (com.ijinshan.hookutil.b.a)
Log.d("HookActivityThread", "RESUME_ACTIVITY");
f.a(paramMessage.obj); //这里就是在Activity resume之前做的事情
KsRemoteCtrl.a(107);
break;
}
if (paramMessage.what == 101)
{
f.b(paramMessage.obj);
break;
}
顺藤摸瓜看看f.a(paramMessage.obj);做了些什么。
@ com.ijinshan.remotejar.f
public static void a(Object paramObject) {//paramObjects实际是IBinder类型的token
if ((a != null) && (e != null)) {
Object localObject = a.get(paramObject);//根据token拿到ActivityClientRecord
if (localObject != null) {
Activity localActivity = c(localObject);//根据ActivityClientRecord拿到Activity
if (localActivity != null) {
//根据Activity拿到com.ijinshan.duba.a.b对象
com.ijinshan.duba.a.b localb = (com.ijinshan.duba.a.b)e.get(localActivity);
if (localb != null) localb.d();//接下来要跟这个函数
}
}
}
d();
}
其实上面的com.ijinshan.duba.a.b类是一个比较重要的类,它负责检测广告。我们接下去看它的d()方法。
@ com.ijinshan.duba.a.b
public void d()
{
if (com.ijinshan.hookutil.b.a)
Log.e(a, this.c.toString() + " onResume");
// com.ijinshan.remotejar.d.b()返回了主线程的一个Handler
com.ijinshan.remotejar.d.b().postDelayed(this.h, 1000L);
}
接下来要看这个h是一个什么样的Runnable了。这个成员h是com.ijinshan.duba.a.c类型的。
@com.ijinshan.duba.a.c
public void run()
{
if (!a.h());
while (true)
{
return;
if (!b.a(this.a).isFinishing())
{
b.b(this.a);
…
boolean bool = this.a.a(b.a(this.a));//这里如果找到广告View就返回true
…
if (bool)
b.a(this.a, true);
else if (b.a(this.a).getClass().toString().indexOf("qsbk.app.logic.TopActivity") > -1)
d.b().postDelayed(b.c(this.a), 500L);
}
}
}
boolean bool = this.a.a(b.a(this.a));这句看上去比较复杂,我们掰开来瞧瞧。
拆成Activity activity = b.a(this.a); boolean bool = this.a.a(activity);
this.a是com.ijinshan.duba.a.b类型。b.a(this.a)的b类也是com.ijinshan.duba.a.b,b.a方法返回一个Activity。this.a.a(activity);就是在这个activity中搜索看是否存在广告View。
@ com.ijinshan.duba.a.b
public boolean a(Activity paramActivity) {
int i = 0;
FrameLayout localFrameLayout = (FrameLayout)paramActivity.getWindow().getDecorView();//获得当前Activity的DecorView
if (localFrameLayout != null) {
localFrameLayout.getClass();
bool = false;
while (i < localFrameLayout.getChildCount()) {//从根开始遍历所有view
if (a("---", localFrameLayout, localFrameLayout.getChildAt(i)))//接着看a方法
bool = true;
i++;
}
}
boolean bool = false;
return bool;
}
这里这个a方法太复杂了,但是非常重要。dex2jar反编译出来的逻辑出现了较大误差,还是用smali吧。
对这个a()函数做一下总结:整个广告匹配过程中一共使用了3种规则:
1. 类名规则:当前View对象的类名如果与黑名单中的类名匹配,那么就认定为广告。
2. WebView规则:当前View对象是WebView并且满足一定的规则,那么就认定为广告。
3. 排除规则:当ViewGroup对象的类名如含有” com.android.internal.policy.impl.PhoneWindow”, 那么就肯定不是广告。
a()函数的算法大体如下:
首先判断当前View是不是ViewGroup。
1. 非ViewGroup情况下,只用类名规则匹配
2. ViewGroup情况下,以此用类名规则和WebView规则匹配,如果还未匹配上,则用排除规则排除PhoneWindow的情况。接下来就是遍历当前ViewGroup的所有子View,然后递归调用a()。
一旦出现命中,则广告View的位置上将被加上adclose View。这个adclose View就是给用户点击来移除广告用的。
以下给出类名规则和WebView规则的细节。(排除规则上述代码中已有)
类名规则:
@com.ijinshan.duba.a.a
public static boolean b(String paramString)
{
if (paramString.startsWith("class "))
paramString = paramString.substring(6); //将View的类名移除开头”class ”
boolean bool;
//过滤掉肯定不是广告的类名。请看下面a(paramString.getBytes()函数的具体实现。
if (a(paramString.getBytes()))【@】
bool = false;
while (true)
{
return bool;
synchronized (f)
{
if ((j == null) || (j.size() == 0))
{
bool = false;
continue;
}
if (TextUtils.isEmpty(paramString))
{
bool = false;
continue;
}
String[] arrayOfString = d.a(paramString, ".");//将View的类名按照”.”拆分成字符串数组
if (arrayOfString.length >= 2)//必须要有包名。【@】
{
String str1 = arrayOfString[0] + "." + arrayOfString[1];
//这里j就是广告View的类名黑名单,它是一个二级Map。
List localList = (List)j.get(str1);
if ((localList != null) && (!localList.isEmpty()))
{
Iterator localIterator = localList.iterator();
while (true)
if (localIterator.hasNext())
{
String str2 = (String)localIterator.next();
if (paramString.contains(str2)) //匹配上了。命中!
{
if (b.a)
Log.e("ad", "IsAdViewCls clsSign " + str2 + " || clsName " + paramString + " return true");
bool = true;
break;
}
}
}
}
bool = false;
}
}
}
总的来说就两步:先过滤掉一些金山认为肯定不含广告的包名,然后到黑名单中去匹配。至于这个黑名单怎么来的。这里我不想展开了。这里只想简单的说这个黑名单是通过IPC从手机毒霸的主进程哪里获得的。至于哪些包名是金山认为肯定不含广告的包名呢?请大家看下面的函数。
@com.ijinshan.duba.a.a
//过滤掉肯定不是广告的类名。
public static boolean a(byte[] paramArrayOfByte)
{
boolean bool = true;
if ((paramArrayOfByte.length >= 6) && (paramArrayOfByte[0] == 106) && (paramArrayOfByte[bool] == 97) && (paramArrayOfByte[2] == 118) && (paramArrayOfByte[3] == 97) && (paramArrayOfByte[4] == 46) && (paramArrayOfByte[5] == 108));
while (true)
{
return bool;
if (((paramArrayOfByte.length < 7) || (paramArrayOfByte[0] != 100) || (paramArrayOfByte[bool] != 97) || (paramArrayOfByte[2] != 108) || (paramArrayOfByte[3] != 118) || (paramArrayOfByte[4] != 105) || (paramArrayOfByte[5] != 107) || (paramArrayOfByte[6] != 46)) && ((paramArrayOfByte.length < 8 || (paramArrayOfByte[0] != 97) || (paramArrayOfByte[bool] != 110) || (paramArrayOfByte[2] != 100) || (paramArrayOfByte[3] != 114) || (paramArrayOfByte[4] != 111) || (paramArrayOfByte[5] != 105) || (paramArrayOfByte[6] != 100) || (paramArrayOfByte[7] != 46) || ((paramArrayOfByte.length >= 15) && (paramArrayOfByte[8] == 99) && (paramArrayOfByte[9] == 111) && (paramArrayOfByte[10] == 109) && (paramArrayOfByte[11] == 109) && (paramArrayOfByte[12] == 111) && (paramArrayOfByte[13] == 110) && (paramArrayOfByte[14] == 46))) && ((paramArrayOfByte.length < 13) || (paramArrayOfByte[0] != 99) || (paramArrayOfByte[bool] != 111) || (paramArrayOfByte[2] != 109) || (paramArrayOfByte[3] != 46) || (paramArrayOfByte[4] != 97) || (paramArrayOfByte[5] != 110) || (paramArrayOfByte[6] != 100) || (paramArrayOfByte[7] != 114) || (paramArrayOfByte[8] != 111) || (paramArrayOfByte[9] != 105) || (paramArrayOfByte[10] != 100) || (paramArrayOfByte[11] != 46) || (paramArrayOfByte[12] != 114)) && ((paramArrayOfByte.length < 13) || (paramArrayOfByte[0] != 99) || (paramArrayOfByte[bool] != 111) || (paramArrayOfByte[2] != 109) || (paramArrayOfByte[3] != 46) || (paramArrayOfByte[4] != 105) || (paramArrayOfByte[5] != 106) || (paramArrayOfByte[6] != 105) || (paramArrayOfByte[7] != 110) || (paramArrayOfByte[8] != 115) || (paramArrayOfByte[9] != 104) || (paramArrayOfByte[10] != 97) || (paramArrayOfByte[11] != 110) || (paramArrayOfByte[12] != 46)))
bool = false;
}
}
是不是觉得有点恶心?dex2jar反编译也有点问题。不过仔细整理一下,其实逻辑很简单:
"java.l"打头的类名、“dalvik.”打头的类名、“android.”打头但不是 “androd.common.”打头的类名、“com.android.r”打头的类名和“com.ijinshan.”打头的类名都不会被认为是广告。
WebView规则:
@com.ijinshan.duba.a.b
private boolean b(WebView paramWebView)
{
Object localObject = a(paramWebView); //调用下面的函数
if ((com.ijinshan.hookutil.b.a) && (localObject != null))
Log.e(a, "getWebViewClient: " + localObject.toString());
//判断WebViewClient对象类名
//这里貌似是特别针对万普世纪(com.waps)的广告。
if ((localObject != null) && (localObject.getClass().toString().contains("com.waps")));
for (boolean bool = true; ; bool = false)
return bool;
}
public Object a(WebView paramWebView)
{
try
{
//反射得到当前WebView的getWebViewClient方法。
Method localMethod = Class.forName(KSCONST.decrypt("android.webkit.WebView")).getDeclaredMethod(KSCONST.decrypt("getWebViewClient"), new Class[0]);
localMethod.setAccessible(true);
//调用getWebViewClient()
Object localObject2 = localMethod.invoke(paramWebView, new Object[0]);
localObject1 = localObject2;
return localObject1;
}
catch (Exception localException)
{
while (true)
{
localException.printStackTrace();
Object localObject1 = null;
}
}
}
二、总结
经过了上面的介绍,我相信大家基本上对于手机毒霸是如何判定一个View是广告的原理已经有了较清楚的了解。总的来说就是通过View的类名匹配。手机毒霸存有一个黑名单。如果一个View的类名跟这个黑名单匹配上,那么这个View就被认作是广告View。寻找广告View的过程则是从Activity的根View上树形遍历所有的View。
三、如何躲避手机毒霸的查杀
细心的读者可能已经发现了,我在文中加了三处【@】。这三处也是躲避手机毒霸查杀的入口点。
1. 既然"java.l"打头的类名、“dalvik.”打头的类名、“android.”打头但不是 “androd.common.”打头的类名、“com.android.r”打头的类名和“com.ijinshan.”打头的类名都不会被认为是广告。那么如果一个广告SDK的View的package名就以这些打头手机毒霸不就放过去了么。
2. 既然一个View的类名必须含有包名,那么如果将广告View写在默认包里不就可以躲过去了么。因为arrayOfString的长度必须要大于等于2才行。
String[] arrayOfString = d.a(paramString, ".");//将View的类名按照”.”拆分成字符串数组
3. 这点放在最后说,是因为相对有点工作量,并且还需要对我们的上一篇博客《手机毒霸去广告功能分析报告》有一个比较详尽的了解。广告View之所以被检测到是因为手机毒霸Hook了AndroidThread.mH的mCallback。广告SDK可以在每次显示广告前检查mCallback有没有被修改,如果发现mCallback被修改了,把它改回去就可以了。这样就从根本上使的手机毒霸的HOOK失效了。广告拦截更加无从谈起。
@安卓安全小分队 2013/2/5
更多内容请关注 http://blog.sina.com.cn/u/3194858670 以及 sina微博@ 安卓安全小分队
机毒霸去广告功能分析三:java代码(dex)注入 http://www.iteye.com/topic/1129642