@devilogic 2017-12-09T06:01:25.000000Z 字数 3205 阅读 1532

娜迦产品与服务介绍

naga

2014 - 2017 产品介绍

$\quad$ 这个阶段是娜迦以移动安全软件保护为核心产品的阶段。此阶段娜迦的产品偏向于系统的底层技术研究，无论是加固产品还是逆向服务均达业内最强。但产品形式过于离散，不成体系。产品应用均落实在解决某个点的问题，没有形成成套的方案。也未深入到客户的业务系统中。

APP加固

娜迦加固是当前最强的Android软件保护系统。

软件保护强度 - 从来没有被破解过，互联网上从没出现过关于娜迦的破文
软件兼容性 - 自建450台手机的测试平台、为客户提供免费的人工兼容服务
软件破解能力 - 绑绑、爱加密、360、腾讯、通付盾等市面上所有的移动软件保护都可以进行破解以及完整脱壳，包括免费版本以及企业版本。

Dex虚拟机保护

$\quad$ 目前市面上最强的Android软件保护，通过对原始dalvik opcode的二次转码，内部强有力的虚拟机解释引擎对转码后的代码做解析操作。防止黑客直接逆向原始的dalvik代码，从而把攻击目标转向到NagaVM中。
$\quad$ 虚拟机保护产品目前已经非常成熟与稳定、其理论最早在2002年提出，2004首先由俄罗斯的VMP公司实现并应用。目前软件保护业内最强理论是2012年由IBM以及UCLA提出的多线性拼图技术。娜迦信息科技目前正在研究此理论在移动软件保护方向的具体应用并准备逐步替换当前的虚拟机保护技术。

So软件保护壳

$\quad$ 目前只有娜迦一家公司实现了真正意义上的Android原生软件保护系统，通过软件保护壳以及动态加载技术的联合应用为原生程序提供保护。其他公司的产品只是在产品形式上实现了这种保护。
$\quad$ 一个强有力的证明是娜迦信息非但可以保护Android原生程序也可以保护所有遵循POXIS协议操作系统的原生程序，例如：ubuntu、redhat、gentoo等。

移动安全组件

以下安全组件均为合规性产品，一些国家测评中心在合规性测试中均要检测以下安全点，娜迦为此提供可靠的安全产品。

安全键盘控件 - 为Android系统提供随机安全，内部加密的安全控件
防截屏/劫持控件 - 为Android系统提供防止截屏以及劫持的安全控件
敏感数据保护控件 - 为Android、IOS提供内存数据的加密解密以及转码的保护功能

安全编译器

$\quad$ 娜迦开发了基于llvm框架的安全编译器，在编译期间插入垃圾指令、僵尸代码。并且进行乱序以及控制流平台化以及字符串加密等软件保护技术。

Android安全编译器
IOS安全编译器

APP检测

$\quad$ 娜迦信息有两套自动检测产品，一套是合规性检测产品(同行业都有此类产品)。其目的是为了符合国家检测标准的需求。另外一套是专业的逆向辅助工具，为了满足专业的移动逆向工程师的逆向需求。

APP合规检测扫描 - 合规性检测系统
APP内存敏感数据扫描器 - 专业的逆向辅助系统

渠道监控

$\quad$ 娜迦的渠道监控产品，目前收录了800多个有效渠道，其特点在于捕捉盗版的准确率为100%。这款产品的设计原则不像其他同业竞争者只求监控渠道数量的大小。而更偏重于质量，保证每个检测结果的正确性。

2017 - 2020 产品介绍

$\quad$ 娜迦信息在经过3年的市场摸索以及技术积累。在移动安全产品已经稳定的前提下，经过对市场的探索，准备在业务风控领域进行业务拓展。并将移动安全加固与企业应用风控进行整合使得形成一套完整的风控系统。实现对外进行应用风控，对内实现业务风控。
$\quad$ 在人们大谈机器学习与大数据的今天，却忽略了一个极为重要的关键点建模。娜迦的风控产品就是为了解决这一缺陷而建立的。

两个核心功能

人机识别 - 区分目前操作应用程序是人还是机器人，例如：爬虫，注册机器人等
人人识别 - 通过业务日志数据并进行自动建模，尝试找出例如：疑似耗羊毛，疑似欺诈的嫌疑人。从安全的角度来促进业务风控部门的效率，较少开销

四个辅助功能

环境检测 - 对移动应用运行的环境进行实时监控，在发现攻击时反馈给服务器并做出相应的策略响应，目前收集了23个常用检测点。
设备ID - 对手机设备进行唯一性识别
WebID - 对浏览器进行唯一性识别
JS保护 - 对JS进行软件保护

以下小节一一详细进行描述并且给出了产品进度

APP风控（以完成并实现产品化）

通过使用娜迦加固或者直接使用RCSDK嵌入两种方式到移动端APP中。当APP检测到存在攻击行为时，实时的将此行为发送到服务上。例如：“谁在调试我的程序”、“谁在嗅探我的程序包”、“谁在瞬间移动（防止地理位置模拟）”等。

下图展示了风控场景的构建：
场景构建.png-95.2kB

下图展示了在本系统对攻击者的跟踪与定位：
攻击痕迹.png-459.5kB

下图展示了本系统对可疑设备的检测与统计（以Root设备、模拟器、安装攻击框架的设备）：
可疑设备.png-90.6kB

Web风控（部分实现产品化）

$\quad$ 娜迦的Web风控产品主要是对_google_Web风控产品的模拟。主要在以下三个方面。

人机识别 - google的主要为了防止机器人自动注册google账号，通过操作行为区分人与机器人
WebID - 人机识别的基础组件，主要为了得到浏览器设备的唯一性。
JS保护 - WebID以及操作行为抓取的程序均有JS语言编写，此系统为了保护以上两个模块不被攻击者攻击的基础保护系统

JS保护（以完成并实现产品化）

主要提供对目标JS代码进行以下六种功能的保护：
1. 多态变异 - 使得JS代码每次被引用代码自身即立刻自动发生变异，达到一次一密的效果
2. 变量混淆 - 对变量名、函数名、常量名随机变化称无意义的字符串
3. 字符串加密 - 将字符串进行加密
4. 代码压缩 - 移除无用的空格，回车等语言，使得代码变小
5. 僵尸代码 - 随机在代码中插入无用僵尸代码、僵尸寒暑
6. 平展控制流 - 打乱函数原有代码执行流程及函数调用关系，使代码逻辑变得混乱无序

$\quad$ 此套系统实现了串联与并联两种模式。在串联模式下可以直接将目标网站的所有JS代码进行保护。http://123.57.9.93:8009实现了对平安集团官网http://www.pingan.com的保护，其中所有的JS源代码文件进行了软件保护。

可以从http://123.57.9.93:8009取得任意JS文件进行验证

$\quad$ 在并联模式下可以针对某个JS文件进行软件保护。

以下是JS的保护原理：
JSP1.jpg-218.8kB

附：当前产品已经与绿盟以及启明的WAF产品做对接作为一个补充模块潜入。在2016年绿盟WAF销量2万台（全国第一），启明销量7000台。

WebID（技术已完成，产品化未做完）

$\quad$ 其主要功能是实现对浏览器的唯一性鉴别。通过对浏览器的70多个维度特征的选取来鉴别唯一性。
例如：

用户代理
浏览器语言
屏幕色彩深度
屏幕像素比
硬件并发，CPU个数，几核
分辨率
等70多个维度

人机识别（未完成开发中）

对人与机器人以及爬虫进行识别，通过客户端程序的行为抓去程序对操作行为的抓取与量化。后台服务器程序通过机器学习将量化后的数据进行训练并形成人的模式用来鉴别与机器的区别。

大数据机器训练系统（整体架构已经完成）

为了支持APP风控 + Web风控的后端计算而创建

$\quad$ 最初的设定是为了支持娜迦的风控体系。经过市场调研之后，发现很多企业都对大数据以及机器学习的需求，但是并没有搭建大数据处理以及机器学习引擎的能力。
$\quad$ 所以，再孵化自身风控产品的过程中，建立一套稳定并易于部署的在线计算、离线训练的大数据机器学习系统。
$\quad$ 其整体架构如下：
点融(1).png-38.4kB

服务介绍

娜迦最强的服务在于逆向分析，团队在2010年时对全国所有的大型国有银行的U盾进行了破解，在2015年对全国所有的大型国有网银进行了转账劫持攻击检测。

APP脱壳 - 对APP进行脱壳，目前可以对世面上所有的加固厂商进行脱壳，其中包括著名加固厂商的免费产品以及企业级产品，如：梆梆、爱加密、360、腾讯等全国所有企业
APP漏洞挖掘 - 对APP进行逆向分析以及漏洞的挖掘
兼容性测试 - 对APP的兼容性进行自动以及具体业务手工的进行兼容性测试