Android~apk的混淆和加固(1)
针对apk,加固是多维度的安全防护方案,包括反破解、反逆向、防篡改等,可以防止应用被各类常见破解工具逆向,安全性要远大于单纯的代码混淆。操作的对象是项目打包成的apk文件。为什么我们需要混淆?因为java字节码特性很容易反编译。对于加固,上架应用市场一般提供相关文档指导我们进行apk的渠道打包发布,这里不做展开我们先大概知道加固的一些原理。修改gradlerelease {参考需要保留的类及方法,
-
如果是NDK开发,需要让C/C++可以通过JNI使用对应的java方法;
-
四大组件由于在清单文件中已经声明注册,不可以改变所以需要可以保留;
-
R文件混淆会导致引用错误。
1.3 如何去除日志信息:
打开优化开关,使用proguard-android-optimize.txt。然后通过配置proguard将android.util.log类方法设置为无效代码,从而去除apk中打印日志的代码。
1.4 什么是加固
针对apk,加固是多维度的安全防护方案,包括反破解、反逆向、防篡改等,可以防止应用被各类常见破解工具逆向,安全性要远大于单纯的代码混淆。操作的对象是项目打包成的apk文件。
1.5 如何加固
-
对抗反编译工具,通过让apk或dex文件无法正常通过反编译工具编译,导致编译工具异常或奔溃。如Apktool、baksmali、dex2jar、JEB等。通过考虑分析反编译工具源码原理,让反编译工具对我们的apk无效。
-
对抗安卓模拟器,一般运行在安卓模拟器中的程序是处于逆向分析状态,我们可以在我们的代码中通过检测当前运行环境是否和安卓虚拟机类似,从而直接退出我们的程序。
检测安卓模拟器的方式有下属几种:
- 检测模拟器上面特有的几个文件;
- 检测模拟器默认的电话号码;
- 检测设备IDS是不是"0000000000";
- 检测imsi是不是"310260000000000";
- 检测手机上的一些硬件信息;
- 检测手机运营商等。
-
对抗apk重打包。apk重打包是指先使用反编译工具得到smali代码,然后再由smali代码重新打包生成apk,最后重新签名才能运行。我们可以通过对签名的校验来放置apk被重新签名打包分析。
-
如何对抗IDA Native层调试? 如果进程被IDA调试,/proc/pid/status文件中TracePid不等于0,可以利用这个条件检查我们的程序是否被IDA调试。
总结
为什么我们需要混淆?因为java字节码特性很容易反编译。对于加固,上架应用市场一般提供相关文档指导我们进行apk的渠道打包发布,这里不做展开我们先大概知道加固的一些原理。混淆的步骤:
- 修改gradle
release {
minifyEnabled true
shrinkResources true
proguardFiles getDefaultProguardFile(‘proguard-android.txt’), ‘proguard-rules.pro’
}
-
参考需要保留的类及方法,确定项目中哪些不能混淆的类
-
参考混淆模板,编写我们的混淆文件。
2. 加固
这里学习一下享学课堂的加固方案,属于学习笔记。可以参考这一篇文章比较详细:Android应用加固的简单实现方案。他在此基础上,使用Gradle集成到了项目中。
2.1 加固方案
APK逆向的一般流程:apk ->zip -> dex -> jar 源码
问题
-
dex文件可以随便拼凑吗?
-
壳dex怎么来的?
-
如何进行二次签名?(代码调用sdk中签名工具签名)
-
如何运行新的apk(如何脱壳)?
壳dex作用,(lib模块生成aar文件 类似于 apk文件)
1.迷惑别人,暴露出去
2.壳用于加载加密的dex
粗粒度:dex文件的加密
细粒度:dex文件的里面的具体类加载
2.2 apk的打包流程
加壳是在原来APK基础上加一层保护壳,Dex文件修改了就需要重新打包,否则apk安装不了。所以我们需要知道apk的打包流程。
dex文件按照一定规则来拼凑的,他的文件结构如下。
{
header
内容
end of file
}
2.3 脱壳方法
加壳后的文件是不能直接使用的,dex文件被加密了,需要先解密然后将解密文件加载到系统中。
加壳源码:https://github.com/AndyGu/ProtectApp
参考:
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
droid开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门**
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
网易易盾是国内领先的数字内容风控服务商,依托网易二十余年的先进技术和一线实践经验沉淀,为客户提供专业可靠的安全服务,涵盖内容安全、业务安全、应用安全、安全专家服务四大领域,全方位保障客户业务合规、稳健和安全运营。
更多推荐
26
0- 0
已为社区贡献1条内容
所有评论(0)