摘要:网易资深安全工程师钟亚平在今年的安卓巴士全球开发者论坛上做了安卓逆向与保护的演讲完整演讲内容请见这里一文了解安卓逆向分析与保护机制,其中就谈到了关于代码混淆的问题。就是一个混淆代码的开源项目,能够对字节码进行混淆缩减体积优化等处理。
欢迎访问网易云社区,了解更多网易技术产品运营经验。
在大公司怎么做android代码混淆的?发现他们的软件用apktool反编译居然没看到classes.dex文件和当前安卓APP加固到底该如何做到防篡改?这两个问题中有过相应回答,现搬运要点过来。
网易资深安全工程师钟亚平在今年的安卓巴士全球开发者论坛上做了《安卓APP逆向与保护》的演讲(完整演讲内容请见这里:一文了解安卓APP逆向分析与保护机制),其中就谈到了关于代码混淆的问题。
Java代码是非常容易反编译的,为了很好地保护Java源代码,开发者往往会对编译好的class文件进行混淆处理。
混淆就是对发布出去的程序进行重新组织和处理,使得处理后的代码与处理前代码完成相同的功能,而混淆后的代码很难被反编译,即使反编译成功也很难得出程序的真正语义。ProGuard就是一个混淆代码的开源项目,能够对字节码进行混淆、缩减体积、优化等处理。
Proguard处理流程图如下所示,包含压缩、优化、混淆、预检四个主要环节:
<
压缩(Shrink):检测并移除代码中无用的类、字段、方法和特性(Attribute);
优化(Optimize):对字节码进行优化,移除无用的指令。优化代码,非入口节点类会加上private/static/final,没有用到的参数会被删除,一些方法可能会变成内联代码;
混淆(Obfuscate):使用a、b、c、d这样简短而无意义的名称,对类、字段和方法进行重命名;
预检(Preveirfy):在Java平台上对处理后的代码进行预检,确保加载的class文件是可执行的。
利用Proguard,对Dex2jar进行反编译处理后的Apk效果示例:
处理前
Proguard处理后
Proguard混淆器不仅能够保护代码,而且能够精简编译后的程序大小,减少内存占用。
混淆代码逆向分析
如果想要反编译混淆代码,钟亚平分享了一个国外的工具DEGUADR,它能够通过统计的方式来解混淆。虽然这个工具的正确率达不到100%,但是能在一定程度上帮助反编译代码。
使用DEGUADR解混淆的示例:
com.xxxxx.common.util.CryptoUtil网站也提供了一种反编译服务,如下所示:
java.lang.String a(byte[]) -> encodeToString
java.lang.String a(byte[],boolean,java.lang.String) -> a
byte[] a(byte[],byte[]) -> encrypt
byte[] b(byte[]) -> getKey
byte[] b(byte[],byte[]) -> decrypt
byte[] d(java.lang.String) -> getKey
java.lang.String a(byte,char[]) -> a
java.lang.String a(java.io.File) -> getHash
java.lang.String a(java.lang.String) -> c
java.lang.String b(java.lang.String) -> encode
对 DEX 文件进行加壳防护仍然是需要的,我们可以选择整体 DEX 加固或者拆分 DEX 加固的方式,隐藏源码防止直接性的反编译。拆分 DEX 加固需要注意 DEX 文件的数据结构,选取 classdata 和 classcode 这两部分,即使拆分出来也不会泄露 class 数据和字节码数据,反编译出来也不完整,安全性较高。尤其是虚拟机加固的方式,对字节做一些变化处理,即使把替换后的数据恢复了,也不会变形成为之前的字节码,安全系数较高。
网易云 Android 应用加固 免费试用,有效防止应用被逆向分析、反编译、二次打包,核心功能包括 DEX 加固,SO 加密保护,内存防 Dump 保护,防调试器,防模拟器等。
文章来源: 网易云社区
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/25293.html
摘要:本篇章主要介绍应用加固的最基础的四种方式混淆签名比对验证编译动态库代码动态加载原文地址反逆向之二四种基本加固方式简介应该大多数开发者都不会关注应用会不逆向破解,而且现在有第三方厂商提供免费的加固方案,所以应用的安全性就全部依赖于第三方。 近些年来移动 APP 数量呈现爆炸式的增长,黑产也从原来的PC端移到了移动端,伴随而来的逆向攻击手段也越来越高明。本篇章主要介绍应用加固的最基础的四种...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:为了防止这种现象,我们可以对字节码进行混淆。动态链接库是目标文件的集合,目标文件在动态链接库中的组织方式是按照特殊方式形成的。 一、已知防护策略 1.不可或缺的混淆 Java 是一种跨平台、解释型语言,Java 源代码编译成的class文件中有大量包含语义的变量名、方法名的信息,很容易被反编译为Java 源代码。为了防止这种现象,我们可以对Java字节码进行混淆。混淆不仅能将代码中的类...
摘要:安全之中间人攻击漏洞概述,是一种网络安全传输协议,利用来对数据包进行加密以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。在方法中使用,信任所有,导致通信过程中可能存在中间人攻击,造成敏感数据劫持危害。 Android安全之Https中间人攻击漏洞 0X01 概述 showImg(https://segmentfault.com/img/bVDim6?w=288&h=101);...
阅读 1565·2023-04-26 01:41
阅读 2867·2021-11-23 09:51
阅读 4215·2021-10-12 10:11
阅读 2519·2021-10-09 09:43
阅读 8218·2021-09-22 15:13
阅读 1809·2021-09-07 09:59
阅读 2516·2019-08-30 15:44
阅读 916·2019-08-30 12:45
