App加密:常用加密方式和爱加密原理

最新推荐文章于 2023-10-30 19:12:50 发布
最新推荐文章于 2023-10-30 19:12:50 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: Spring MVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiankeufo/article/details/43701015
版权

摘要:对app加密可以防止应用在运营推广过程中被反编译, 恶意篡改、注入扣费代码、盗取数据等,保护应用的安全性、稳定性,同时对开发者的应有收入提供有力保障。

软体加密




伪加密

伪加密是Android4.2.x系统发布前的加密方式之一,通过java代码对APK(压缩文件)进行伪加密,其修改原理是修改连续4位字节标记为”P K 01 02”的后第5位字节,奇数表示不加密偶数表示加密。

虽然伪加密可以起到一定防破解作用,但也会出现问题,首先使用伪加密对其APK加密后市场无法对其进行安全检测,导致部分市场会拒绝这类APK上传;其次,伪加密的加密方式和解密方式也早已公布导致它的安全程度也大大降低;再次,Android4.2.x系统无法安装伪加密的APK;最后伪加密只是对APK做简单保护,在java层源码加壳保护、核心so库、资源文件、主配文件、第三方架包方面却没有任何保护处理。注意:高版本不支持这样的方法,所以还是不要尝试使用这样的加密方式了。

混淆保护

把原来有具体含义的类名,变量名,方法名,修改成让人看不懂的名字。

运行时验证

运行时验证,主要是指在代码启动的时候本地获取签名信息然后对签名信息进行检验来判断自己的应用是否是正版,如果签名信息不是正版则提示盗版或者直接崩溃。当然你可以把必要的数据放在服务器端。

破解:找到smali文件中,判断是否相等的部分。改为常量true,即失效。

总之,反编译一些apk之后,只要是java代码写的总会有smil文件。对于smil文件,如果耐心读的话,还是可以查看到一些关键代码的。

第三方加密工具

相较于应用来说,游戏apk因为采用cocos2d-x 或者 unity3D,采用的是c++ 和c# 编写的跨平台程序,在apk采用JNI的方式。所以没有smali,可以防止静态被破解apk包。

当然游戏包apk 在运行的时候,会把.*so加载到内存中。动态也是可以在内存中抓取相应的数据。只不NDK 相对于smali破解来说,根部不是一个层级的关系。

难道真的就没有好的加密方式吗。想做一个应用非要把核心部分使用ndk这么复杂的东西嘛。

其实,我们完全可以借助第三方工具。下文就以爱加密gameChange.apk为例展开篇幅。

1.jpg

该classes.dex是我原来的代码。没有混淆,没有任何的加密保护。反编译的话,真的是一丝不挂的漏了出来。

代码没有加密被反编译

该classes.dex是经过爱加密处理之后的,反编译之后发现莫名其妙的代码。其实这两个类是,运行使用jni加载so库的代码。

加密后的类库

NativeApplication 类,加载exec.so和execmain.so ,里面应该是固定的代码,是对源码

代码1

SuperApplication继承自Application,程序主入口:

代码2

在加密之后的apk包中,多了一个assets目录,该目录下,有一些ijiami.dat,其实这个就是我们原来的classex.dex

ijiami.dat

基本原理是在jni层, 使用DexClassLoader动态加载技术完成对加密classex.dex的动态加载,内存中解密classex.dex,完成动态加载。

//PS:使用DexClassLoader动态加载技术

可以使用Android DexClassLoader完成DEX的动态加载,DEX文件可以附属在assert或raw目录也可以运行时从网络下载。

我们知道DexClassLoader加载的类是没有组件生命周期的,也就是说即使DexClassLoader通过对APK的动态加载完成了对组件类的加载,当系统启动该组件时,还会出现加载类失败的异常。为什么组件类被动态加载入虚拟机,但系统却出现加载类失败呢?

通过查看Android源代码我们知道组件类的加载是由另一个ClassLoader来完成的,DexClassLoader和系统组件ClassLoader并不存在关系,系统组件ClassLoader当然找不到由DexClassLoader加载的类,如果把系统组件ClassLoader的parent修改成DexClassLoader,我们就可以实现对apk代码的动态加载。

总结一下,爱加密的加密步骤:

1.把原来的classex.dex 用未知的加密算法实现加密成assets/ijiami.dat

2.把事先写好的jni代码和相应的classex.dex替换到原有的位置

3.程序安装完运行起来以后,先运行爱加密的加壳程序,在jni里面动态加载原来的classex.dex代码,从而达到加壳保护的目的.

*源classex.dex 隐藏起来了,在静态的时候就没有办法对其破解。

*至于动态运行,最好还是在自己代码里面下工夫了。比如内存加密啦。

APP的影响

由于申请加密之后,爱加密需要增加自己资源(两个so,一个classex.dex文件和三个bin文件)只增加了198.1KB的容量,对于我们动辄上百MB的游戏app而言,这点都不算事儿。


程序邦
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解C#App.config和Web.config加密
01-20
打开cmd,进入vs安装目录C:\Windows\Microsoft.NET\Framework64\v4.0.30319 cd C:\Windows\Microsoft.NET\Framework64\v4.0.30319 如果是Web.config就直接加密,是App.config就先改为Web.config才可以进行加密 aspnet_regiis -pef 节点 项目路径 例如: 需要加密App.config数据库连接字符串为 <connectionStrings> <add name=connStr connectionString=Data Source=.
php-app开发接口加密详解
10-18
主要为大家详细介绍了php-app开发接口加密规则,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
php+uni-app AES加密解密.rar
05-20
php+uni-app AES加密解密
C#加密app.config中连接字符串的方法
09-03
主要介绍了C#加密app.config中连接字符串的方法,涉及C#配置文件加密的相关实现技巧,具有一定参考借鉴价值,需要的朋友可以参考下
关于登录密码加密的三个方式
weixin_62395763的博客
05-21 3443
1、数据库加密,可能会被解密2、后端工具类加密,可能会被别人拦截前端传递的数据,导致泄露。3、前端加密是一个优解,在不影响执行速度情况下。当然想前后端都加密一次也可以。
手机 APP 安全登录的几种方式
海阔天空
11-13 1万+
手机 APP 安全登录的几种方式
安卓 assets配置文件加密
scimence的专栏
10-25 6142
安卓应用的中配置文件信息,为了防止篡改,一般不以明文的形式进行存储。 配置信息示例: 配置加密后: 代码中配置信息的读取: import java.io.InputStream; import java.io.InputStreamReader; import java.util.Properties; import android.content.Context;...
使用mergeAssets对Android的assets文件在构建的时候进行修改处理
qq_19942717的博客
07-09 2342
脚本其实很简单,就是利用了gradle 的构建变体,在mergeAssets任务执行时加入自己的逻辑处理如果每次构建都需要进行处理,则可以每次都将要处理的文件给删除了,这样可以出发mergeAssets的任务执行mergeAssets 这个task 在不同的gradle版本下是不一样的,gradle5.X以上已经变了,所以你需要根据你gradle的版本来确定合并后的assets目录在哪里,这是gradle4.x以下的build构建目录,assets的相对目录获取方式为:variant.mergeAssets
android assets 保密,assets下的文件加密/解密
weixin_39548606的博客
05-29 2036
import android.content.Context;import android.os.Environment;import android.util.Log;import java.io.BufferedReader;import java.io.ByteArrayOutputStream;import java.io.File;import java.io.FileOutputStr...
前后端登录的密码加密和解密
最新发布
qq_55272229的博客
10-30 1933
salt 盐,每一个用户在注册的时候随机生成一个盐,在做用户明文登录,转换成二次加密,然后根据用户的盐在进行一次加密保存到数据库,这样即使数据库被袭击,用需要大量时间来破解密码。在一个典型的前后端应用中,前端对密码进行加密后传给后端,后端再进行解密或验证。这通常涉及前端加密、后端解密或验证的相互配合。后端收到加密后的密码后,不进行解密,而是对密码进行相同的加密(使用相同的哈希函数或加密算法和密钥),然后与数据库中存储的加密后密码进行比对。前端可以使用各种加密库或算法对密码进行加密
Android 加密方式
12-12 607
加密方式分为rsa,aes,des,md5,base64,异域加密 一:rsa加密 RSA算法是最流行的公钥密码算法,使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。 RSA算法原理如下: 1.随机选择两个大质数p和q,p不等于q,计算N=pq; 2.选...
常见登录密码加密方式
赵广陆
02-16 1万+
目录1 常见的加密方式1.1.可逆加密算法1.1.1. 对称加密1.1.2. 非对称加密1.2.不可逆加密算法1.3.Base64编码2 密码加密方式选型2.1 MD5密码加密2.2 手动加密(md5+随机字符串)2.3 . BCrypt密码加密3 jwt介绍3.1 token认证-面试3.2 什么是JWT?3.3 生成token 1 常见的加密方式 由于在学习JWT的时候会涉及使用很多加密算法, 所以在这里做下扫盲, 简单了解就可以 加密算法种类有: 1.1.可逆加密算法 解释: 加密后, 密文可以反
登录安全加密方式
lanwang57的博客
02-26 671
明文存储: 不安全;一旦拿到数据库明文密码; 对称加密: 一旦获取秘钥,可反向解密出明文密码; 单向Hash加密: 反向无法解密,但是如果有彩虹表,依然可以找到明文密码; 复杂Hash加密: 加盐,但是,盐一旦泄露碰撞解码+彩虹表,可解码; Pbkdf2: 随机加盐,解码难度很大,几乎难有资源进行破解; ...
Android安全检查之assets下文件进行加密
小马总的博客
04-11 4436
加密效果图 解密效果 实现代码 package com.xinli.wenet.utils; import android.util.Log; import com.xinli.wenet.base.MyApplication; import java.io.BufferedReader; import java.io.ByteArrayOutputStream; impo...
App端安全性加密策略
wybaby168的博客
02-01 1753
一种签名+验签的设计方案,供大家参考
Android APK加固(加壳)工具
热门推荐
Watson的博客
12-06 3万+
之前一篇文章Android proguard代码混淆,我们讲解了如何实现APK的代码混淆,让反编译者不那么容易阅读我们的源代码。虽然我们混淆,做到native层,但是这都是治标不治本的。反编译的技术在更新,那么保护Apk的技术就不能停止。现在有很多Apk加固的第三方平台,譬如加密,360加固,梆梆加密等,但是这些平台都是收费的。今天我们给大家介绍一个免费的APK加固工具APK Protect。测试
App渗透中常见的加密与解密。
yihuliunian的博客
05-19 5737
随着App移动应用技术 的广泛应用及移动开发技术的飞速发展过程中,移动应用的安全也越来越被得到重视,在App服务端渗透中,我们在抓包时经常会发现App在数据传输过程中做了加密(如图1),以防止数据被查看或者被篡改;而渗透过程中的很多时候我们都需要抓包数据修改,这就要求我们需要先对App数据包进行解密了。 一、一些常见的加密方式 对于App传输数据加密,一般会考虑三个方面 1) 可用性:客...
android 脱壳 加固,安卓的脱壳之战-加密加固
weixin_26798991的博客
05-30 4224
不过不觉已经更了几期了,不知道老哥们学会了多少,今天带来加密脱壳的教程,由于特殊原因,更不完全部的脱壳教程了,今天只能最后一期的更新了,当然也感谢很多老哥的关注!如果实在违规的话!我会删除所有的脱壳教程!废话不多说准备的软件如下:MT管理器+虚拟大师+反射大师今天我们需要搞的安装包名为“某某输入法”然后老规矩我们去虚拟大师里面导入并安装然后打开反射大师,选择这个软件打开点击中间的图标脱出clas...
AppSecret加密具体加密代码和步骤
05-18
AppSecret加密通常使用的是对称加密算法,下面是一个简单的示例代码和步骤: 1. 选择一种对称加密算法,比如AES 2. 生成一个随机的密钥,一般是一个固定长度的字符串,比如32位的随机字符串 3. 将要加密的数据和密钥一起进行加密,得到一个密文 4. 将密文和密钥一起发送给接收方 5. 接收方使用密钥对密文进行解密,得到原始的数据 以下是一个Python代码示例,使用pycryptodome库实现AES加密和解密: ```python from Crypto.Cipher import AES import base64 # 加密函数 def encrypt(text, key): cipher = AES.new(key.encode(), AES.MODE_ECB) padded_text = padding(text) ciphertext = cipher.encrypt(padded_text.encode()) return base64.b64encode(ciphertext).decode() # 解密函数 def decrypt(ciphertext, key): cipher = AES.new(key.encode(), AES.MODE_ECB) padded_text = cipher.decrypt(base64.b64decode(ciphertext)).decode() return unpadding(padded_text) # 填充函数 def padding(text): padding_size = AES.block_size - len(text) % AES.block_size padding_text = chr(padding_size) * padding_size return text + padding_text # 去除填充函数 def unpadding(text): padding_size = ord(text[-1]) return text[:-padding_size] key = '32位随机字符串' text = '要加密的数据' # 加密 encrypted_text = encrypt(text, key) print('加密后的数据:', encrypted_text) # 解密 decrypted_text = decrypt(encrypted_text, key) print('解密后的数据:', decrypted_text) ``` 注意:上面的示例代码只是一个简单的示例,实际使用时需要考虑更多的安全因素,比如密钥的保护和管理,以及加密算法的选择等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序邦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值