关闭

柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

标签: androidjava渠道市场应用
10097人阅读 评论(1) 收藏 举报
分类:

柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布


由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要的结果,对于用户来说,就是一个噩耗,而安全性,一直是我们关注的焦点,今天,我们来聊聊这个安全性,和一起玩玩Apk加固!

一.我们为什么要提高APP的安全性

手机已经是不会离开身边了,APP更是重中之重的环节,我们衣食住行,基本上大部分都是靠APP来完成的,这样的话,APP的安全就是一个很大的挑战了,无论你哪一个环节出了问题,都会使你的私人信息,菜场安全受到威胁,更何况,万一给你来一个全家桶,那你还不得哭死!

二.提升APP安全性的手段

一般我们针对安全性有什么流程?

  • 1.打包(学了几年的Android全部还给了Google爸爸了)
  • 2.混淆 (可行性比较高,但是坑有点多,有些SDK不支持混淆)
  • 3.加固 (平台多,选择慎重)
  • 4.特殊处理 (企业不传之密)

一般就这几个流程吧,打包就直接上架了,这个点,明显是个梗啊,稍微反编译一下就能把你代码看个七七八八了,混淆也算不错的点,但是稍微有点麻烦,不过还算是不错的手段。加固,很轻松就搞定了,对于大多说开发者来说,算是挺不错的手段,但是,人家高手也可以直接解固的(好想学…),所以,作为开发者,我们日常的习惯一定要保持好啊,就拿我来说吧,我们公司有自家的系统,APP都是自己开发的,但是我每次调试的时候都能看到很多的APP的Log,这时我都会告诉负责这一块的工程师,把这些细节注意下,所以,我们的代码意识也有几个类型‘

  • 1.时刻考虑多种情况下的功能实现
  • 2.对权限严格控制,不要为了实现某个功能加很多多余的权限
  • 3.清除你的Log信息,这里推荐用封装好的Log类
  • 4.使用最新的开发工具和API,这点不多说,谁用谁知道
  • 5.有使用到第三方SDK的时候,多考虑一下他的方方面面,对权限的严查和掌握它更新的动向
  • 6.看看新闻,没准你能收获到很多安全意识

当然,我们不光写代码习惯要注意,我们写代码的时候也应该要多注意一些问题,当然,只针对大型企业APP和金融类APP

  • 1.避免在JAVA层处理敏感数据
  • 2.应用内自我效验
  • 3.代码进行混淆
  • 4.采用安全组件
  • 5.APK加固

就拿输入密码来说吧,对密码的处理,各种加密,各种隐秘上传,但是还是会有疏漏,比如前段时间就有人爆料搜狗的输入法把用户输入的信息上传到了自己的服务器,还用的是明文,额…这个…..,友谊的小船就这样没说就翻了,当然,这里也不只是针对搜狗,其他几家也好不到哪里去,这时,我们也可以自定义键盘什么的,不需要很多的功能,其实实现起来还是没什么大难度的

当然,编译后的应用,数据都被编码了,进一步修改还是有点难度的,我们接下来讲一下加固的技术对编译的APK再穿上一层保护伞

三.加固手段

什么是加固(以360加固为基础)?

  • 加固就是一种提升APK安全性的处理手段,他的原理就是使用一个classes.dex文件做Loader,对原字节码Classes.dex文件进行加载和启动,即在原字节码文件执行前增加一段额外的逻辑,用来增加安全策略,引导引用正常运行

大家都知道,我们用APKTools去反编译的时候,得到的源码文件就是Classes.dex,而加固就是把原有的Classes.dex做了伪装进行保护,我们来看张图

这里写图片描述

图是我偷来的,哈哈,这个就是一个加固的模式了,我们的APK的一些文件可以看这里

这里写图片描述

那我们加固前和加固后的文件结构有什么不同呢?这个我们还得分两个点来讲

  • 文件结构的不同

    文件结构发生了少许的变化,我们直接看图说话


这里写图片描述

这图自己画的,不是偷的啊,哈哈!

  • 代码的不同

代码的不同,主要体现在

  • AndroidManifest.xml

清单文件里,新增加了一条权限

<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
  • 而且强制把Application的name指定为
android:name="com.qihoo.util.StubApplication"
  • 最后是增加了一个注册Activity的信息
android:name="com.qihoo.util.appupdate.AppUpdateActivity"

对了,包名也发生了变化,在启动APP的时候就是进行了一些逻辑处理了,我们说了这么多,其实没什么luan用,我们还是实战了解一下把,这里就用360来演示

四.360加固助手

哟西,到正题了

1. 360加固助手的介绍

额,这个,还是照搬网上的吧,既然用人家的东西是吧,也不好黑人家,官网是这样说的,加固报移动应用提供专业安全的保护,可防止应用被逆向分析,反编译,二次打包,防止嵌入各类病毒,广告等恶意代码,从源头保护数据安全和开发作利益,为了满足广大开发者的需求,加固报团队推出了即网页端加固宝后的PC端360加固助手,来发着只需要打开360加固助手软件,一键上传APK,就可以自动完成应用的加固,多渠道打包,签名工作

2. 360加固助手的特点

  • 1.一键上传自动加固与签名

无需下载签名工具,轻松实现自动签名,免去重复签名的麻烦

  • 2.多渠道打包更简便,快捷

不限制渠道包个数,记忆你的渠道信息,无需重复配置渠道信息

  • 3.自动下载和保存

应用加固后,自动保存在指定文件夹下,无需手动下载

3. 360加固助手的功能

    1. 本地加固

与加固报Web服务完全对接,使得加固变得更加便捷

  • 2.查看加固任务的进度

在本地查看加固任务的详情

  • 3.配置信息

本地配置签名,应用市场发布渠道,增强服务

  • 4.辅助工具

制作签名,签名APK

  • 5.一键发布

将加固后的应用一键发布到各大应用市场


怎么感觉在给360加固打广告一样啊…..

好了,我们直接进入官网

这里写图片描述

然后可以点击立即使用,他也会提示你下载助手的,这里给个链接一键直达

这里写图片描述

我们就直接下载Windows版了,里面有一些支持文件和一本说明书,还有一个安装程序,这里要注意我们需要登录哟

这里写图片描述

当然,主界面上的功能我们上面都讲到了,也就这么点东西可以说的了

这里写图片描述

好的,我们来时应用加固了

四.加固

为了加固,我们提前准备好一个APK,然后我们签名,得到他的签名文件,密码是123456789,好了,我们点击加固应用,导入我们的APK

这里写图片描述

我们暂时先暂不配置,就会看到正在进行加固

这里写图片描述

他就会提示输出的目录,也就是加固后的应用

而我们点击任务详情,就可以看到我们本次加固的一些信息

这里写图片描述

现在你,我们可以去配置信息中配置我们的信息了,这里有三个选项卡,第一个是配置你当前的app所需要的配置信息,你把签名文件放上去,再填写密码就可以了

这里写图片描述

第二个就是大多比较感兴趣的多渠道打包了,我们其实很简单,选择统计平台,选择市场,填写编号就可以了,很方便

这里写图片描述

最后加固选项就是指定输出路径了

这里写图片描述

下一个选项是辅助工具,没什么说的,签名和制作签名

这里写图片描述

最后,我们可以点击一键发布把应用发布出去了

这里写图片描述

还是挺方便的,get到新技能了哟!

好的,我们这章就到这里结束了

我的群:555974449,有兴趣的可以进来交流一下!

7
0
查看评论

Android逆向之旅---动态方式破解apk终极篇(加固apk破解方式)

今天总算迎来了破解系列的最后一篇文章了,之前的两篇文章分别为:第一篇:如何使用Eclipse动态调试smali源码 第二篇:如何使用IDA动态调试SO文件现在要说的就是最后一篇了,如何应对Android中一些加固apk安全防护,在之前的两篇破解文章中,我们可以看到
  • jiangwei0910410003
  • jiangwei0910410003
  • 2016-06-07 13:42
  • 29205

Android中的Apk的加固(加壳)原理解析和实现

一、前言今天又到周末了,憋了好久又要出博客了,今天来介绍一下Android中的如何对Apk进行加固的原理。现阶段。我们知道Android中的反编译工作越来越让人操作熟练,我们辛苦的开发出一个apk,结果被人反编译了,那心情真心不舒服。虽然我们混淆,做到native层,但是这都是治标不治本。反编译的技...
  • jiangwei0910410003
  • jiangwei0910410003
  • 2015-09-13 13:58
  • 105708

Android 2017 你该用到的第三方库(转)

你能在本篇文章中收获什么? 认识目前流行的框架 rx系列全家桶 高性能的图片压缩上传 网络图片性能优化 AndroidM 动态权限管理 内存泄漏优化 RecyclerView适配器优化 注解释放双手 超简洁的http请求 一次布局,全尺寸适配 android路由框架 支持中间件 秒级编译andr...
  • qq_32368129
  • qq_32368129
  • 2017-04-07 15:56
  • 2419

Apk脱壳圣战之---脱掉“360加固”的壳

现在主流的加固平台有:梆梆加固,爱加密,360加固,腾讯加固,在之前的一篇文章中介绍了如何脱掉“爱加密”的壳,现在这里要脱掉另外一个平台的壳:360加固,因为有了之前的脱壳经验,很多基础知识和准备工作这里就不详细介绍了,为了能够脱掉他家的壳,用一个案例来去360平台进行加固,然后进行脱壳。下面就来开...
  • jiangwei0910410003
  • jiangwei0910410003
  • 2016-06-28 09:51
  • 23603

Android应用加解密--AndroidManifest文件加解密

最近对Android应用安全这一块比较关注,所以了解了一些apk加固产品。发现部分加固产品加固后的apk在反编译时会报错,反编译的结果只得到一个空的AndroidManifest.xml文件。针对此现象分析和查找一些资料,发现此情况是因为加固产品对AndroidManifest.xml文件作了一些修...
  • tomatomas
  • tomatomas
  • 2015-07-19 19:28
  • 4534

Android 反编译:加固前后对比

一、比较360加固前 的 apk :hello.apk 360加固后 的 apk :hello_after.apk 操作步骤 加固前反编译 加固前后编译 1、zip包解压缩 1、能看到assets 目录下的资源文件;2、migrations 下 sql 语句 与前者相同,但是...
  • happy_horse
  • happy_horse
  • 2016-12-29 12:36
  • 3088

360加固助手实现多渠道打包终极讲解

Android实现多渠道打包方便应用平台进行下载统计,很多开发者都是通过代码进行多渠道打包的, 今天我介绍的是通过软件一键进行多渠道打包处理 推荐的工具是360加固助手,不管是代码实现,还是工具实现,只要能正确实现就可以了。 这里以友盟作为统计平台为例(其他统计平台有:百度、极光...等等) ...
  • zzq272804553
  • zzq272804553
  • 2017-08-10 15:00
  • 980

android多渠道发布教程(360加固)

概述.  这两天,公司需要将应用上架到不同的应用商店,因为是刚接触上线部分,所以昨天晚上研究了下,发现网上多渠道打包应用并发布到多个应用商店的常用方法一般是借助于第三方的工具,最常用的当属友盟了,当然,还有个博主认为更加简便的方法,这里先卖个关子,接下来一一讲解. 为什么要用到...
  • s1674521
  • s1674521
  • 2017-07-01 23:45
  • 806

Android中检查自动更新使用Service,其中包含了Service的使用然后还包含了几个自定义的dialog

首先先弄一个Service在代码中/* * Copyright (C) 2009 Teleca Poland Sp. z o.o. * * Licensed under the Apache License, Version 2.0 (the "License"); *...
  • qq_23347019
  • qq_23347019
  • 2017-04-27 14:39
  • 221

用360加固app后上传需要重新签名

在android app开发完成后,打包成正式签名版,上架到360应用商店,会推荐用360进行加固.然后问题来了,加固后的app是还需要重新签名的.但是android studio并没有提供直接给一个未签名的app直接进行签名的功能. 提供两种解决办法. 1,最原始,也是最有效的方法. 通过...
  • chenAstro
  • chenAstro
  • 2017-03-02 15:03
  • 3046
    个人资料
    • 访问:1115532次
    • 积分:14021
    • 等级:
    • 排名:第1057名
    • 原创:215篇
    • 转载:1篇
    • 译文:0篇
    • 评论:937条
    和我一起
    博客专栏
    文章分类