网络安全最全【Android】Android应用安全方案梳理_so防护手段，难道网络安全真的凉了

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

前言

作为独立开发者，应用被破解是一件非常让人烦恼的事情。之前有同学在我的一篇博文下面问，有没有一些 Android 防破解的方法。在多次加固、破解、再加固、再破解的过程中，我也积累了一些思路和方法。这里分享一下，如果需要用到，可以作一个参考。

先说一个结论，也是我在 Stackoverflow 上面的一个国外程序员的答案，

就是说，APK 包已经在别人手上了，我们能做的不过是提升被破解的难度，如果真的遇到非常“执着”的，要破解一样被破解。如果逻辑非常值钱，那么最好还是把逻辑放到服务器上面。此外，加固也是一个可选的方案。不过目前市面上专业的加固价格并不美丽，各大平台年费从 3 万至 8 万不等，并且对个人开发者并不友好。

下面是我开发过程中为了防止应用被破解采取的一些策略。

1、一些必要的基础知识

首先，别人要破解你的软件。如果只是在自己的手机上面使用，那么他可以修改系统的一些方法进行破解。这种不在我的考虑范围内，因为他们的修改只在自己的手机上生效，构不成传播。我关注的是 APK 文件被破解的情况。

我们在加密的时候会用到一些加密或者编码方法。常见的有，非对称加密算法 RSA 等；对称加密算法 DES、3DES 和 AES 等；不可逆的加密 MD5、SHA256 等。

另外，我们会把重要的加密逻辑放到 Native 层来实现，所以一些 JNI 编程的方法也是需要的。不过，如果仅仅是用来作加密的话，对 C/C++ 的要求是没那么高的。

2、签名校验

2.1 基础签名校验

在应用和 so 中作签名校验可以说是最基本的安全策略。在应用中作签名校验可以防止应用被二次打包。因为如果别人修改你的代码，肯定要重新打包，此时签名必然会改变。对 so 作签名校验是很有必要的，除了防止应用被打包，也可以防止你的 so 被别人盗用。

可以使用如下的代码在 java 中进行签名校验，

private static String getAppSignatureHash(final String packageName, final String algorithm) {
    if (StringUtils.isSpace(packageName)) return "";
    Signature[] signature = getAppSignature(packageName);
    if (signature == null || signature.length <= 0) return "";
    return StringUtils.bytes2HexString(EncryptUtils.hashTemplate(signature[0].toByteArray(), algorithm))
            .replaceAll("(?<=[0-9A-F]{2})[0-9A-F]{2}", ":$0");
} 

对于在 Native 层作签名校验，将上述方法翻译成对应的 JNI 调用即可，这里就不赘述了。

上面是签名校验的逻辑，看似美好，实际上稍微碰到有点破解的经验的就顶不住了。我之前遇到的一种破解上述签名校验的方法是，在自定义 Application 的 onCreate() 方法中读取 APK 的签名并存储到全局变量中，然后 Hook 获取应用签名的方法，并把上述读取到的真实的签名信息返回，以此绕过签名校验逻辑。

2.2 Application 类型校验

针对上述这种破解方式，我想到的第一个方法是对当前应用的 Application 类型作校验。因为他们加载 Hook 的逻辑是在自定义的 Application 中完成的，如果他们的 Application 和我们自己的 Application 类路径不一致，那么可以认定应用为破解版。

不过，这种方式作用也有限。我当时采用这种策略是考虑到有的破解者可能就是用一个脚本破解所有应用，所以改动一下可以防止这类破解者。但是，后来我也遇到一些“狠人”。因为我的软件用了 360 加固，所以如果加固壳工程的 Application 也认为是合法的。于是，我就看到了有的破解者在我的加固包之上又做了一层加固…

2.3 另一种签名校验方法

上述签名校验容易被 Hook 绕过，我们还可以采用另一种签名校验方法。

ARouter 在加载 APT 生成的路由信息的时候，一种方式是获取软件的 APK，然后从 APK 的 dex 中获取指定包名下的类文件。那么，我们是不是也可以借鉴这种方式来直接对 APK 进行签名校验呢？

首先，你可以采用下面的方法获取软件的 APK，

ApplicationInfo applicationInfo = context.getPackageManager().getApplicationInfo(context.getPackageName(), 0);
File sourceApk = new File(applicationInfo.sourceDir); 

获取 APK 签名信息的方法比较多

这样，当我们拿到 APK 之后，使用上述方法直接对 APK 的签名信息进行校验即可。

3、对重要信息的加密

上述我们提到了一些常用的加密方法，这里介绍下我在设计软件和系统的时候是如何对用户的重要信息作加密处理的。

3.1 使用签名字段防止伪造信息

首先，我的应用在做用户鉴权的时候是通过服务器下发的字段来验证的。为了防止服务器返回的信息被篡改以及在本地被用户篡改，我为返回的鉴权信息增加了签名字段。逻辑是这样的，

• 服务器查询用户信息之后根据预定义的规则拼接一个字符串，然后使用 SHA256 算法对拼接后的字符串做不可逆向的加密
• 从服务器拿到用户信息之后会直接丢到 SharedPreference 中（最好加密之后再存储）
• 当需要做用户鉴权的时候，首先根据之前预定义的规则，对签名字段做校验以判断鉴权信息是否给篡改
• 如果鉴权信息被篡改，则默认为普通用户权限

除了上述方法之外，为服务器配置 SSL 证书也是比不可少的。现在很多云平台都会提供一年免费的 Trust Asia 的证书（到期可再续费），免费使用即可。

3.2 对写入到本地的键值对做处理

为了防止应用的逻辑被破解，当某些重要的信息（比如上面的鉴权信息）写入到本地的时候，除了做上述处理，我对存储到 SharedPreference 中的键也做了一层处理。主要是使用设备 ID 和键名称拼接，做 SHA256 加密之后作为键值对的键。这里的设备 ID 就是 ANDROID_ID. 虽然 ANDROID_ID 用作设备 ID 并不可靠，但是在这个场景中它可以保证大部分用户存储到本地的键值对中的键是不同的，也就增加了破解者针对某个键值对进行破解的难度。

3.3 重要信息不要直接使用字符串

在代码中直接使用字符串很容易被别人搜索到，一般对于重要的字符串信息，我们可以将其先转换为整数数组。然后再在代码中通过数组得到最终的字符串。比如下面的代码用来将字符串转换为 short 类型的数组，

static short[] getShortsFromBytes(String from) {
    byte[] bytesFrom = from.getBytes();
    int size = bytes.length%2==0 ? bytes.length/2 : bytes.length/2+1;
    short[] shorts = new short[size];
    int i = 0;
    short s = 0;
    for (byte b : bytes) {
        if (i % 2 == 0) {
            s = (short) (b << 8);
        } else {
            s = (short) (s | b);
        }
        shorts[i/2] = s;
        i++;
    }
    return shorts;
} 

3.4 Jetpack 中的数据安全

除了上面的一些方法之外，Android 的 Jetpack 对数据安全开发了 Security 库，适用于运行 Android 6.0 和更高版本的设备。Security 库针对的是 Android 应用中读写文件的安全性。

4、增强混淆字典

混淆之后可以让别人反编译我们的代码之后阅读起来更加困难。这在一定程度上可以增强应用的安全性。默认的混淆字典是 abc 等英文字母组成，还是具有一定的可读性的。我们可以通过配置混淆字典进一步增加阅读的难度：使用特殊符号、0oO 这种相近的字符甚至 java 的关键字来增加阅读的难度。配置的方式是，

# 方法名等混淆指定配置


## 写在最后

**在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**