1.初筛
初步选取了市场主流加固方案:腾讯乐固、爱加密、360、梆梆加固、testin云加固、阿里云聚安全、顶象加固、百度加固作为本次评估对象。
阿里云聚安全目前只开放接口调用,尚不清楚联系商务后是否提供免费的在线或PC加固工具,故放弃。
testin云加固、百度加固不提供免费版,故放弃。
顶象加固免费使用有次数限制,并且需要上传营业执照认证后才能试用(经沟通给我开了测试权限)。
| 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 | testin云加固 | 阿里云聚安全 | 百度加固 | |
|---|---|---|---|---|---|---|---|---|
| 是否免费 | 是 | 是 | 是 | 是 | 否 | 否 | 是 | 否 |
2.基础测试
随机选用市场上某未加固APK作为原包,评估各服务商免费版的加固能力,例如加固时间、包体大小等。
加固时间
单包的加固总时长。单位:秒
| 原包 | 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 |
|---|---|---|---|---|---|
| / | 130 | 180 | 140 | 80 | 60 |
包体大小
单位:MB
| 原包 | 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 |
|---|---|---|---|---|---|
| 39.3 | 40.9 | 41.3 | 41.3 | 41.9 | 40.4 |
多平台支持
是否支持Android、iOS双平台:
| 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
服务商互评
利用各服务商免费提供的检测服务,互相评估加固安全性。星号分数为服务商自评得分,可信度降低。
梆梆安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
360安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
爱加密安全扫描漏洞得分(分越高越不安全) = 100 - 爱加密评估得分
腾讯乐固安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
| 原包 | 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 | |
|---|---|---|---|---|---|---|
| 梆梆安全扫描漏洞加权 | 无法检测 | 无法检测 | 无法检测 | 无法检测 | *无法检测 | 无法检测 |
| 360安全扫描漏洞加权 | 204 | 65 | 73 | *45 | 51 | 92 |
| 爱加密安全扫描漏洞得分 | 63 | 52 | *13 | 53 | 45 | 45 |
| 腾讯乐固安全扫描漏洞加权 | 0 | *0 | 0 | 0 | 0 | 0 |
梆梆和乐固这俩小老弟咋回事呀……
多渠道打包与自动签名
便捷性和功能完整性也需要考量,多渠道打包与自动签名的支持能大大加快出包时间。
| 腾讯乐固 | 爱加密 | 360 | 梆梆加固 | 顶象加固 | |
|---|---|---|---|---|---|
| 多渠道打包 | 是 | 是 | 是 | 是 | 否 |
| 自动签名 | 否 | 否 | 是 | 否 | 否 |
风险提示
腾讯乐固
去年起下线了PC加固,仅保留线上加固,并且功能完整和便利性上有所退步;乐固安全检测无法检测到任何漏洞。
梆梆加固
官方文档明确某些市场会进行二次打包,如有需要联系客服,因此对梆梆加固的兼容性有一定质疑;梆梆安全检测无法检测任何安装包。
3.深入测试
由基础测试结果,首先排除梆梆加固,接下来将评估启动时长、二次启动时长、人工脱壳测试等。
启动时长
测试安装包在同一台手机安装打开的耗时。单位:ms
| 原包 | 腾讯乐固 | 爱加密 | 360 | 顶象加固 | |
|---|---|---|---|---|---|
| 首次启动 | 230 | 1030 | 989 | 773 | 1008 |
| 二次启动 | 213 | 734 | 788 | 733 | 221 |
内存占用
测试打开首页稳定后的内存占用。由于测试系统为华为鸿蒙系统,测试值的相对值有一定参考意义,但不代表安卓系统最终效果。单位:KB
| 原包 | 腾讯乐固 | 爱加密 | 360 | 顶象加固 |
|---|---|---|---|---|
| 118992 | 127131 | 134705 | 126320 | 96555 |
人工脱壳测试
人工脱壳能否获取到源码。
常规工具破解是指,利用主流破解工具,是否能够较为轻松地获取到全部或部份源码。
常规破解变种是指,猜测加壳的检测方式,修改伪装破解工具后,是否能够获取到全部或部份源码。
二次篡改难度是指,人工评估恶意第三方拿到源码后篡改重新打包的难度。
| 原包 | 腾讯乐固 | 爱加密 | 360 | 顶象加固 | |
|---|---|---|---|---|---|
| 常规工具破解 | 是 | 否 | 否 | 否 | 否 |
| 常规破解变种 | 是 | 是 | 是 | 是 | 是 |
| 二次篡改难度 | 中等 | 中等 | 大 | 大 | 大 |
结果可知主流免费版加固对常规破解工具有检测能力,但是特征检测较为死板,通过伪装可以获取到全部或大部分源码细节。
兼容性
使用testin标准兼容测试100台真机上的兼容性。由于testin配额不足没有继续测试,以后再补充吧。
| 原包 | 腾讯乐固 | 爱加密 | 360 | 顶象加固 | |
|---|---|---|---|---|---|
| 启动失败数 | / | / | / | 1 | / |
4.结论
安全性
由于各免费版加固方案均未通过人工脱壳测试,因此可以认为各方案安全性上差距不大,但是相对不加壳具有一定的安全性提升,因为加大难度或避免了二次打包、小白破解。
如需要较高的防护能力,建议使用付费版。
便捷性
360由于提供功能齐全的PC工具,能极大方便出包。另外,腾讯乐固和360由于是应用市场官方方案,可以避免潜在问题。
顶象和梆梆的加固时长相对其他方案有明显优势,方便出包。
性能
各方案的包体大小相对原包变化微小,可以忽略;内存占用上,顶象的内存开销较低,而其他方案相对原包有小幅上升。
1318
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
