Android应用安全防护的基本策略(1)--混淆

最新推荐文章于 2022-09-17 16:48:38 发布
最新推荐文章于 2022-09-17 16:48:38 发布
阅读量581 收藏 2
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyulinde/article/details/103703721
版权

前言

记录学习逆向的一点一滴。

混淆机制

目前混淆分为代码和资源混淆,混淆不仅加大了反编译的难度,同时也是减小应用安装包的大小的一种方式。

代码混淆

代码混淆参考:
Android Studio混淆笔记
ProGuard常见问题及解决套路
Android 混淆:proguard实践

反编译工具:
androiddevtools
一般可用jadx

资源混淆

资源混淆使用的是微信的AndResGuard插件,需要注意的是该github上的README中的没有将gradle配置区分开。
实际配置如下:
1.在项目的根目录的build.gradle中,增加插件依赖,如下:

buildscript {
    
    repositories {
    	// AS默认的,可忽略
        google()
        jcenter()
    }
    
    dependencies {
    // 编写文章时的插件版本是1.2.17
        classpath 'com.tencent.mm:AndResGuard-gradle-plugin:1.2.17'
    }
}

2.在模块的build.gradle中配置如下:


android {
	...省略一千字
}

apply plugin: 'AndResGuard'
andResGuard {
    // mappingFile = file("./resource_mapping.txt")
    mappingFile = null
    use7zip = true
    useSign = true
    // 打开这个开关,会keep住所有资源的原始路径,只混淆资源的名字
    keepRoot = false
    // 设置这个值,会把arsc name列混淆成相同的名字,减少string常量池的大小
    fixedResName = "arg"
    // 打开这个开关会合并所有哈希值相同的资源,但请不要过度依赖这个功能去除去冗余资源
    mergeDuplicatedRes = true
    whiteList = [
            // for your icon
            "R.drawable.icon",
            // for fabric
            "R.string.com.crashlytics.*",
            // for google-services
            "R.string.google_app_id",
            "R.string.gcm_defaultSenderId",
            "R.string.default_web_client_id",
            "R.string.ga_trackingId",
            "R.string.firebase_database_url",
            "R.string.google_api_key",
            "R.string.google_crash_reporting_api_key"
    ]
    compressFilePattern = [
            "*.png",
            "*.jpg",
            "*.jpeg",
            "*.gif",
    ]
    sevenzip {
        artifact = 'com.tencent.mm:SevenZip:1.2.17'
        //path = "/usr/local/bin/7za"
    }

    /**
     * 可选: 如果不设置则会默认覆盖assemble输出的apk
     **/
    // finalApkBackupPath = "${project.rootDir}/final.apk"

    /**
     * 可选: 指定v1签名时生成jar文件的摘要算法
     * 默认值为“SHA-1”
     **/
    // digestalg = "SHA-256"
}

3.执行打包命令与平常打包命令没有什么区别,只是将assemble换为resguard:
例如:
原先执行命令:gradlew assembleRelease
更换后:gradlew resguardRelease
打包以后会在release下生成新的目录,红色框框即是资源混淆后签名的apk:
在这里插入图片描述

Geroff
关注
专栏目录
Android应用安全防护技术(上)
武天旭的博客
10-02 1180
一、Android应用安全防护基本策略 1.1、混淆策略 混淆机制有两个用途,第一个是为了安全保护应用,第二个是为了减小应用安装包大小,所以每个应用在发版之前必须要添加混淆这项功能。混淆机制一般有两种:代码混淆和资源混淆。 代码混淆查阅:左侧代码类名方法名不是正常的项目代码,而是以abcd命名,如此可以增加代码阅读难度,增加破解难度。
Android应用安全防御措施
天祥
12-01 1292
一:静态代码块分析      使用静态代码分析可以再不运行程序的前期下对程序存在的潜在问题进行分析,如控制内存使用越界等。SDK提供了一个静态代码分析工具lint,这个工具可以再通过扫描工程的所有代码和资源文件后根据所得结果,将检测的问题分为6大类 正确性、可用性、安全性、无障碍性、性能、国际化。可以根据问题类型和内容将代码进行修改和优化。 二:Android Java代码混淆 混淆就是对
Android APP安全策略
Fighting_初心的博客
01-24 1292
在移动互联网时代,APP破解已经成为产业链。APP主要有3大威胁,盗版、数据篡改和山寨。盗版是以反编译为前提通过修改某些资源文件或者是代码文件,之后重新打包二次分发。数据篡改是通过人为地使用某些专业工具来修改正版APP内存中的数据,比如把一个收费的APP变成一个免费的APP。山寨主要是通过相似度来混淆用户。Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提...
android混淆规则_一种通过后端编译优化脱混淆壳的方法
weixin_39888080的博客
11-23 447
本文为看雪论坛精华文章看雪论坛作者ID:baikaishiu起源以前做过PC端逆向,一直没有学过Android,4月的时候,读了一下 my1988 对混淆壳的分析,很感兴趣,决定深入研究。花了大约3个月的时间基本理清了混淆壳的原理,简单写了一个App,fastvm, 针对libmakeurl2.4.9.so 可以生成原始的cfg流图,和优化过的cfg流图, 以下是函数sub_342d的...
android 混淆问题
ZyClient的博客
03-02 380
2020第一篇博客来的有点迟,相信大家对近期疫情事件都有所耳闻,并且都有所波动,跳槽的不敢轻举妄动了,复工迟迟不能往返,这对互联网行业也是一大打击,不少公司选择在家远程办公,而我亦是如此。好了言归正题。今天我就简单说下我在家办公公司临时安排的紧急任务。我所遇到的坑给大家分享下。 我们都知道android打包有正式版本与debug测试版本,而且都可以配置混淆,那么为什么要配置混淆混淆要注意哪几点...
最全面的Android混淆
热门推荐
zhayunbiao的博客
06-08 1万+
1、日常开发Debug包时不用混淆,正式发布Release包前开启代码混淆; 2、混淆好处① → 类、方法、变量名变成短且无意义的名字,提高反编译后代码的阅读成本; 3、混淆好处② → 删除无用的类、方法与属性,缩减了APK包的大小; 4、混淆好处③ → 对字节码进行优化,移除无用指令,应用运行更快; 5、怎么混淆 → 主项目的 build.gradle 设置 minifyEnabled true,proguard-rules.pro 加入混淆规则; 6、混淆规则哪里来 → 网上搜索通用混淆模板复
Android安全防护之旅---Android应用安全的攻防之战
尼古拉斯.赵四的博客
04-18 392
一、前言 在前两篇破解的文章中,我们介绍了如何使用动态调试来破解apk,一个是通过调试smali源码,一个是通过调试so代码来进行代码的跟踪破解,那么今天我们就这两篇文章的破解方法,来看看Android中开发应用的过程中如何对我们的应用做一层安全保护,当然现在市场中大部分的应用已经做了一些防护策略,但是没有绝对的安全,破解只是时间上的问题。所以攻破和防护是相生相克,永不停息的战争,没有绝对的安全...
android学习笔记5——安全方面知识
zhangfengaiwuyan的专栏
11-25 460
由于业务安全需要,原来的RSA加密算法中的填充方式要替换为新的,所以最近两天把一些安全知识重新学习了一下。        AES, RSA, MD5, SHA1等等算法,之前只是听说过,然而并不清楚其本质以及使用场景。经过最近阶段的学习,基本上搞清楚了这些概念,因此总结梳理一下:        一、加密 解密 签名 验证签名        加密解密很好理解,就是发送方为了信息的保密性,通过算
Android安全防护之旅---只需要这几行代码让Android程序项目变得更加安全
尼古拉斯.赵四的博客
04-07 649
​我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给无情的强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。 一、代码资源...
Android安全防护之旅---应用"反调试"操作的几种方案解析
尼古拉斯.赵四的博客
04-18 915
​一、前言 在之前介绍了很多破解相关的文章,在这个过程中我们难免会遇到一些反调试策略,当时只是简单的介绍了如何去解决反调试,其实在去年我已经介绍了一篇关于Android中的安全逆向防护之战的文章:Android安全逆向防护解析;那么这篇文章就来详细总结一下,现阶段比较流行的几种反调试解决方案。 二、反调试方案分析 第一种:先占坑,自己附加 代码非常简单,在so中加上这行代码即可:pt...
Android-混淆分享里面包含了示例代码和markdown文件
08-12
Android应用开发中,安全和反编译是一个重要的议题,特别是对于那些包含敏感代码或商业逻辑的应用来说。"Android-混淆分享"项目提供了一个详细的学习资源,帮助开发者理解和实践如何保护自己的应用程序免受逆向...
Android热更新开源项目Tinker集成实践总结
weixin_30566111的博客
01-10 98
前言 最近项目集成了Tinker,开始认为集成会比较简单,但是在实际操作的过程中还是遇到了一些问题,本文就会介绍在集成过程大家基本会遇到的主要问题。 考虑一:后台的选取 目前后台功能可以通过三种方式实现: 1、自己搭建后台布丁下发系统2、第三方提供的服务,目前如原微信simsun大神的个人tinkerpatch平台,目前出于内测阶段,暂时免费。后期应该会按下发量对app进行收费。3、...
Android混淆总结
weixin_42602900的博客
09-15 3906
Android混淆总结
android一行命令实现多渠道打包并自动进行资源混淆(Walle,AndResGuard
CTO_1649900265的专栏
07-20 746
多渠道打包和资源混淆的作用这里我就不再阐述了。网上有很多。 本篇博客我们来介绍一下如何实现多渠道打包之前先进行资源混淆,这样一来我们打出来的包都是已经进行过资源混淆的了。 如果你还有其他的需求,也可以按照这个方法实现。 多渠道打包(Walle) 这里多渠道打包我使用的是美团的Walle,具体的使用方式Github上已经介绍的很详细了。 这里我先来实现一下多渠道打包 首先按照说明集成一下walle和签名配置 配置build.gradle 在位于项目的根目录 build.gradle 文件中添加Walle Gr
android混淆
火星男孩的分享空间
06-04 688
混淆的概念: 将Android项目进行打包之时,可以将项目里的包名、类名、变量名进行更改,使得代码不容易泄露,类似于对其apk中的文件加密. 混淆的作用: 1.增加Apk反编译之后代码泄露的困难性 2.生成的apk体积会缩小 什么是混淆? Android SDK 本身就提供混淆的功能,将混淆开关进行开启后,开发者需要做的是对Android Studio工程项目中的proguar...
Android:代码混淆概念整理
qjyws的博客
08-23 3901
混淆整理
Android APP常见风险及防护
最新发布
技术超强的网络安全平台
09-17 1177
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android 安全防护策略
07-27 2004
随着应用的发展,应用安全也变的越来越重要,有些不法分子开始反编译或者劫持一些app源码。甚至有人通过截图然后做识别,获取别人内容。我们在处理时应该如何去保护我们的应用呢?接下来我们可以分析一下,一些场景,的用途.........
Android资源混淆工具使用说明
...
07-12 6187
本文主要是讲述资源混淆组件的用法以及性能,资源混淆组件不涉及编译过程,只需输入一个apk(无论签名与否,debug版,release版均可,在处理过程中会直接将原签名删除),可得到一个实现资源混淆后的apk(若在配置文件中输入签名信息,可自动重签名并对齐,得到可直接发布的apk)以及对应资源ID的mapping文件。同时可在配置文件中指定白名单,压缩文件(支持*,?通配符),支持自动签名,保持旧m
Android应用安全防护:代码混淆与第三方加固详解
Android开发中的代码混淆、第三方平台加固加密和渠道分发是保障应用安全和优化分发策略的重要环节。开发者应根据实际需求选择合适的混淆规则、加固服务以及渠道分发策略,以确保应用的质量和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值