IOS的代码混淆和防篡改解决方案

最新推荐文章于 2024-04-10 15:58:21 发布
最新推荐文章于 2024-04-10 15:58:21 发布
阅读量864 收藏
点赞数
分类专栏: APP IOS
原文链接:https://www.jianshu.com/p/66bb2d45b3c2
版权
APP 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
IOS
2 篇文章 0 订阅
订阅专栏

一、代码混淆

https://www.jianshu.com/p/66bb2d45b3c2

 

混淆原理

代码编译阶段将符号(方法名、属性名等)替换成随机生成的字符串

长话短说,直接上步骤。

混淆集成步骤

步骤一、创建shell文件(confuse.sh)并配置相应的运行环境。

  • 在项目根目录下新建一个文件夹

    webp

    新建文件夹


    我这里取文件夹名称为CodeObfuscation,如下图所示

    webp

    文件夹


    **注意** 这里的文件夹必须在目录中真实存在(Xcode9 New Group会自动创建对应的真实文件夹)。

     

  • 在上一步的文件下新建一个shell文件(.sh文件)

    webp

    shell文件创建步骤1


    输入文件名:confuse.sh,点击Create按钮

    webp

    shell文件创建步骤2

     

    webp

    shell文件创建步骤3

     

  • 给.sh文件添加运行环境

    webp

    运行环境步骤1


    添加.sh文件的读取路径$PROJECT_DIR/CodeObfuscation/confuse.sh,如下图

    webp

    运行环境步骤2

     

  • 给.sh文件添加运行内容(运行代码)
    将下面的代码复制粘贴到confuse.sh文件中

 

TABLENAME=symbols
SYMBOL_DB_FILE="$PROJECT_DIR/CodeObfuscation/symbols"
STRING_SYMBOL_FILE="$PROJECT_DIR/CodeObfuscation/func.list"
HEAD_FILE="$PROJECT_DIR/CodeObfuscation/codeObfuscation.h"
export LC_CTYPE=C

#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE


sqlite3 $SYMBOL_DB_FILE .dump

步骤二、创建func.list文件

 

webp

创建func.list文件步骤1


输入文件名:func.list,点击Create按钮

webp

创建func.list文件步骤2

 

webp

创建func.list文件步骤3

 

步骤三、创建codeObfuscation.h文件

 

webp

创建codeObfuscation.h文件步骤1


输入codeObfuscation.h,点击Create按钮

webp

创建codeObfuscation.h文件步骤2

 

webp

创建codeObfuscation.h文件步骤3

 

步骤四、包含codeObfuscation.h到pch文件中,添加要混淆的方法名或属性名到func.list

  • 包含codeObfuscation.h到pch文件中

    webp

    pch文件配置

     

  • func.list文件中添加要混淆的方法名或属性名

    webp

    需要混淆的方法名

     

command + R运行项目,此时你会发现报错。

webp

报错查看


点击具体错误后下拉到最下面查看具体内容

webp

错误信息


Permission denied翻译成中文就是.sh文件没有运行权限

 

如何更改confuse.sh文件的运行权限呢,如下步骤。

  • 打开终端,cd到CodeObfuscation文件夹(不会cd到这个文件夹的可以私聊我)

  • 在终端输入ls命令并回车查看文件夹内的文件内容如下

    webp

    CodeObfuscation文件夹内容

  • 输入sudo chmod 777 confuse.sh命令并回车如下图

    webp

    更改文件权限为可读可写可运行


    此时需要键入开机密码,mac下不显示输入的内容,输入完毕直接回车即可。

  • 更改confuse.sh文件运行权限完成

重新回到xcode项目,command + R运行项目,运行成功。

步骤五、查看结果

查看codeObfuscation.h文件内容变化,如下图

webp

替换结果

 

步骤六、确认结果

如何知道替换成功了呢?我们找到替换的方法名或属性名,点击跳转到定义,会跳转到codeObfuscation.h中,说明替换成功。

webp

查看替换结果

 

二、防篡改

iOS小技能:自定义NSURLProtocol无法监听AFNetworking请求的解决方案【方法交换SessionConfiguration的属性protocolClasses】
iOS逆向与安全
04-19 1399
文章目录引言I 、解决方案1.1 问题分析1.2 解决方案II、intercept the HTTP/HTTPS requests 引言 需求背景:对网络请求的数据进行报文级别的加密:使用NSURLProtocol来自动监听HTTP请求并加密解密。 通过[NSURLProtocol registerClass: [KNURLProtocol class]];注入了自定义的NSURLProtocol类 +(void)addRequestBlock{ [self injectNSURLSessi
iOS安全攻与(总篇)
tianjifou的博客
09-13 6537
iOS安全攻与 本地数据攻与 https Uiwebview 第三方sdk与xcode 反编译与代码混淆 越狱与反调试 扫描工具fortify 常见接口漏洞分析
iOS代码混淆
03-04
iOS代码混淆安全加固,手动加固和自动加固,详细案例,详细分析!
iOS 初探代码混淆(OC)
weixin_34290096的博客
05-24 344
前言 自己做iOS开发也有几年的时间了,平时做完项目基本就直接打包上传到Appstore上,然后做上架操作了。但是最近,客户方面提出了代码安全的要求。说是要做代码混淆,这方面的工作之前从来没有接触过。然后就上网查了一下,原来有很多应用程序都做了代码混淆。看来是我固步自封了...... 起因 使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量...
iOS混淆代码
box_kun的博客
06-19 829
混淆代码之前class-dump下代码。如图,发现方法名称完美的暴露了。混淆之前混淆之后,发现syn_loginWithName:password:方法名变成了毫无意义的名称。混淆之后好,混淆的作用已经演示清楚。那么接下来就说说如何实现混淆。方式一第一步:建立测试项目,同时新建一个confuse.sh、一个func.list文件。如图:第二步:将新建的两个文件拖到项目中。如图:第三步:将iOS安全...
基于Obfuscator-LLVM代码混淆工具在Xcode中集成,并记录针对代码混淆方案的实践过程
群鸿
07-08 2711
Obfuscator-LLVM是一个基于LLVM编译器框架的代码混淆工具。它通过对源代码进行重写和变换,改变代码的结构和逻辑,从而使代码变得难以理解和分析。Obfuscator-LLVM可以对C、C++和Objective-C等语言的代码进行混淆处理。它采用了多种技术,如控制流平坦化、函数内联、代码替换、字符串加密和虚假代码插入等,以增加代码的复杂性和混淆度。这样一来,即使有人获取了混淆后的代码,也很难还原出原始的逻辑和算法。
应用安全加固平台解决方案.docx
10-19
它运用先进的加固技术,对Android、iOS以及H5应用进行全面保护,增强应用的逆向破解、篡改攻击和调试能力。通过源代码保护、SO库保护、DEX文件保护和数据加密,确保应用具备高安全性。特别地,其SO保护技术在...
iOS应用反调试技术之代码混淆
# 第一章:iOS应用反调试技术概述 ## 反调试技术的背景和重要性 在当今移动应用开发领域,iOS应用的逆向工程和反调试已经成为一个严峻的问题。黑客和攻击者利用逆向工程技术和调试工具来窃取...## 代码混淆作为一种反
iOS混淆代码工具
04-24
iOS工程进行混淆,通过修改工程名,混淆文件名,类名,方法名,以及生成辣鸡代码来实现对工程的修改
ios混淆代码工具及垃圾代码生成器工具
05-31
混淆工具可以修改工程名、修改类名前缀、扫描工程中的代码,生成垃圾代码。 修改 xxx.xcassets 文件夹中的 png 资源文件名。 删除代码中的所有注释和空行。
IOSSecuritySuite:iOS平台安全篡改Swift库
08-03
来自 国际空间站说明 :globe_showing_Asia-Australia: iOS 安全套件是一个高级且易于使用的平台安全和篡改库,用纯 Swift 编写! 如果您正在为 iOS 开发,并且想要根据 OWASP 标准第 v8 章保护您的应用程序,那么这个库可以为您节省大量时间。 :rocket: ISS 检测到的内容: 越狱(即使是带有全新指标的 iOS 11+! :fire: ) 附带调试器:man_astronaut_light_skin_tone: 如果应用程序在模拟器中运行 :alien: 设备上运行的常见逆向工程工具 :telescope: 设置 您可以通过 4 种方式开始使用 IOSSecuritySuite 1. 添加源 将IOSSecuritySuite/*.swift文件添加到您的项目中 2. 使用 CocoaPods 进行设置 pod 'IOSSecuritySuite' 3. 使用 Carthage 进行设置 github "securing/IOSSecuritySuite" 4. 使用 Swift
[iOS]代码混淆
Gamin
11-25 5579
混淆有几点注意:不能混淆系统方法不能混淆init开头的等初始化方法混淆属性时需要额外注意set方法如果xib、 storyboard中用到了混淆的内容,需要手动修正。可以考虑把需要混淆的符号都加上前缀,跟系统自带的符号进行区分。混淆风险,有可能会被App Store以2.1大礼包拒掉,需要说明用途。
iOS代码混淆(MJ)
helloworld_junyang的博客
05-21 1249
iOS程序可以通过class-dump、Hopper、IDA等获取类名、方法名、以及分析程序的执行逻辑 如果进行代码混淆,可以加大别人的分析难度 iOS代码混淆方案 源码的混淆 类名 方法名 协议名 …… LLVM中间代码IR的混淆(容易产生bug) 自己编写Pa...
iOS加固保护技术:保护你的iOS应用免受恶意篡改
憧憬个人博客
09-20 831
iOS加固保护是直接针对ios ipa二进制文件的保护技术,可以对iOS APP中的可执行文件进行深度混淆、加密。使用任何工具都无法逆向、破解还原源文件。对APP进行完整性保护,止应用程序中的代码及资源文件被恶意篡改。Ipa Guard通过修改 ipa 文件中的 macho 文件中二进制数据(代码模块配置)进行操作,无需源码。不限定开发技术平台。支持oc,swift,cocos2d-x、unity3d、quick-cocos,html5 ,react native等等各种开发技术。
iOS代码混淆-从入门到放弃
最新发布
2301_79527042的博客
04-10 1000
代码混淆是指将程序中的方法名、属性名等符号重命名,并对代码进行改写,使其加密和混淆,增加应用逆向工程的难度。在移动互联网时代,代码混淆越来越受到开发者的重视。iOS代码混淆可以提高难度,从而止应用程序被盗用或反编译,保护开发者的权益。但是同时也带来了一些问题,例如混淆后的函数名可能会影响代码的可维护性。因此,在使用代码混淆时需要进行合理规划。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值