IOS安全-- 字符串加密那点小事

最新推荐文章于 2022-04-15 10:27:19 发布
最新推荐文章于 2022-04-15 10:27:19 发布
阅读量4k 收藏 2
点赞数
分类专栏: 小技巧 文章标签: 加密 二进制 字符串加密 对称秘钥加密 IOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jaccty/article/details/52471196
版权

一个IOS的ipa包被反编译后,其中已初始化的字符串都是完整可见的。 针对于iOS的Mach-O二进制通常可获得以下几种字符串信息:

1、资源文件名  2、可见的函数符号名  3、SQL语句  4、对称加密算法的key。尤其是4,很多app会用对称加密算法,但是客户端保存私钥却是不安全的!对于攻击者来说,如果能从反编译出来的二进制中获取到私钥,却是一件幸福的事!因为你的加密基本瓦解,而且攻击者会从中获得继续破解你的app的乐趣(毕竟反编译出来的二进制真的是需要有很大的毅力才能坚持得下去,不然会让人分分钟摔桌子)。

对于字符串加解密,常规的方法就是进行异或加解密。

来写个sample code:

static unsigned char XOR_KEY = 0xBB;
void xorString(unsigned char *str, unsigned char key)
{
    unsigned char *p = str;
    while( ((*p) ^=  key) != '\0')  p++;
}

- (NSString *)toeknNew_key
{
    unsigned char str[] = {(XOR_KEY ^ 'w'),//welcome
        (XOR_KEY ^ 'e'),
        (XOR_KEY ^ 'l'),
        (XOR_KEY ^ 'c'),
        (XOR_KEY ^ 'o'),
        (XOR_KEY ^ 'm'),
        (XOR_KEY ^ 'e'),
        (XOR_KEY ^ '\0')};
    xorString(str, XOR_KEY);
    static unsigned char result[7];
    memcpy(result, str, 7);
    return [NSString stringWithFormat:@"%s",result];      //输出: welcome
}
这样就无法从二进制中直接分析得到字符串“welcome”了 ,稍微好了很多。但是扔进IDA里分析一下,发现效果不好,连续存储的’w’、’e’等字符还是暴露了可读的”welcome”, 改进一下,取消 XOR_KEY 独立变量的身份,改为宏,作为数据直接插入,这样: 

#define XOR_KEY 0xBB
void xorString(unsigned char *str, unsigned char key)
{
    unsigned char *p = str;
    while( ((*p) ^=  key) != '\0')  p++;
}

- (NSString *)toeknNew_key
{
    unsigned char str[] = {(XOR_KEY ^ 'w'),//welcome
        (XOR_KEY ^ 'e'),
        (XOR_KEY ^ 'l'),
        (XOR_KEY ^ 'c'),
        (XOR_KEY ^ 'o'),
        (XOR_KEY ^ 'm'),
        (XOR_KEY ^ 'e'),
        (XOR_KEY ^ '\0')};
    xorString(str, XOR_KEY);
    static unsigned char result[7];
    memcpy(result, str, 7);
    return [NSString stringWithFormat:@"%s",result];      //输出: welcome
}
出来的效果好多了。



什么也没看出key是多少,我们的目的达到了。

ps:当然,XOR_KEY并不是只能是0XBB,0XAA、0X22、0X11等十六进制数都可以的。

Micheal_Xiao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS防护07》字符串加密
不仅仅是个程序员的博客
11-02 161
项目中经常要用到一些重要的字符串,本文主要介绍如何对对称加密中的salt(盐)进行加密。 先拿个例子分析下: #import "ViewController.h" #import "EncryptionTools.h" @interface ViewController () @end //盐,salt NSString *const AES_KEY = @"ABCDEF"; @imple...
iOS安全防护系列之字符串及系统函数隐藏详解
08-27
本文将详细讲解如何进行iOS安全防护,特别是关于字符串加密和系统函数隐藏的策略。 一、字符串加密 1. **避免字符串常量区暴露**:在iOS应用的Mach-O文件中,未加密字符串会被直接存储在常量区,这使得逆向...
iOS字符串安全
a359798678的博客
06-04 83
iOS字符串安全 一个编译成功的可执行程序,其中已初始化的字符串都是完整可见的。 针对于iOS的Mach-O二进制通常可获得以下几种字符串信息: 资源文件名 可见的函数符号名 SQL语句 format 通知名 对称加密算法的key 攻击者如何利用字符串 资源文件名通常用来快速定位逆向分析的入口点。 想要知道判断购买金币成功与否的代码位置?只要确定购买成功时播...
iOS常见的几种加密方法
sheng_bin的博客
11-04 4689
iOS常见的几种加密方法 普通加密方法是讲密码进行加密后保存到用户偏好设置中钥匙串是以明文形式保存,但是不知道存放的具体位置 一. base64加密 base64 编码是现代密码学的基础基本原理: 原本是 8个bit 一组表示数据,改为 6个bit一组表示数据,不足的部分补零,每 两个0 用 一个 = 表示用base64 编码之后,数据长度会变大,增加了
iOS开发 有关字符串加密解密
nero_xzq的博客
07-20 435
@interface NSString (Encrypt) + (NSString*)stringEncrypt:(NSString*)str; + (NSString*)stringDecrypt:(NSString*)str; @end #import "NSString+Encrypt.h" #
OpenSSLApplication:iOS Object-C OC快速RSA加密
02-04
经过1年的读者反馈,总结出来的比较完善的加密解密库。... 加密过程: str -> utf8编码 -> 字符串分割 -> 循环加密 -> 拼接 -> 结果 解密过程: str -> 字符串分割 -> 循环解密 -> 拼接 -> utf8解码 -> 原字符串
Objective-C中字符串NSString的常用操作方法总结
09-02
此外,NSString还有许多其他功能,如获取字符串长度(`length`),分割字符串(`componentsSeparatedByString:`),查找子字符串位置(`rangeOfString:`),替换子字符串(`replaceOccurrencesOfString:withString:...
ios Objective-C分类 (category),字符串的拆分(componentsSeparatedByCharactersInSet)
12-07
在这个场景中,我们关注的是Objective-C中的两个关键概念:分类(Category)和字符串操作——字符串的拆分(componentsSeparatedByCharactersInSet)。下面将详细解释这两个知识点。 首先,Objective-C的分类是一种...
iOS - (base64对字符串加解密)
weixin_34219944的博客
09-07 127
  既然使用到了加密,就应该有算法:   先上代码看看算法吧:   下面到 .m ,实现类方法   接下来就是算法的实现方法了     然后就是解密算法的实现了      到这里,base64 的这个类已经算写好了 回到 ViewContrller 里调用就行了  ...
iOS中使用MD5加密字符串
01-05
1,新建NSString的分类,记得添加加密所需的头文件#import <CommonCrypto> , NSString+MD5.h: #import <Foundation> #import <CommonCrypto> @interface NSString (MD5) + (NSString *)md5To32bit:(NSString *)str; @end 2,编写加密方法: #import NSString+MD5.h @implementation NSString (MD5) +
iOS加密解密大全含注释(MD5,SHA,Base64等)
03-28
iOS加密解密大全(MD5,SHA,Base64等) Encrypt/Decrypt: AES. Hash: MD5, SHA(SHA1, SHA224, SHA256, SHA384, SHA512). Encode/Decode: Base64, Hex.
ios常见加密解密方法(RSA、DES 、AES、MD5)
08-31
本篇文章主要介绍了ios常见加密解密方法(RSA、DES 、AES、MD5),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iOS下的多种字符串加密方式
weixin_34072159的博客
08-21 117
现在很多平台开放了api,提供各位开发者使用。一般的open api类似新浪那些,使用时候来个用户授权即可,但是有些平台提供的api,可能连用户授权界面都难以进入,因为这个要求md5加密appkey、time之类的,那个又要求sha1加密。 这里收集了一些加密的方法,利己利人。 //16位MD5加密方式 - (NSString *)getMd5_16Bit_String:(NSSt...
ios代码混淆-字符串加密的优点和其他破解方法
小手琴师的博客
04-15 1503
程序运行效果 这个例子是一个输入密码9527就会登录,否则显示"密码错误,重新输入" 代码使用明文字符串的缺点 oc代码 下面代码是点击登录按钮以后执行判断. - (IBAction)btn1Click:(id)sender { if ([self.tf.text isEqualToString:@"9527"]){ self.label1.text = @"请输入密码"; VC1 *vc = [[VC1 alloc]init]; [self.nav
ios 字符加密问题 字符串加密gyb字符返回空
bengyouxi9692的博客
01-08 328
本人是ios菜鸟,最近在对字符加密的时候,发现一个很奇怪的问题, 就是其他字符或者字符串返回都是正常,唯独只有gyb返回空,代码如下 +(NSString *)DESSecret:(NSString *)plainText {     NSString *ciphertext = nil;     NSData *textData = [plainText dataUsingEncodi
iOS NSString 加密
mazaiting的博客
03-27 612
NSString+Hash.h #import @interface NSString (Hash) #pragma mark - 散列函数 /** * 计算MD5散列结果 * * 终端测试命令: * @code * md5 -s "string" * @endcode * * 提示:随着 MD5 碰撞生成器的出现,MD5 算法不应被用于任何软件完整性检查或代
如何避免字符串混淆加密_iOS开发如何避免安全隐患
weixin_39844590的博客
12-06 257
作者 | 何继昌来源 | 宜信技术学院现在很多iOS的APP没有做任何的安全防范措施,导致存在很多安全隐患和事故,今天我们来聊聊iOS开发人员平时怎么做才更安全。一、网络方面用抓包工具可以抓取手机通信接口的数据。以Charles为例,用Charles可以获取http的所有明文数据,配置好它的证书后就可以模拟中间人攻击,获取https加密前的明文数据。1.1 中间人攻击先简要地说下什么是中...
iOS明文加密方式——MD5和动态密码加密
scotty的博客
06-17 1494
MD5加密是通过一种运算生成一个固定的字符串,算法公开但是不可逆。任意两个不同的文件生成的文佳结果不同,但是生成的字符串长度是相同的。 此外,为避免加密过的字符串被破解我们有时候需要对发送的字符串进行加盐处理即在原有字符串的基础上再拼接一串字符串,然后在进行md5加密处理。 动态密码加密的原理类似上面提到的加盐处理,即每次在发送给服务器的时候在原有明文的基础上加上时间戳或者其他字符串以达到相同
ios object-c 使用公钥字符串 进行rsa加密
最新发布
04-29
iOS中使用公钥字符串进行RSA加密的步骤如下: 1. 将公钥字符串转换为NSData类型。 ``` NSString *publicKeyString = @"-----BEGIN PUBLIC KEY-----\n...公钥字符串...\n-----END PUBLIC KEY-----"; NSData *publicKeyData = [publicKeyString dataUsingEncoding:NSUTF8StringEncoding]; ``` 2. 创建SecKey对象。 ``` NSMutableDictionary *publicKeyAttributes = [[NSMutableDictionary alloc] init]; [publicKeyAttributes setObject:(__bridge id)kSecAttrKeyTypeRSA forKey:(__bridge id)kSecAttrKeyType]; [publicKeyAttributes setObject:@(2048) forKey:(__bridge id)kSecAttrKeySizeInBits]; [publicKeyAttributes setObject:publicKeyData forKey:(__bridge id)kSecValueData]; [publicKeyAttributes setObject:(__bridge id)kSecAttrKeyClassPublic forKey:(__bridge id)kSecAttrKeyClass]; SecKeyRef publicKey; OSStatus status = SecItemAdd((__bridge CFDictionaryRef)publicKeyAttributes, (CFTypeRef *)&publicKey); ``` 3. 使用SecKey对象进行加密。 ``` NSData *plainData = [@"要加密的数据" dataUsingEncoding:NSUTF8StringEncoding]; size_t cipherBufferSize = SecKeyGetBlockSize(publicKey); uint8_t *cipherBuffer = malloc(cipherBufferSize); memset(cipherBuffer, 0, cipherBufferSize); OSStatus status = SecKeyEncrypt(publicKey, kSecPaddingPKCS1, [plainData bytes], [plainData length], cipherBuffer, &cipherBufferSize); NSData *encryptedData = [NSData dataWithBytesNoCopy:cipherBuffer length:cipherBufferSize]; ``` 4. 释放SecKey对象。 ``` CFRelease(publicKey); ``` 注意:在iOS中使用公钥加密时,需要使用PKCS#1填充模式(kSecPaddingPKCS1)。另外,如果公钥字符串中的换行符不是`\n`,需要将其替换为`\n`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值