定义:
渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。它是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
要求:
Apk如果不放到互联网上,找个免费加固工具的加一下就可以;如果后期会放到互联网上,需要保证壳不被脱掉(言外之意:必须加固防止脱壳)。
解决方式:
对apk进行加固,笔者说一下自己踩得坑,一开始apk是采用360助手加固,利用网上大部分反编译工具就算脱壳也无法反编译,按理说这种加固方式是可以的。
但是让第三方公司做了一次渗透测试,被他们的反编译成功脱壳获取到源代码了。最后了解到他们用的工具是frida-dexdump,我也了解了一下这个工具为何那么神奇。原来这个工具脱壳原理是破解动态内存,就是在apk运行的时候抓取加壳工具解密后的代码。我说一下我解决的思路及解决方式。
解决思路:在网上寻找防止frida-dexdump资料,但是查阅很久后无果,我也很无奈。后来在吾爱破解博主上看到了希望,他写了一篇文章,就是介绍frida-dexdump工具安装使用的,其中有frida-dexdump工具的安装使用,
链接:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1116812
然后看到爱加密加固方式可能无法利用此工具破解。然后我先安装frida-dexdump工具,再者就是开始大量查阅爱加密加固方式的使用。下面是爱加密加固的步骤:
- 登录爱加密官网,注册企业版账号
- 打包apk,签名apk(不签名无法进行加固),然后登录已注册的爱加密账号,然后点击加密中心、立即加密,然后选择填写对应的信息。
- 最后等待加密完成下载已加固的apk,再进行一次签名。备注:加固后的apk默认清除之前的签名信息,所以整个流程需要进行两次签名。
- 签名工具:爱加密官网有推荐的签名工具,自行下载
最后:我使用爱加密加固后的apk,再次用frida-dexdump工具,果然成功了,所以说到这里,我的问题解决了。哈哈哈
了解了一下爱加密免费加固和收费加固的区别:免费加固服务是针对dex源码做基础的保护,采用挖空的技术实现,是防止二次打包和防止静态反编译的;收费加固服务是为客户量身定做,根据客户的需求来定做加固内容。
786
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
