一、数据安全
1、数据加密
本地加密(使用加密算法,如MD5、BASE64、AES加密等,数据将不再是明文显示),另外可定期改变加密算法:
将核心数据通过服务器存储,客户端每次使用时将核心数据读下来才能用,否则会出错。
这个核心数据每一定周期(比如一个月)改变一次加密解密算法,客户端当无法处理算法时,进行apk更新,也就是每月更新一次apk。
2、 传输加密(https传输)
HTTPS可以视为HTTP的安全版本(Secure),其安全基础基于SSL协议(Secure Socket Layer,安全套接字层)。HTTPS在HTTP的基础上添加了一个加密和身份验证。其默认端口是443.对于一些对数据安全要求比较高的网络应用,比如网络支付,网上银行,都是采用HTTPS通信机制
HTTPS URL连接的方式访问HTTPS服务器与HTTP URL访问HTTP服务器的方式基本相同。用到的类:HttpsURLConnection。
二、源码安全
代码混淆:
经过混淆处理,apk被反编译时,项目类名,方法名完全混乱,很大程度提高了代码可识别度
具体方法及注意问题如下:
新建一个项目的时候,会自动生成project.properties和proguard-project.txt文件,无需自己新建
如果需要对项目进行全局混码,只需要进行一步操作:
将project.properties的中
“#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt”的“#”去掉就可以了。
如果有一些代码不能被混淆,比如需要加入了so文件,需要调用里面的方法,那么调用JNI访问so文件的方法就不能被混码。在导出的时候,可能不会报错。但是在手机上运行的时候,需要调用so文件的时候,就会报某某方法无法找到。这个时候就需要用到proguard-project.txt。
在新版本的代码混淆,已经变得很智能,不过引入的第三方jar还是需要手动编写混淆规则
图片处理:
关于图片处理的问题,例如Logo这类的小图不要以文件方式存储,可以存储到数据库中(存储路径或者存储图片二进制数据流),或者将Logo以编码方式存于静态对像中
核心代码处理:
将核心代码存于服务器上,每次运行时读取服务器上的代码加密字符串,解密后,通过eval方式转为可执行代码。
伪加密
APK在PC上面就被看作一个压缩格式文件,在手机上面它就算一个可执行格式文件。两种格式对它的读取要求也有区别,所以说利用这个区别来实现伪加密。对PC端来讲伪加密的APK没法被解包无法被反编译,但是对android系统来说它完全不会影响正常的安装运行(该方法支持4.2以前的系统,在4.2以后的系统运行会报错,)。
伪加密的原理:读取APK的字节,找到连续4位字节标记为”P K 01 02”的后第5位字节,如果是0表示不加密,如果是1就表示加密(伪加密就强行改成1 反伪加密就是把1改成0就可以了)。
防二次打包
获取 Signature, 根据Signature计算md5和sha1信息,获取签名公钥信息,在项目中多处验证打包的签名与真正的签名(加密后)是否一致,一致就继续运行,不一致则关闭程序,
通过以上多种方法处理再proguard后,即使反编译回去,代码可识别度大大提高,源码不会完整,也不可能随便改Logo处理。
第三方加密平台
提供更加完善的加密方法(dex加密,高级混淆等等)。目前比较流行的第三方平台有:爱加密,360加固保,娜迦等…
1486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
