iOS开发/App安全/代码自动混淆笔记

最新推荐文章于 2024-04-09 13:06:53 发布
最新推荐文章于 2024-04-09 13:06:53 发布
阅读量462 收藏
点赞数

点击上方“iOS开发”,选择“置顶公众号”

关键时刻,第一时间送达!


最近接触银行类项目,对app安全才有了些认识...比较尴尬,除了之前经常做的网络参数加密解密,以及防止数据重放之外,还提到了防范反编译的风险,其实Apple算比较安全的了,反编译过来也就看到.h文件....但把代码混淆还是会比较好些。


一、在项目根目录下新建confuse.sh 和 gbFunc.list 文件


说明:


confuse.sh 文件在编译过程中会执行gbFunc.list 用于自动混淆代码时,存放过滤出来需要混淆的方法名


touch confuse.sh

touch gbFunc.list



二、新建GBConfuse.h


说明:


GBConfuse.h 是在自动混淆代码时,将会把自动生成的字符串定义成宏,存放在此文件,也便于查看。



注意:需要把.h文件移到项目文件外,因为放项目文件中,到时被反编译过来,还是能得到GBConfuse.h里面的东西的,就能通过比对,得到方法。(后面用class-dump反编译过来就明白了...)



三、在confuse.sh中添加如下代码


#!/usr/bin/env bash


TABLENAME=symbols


SYMBOL_DB_FILE="symbols"


#func.list路径

STRING_SYMBOL_FILE="$PROJECT_DIR/GBFunc.list"


#项目文件路径

CONFUSE_FILE="$PROJECT_DIR/Safedemo"


#Confuse.h路径

HEAD_FILE="$PROJECT_DIR/GBConfuse.h"


export LC_CTYPE=C


#取以.m或.h结尾的文件以+号或-号开头的行 |去掉所有+号或-号|用空格代替符号|n个空格跟着<号 替换成 <号|开头不能是IBAction|用空格split字串取第二部分|排序|去重复|删除空行|删掉以init开头的行>写进func.list

grep -h -r -I  "^[-+]" $CONFUSE_FILE  --include '*.[mh]' |sed "s/[+-]//g"|sed "s/[();,: *^/{]/ /g"|sed "s/[ ]*</</"| sed "/^[ ]*IBAction/d"|awk '{split($0,b," "); print b[2]; }'| sort|uniq |sed "/^$/d"|sed -n "/^GBSAFE_/p" >$STRING_SYMBOL_FILE



#维护数据库方便日后作排重,以下代码来自念茜的微博

createTable()

{

echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE

}


insertValue()

{

echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE

}


query()

{

echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE

}


ramdomString()

{

openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16


}


rm -f $SYMBOL_DB_FILE

rm -f $HEAD_FILE

createTable


touch $HEAD_FILE

#这里也要做修改

echo '#ifndef GBConfuse_h

#define CodeConfuse' >> $HEAD_FILE

echo "//confuse string at `date`" >> $HEAD_FILE

cat "$STRING_SYMBOL_FILE" | while read -ra line; do

if [[ ! -z "$line" ]]; then

ramdom=`ramdomString`

echo $line $ramdom

insertValue $line $ramdom

echo "#define $line $ramdom" >> $HEAD_FILE

fi

done

echo "#endif" >> $HEAD_FILE



sqlite3 $SYMBOL_DB_FILE .dump


需要修改的代码在于文件路径:




四、添加 Run Script




五、添加 PCH 文件





六、在ViewController中添加以"GBSAFE_"为前缀的测试方法



七、测试


运行报错如下:


原因是.sh文件没有权限,所以需要去开启权限。



在confuse.sh文件目录下,执行命令:


chmod 755 confuse.sh



运行成功!


先打包一个.ipa安装包进行测试!


先不进行代码混淆:



把.ipa文件类型改成.zip,解压得到.app文件



新建Hear文件夹用于保存反编译后得到的文件:



用class-dump进行反编译


class-dump -H 要破解的可执行文件路径 -o 破解后的头文件存放路径



得到没有进行代码混淆的文件:


可以看到都是项目中一些.h文件,打开可以看到完整的方法名....


然后客户说测试公司说不安全...


需要进行代码混淆...



在PCH文件中,引用GBConfuse.h:



重新打包..就可以得到混淆后的.ipa..


下面就是混淆后的结果。




总结:


其实,原理应该就是在编译过程中,把需要混淆的代码生成随机字符串进行替换....




    • 来自: _Grabin

    • 链接:http://www.jianshu.com/p/3a9952aa9ed2

    • iOS开发整理发布,转载请联系作者授权

    【点击成为Android大神】

    iOS_开发
    关注
    • 0
      点赞
    • 0
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    iOS代码自动翻新(混淆)专家.zip
    09-25
    iOS代码自动翻新(混淆)专家。.zip,u3d、cocos2dx、iOS代码混淆自动翻新专家(WHC_ConfuseSoftware)是一款新一代运行在MAC OS平台的App、完美支持Objc和Swift、U3D、Cocos2dx项目代码自动翻新(混淆)、支持文件夹名称、文件名、修改资源文件hash值、类名、方法名、属性名、添加混淆函数方法体、添加混淆属性、自动调用生成的混淆方法、字符串混淆加密等。。。功能强大而稳定。
    Obfuscator Pro Unity/U3D代码混淆,IOS 安卓代码混淆
    05-21
    Obfuscator Pro是为了提高软件和游戏的安全性而开发的,特别是对于使用Unity3d构建的游戏。 它的功能是混淆构建的dotNet程序集,如assembly csharp和assembly unityscript for Windows/Mac/Linux独立游戏以及...
    android应用安全——代码安全(android代码混淆
    xyzlmn的专栏
    04-15 180
    android2.3的SDK开始在eclipse中支持代码混淆功能(理论上java都支持混淆,但关键在于如何编写proguard的混淆脚本,2.3的SDK使用简单的配置就可以实现混淆)。使用SDK2.3后,新建的工程下和之前相比,都会多了一个文件“proguard.cfg”。这个文件就是混淆所需的proguard脚本。在工程的"default.properties"中添加这样一句话“prog...
    App安全代码混淆
    亚特兰蒂斯
    05-19 1622
    参考: http://www.cnblogs.com/sunzn/archive/2013/03/06/2946952.html http://www.apkbus.com/android-240707-1-1.html 1、在项目根目录找到project.properties文件,将下图中圈出来的代码注释去除,即申明我们的混淆文件为proguard-project.txt:
    iOS代码混淆----自动
    weixin_33797791的博客
    03-02 154
    为什么80%的码农都做不了架构师?>>> ...
    iOS 对源代码进行混淆和加密
    dieaicuan2810的博客
    01-02 2768
    大家好,应用交付时,客户进行安全评估提出一个问题:        使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量全部泄露。图是一个类中dump出来的函数。我该如何对我的代码混淆和加密解决这个问题。谢谢提供一下方案和思路。 http://blog.csdn.net/yiyaaixuexi/article/details/2920169
    iOS马甲包代码混淆工具
    03-20
    iOS代码混淆加密工具 制作iOS马甲包,包括代码加密、代码混淆、修改方法名、修改类名、生成垃圾代码、修改工程名等 https://zfj1128.blog.csdn.net/article/details/95482006
    iOS代码混淆
    03-04
    iOS开发中,代码混淆是一种重要的安全措施,用于保护应用程序(App)的源代码不被逆向工程破解。本文将深入探讨iOS代码混淆的技术细节、手动加固与自动加固的区别以及实际应用案例,帮助开发者理解并实施这一关键...
    iOS代码混淆 iOS代码混淆
    01-19
    https://zfj1128.blog.csdn.net/article/details/95482006
    iOS 代码混淆工具,亲测可用
    最新发布
    05-10
    iOS开发过程中,代码安全是至关重要的,尤其是当你在处理敏感数据或希望防止代码被逆向工程时。本文将深入探讨“iOS代码混淆工具”的应用,以提高代码的可读性和安全性。首先,我们来看看标题提到的“iOS 代码混淆...
    iOS混淆代码工具
    04-24
    iOS工程进行混淆,通过修改工程名,混淆文件名,类名,方法名,以及生成辣鸡代码来实现对工程的修改
    ios混淆代码工具及垃圾代码生成器工具
    05-31
    混淆工具可以修改工程名、修改类名前缀、扫描工程中的代码,生成垃圾代码。 修改 xxx.xcassets 文件夹中的 png 资源文件名。 删除代码中的所有注释和空行。
    iOS代码混淆的demo
    01-11
    ZFJObsLib V1.7.0更新(iOS代码混淆工具) 官网地址:http://zfjobslib.top 使用问答:http://zfjobslib.top/qahelp.html 详细说明:http://zfjobslib.top/detail.html 下载地址:https://gitee.com/zfj1128/ZFJObsLib_dmg 备用下载:https://github.com/zfjsyqk/ZFJObsLib_dmg
    bstree:Lua 源代码混淆
    06-09
    树 bstree是 Lua 源代码混淆器。 它分析源代码中的 Lua 文件并输出编码器和解码器。 BS 代表 Bit Stream 或 Bull Shit,取决于你的心情。 用法 $ lua bstree.lua <input.lua>+ 此命令将分析所有给定的 Lua 文件并输出两个文件: bsenc.lua :混淆给定源代码的 Lua 应用程序 bsdec.lua :对给定混淆代码进行解码的 Lua 应用程序 bstree.h :带有解码树的头文件,由bsreader.c 程序 $ lua bsenc.lua <input.lua> <output> 以源代码格式混淆给定的 Lua 文件,生成output.bs 。 在您的应用程序中使用output.bs 。 二进制文件 $ lua bsenc.lua <input.bs> <output> 解码给定的 .bs
    解决proguard混淆报错-Proguard5.1
    04-27
    proguard混淆jar包提示错误:Unknown verification type [*] in stack map frame 解决方案:找到proguard源码中proguard\src\proguard\classfile\ClassConstants.java类,然后修改ATTR_StackMapTable的值,将原来的的StackMapTable改为dummy.然后重新ant打包proguard。资源已经处理(源码+proguard.jar包)。
    [iOS]代码混淆
    Gamin
    11-25 5169
    混淆有几点注意:不能混淆系统方法不能混淆init开头的等初始化方法混淆属性时需要额外注意set方法如果xib、 storyboard中用到了混淆的内容,需要手动修正。可以考虑把需要混淆的符号都加上前缀,跟系统自带的符号进行区分。混淆有风险,有可能会被App Store以2.1大礼包拒掉,需要说明用途。
    Lua代码混淆加密
    qq_44631098的博客
    04-10 3487
    LuaEnc是一款专门为Lua5.2~5.3版本开发代码混淆工具,能够对源码进行多种混淆处理,提高代码的保密性,防止代码泄露。本文将介绍LuaEnc工具的使用方法和混淆时需要注意的一些事项。
    iOS代码混淆教程,当上项目经理才知道
    wegrefa的博客
    04-09 696
    代码编译阶段将符号(方法名、属性名等)替换成随机生成的字符串长话短说,直接上步骤。混淆集成步骤。
    Allatori 代码混淆 整合springboot 项目 初体验
    一名软件修理工的博客
    05-16 914
    Allatori 最近涉及到一些代码安全方面的工作,找到Allatori 这个代码混淆工具,代码混淆是将代码中类名、方法名、属性名替换为无意义符号,增加代码逆向难度,对应用程序逻辑结构进行打乱混排,保证源码可读性降到最低,从而实现代码保护。 官网下载 http://www.allatori.com/ 压缩包 1.pom.xml中引入插件 <build> <plugins> <plugin> &lt
    iOS开发-复用代码块(XcodeCodeSnippets)
    02-21
    iOS开发中的代码复用是一个关键实践,它能提高开发效率,确保软件质量,以及增强系统的可维护性。复用包括代码、算法和数据结构的复用,而在面向对象语言如Objective-C(iOS开发的主要语言)中,抽象化、继承、...

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值