android 如何保护我们的app(二)(干货)

最新推荐文章于 2022-04-24 18:11:31 发布
最新推荐文章于 2022-04-24 18:11:31 发布
阅读量391 收藏
点赞数 1
分类专栏: android 文章标签: 安全

本篇文章是本人对《Android安全攻防实战》中的如何“防”的总结和日常工作经验,希望对大家有所帮助。同样欢迎大家查看第一篇android 如何保护我们的app(一)(干货)


同时感谢您的反馈,现在我们进入正题。

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------



通过检测安装程序、模拟器、调试标志位反逆向工程。

什么是干货啊,不多说了,直接上代码一看就懂: 
    /**
	 * 检测安卓程序是不是谷歌应用商店,其他市场也实用
	 * @param context
	 * @return  true 表示是谷歌应用市场
	 */
	public static boolean checkGooglePlayStore(Context context) {
		String installerPackageName = context.getPackageManager()
				.getInstallerPackageName(context.getPackageName());
		return installerPackageName != null
				&& installerPackageName.startsWith("com.google.android");
	}
    /**
	 * 检查自己是不是运行在一台模拟器中
	 * 
	 * @return  true 表示在模拟上
	 */
	@SuppressWarnings("rawtypes")
	public static boolean isEmulator() {
		try {
			Class systemPropertyClazz = Class
					.forName("android.os.SystemProperties");
			boolean kernelQemu = getProperty(systemPropertyClazz,
					"ro.kernel.qemu").length() > 0;
			boolean hardwareGoldfish = getProperty(systemPropertyClazz,
					"ro.hardware").equals("goldfish");
			boolean modelSdk = getProperty(systemPropertyClazz,
					"ro.product.model").equals("sdk");

			if (modelSdk || hardwareGoldfish || kernelQemu) {
				return true;
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return false;
	}

	@SuppressWarnings({ "unchecked", "rawtypes" })
	private static String getProperty(Class clazz, String string)
			throws IllegalAccessException, IllegalArgumentException,
			InvocationTargetException, NoSuchMethodException {
		return (String) clazz.getMethod("get", new Class[] { String.class })
				.invoke(clazz, new Object[] { string });
	}
    /**
	 * 检查app的可调式标志位是否被打开了,只有在开发阶段才应该被打开的东西
	 * @param context
	 * @return true   已被打开
	 */
	public static boolean isDebuggable(Context context) {
		return (context.getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0;
	}

Progurd的使用

为了防止自己的劳动成果被别人窃取,混淆代码能有效防止被反编译,这里我给大家推荐这篇我在这就不多说了。


网络安全


这里我们只简单讲下SSL自签名验证证书

怎么做:

1)准备:
下载Bouncy castle的bcprov-jdk15on-154.jar
下载地址
获取证书:
2)Openssl s_client -showcerts -connect [server name]:443 <dev/null.
复制从-------BEGIN CERTIFICATE-------到----------END CERTIFICATE-------
存为mycert.crt文件
把mycert.crt和bcprov-jdk15on-154.jar全放到c://codeproject文件下
3)
keytool -import -v -trustcacerts -alias 0 
-file C:\codeproject\codeprojectsslcert.cer 
-keystore C:\codeproject\customtruststore.bks
 -storetype BKS 
-providerclass org.bouncycastle.jce.provider.BouncyCastleProvider
 -providerpath C:\codeproject\bcprov-jdk15on-154.jar
 -storepass androidcookbook


搞定! 现在, 全部 .bks 文件都生成了. 稍后将这些文件复制到安卓应用中res/raw/customtruststore.bks 

4)加载本地truststore到KeyStore对象中去。
 
/**
*加载本地truststore到KeyStore对象中去。
**/
private static final String STORE_PASSWORD="androidcookbook";//对应上面的storepass
private KeyStore loadKeyStore() throws Exception{
    final KeyStore keyStore =KeyStore.getINstance("BKS");
    final InputStream inputStream=context.getResoures().openRawResource(R.raw.customtruststore);
    try{ 
       KeyStore.load(inputStram,STORE_PASSWORD.toCharArray());
       return keyStore;
    }finally{
       inputStream.close();
    }
}

5)编写一个使用本地truststore的DefaultHttpClient的子类。 
public class localTrustStoreMyHttpClient extends DefaultHttpClient{
@Override
protected ClientConnectionManager(){
  SchemeRegistry registry=new SchemeRegistry();
  registry.register(new Scheme("http",PlainSocketFactory.getSocketFactory(),80));
  try{
     registry.register(new Scheme("https",new SSLSocketFactory(loadKeyStore()),443));
  }catch(Exception e){
     e.printStackTrace();
  }
  return new SingleClientConnManager(getParams(),registry);
}
}



6) GET请求 
public HttpResponse httpClientRequestUsingLocalKeystore(String url){
   HttpClient client=new localTrustStoreMyHttpClient();
   HttpGet httpGet=new HttpGet(url);
   HttpResponse response=httpClient.execute(httpGet);
   return response;
}
还有一些关于加密的一些demo,我都放到了github上。



今天太阳好大
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android应用防护
Luzhuo 的博客
04-12 827
Android应用防护包括: 混淆, 调试, 签名保护, 加固等.
android 如何保护我们的app(一)(干货
qq_16965811的博客
06-06 651
首先要感谢《android安全攻防实战》这本书。简单实用。这篇文章是我把这本简单总结了下。希望能对大家有所帮助。也非常欢迎大家来馈,交流。 验证app的签名(防篡改) 首先我们了解下app的证书和签名: app的证书是以把开发者的id和他们app以密码学的方式关联起来的方式实现的。它被推送到app市场的app中,表示开发者身份。 app的签名确保了不会被其他app所冒充。所以在a
android逆向 APP保护策略
u013346208的博客
05-06 179
㈠.混淆 通过jeb工具,可以提升java混淆之后的代码的可读性,混淆只针对可读性,逻辑不会更改,底层 smali 不会更改 调试模式:adb shell am start -D -n 报名+类名 端口转发:adb forward tcp:端口号 jdwp:端口号 ㈡.资源对抗 apktool 编译之后,androidkiller回编译出现的资源报错问题,可以先通过压缩工具拷贝资源,或者 MT 管理器备份资源,然后拷贝资源到 androidkiller 回编译 1.androidkiller 编译的时
android_保护Android应用安全的简单技巧
cunfen0516的博客
01-11 163
android Src:http://www.oneclickroot.com/wp-content/uploads/2012/10/Android-security.jpg Android具有内置于操作系统中的安全功能,可显着减少应用程序安全问题的频率和影响,但作为应用程序开发人员,我们的工作是保护应用程序安全安全级别取决于应用程序类型和域。 我们很少忘记安全方面的内容。 我正在本...
Android攻防实战》读书笔记——保护App安全
So Now,Trust Me
05-05 1406
保护app组件 保护app组件的途径有两条:1.正确使用AndroidMenifest.xml文件 2.在代码层面上强制进行权限检查 AndroidManifest 文件加固 AndroidManifest文件中的 android:exported 定义是否允许组件被其它app调用,如果app中的组件不需要被其它app调用,或者需要明确的与android系统其它部分的组件的交互隔离开的话,应该在An
Android-本App是基于谷歌推出的AndroidJetpack架构组件的干货集中营
08-13
App是基于谷歌推出的Android Jetpack架构组件的干货集中营, app功能很简单, 基本上是针对 LiveData ViewModel Navigation Paging 的MVVM的练手demo,更多的强大功能,请参考google的官方api
干货!一文了解安卓APP逆向分析与保护机制
02-24
事实上,这些内容也是国内近几年AndroidApp安全保护的一种主要趋势。Java代码是非常容易编译的,作为一种跨平台的、解释型语言,Java源代码被编译成中间“字节码”存储于class文件中。由于跨平台的需要,这些字节...
Android-干货集中营Gank.ioAndroid客户端
08-13
Android干货集中营Gank.io Android客户端:深度解析与实践》 在移动开发领域,Android平台因其开源特性及庞大的用户基础,一直以来都是开发者们热衷的战场。Gank.io作为一个汇集了各种Android开发者干货的平台,...
Android-Better20188888888~集干货音乐视频打卡于一体的app
08-13
Android开发中,实现这样一个多功能的App需要涵盖多个技术领域,下面我们将详细探讨相关的知识点。 首先,我们需要构建应用的基础框架。Android应用主要基于Java或Kotlin语言编写,近年来Kotlin逐渐成为首选,...
Android-RxGank干货集中营Android客户端
08-13
Android-RxGank干货集中营Android客户端:深入解析与实践》 RxGank干货集中营Android客户端是一款基于Android平台的应用程序,它充分利用了RxJava和Gank.io API,为开发者提供了一个方便快捷的方式来获取和浏览...
Android 密钥保护和 C/S 网络传输安全理论指南 Dec 14, 2016 注:本文将着重讲解 Android KeyStore、so 库保护 app key / secret、HTTPS
hhh594521的博客
07-20 767
Android 密钥保护和 C/S 网络传输安全理论指南 注:本文将着重讲解 Android KeyStore、so 库保护 app key / secret、HTTPS 原理及其防中间人攻击措施。 谈到 Android 安全性话题,Android Developers 官方网站给出了许多很好的建议和讲解,涵盖了存储数据、权限、网络、处理凭据、输入验证、处理用户数据、加密等方方面面
恶意用户识别?——Java 层模拟器Hook、多开技巧
weixin_33826609的博客
01-30 515
近两年,Android端的虚拟化技术和群控技术发展急速,带来很多好玩产品和便利工具。但是作为App开发者就头疼了,恶意用户(比如不文明用户、比如刷单)利用这些技术,作恶门槛低得不知道哪里去。我们需要思考怎么识别和防御了。 下文介绍一些简单但是有效的恶意用户识别(方便后续封号)方案。 Anti 模拟器 这个很容易理解,模拟出来的机器,每次模拟的时候生成的设备ID,只存在模拟器使用的生命周期里。可能下...
自动化脚本 — Android无障碍的攻防 — 如何保护自己的APP
sinat_24167153的博客
04-24 4112
现在无障碍技术越来越引起更多人的重视,很多公司都想借助这个技术从而减少人工成本,或者实现一些自动化的脚本,但是这个技术是一把双刃剑,因此在此普及一些和无障碍技术的实现以及预防等相关的内容。
Android读取txt到界面实例,Android重学系列 PackageManagerService的启动与安装(中)
weixin_30588427的博客
05-27 384
前言之前和大家聊完了PMS的启动原理,本文继续介绍当进行安装的时候,PMS做了什么事情。正文先来看看在Android 中如何吊起安装界面:public static void installApk(Context context, String apkPath) {if (context == null || TextUtils.isEmpty(apkPath)) {return;}File fi...
如何获取Android项目的VersionName的getPackageManager()
徐刘根的博客
03-15 6042
代码笔记:/** * 得到应用层序的版本名称 * * @return */ private String getVersionName() { // 用于管理安装的apk和未安装的apk PackageManager packageManager = getPackageManager(); try {
AndroidApp保活(10种方案)
zhang_senlin的博客
08-07 1万+
1.Activity 1像素保活 public class Activity1 extends AppCompatActivity { @Override protected void onCreate(@Nullable Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_1); Window
Android APP一段时间无操作显示屏保
热门推荐
Dawish的专栏
11-29 2万+
Android TV 视频播放器的屏保
Android智能电视APP开发笔记(一).doc
07-13
Android智能电视APP开发是近年来随着OTT机顶盒和智能电视的普及而备受关注的技术领域。随着Android操作系统在机顶盒和智能电视上的快速推广,开发人员面临着一些与手机APP开发略有不同的挑战。本文讨论了作者开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值