app代码安全保护

最新推荐文章于 2023-04-02 15:34:18 发布
最新推荐文章于 2023-04-02 15:34:18 发布
阅读量757 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35114086/article/details/88928127
版权

今天给大家讲一下app防破解技术,很多开发者在app的安全层面知道的并不多,导致自己费了很多时间写的apk被轻易破解,代码被盗用分析关键信息。现在从以下几点来阐述:

1.Java代码是比较容易反编译的,为了很好的保护Java代码,我们往往会对编译好的class文件进行混淆处理

在app的build.gradle文件设置 minifyEnabled true,并在proguard-rules.pro添加
-optimizationpasses 5          # 指定代码的压缩级别
-dontusemixedcaseclassnames   # 是否使用大小写混合
-dontpreverify           # 混淆时是否做预校验
-verbose                # 混淆时是否记录日志
-keepattributes Signature
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*  # 混淆时所采用的算法

-keep public class * extends android.app.Activity      # 保持哪些类不被混淆
-keep public class * extends android.app.Application   # 保持哪些类不被混淆
-keep public class * extends android.app.Service       # 保持哪些类不被混淆
-keep public class * extends android.content.BroadcastReceiver  # 保持哪些类不被混淆
-keep public class * extends android.content.ContentProvider    # 保持哪些类不被混淆
-keep public class * extends android.app.backup.BackupAgentHelper # 保持哪些类不被混淆
-keep public class * extends android.preference.Preference        # 保持哪些类不被混淆
-keep public class com.android.vending.licensing.ILicensingService    # 保持哪些类不被混淆

-keepclasseswithmembernames class * {  # 保持 native 方法不被混淆
    native <methods>;
}
-keepclasseswithmembers class * {   # 保持自定义控件类不被混淆
    public <init>(android.content.Context, android.util.AttributeSet);
}
-keepclasseswithmembers class * {# 保持自定义控件类不被混淆
    public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclassmembers class * extends android.app.Activity { # 保持自定义控件类不被混淆
    public void *(android.view.View);
}
-keepclassmembers enum * {     # 保持枚举 enum 类不被混淆
    public static **[] values();
    public static ** valueOf(java.lang.String);
}
-keep class * implements android.os.Parcelable { # 保持 Parcelable 不被混淆
    public static final android.os.Parcelable$Creator *;
}

2.去除日志信息

-assumenosideeffects class android.util.Log {

   public static *** d(...);
   public static *** v(...);
}

-assumenosideeffects class android.util.Log {
    public static *** e(...);
    public static *** v(...);
}

-assumenosideeffects class android.util.Log {
    public static *** i(...);
    public static *** v(...);
}

-assumenosideeffects class android.util.Log {
    public static *** w(...);
    public static *** v(...);
}

3.对抗反编译工具,做资源混淆

4.对抗模拟器

public static Boolean notHasLightSensorManager(Context context) {
    SensorManager sensorManager = (SensorManager) context.getSystemService(context.SENSOR_SERVICE);
    Sensor sensor8 = sensorManager.getDefaultSensor(Sensor.TYPE_LIGHT); //光
    if (null == sensor8) {
        return true;
    } else {
        return false;
    }
}
/**
 * 用途:根据CPU是否为电脑来判断是否为模拟器
 * @return
 */
public static boolean checkIsNotRealPhone() {
    String cpuInfo = readCpuInfo();
    if ((cpuInfo.contains("intel") || cpuInfo.contains("amd"))) {
        return true;
    }
    return false;
}

/**
 * 用途:根据CPU是否为电脑来判断是否为模拟器(子方法)
 * @return
 */
public static String readCpuInfo() {
    String result = "";
    try {
        String[] args = {"/system/bin/cat", "/proc/cpuinfo"};
        ProcessBuilder cmd = new ProcessBuilder(args);

        Process process = cmd.start();
        StringBuffer sb = new StringBuffer();
        String readLine = "";
        BufferedReader responseReader = new BufferedReader(new InputStreamReader(process.getInputStream(), "utf-8"));
        while ((readLine = responseReader.readLine()) != null) {
            sb.append(readLine);
        }
        responseReader.close();
        result = sb.toString().toLowerCase();
    } catch (IOException ex) {
    }
    return result;
}

5.对抗apk重打包

if(getSignature("security.tct.com.intentvirus") != -457442184){
    Toast.makeText(this,"app被重打包",Toast.LENGTH_SHORT).show();
}
public int getSignature(String packageName) {
    PackageManager pm = this.getPackageManager();
    PackageInfo pi = null;
    int sig = 0;

    try {
        pi = pm.getPackageInfo(packageName, PackageManager.GET_SIGNATURES);
        Signature[] s = pi.signatures;
        sig = s[0].hashCode();
    } catch (PackageManager.NameNotFoundException e) {
        sig = 0;
        e.printStackTrace();
    }

    return sig;
}

 

 

 

 

 

 

 

一个本科生的孤独
关注
App常见漏洞及安全编码规范.pdf
05-09
高危风险:对业务数据(如:用户账号、密码、银行卡密码等等)有窃取风险或者后门;对业务核心代码存在泄露得分析或者后门;严重漏洞 中危风险:对应用代码的不符合安全开发规范,有被第三方利用的风险;对应用内部文件存在数据被读取风险 低危风险:对应用代码安全隐患,风险低
app安全评估操作指南及填写范例.zip
10-24
"app安全评估操作指南及填写范例.zip" 文件包提供了一份详细的指南,旨在帮助开发者理解并执行应用安全评估,同时包含了一个安全评估报告的填写范例,这对于准备将应用上架到各大应用市场的开发者来说,是非常实用的...
保护代码安全
u014343942的专栏
04-08 497
对于软件开发人员来说,保护代码安全也是比较重要的因素之一,不过目前来说Google Android平台选择了Java Dalvik VM的方式使其程序很容易破解和被修改,首先APK文件其实就是一个MIME为ZIP的压缩包,我们修改ZIP后缀名方式可以看到内部的文件结构,类似Sun JavaMe的Jar压缩格式一样,不过比较去别的是Android上的二进制代码被编译成为Dex的字节码,所有的Java
保护我们的代码安全
南京程序员俱乐部
08-14 1166
.NET平台提供的Code Access Security。有大量继承于CodeAccessPermission的类可以帮你实现不同方面、不同范围的代码安全控制。使用StrongNameIdentityPermissionAttribute类,这个类允许你将组件(或类、方法)与某一强名称(通常就是你发布程序时所用的强名称)绑定,这样,只有在客户端程序具有该强名称签名的情况下才能使用你的组件。也就是
App安全代码混淆
亚特兰蒂斯
05-19 1640
参考: http://www.cnblogs.com/sunzn/archive/2013/03/06/2946952.html http://www.apkbus.com/android-240707-1-1.html 1、在项目根目录找到project.properties文件,将下图中圈出来的代码注释去除,即申明我们的混淆文件为proguard-project.txt:
apk安全保护及处理
路一
01-11 1044
App安全问题首先是『数据安全』。App本地存储的数据和网络请求数据中有没有涉及到用户的隐私数据。 还有就是『应用自身安全性』。对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。
Android App安全保护实践之路.pdf
10-12
Android App安全保护实践之路 Android App安全保护实践之路是移动终端安全的重要组成部分。随着 Android 系统的普及,Android App安全问题也愈发严重。因此,了解 Android App安全保护实践之路对于开发者和...
医疗健康类app代码框架
03-13
本文将深入探讨“医疗健康类app代码框架”的设计与实现,主要关注以下几个核心知识点: 1. **用户登录模块**:手机号登录是常见的身份验证方式,它需要包含用户输入手机号、发送验证码、验证验证码的流程。此模块...
智能家居手机APP代码
03-30
智能家居手机APP代码是开发智能家居系统的核心组成部分,它允许用户通过手机远程控制家中的智能设备,如灯光、空调、电视、窗帘等。这样的APP通常具备设备管理、场景设定、定时任务、能耗监控等功能,旨在提升家庭...
软件安全性:采用安全的编码方式(转)
08-15 224
软件安全性:采用安全的编码方式(转)[@more@]  本周公布的一项新的调查显示,虽然软件开发人员越来越意识到必须提高所开发程序的安全性,但是目前而言,这种意识还没有被贯彻到具体的编码工作中。   赛门铁克公司对400位在美国...
技术干货 | 用零信任保护代码安全
weixin_70101757的博客
07-27 209
一个完整的零信任解决方案需要包括终端数据安全,将安全工作空间融入零信任架构,由零信任控制中心统一管控空间的应用准入策略,一方面补足零信任在终端数据安全方面的能力,另一方面和零信任的自适应动态策略和细粒度权限管控相结合,形成完整数据安全保护方案。基于此,零信任安全工作空间解决方案,对物理上分散的数据进行逻辑上封闭管理,从而保障企业的数据安全。公私分离、个人数据不受影响,在终端开辟出的安全工作空间内,企业控制和记录员工的操作行为,并对数据进行管控,在安全工作空间之外,不涉及个人隐私,不改变用户的使用习惯。...
APP安全代码混淆/抓包/漏洞检测
哆啦安全
05-31 529
原文链接 零基础一对一技术咨询服务(远程指导) 推荐阅读 Android混淆规则 Oo0代码混淆实现方法 超实用的优质公众号推荐 Android应用安全方案梳理 加固不等于安全APP应用更安全浅析 加密shared_prefs/xml中的内容防窃取 Android包体积优化(常规、进阶、极致) bundletool工具使用(Android aab包安装) Google Play上架App之aab转apk和apk转aab的使用方法 Android aab包google上架避免
php网站安全保护代码,轻松实现php代码防注入,保护代码安全!
weixin_36189723的博客
03-20 322
今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行防范呢?这样就能够不用在每个程序里对每个变量进行过滤,节省了时间和代码。我们主要是从两点出发,因为我们的获取的变量一般都是通过GET或者POST方式提交过来的,那么我们只要对GET和POST过来的变量进行过滤,那么就能够达到防止注入的效果。而且我们的PHP真是非常好,已经内置了$_GET和$_POST两个数组来...
代码安全方案
最新发布
qq_38098608的博客
04-02 967
目前大环境下,研发人员流动性很强,这就要求企业建立一套机制,对企业自己的知识库和项目源代码,技术文档等进行安全控制,不但要对在职人员的主动泄密行为进行管控,更要杜绝离职人员拿走公司的核心资料,避免因泄密给企业造成损失。运行A服务,必须依赖common服务(依赖其接口,或依赖读取其配置),这个common服务在服务器上独立运行,不开放源码,并注册到线上eureka或nacos。在员工入职的时候,签署保密协议,尤其是开发人员这样的涉密人员,通过这种方式,可以一定程度上的防止员工主动泄密。
使用Proguard混淆代码打造APP安全第一层防护
老蒋也疯狂
02-12 2607
Java是一种跨平台的解释性语言,它的源代码编译成中间”字节码”存储于class文件中。由于跨平台的需要,Java字节码中包括了很多源代码信息,如变量名、方法名,它们被用来访问相关的变量和方法,而这些符号恰恰带有很多语义信息,极易被反编译成Java源代码从而造成开发的应用被轻松破解。为了防止这种情况,我们可以使用ProGuard实现对Java字节码进行混淆。所谓混淆,是指ProGuard将发布出去的程序进行重新组织和处理,它能够将代码中的所有变量、方法、类名转换为极为简短且无任何意义的英文字母,在缺乏相应函
保护App安全,用了“代码混淆”就高枕无忧了?
weixin_33797791的博客
03-20 87
2019独角兽企业重金招聘Python工程师标准>>> ...
如何保护研发网中的代码数据安全
文件数据安全交换
06-29 547
大部分的企业,为了保护核心数据,都会做网络隔离,绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离,将内部数据“困在”内网,同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。 尤其是研发型企业,内部存在代码等核心数据,包含了有价值的知识产权,是公司投入的高额研发费用的产出,需要小心保护,所以企业都会选择将研发网进行隔离。但是也并不是隔离之后就万事大吉了,还是存在诸多问
Android app 安全
vivian的专栏
04-27 423
App安全 从一款被篡改的软件谈 Android App安全之路 《Android攻防实战》读书笔记——保护App安全 安全问题 APP安全问题 反编译 APK反编译 apk加固 Apk源码的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中对Nativ...
APP测试实践:代码审查与安全要点
5. App测试点主要聚焦于安全测试,这包括软件权限的方方面面,如防止扣费风险、保护用户隐私、输入有效性校验、认证授权、敏感数据处理、网络连接控制等。同时,安装与卸载的安全性也是关注的重点,如正确安装、图标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值