辛苦开发的 App 被山寨？阿里帮你为 APK 上把加固锁

程序员小肖

已于 2024-01-19 10:28:23 修改

阅读量460

点赞数

文章标签： android

于 2023-02-13 20:51:04 首次发布

本文链接：https://blog.csdn.net/qq_53058639/article/details/129016890

版权

根据国家互联网金融风险分析技术平台监测数据显示：截至 2020 年 5 月底，共发现 2801 个互联网金融仿冒 App ，仿冒 App 下载量高达 3343.7 万次。

“李逵”和“李鬼”

互联网环境下，盗用和剽窃能有多简单？

先看一波新闻标题感受下：

《北斗卫星导航系统全球免费，却因山寨app收费20元连中国人都误会》
《500万人用山寨12123查违章？高仿APP不只是坑钱》
《关注：小米金融被骗子盯上遭假冒，真假难辨山寨APP要警惕！》
……

根据国家互联网金融风险分析技术平台监测数据显示：截至 2020 年 5 月底，共发现 2801 个互联网金融仿冒 App ，仿冒 App 下载量高达 3343.7 万次。

伴随着移动应用数量的井喷式增长，对于一个 App 来说，被山寨和盗版无疑成为了每一个应用开发者最头疼与烦恼的问题之一。

移动端黑产日益壮大，伴随而来的逆向攻击手段也越来越高明，基于 java 开发的 Android 应用因其语言的特性和系统的开源属性，大量 Android 应用程序面临着应用程序遭逆袭破解、知识产权被侵犯、被二次打包签名等安全问题。

为解决上述问题，在 APK 上传至应用市场之前，需要先对 APK 进行加固并对加固后的 APK 进行兼容性测试，可最大限度保障应用不被破解。

加固技术的演进与优化

传统加固

其脱壳方式很简单：因为Dex加密是整体进行的，解密时还会落地。可以通过HOOK文件操作（Read、Write、Delete）将Dex文件脱壳出来，通过反编译工具分析，从而得到APP的核心逻辑

全量混淆

针对层出不穷的脱壳方式。阿里内部经过多次讨论后，认为传统的加固方式已过时，需要转变思路：混淆。

ProGuard混淆

优化瘦身

随着APK功能的增加，其体积也在不断地增大，例如手淘、支付宝等应用达到五十几兆、游戏类的APK达到几百甚至上千兆，进而引发了手机资源存储、用户下载流量浪费等问题。因此APK优化瘦身势在必行。

以上内容来自于：《APP加固新方向——混淆与瘦身》

公众号“mPaaS”回复“安全加固”获取完整 PPT 内容

开发不易，阿里”固“你

针对市面上移动应用普遍存在的破解、篡改、盗版、钓⻥欺诈、内存调试、数据窃取等各类安全风险，mPaaS 「移动安全加固」依赖于阿里云集团的移动安全加固技术，经历了淘系等亿级应用的安全性考验。

能够有效为移动应用提供稳定、简单、有效的安全保护，提高 App 的整体安全水平，力保应用不被逆向破解，在安全性上具有非常可靠的保障。

基本原理

「移动安全加固」通过对 Android 应用重新编译、加壳保护、修改其指令调用顺序等手段来增强应用的反破解能力。在加固过程中，注重加固强度与兼容性并重，避免一般加固功能由于盲目追求加固强度而导致加固后应用完全不可用的问题。

产品优势

核心能力

① App 自身安全保护

② 深度安全检测

网络安全入门学习路线

其实入门网络安全要学的东西不算多，也就是网络基础+操作系统+中间件+数据库，四个流程下来就差不多了。

1.网络安全法和了解电脑基础

其中包括操作系统Windows基础和Linux基础，标记语言HTML基础和代码JS基础，以及网络基础、数据库基础和虚拟机使用等...

别被这些看上去很多的东西给吓到了，其实都是很简单的基础知识，同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过，这部分可以直接略过。没学过的同学也不要慌，可以去B站搜索相关视频，你搜关键词网络安全工程师会出现很多相关的视频教程，我粗略的看了一下，排名第一的视频就讲的很详细。当然你也可以看下面这个视频教程仅展示部分截图：学到http和https抓包后能读懂它在说什么就行。