React Native Hermes 反编译

最新推荐文章于 2025-04-02 11:16:58 发布
最新推荐文章于 2025-04-02 11:16:58 发布
阅读量1.5k 收藏 8
点赞数 7
文章标签: react native react.js javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011213403/article/details/135702921
版权
本文介绍了Hermes,ReactNative中的优化引擎,如何通过启用它来提升应用性能。同时提到Hermes默认从0.70版开始启用,以及如何使用官方提供的hbcdump和开源工具hbctool进行代码反编译和回编译,解决安装过程中遇到的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Hermes 是专门针对 React Native 应用而优化的全新开源 JavaScript 引擎。对于很多应用来说,启用 Hermes 引擎可以优化启动时间,减少内存占用以及空间占用。从 React Native 0.70 版本开始 Hermes 已经默认启用,无需开发者再做任何配置。

也就说在0.70 后基本上 index.android.bundle是Hermes的bytecode,没办法直接查看源码,需要借助其他工具进行反编译。

Hermes官方提供了hbcdump工具,可以进行反编译,但使用起来比较麻烦,有另一个开源工具hbctool可以对hermesbytecode进行反编译与回编译

https://github.com/bongtrop/hbctool 提供了59, 62, 74, 76版本的反编译

https://github.com/niosega/hbctool/tree/draft/hbc-v84 对84版本的Hermes进行补充

安装可以反编译84版本的hbctool

pip install https://github.com/niosega/hbctool/archive/ac6fabb69a7229ed9764997d153d4f703d1381aa.zip

反编译

hbctool disasm index.android.bundle bundle

回编译

hbctool asm bundle index.android.bundle.re

这里我安装的时候出现了一个问题 :

-bash: hbctool: command not found

并没有自动配置全局命令

这时候可以去看下 pip install 完成后的日志

在这里插入图片描述

这个就是安装路径,进入到该文件夹:
执行 python3 __init__.py 等同于执行 hbctool

hswizy
关注
React Native 中使用 Hermes
分享身边生活经验blog
10-11 1444
发布 React Native 0.64 引入了对 iOS 上 Hermes 的完全选择支持。这有望成为 React Native 移动应用程序开发生态系统的重大转变。在本教程中,我们将探索使用 Hermes 作为 React Native 应用程序的 JavaScript 引擎的好处,并演示如何使用 Hermes 构建和运行 React Native 应用程序。
React反钩
02-16
Create React App入门 该项目是通过。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行程序。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 最小化构建,文件名包含哈希。 您的应用已准备好进行部署! 有关更多信息,请参见有关的部分。 npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从项目中删除单个构建依赖项。 而是将所有配置文件和传递依赖项(webpack,Babel,E
逆向分析Datadome,支持爱马仕(hermes)等
2301_76375101的博客
03-21 2150
Datadome/hermes会验证一个叫datadome的cookie,拿到一个合法的cookie并在请求里带上它就行。1个cookie可以使用多次。用浏览器加载datadome的js要花费大量cpu和内存(它的js加了很多混淆代码影响速度),所以很难搬到服务器上运行。逆向的话只需要走协议,消耗的资源少很多。有需求或商务合作的请联系,长期有效。
React 中文版
WHACKW的专栏
04-07 813
http://wiki.jikexueyuan.com/project/react/event-system.html
react-native-decompiler:高效反编译React Native与Webpack文件
最新发布
gitblog_00889的博客
04-02 677
react-native-decompiler:高效反编译React Native与Webpack文件 react-native-decompiler Decompile React Native bundles 项目地址: ht...
反编译之路
guoer9973的专栏
12-23 1043
安装环境建立基本文件夹mkdir -p ~/study/apkkiller/soft/bin mkdir -p ~/study/apkkiller/soft/src mkdir -p ~/study/apkkiller/output/ andorid app的安装文件为apk包,要反编译apk文件,需要下载apktool和dex2jar这两个软件,它们均托管在google code上:http
逆向工程-对native层的一次简单逆向实践
weixin_30814223的博客
09-10 365
  关注一款app很久了,这款app为了防止别人逆向破解拉取数据做了很多工作: 防止别人修改apk包,执行关键动作时对dex文件进行md5验证; 防止用户调用接口批量拉数据,对返回的web网页里个人信息进行加密,只有用户点击webview相关控件后,才js调用java代码通过jni调用底层native代码解密后,弹出toast显示个人信息;   我按照逆向工程一贯的思路: 1. 先apk转...
react-native-clean-project:自动清理React Native项目
02-05
通过清除缓存和模块,然后再次重新安装,来清理您的React Native项目。 正在安装 yarn add -D react-native-clean-project 跑步 React-Native CLI插件 标准react-native命令会自动将该模块检测为插件,并添加新的...
react-native-elements-app:用于React Native Elements的演示应用程序(带有React Native Web)
02-05
React Native Elements应用 | 这是用构建的的演示应用程序。 在此应用中,您将找到有关如何使用各种RNE组件以及生产就绪屏幕的示例。 该应用程序还可以使用在web平台上运行。 您可以在签出。 如果您希望构建一个...
适用于 Android 和 iOS 的 React Native NFC 模块 react-native-nfc
05-28
React Native 带来 NFC 功能。灵感来自phonegap-nfc和react-native-ble-manager 该库最简单(也是最常见)的用例是读取NFC包含 的标签NDEF,可以通过以下代码实现: import React from 'react'; import {View, ...
react-native-mock:react native的完全模拟且易于测试的版本
02-05
有兴趣帮助维持react-native-mock吗? React本机模拟 一个完全模拟且易于测试的react native版本 要求 Node.js 4+ 最新版本的react-native 注意:该库旨在与最新版本的react-native一起使用。 如果您使用的不是...
hermes,hermes是一个小型的轻量级javascript引擎,为在android上运行react native而优化。.zip
10-11
hermes是一个javascript引擎,为在android上快速启动react本地应用程序而优化。它具有超前静态优化和压缩字节码的特点。
Hermes是一款小巧轻便的JavaScript引擎针对在Android上运行ReactNative进行了优化
08-09
Hermes是一款小巧轻便的JavaScript引擎,针对在Android上运行React Native进行了优化。
hermesHermes是一个小型轻巧JavaScript引擎,经过优化,可在Android上运行React Native
02-19
爱马仕JS引擎 Hermes是一个JavaScript引擎,针对在Android上快速启动应用进行了优化。 它具有提前进行的静态优化和紧凑的字节码的功能。 如果您只想在新的或现有的React Native应用程序中使用预构建的Hermes,则无需遵循本指南或直接访问Hermes源代码。 相反,只需按照。 请注意,每个Hermes版本均针对特定的RN版本。 经验法则是始终严格遵循。 在最坏的情况下,版本不匹配会导致您的应用程序立即崩溃。 如果您想知道如何直接在Hermes上构建和破解,和/或将从源构建的Hermes集成到React Native应用中,请继续阅读。 此处的说明非常简短地介绍了构建Hermes CLI的步骤。 他们假定您已经为操作系统安装了典型的本机开发工具,并支持cmake和Ninja。 有关所需依赖项,使用不同选项构建Hermes等的更多详细信息,请改用以下链接:
逆向React Native开发的APP
qq_39609284的博客
12-26 1729
React Native是使用JavaScript来编写Android和IOS的应用,其最大的优点是跨平台运行。它能将JavaScript语言与原生的代码结合起来,同时开发使用。
xposed 针对 react native逆向分析
qhexin的专栏
07-04 1276
xposed react native
聊聊反编译的那些事儿
wu__di的博客
01-17 1865
一、概述反编译在IT行业可以说是经常使用的一种技能,一方面是为了学习研究其他产品,另一方面也是为了自己的产品在安全性方面能有提升。今天,小编就为大家推荐两款反编译神器。二、JD-GUIJD-GUI这款Java反编译工具是纯绿色,完全免费的,非常适合开发者,其界面也简洁大方。mac下安装JD-GUI有两种方式。1.到官网下载相应的安装包 http://jd.benow.ca,下载.dmg文件安装。2
React Native 反转滚动视图:react-native-invertible-scroll-view 教程
gitblog_00986的博客
09-01 1184
React Native 反转滚动视图:react-native-invertible-scroll-view 教程 react-native-invertible-scroll-viewAn invertible ScrollView for React Native项目地址:https://gitcode.com/gh_mirrors/re/react-native-invertible-s...
reactnative 代码混淆
03-18
<think>嗯,用户之前已经问过关于React Native配置javascript-obfuscator的问题,现在他们又问了“reactnative 代码混淆”。看起来用户可能想进一步了解代码混淆的相关内容,或者需要更详细的步骤。首先,我需要确认用户的需求是否与之前的问题重复,或者是否有更深入的需求。 可能用户之前的问题得到了配置步骤,现在想更全面地了解代码混淆在React Native中的具体应用、其他工具或者更详细的最佳实践。需要确保回答不仅覆盖之前的配置方法,还要扩展其他方面,比如不同的工具比较、混淆配置的详细参数、常见问题解决等。 用户可能是开发者,担心应用的安全性,特别是代码被反编译的风险。他们可能希望保护自己的React Native应用不被轻易逆向工程。考虑到React Native的代码通常打包在JS Bundle中,容易被提取和分析,混淆确实是一个重要步骤。 接下来,我需要整理React Native代码混淆的多种方法,而不仅仅是javascript-obfuscator。可能需要提到其他工具如Metro配置的调整,第三方插件,或者商业解决方案。同时,需要强调混淆的注意事项,比如性能影响、调试困难、与第三方库的兼容性等。 还要注意用户可能的误区,比如混淆并不能完全阻止攻击,而是增加难度。需要建议综合安全措施,如加密、SSL Pinning、防调试检测等。此外,回答结构要清晰,分步骤说明,帮助用户逐步实施混淆,并给出验证方法和常见问题解决方案。 用户可能遇到的典型问题包括混淆后应用崩溃、性能下降、热更新失效等,需要提供对应的排查方法。例如,保留必要的全局变量,调整混淆强度,分环境配置等。同时,示例配置和代码片段能帮助用户更好地理解如何操作。 总结来说,回答需要全面覆盖React Native代码混淆的方法、工具、配置示例、注意事项和进阶建议,确保用户不仅知道如何配置,还能理解背后的原理和潜在问题,从而做出合适的决策。</think>以下是React Native代码混淆的完整指南,包含原理、工具对比和最佳实践: ### 一、核心原理与必要性 1. **保护机制**: - 标识符混淆:`calculateTotal` → `_0x12ab` - 逻辑混淆:将顺序代码转为控制流跳转 - 字符串加密:`"apiKey"` → `"\x61\x70\x69\x4b\x65\x79"` - 僵尸代码注入:增加逆向分析难度 2. **必要性分析**: - JS Bundle文件未编译特性 - 反编译工具可直接查看源码(如[react-native-decompiler](https://github.com/njzy/react-native-decompiler)) - 防止API密钥、业务逻辑等敏感信息泄露 ### 二、主流方案对比 | 方案 | 优点 | 缺点 | 适用场景 | |---------------------|--------------------------|--------------------------|------------------| | javascript-obfuscator | 开源免费,配置灵活 | 需自行集成到构建流程 | 中小型项目 | | jscrambler | 商业级保护,云端管理 | 付费方案,配置复杂 | 金融类应用 | | Metro自带压缩 | 零配置,自动集成 | 仅基础混淆,保护性弱 | 开发环境 | | react-native-obfuscator | RN专用插件 | 社区维护,更新不稳定 | 快速集成需求 | ### 三、javascript-obfuscator深度配置 ```javascript // obfuscator.config.js module.exports = { compact: true, // 压缩代码体积 controlFlowFlattening: true, // 控制流扁平化 controlFlowFlatteningThreshold: 0.75, // 75%代码受影响 deadCodeInjection: true, // 注入僵尸代码 deadCodeInjectionThreshold: 0.4, debugProtection: true, // 阻止调试器附加 identifierNamesGenerator: 'hexadecimal', // 标识符生成规则 log: false, // 关闭日志输出 numbersToExpressions: true, // 数字转表达式 renameGlobals: false, // 禁止全局变量重命名 selfDefending: true, // 自保护机制 splitStrings: true, // 字符串分割 stringArray: true, // 启用字符串数组 stringArrayThreshold: 0.75, // 字符串加密比例 transformObjectKeys: true, // 对象键混淆 reservedNames: ['^Device', '^_'], // 保留特定标识符 exclude: ['\\.spec\\.js$'] // 排除测试文件 }; ``` ### 四、工程化集成方案 #### 方案1:构建流程集成(推荐) ```bash # package.json { "scripts": { "bundle:android": "react-native bundle --platform android --dev false --entry-file index.js --bundle-output android/app/src/main/assets/index.android.bundle && obfuscator android/app/src/main/assets/index.android.bundle", "bundle:ios": "react-native bundle --platform ios --dev false --entry-file index.js --bundle-output ios/main.jsbundle && obfuscator ios/main.jsbundle" } } ``` #### 方案2:Metro插件集成 ```javascript // metro.config.js const { getDefaultConfig } = require('metro-config'); const obfuscator = require('./obfuscator'); module.exports = (async () => { const { resolver: { sourceExts }, } = await getDefaultConfig(); return { transformer: { minifier: (code) => { return process.env.NODE_ENV === 'production' ? obfuscator(code) : code; } }, resolver: { sourceExts: [...sourceExts, 'obfuscated.js'] } }; })(); ``` ### 五、进阶混淆策略 1. **分层混淆**: ```javascript // 第一阶段:基础混淆 const stage1 = JavaScriptObfuscator.obfuscate(code, { controlFlowFlattening: false, stringArray: true }); // 第二阶段:深度混淆 const finalCode = JavaScriptObfuscator.obfuscate(stage1, { controlFlowFlattening: true, identifierNamesGenerator: 'mangled' }); ``` 2. **动态密钥混淆**: ```javascript const dynamicKey = Date.now().toString(36); const obfuscated = JavaScriptObfuscator.obfuscate(code, { identifierNamesGenerator: () => dynamicKey + '_' + Math.random().toString(36).substr(2, 5) }); ``` ### 六、验证与调试 1. **效果验证工具**: - [JS Nice](http://www.jsnice.org/):尝试反混淆测试 - [AST Explorer](https://astexplorer.net/):分析代码结构变化 - Chrome DevTools Sources面板:直接调试混淆代码 2. **性能监控指标**: ```javascript // 启动时间对比 console.time('AppStart'); AppRegistry.runApplication('MyApp', { initialProps: {}, rootTag: document.getElementById('root') }); console.timeEnd('AppStart'); // 内存占用检测 const memoryUsage = process.memoryUsage().heapUsed / 1024 / 1024; console.log(`Memory: ${Math.round(memoryUsage * 100) / 100} MB`); ``` ### 七、行业最佳实践 1. **白名单策略**: ```javascript // 保留React Native核心API reservedNames: [ '^__SECRET_INTERNALS_DO_NOT_USE_OR_YOU_WILL_BE_FIRED', '^React$', '^ReactNative$', '^StyleSheet', '^Animated' ] ``` 2. **多环境配置**: ```javascript // .env.production OBFUSCATE_LEVEL=3 // .env.development OBFUSCATE_LEVEL=0 ``` 3. **自动化测试验证**: ```javascript describe('混淆后功能测试', () => { beforeAll(() => { // 加载混淆后的bundle文件 const fs = require('fs'); const code = fs.readFileSync('dist/app.obfuscated.js', 'utf8'); eval(code); }); test('核心功能正常', () => { expect(global._0x12ab(2,3)).toBe(5); // 测试混淆后的加法函数 }); }); ``` ### 八、常见问题解决方案 1. **热更新失效**: - 开发环境禁用混淆 - 配置`reservedNames: ['^__update', '^__d']` 2. **性能下降30%+**: - 降低`controlFlowFlatteningThreshold`至0.5以下 - 禁用`deadCodeInjection` - 启用`compact: true` 3. **第三方库异常**: ```javascript // 排除特定模块 exclude: [ '/node_modules/react-native/', '/node_modules/@react-navigation/' ] ``` ### 九、安全增强组合方案 1. **多层防御体系**: ```mermaid graph TD A[代码混淆] --> B[字节码编译] B --> C[原生加密] C --> D[运行时保护] D --> E[防调试检测] ``` 2. **推荐工具组合**: - [Hermes引擎](https://reactnative.dev/docs/hermes):编译字节码 - [react-native-security-framework](https://github.com/rhaker/react-native-security-framework):防越狱检测 - [react-native-ssl-pinning](https://github.com/MaxToyberman/react-native-ssl-pinning):网络通信保护 建议根据应用敏感程度选择混淆级别:基础项目使用Level 1(标识符混淆),金融类应用建议Level 3(全混淆+自保护)。每次发布前使用[react-native-bundle-visualizer](https://github.com/IjzerenHein/react-native-bundle-visualizer)分析包结构变化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值