iOS 代码混淆安全加固流程

最新推荐文章于 2024-01-22 17:57:06 发布
最新推荐文章于 2024-01-22 17:57:06 发布
阅读量795 收藏 1
点赞数
分类专栏: App审核提交
原文链接:https://www.jianshu.com/p/0d42e5c6361c
版权

文章目录

 

  • 最近公司扫描 App 漏洞,提出要给 App 做代码混淆加固,以提高反编译逆向难度。对于 Android 应用直接用 360 安全加固即可;但对于 iOS 应用,虽然 360 也提供了免费的加固方法,但前提是项目的 enable bitcode 必须设置为 YES。但我们项目中引入的很多框架包括百度地图等并不支持 enable bitcode 设置为 YES。如果 enable bitcode 设置为 NO,并且是本地部署的话(企业证书),360 安全加固 iOS 是收费的,收费标准是 30 万 / 年。其他的一些平台也是收费的。所以只能考虑自己去做了。
  • 360 iOS 加固指南

自己创建脚本文件进行代码混淆

  • 混淆原理 : 代码编译阶段将符号(方法名、属性名等)替换成随机生成的字符串
  • 我们需要创建四个文件如下:
    在这里插入图片描述
    其中 PrefixHeader.pch 宏文件中导入 CodeObfuscation.h, 这样项目在编译的时候就会将 CodeObfuscation.h 中定义的宏及方法名替换为对应随机生成的字符串。
#ifndef PrefixHeader_pch
#define PrefixHeader_pch
#import "CodeObfuscation.h"
#endif /* PrefixHeader_pch */

其中 confuse.sh 脚本文件是最重要的,是用来在程序编译的时候将 func.list 中的方法名替换成随机生成的字符串,并且保存在 CodeObfuscation.h 中。其脚本为:

TABLENAME=symbols
SYMBOL_DB_FILE="$PROJECT_DIR/CodeObfuscation/symbols"
STRING_SYMBOL_FILE="$PROJECT_DIR/CodeObfuscation/func.list"
HEAD_FILE="$PROJECT_DIR/CodeObfuscation/CodeObfuscation.h"
export LC_CTYPE=C

#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef CodeObfuscation_h
#define CodeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE
sqlite3 $SYMBOL_DB_FILE .dump

func.list 文件就是用来存放要被混淆的方法和属性名的。如:
在这里插入图片描述
CodeObfuscation.h 本身是一个空头文件,在编译过后会生成 func.list 添加属性和方法对应生成的随机字符串。下图是编译后 CodeObfuscation.h 的内容:
CodeObfuscation.h
示例:

#import "ViewController.h"
#import "NSArray+Extension.h"

@interface ViewController ()
@property (nonatomic, copy) NSString *title1;
@property (nonatomic, copy) NSString *imgsrc;
@end

@implementation ViewController

- (void)viewDidLoad {
    [super viewDidLoad];
    self.title1 = @"";
    self.imgsrc = @"";
    
    NSLog(@"%@",[NSArray getPropertiesFromClass:[self class]]);
    NSLog(@"%@",[NSArray getMethodsFromClass:[self class]]);
}
- (void)didReceiveMemoryWarning {
    [super didReceiveMemoryWarning];
    // Dispose of any resources that can be recreated.
}


- (void) test{
    
}
- (void) test1{
    
}
- (void) test2{
    
}
- (void) test3{
    
}
- (void) test4{
    
}

@end

打印出运行时的属性和方法名:
在这里插入图片描述
结果可见,CodeObfuscation.h 中的生成的随机字符串和真正打印出来的并不一致,这是因为每次运行时,CodeObfuscation.h 都会重新生成新的随机字符串,这时替换属性和方法名的是上一次生成的随机字符串。

  • 注意事项:
    1. 属性方法名需要去重。
    2. 代码混淆后不能再上架 appstore。
    3. 代码混淆不能对静态库进行混淆。
    4. 系统自带的属性和方法不能混淆,只能混淆自定义的方法和属性。
  • 具体步骤可参考:iOS 代码混淆教程

iOS 代码自动混淆

  • 上面的方法会有有一些问题,就是每次创建了新的属性和方法都得添加到 func.list 文件中,比较繁琐,不利于维护。其实我们可以让方法属性自动添加 func.list 中。所以我们要从.m 和.h 文件中抽取属性和方法了,但是如何屏蔽系统的属性和方法名,所以我们要将自己定义的属性和方法名全部添加一个前缀。
  • 在 confuse.sh 中添加新的脚本,修改后的脚本如下:
TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="$PROJECT_DIR/AutoScript/func.list"
CONFUSE_FILE="$PROJECT_DIR/AutoCodeConfusion"  
HEAD_FILE="$PROJECT_DIR/AutoScript/AutocodeObfuscation.h"

export LC_CTYPE=C

#取以.m或.h结尾的文件以+号或-号开头的行 |去掉所有+号或-号|用空格代替符号|n个空格跟着<号 替换成 <号|开头不能是IBAction|用空格split字串取第二部分|排序|去重复|删除空行|删掉以init开头的行>写进func.list
grep -h -r -I  "^[-+]" $CONFUSE_FILE  --include '*.[mh]' |sed "s/[+-]//g"|sed "s/[();,: *\^\/\{]/ /g"|sed "s/[ ]*</</"| sed "/^[ ]*IBAction/d"|awk '{split($0,b," "); print b[2]; }'| sort|uniq |sed "/^$/d"|sed -n "/^hj_/p" >$STRING_SYMBOL_FILE


#维护数据库方便日后作排重,一下代码来自念茜的微博
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16

}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef AutocodeObfuscation_h
#define AutocodeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE
sqlite3 $SYMBOL_DB_FILE .dump

在这里插入图片描述
添加了收集方法的脚本后,我们不需要再手动的去添加方法到 func.list 中了。程序编译后会自动将 hj_开头的方法添加到 func.list 中。

源代码下载地址:https://github.com/housenkui/HSKConfuse

另送一份:iOS 脚本打包 傻瓜版,无需改变配置 github 地址

WKWebView 获取 JS 端的 console.log 日志

 

三三三牛
关注
专栏目录
YYConfuse专业iOS代码混淆加固
YYConfuse的博客
01-04 1189
YYConfuse专业iOS代码混淆加固摘要下载地址前言工具介绍专注iOS代码混淆,加密加固的辅助工具工具界面工具功能介绍说明 摘要 iOS混淆 iOS代码混淆 iOS过审工具 iOS上架 iOS代码混淆工具 iOS工具 iOS马甲包 iOS马甲包工具 iOS混淆 iOS过4.3 iOS过审 iOS confuse iOS code confuse iOS2.3.1解决 iOS账号调查解决办法 iOS账号调查解决 iOS账号调查过审 OC代码混淆 IOS源码混淆 OC混淆 OC代码混淆 OC过审工具 OC代
iOS代码混淆的探索
miracle的博客
05-05 1074
####目的 为了进一步增加应用的安全性,防止我们的应用程序很容易的被攻击者分析、破解、重打包,提高攻击者逆向分析应用的难度 ####应用的加固方案 数据加密:静态字符串、本地存储和网络传输的加密 静态混淆:类名、方法名、属性的混淆 动态保护:反调试、注入检测、hook检测、越狱检测、签名检测等 代码混淆:将代码分快、扁平化、增加干扰代码,以提高分析者的分析难度 ####下面结合具体应用场景说...
iOS代码混淆和加固技术详解
m0_74760716的博客
11-11 202
在开发iOS应用程序时,保护应用的安全性是一项非常重要的任务。为了防止应用被破解、盗版、二次打包或反编译,开发者需要采用一些加固和混淆的措施来增加应用的安全性。本文将详细介绍iOS代码混淆和加固技术,并推荐一些常用的工具和库。在移动互联网时代,代码混淆越来越受到开发者的重视。iOS代码混淆可以提高难度,从而防止应用程序被盗用或反编译,保护开发者的权益。但是同时也带来了一些问题,例如混淆后的函数名可能会影响代码的可维护性。因此,在使用代码混淆时需要进行合理规划。
iOS代码混淆安全加固
面壁者LOGIC
03-04 6409
iOS代码混淆安全加固
iOS-代码混淆加固策略
iOS_开发
08-27 2279
点击上方“iOS开发”,选择“置顶公众号”关键时刻,第一时间送达!作者:树下敲代码的超人链接:https://www.jianshu.com/p/628a0c232c2a...
[iOS 代码混要加固转帖]
iOSTianNan的博客
06-05 2060
iOS安全–浅谈关于iOS加固的几种方法,代码混淆,类名方法名混淆等 http://blog.csdn.net/demondev/article/details/52136342iOS 对源代码进行混淆 http://www.jianshu.com/p/98227950a474
iOS应用程序混淆加固原理及逆向工具介绍
最新发布
不写代码没饭吃的博客
01-22 828
本文将介绍如何在苹果手机上查看CPU型号。通过简单的设置操作,您可以轻松地获取您的iPhone的CPU型号信息。此外,我们还将介绍一些克魔助手可以提供的其他功能,如内存监控、GPU性能监控和网络抓包等,以帮助您优化和提升iOS应用的性能。通过简单的设置操作,您可以轻松地查看苹果手机的CPU型号。了解设备的硬件配置对于判断其性能和进行应用优化非常重要。此外,使用辅助工具如克魔助手可以帮助您更好地监控和优化您的iOS应用的各个方面的性能。
iOS代码混淆
03-04
本文将深入探讨iOS代码混淆的技术细节、手动加固与自动加固的区别以及实际应用案例,帮助开发者理解并实施这一关键的安全策略。 一、iOS代码混淆的基本概念 代码混淆,简单来说,就是通过一系列的转换过程,使原始...
iOS加固保护新思路
dingxiang234的博客
05-24 406
iOS加固保护是基于虚机源码保护技术,针对iOS平台推出的下一代加固产品。可以对iOS APP中的可执行文件进行深度混淆、加固,并使用独创的虚拟机技术对代码进行加密保护,使用任何工具都无法直接进行逆向、破解。对APP进行完整性保护,防止应用程序中的代码及资源文件被恶意篡改。
基于Obfuscator-LLVM代码混淆工具在Xcode中集成,并记录针对代码混淆方案的实践过程
群鸿
07-08 2588
Obfuscator-LLVM是一个基于LLVM编译器框架的代码混淆工具。它通过对源代码进行重写和变换,改变代码的结构和逻辑,从而使代码变得难以理解和分析。Obfuscator-LLVM可以对C、C++和Objective-C等语言的代码进行混淆处理。它采用了多种技术,如控制流平坦化、函数内联、代码替换、字符串加密和虚假代码插入等,以增加代码的复杂性和混淆度。这样一来,即使有人获取了混淆后的代码,也很难还原出原始的逻辑和算法。
iOS代码混淆的demo
11-05
iOS安全攻防,代码混淆,敏感词替换,易读字符替换。
python混淆加密ios代码_iosMixTools
weixin_33365214的博客
02-04 328
//专业版//复原前缀python ./renameNative.py --old_prefix MIXLZ --new_prefix TTV --ios_path /Users/zhouqirui/Desktop/Ios/TouchTV/ --proj_path /Users/zhouqirui/Desktop/Ios/TouchTV.xcodeproj//修改前缀python ./rena...
ios加固,ios代码混淆ios代码混淆工具, iOS源码混淆使用说明详解
jiweianquan的博客
06-11 1463
ios加固,ios代码混淆ios代码混淆工具,iOS源码混淆产品是一款纯离线的源码加密工具,主要用于保护iOS项目中的核心代码,避免因逆向工程或破解,造成核心技术被泄漏、代码执行流程被分析等安全问题。该加密工具和普通编译器相似,基于项目源代码可将Objective-C、Swift、C、C++代码编译成二进制代码,不同之处在于,加密工具在编译时,能够对代码采取混淆、字符串加密等安全措施。从而避免攻击者通过IDA Pro等逆向工具反编译二进制代码,分析业务代码执行流程,进一步篡改或窃取核心技术。 概述 本
iOS每日一记之———————————————OC代码混淆
qq_26359763的博客
02-16 2073
闲话少说 直接进入正题 首先你要创建一个工程吧 然后打开你的终端 输入cd 然后把你的工程拖进去 回车 然后 打入一下命令:    touch confuse.sh 然后回车 之后再输入: touch func.list  回车 就行 这时候打开你的工程 你会发现一个confuse.sh 和一个func.list文件  这时候点击addfile进去 急着 要在根目录下a
iOS代码加固与保护方法详解 - 提升iOS应用安全性的关键步骤
憧憬个人博客
09-04 733
本文详细介绍了iOS代码加固和保护的重要性,并提供了使用IPA Guard工具进行代码加固和保护的步骤。尽管iOS应用经过App Store审核和苹果系统的保护,但我们仍然需要采取额外的措施来保护应用的安全性。代码加固和保护可以减少逆向分析的风险、保护知识产权和增加马甲包过审的成功率。通过使用IPA Guard工具,我们可以方便地对iOS应用进行混淆保护,提高应用的安全性和可信度。
【如何给iOS APP加固】之代码混淆及加密 第一章【附代码
dingxiang234的博客
03-01 760
为了给iOS app加固,我们可以采取以下几种方式:代码混淆是通过修改源代码结构和变量名,使得代码难以被理解和反编译。这可以防止黑客获取应用程序的代码,因为即使他们能够获得源代码,也会很难理解它。可以使用工具,如Obfuscator-iOS,对代码进行混淆代码混淆的具体方法有很多种,可以使用第三方的代码混淆工具,也可以手动实现。下面提供一个手动实现的示例代码: 以上代码是一个简单的代码混淆示例,将字符串"Hello, world!"混淆成"olH!"。实际上,代码混淆可以通过修改变量名、函数名、类名等
iOS 【App 安全加固的常用知识】
写bug的打字员
09-17 3584
iOS虽然安全系统比较高,但也有很多方法破解,比如class-dump-z、Clutch、Hopper Disassembler等。我们也可以使用一些方法,提高被破解的难度。 一、防止 tweak 依附 在 Xcode 里面工程配置 build setting 选项中将 -Wl,-sectcreate,__RESTRICT,__restrict,/dev/null 添加到Other Linke...
iOS工程加固
bluemoon_0的博客
01-11 469
iOS工程加固
ios代码混淆 念茜
08-16
iOS代码混淆是一种通过改变代码结构、变量命名和添加垃圾代码等措施来增加应用程序安全性的技术。它的目的是使代码难以理解和逆向工程,从而减少黑客攻击和盗取源代码的风险。 首先,iOS代码混淆可以通过重命名变量和方法名称来混淆代码,使其更难以理解和阅读。这会使恶意用户难以理解代码的逻辑或转换已有代码为高级语言。 其次,混淆器还可以通过更改代码结构和控制流程来增加代码的复杂性。例如,它可以通过添加无用的条件语句、循环或函数来增加代码的体积和复杂性,从而使分析和逆向工程更加困难。 此外,iOS代码混淆器还可以向应用程序中添加多个入口点,使应用程序的执行流程更加复杂和难以追踪。这种方式可以干扰逆向工程中的控制流程分析,增加黑客获取代码的难度。 最后,混淆器还可以向代码中插入一些可执行但无实际作用的垃圾代码,以干扰逆向工程分析工具的识别和分析。这些垃圾代码不会影响应用程序的功能,但会增加分析者的工作量和困难度。 总之,iOS代码混淆是通过改变代码结构、命名和添加垃圾代码等手段来增加应用程序的安全性和防御效果。它可以使应用程序更加难以理解和逆向工程,减少黑客攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值