android安全校验方案总结和参考

最新推荐文章于 2022-05-25 21:34:44 发布
最新推荐文章于 2022-05-25 21:34:44 发布
阅读量1.1k 收藏 3
点赞数
文章标签: android 安全 安全漏洞 动态调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxiaocheng16/article/details/107918789
版权

动态调试攻击风险解决

application 设置debugable=“false”

Android防止被动态调试的解决方法

另参考:
安卓应用加固之反动态调试技术总结
Android 动态加载(防止逆向编译)技术
App动态调试

代码未混淆风险

Android Studio 代码混淆(包教包会)
Android Studio 代码混淆(你真的会混淆吗)
Android studio开启代码混淆,让你的代码更安全
android studio 代码混淆如何忽略第三方jar包

界面劫持风险

Android 防界面劫持方案

Broadcast Receiver组件导出风险

AndroidManifest.xml中的
export=“true->false”
参考:移动APP安全测试

拒绝服务攻击漏洞

7.8 应用本地拒绝服务漏洞检测

其他参考

移动APP安全测试
深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞

我使用的代码

在Application中调用 securityCheck() ,注册ActivityLifecycleCallbacks,在onAcitivityResumed() 和 onActivityPause() 中做反劫持,就不用在BaseActivity中使用了。

    private void securityCheck() {
        // 防止动态调试攻击风险
        DebuggerUtils.checkDebuggableInNotDebugModel(this);
        // 反劫持
        registerActivityLifecycleCallbacks(mSecurityLifecycleCallbacks);


    }

    ActivityLifecycleCallbacks mSecurityLifecycleCallbacks = new ActivityLifecycleCallbacks() {
        @Override
        public void onActivityCreated(Activity activity, Bundle savedInstanceState) {
        }

        @Override
        public void onActivityStarted(Activity activity) {
        }

        @Override
        public void onActivityResumed(Activity activity) {
            AntiHijackingUtils.getInstance().onResume();
        }

        @Override
        public void onActivityPaused(Activity activity) {
            AntiHijackingUtils.getInstance().onPause(activity);
        }

        @Override
        public void onActivityStopped(Activity activity) {

        }

        @Override
        public void onActivitySaveInstanceState(Activity activity, Bundle outState) {

        }

        @Override
        public void onActivityDestroyed(Activity activity) {

        }
    };

AntiHijackingUtils 反劫持工具类


import java.util.ArrayList;
import java.util.List;
import java.util.Timer;
import java.util.TimerTask;
 
/**
 * Title: AntiHijackingUtils<br/>
 * Description: 反界面劫持工具类<br/>
 * refer: [Android 防界面劫持方案,无视Android系统版本限制,无需操作栈] (https://blog.csdn.net/Prince_WenZheng/article/details/54630259?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.compare&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.compare)
 */
 
public class AntiHijackingUtils {
    /**
     * 用于执行定时任务
     */
    private Timer timer = null;
 
    /**
     * 用于保存当前任务
     */
    private List<MyTimerTask> tasks = null;
 
    /**
     * 唯一实例
     */
    private static AntiHijackingUtils antiHijackingUtils;
 
    private AntiHijackingUtils() {
        // 初始化
        tasks = new ArrayList<MyTimerTask>();
        timer = new Timer();
    }
 
    /**
     * 获取唯一实例
     *
     * @return 唯一实例
     */
    public static AntiHijackingUtils getInstance() {
        if (antiHijackingUtils == null) {
            antiHijackingUtils = new AntiHijackingUtils();
        }
        return antiHijackingUtils;
    }
 
    /**
     * 在activity的onPause()方法中调用
     *
     * @param activity
     */
    public void onPause(final Activity activity) {
        MyTimerTask task = new MyTimerTask(activity);
        tasks.add(task);
        timer.schedule(task, 1000);
    }
 
    /**
     * 在activity的onResume()方法中调用
     */
    public void onResume() {
        if (tasks.size() > 0) {
            tasks.get(tasks.size() - 1).setCanRun(false);
            tasks.remove(tasks.size() - 1);
        }
    }
 
    /**
     * 自定义TimerTask类
     */
    class MyTimerTask extends TimerTask {
        /**
         * 任务是否有效
         */
        private boolean canRun = true;
        private Activity activity;
 
        public void setCanRun(boolean canRun) {
            this.canRun = canRun;
        }
 
        public MyTimerTask(Activity activity) {
            this.activity = activity;
        }
 
        @Override
        public void run() {
            activity.runOnUiThread(new Runnable() {
                @Override
                public void run() {
                    if (canRun) {
                        // 程序退到后台,进行风险警告
                        ToastUtil.popupMessage(activity, "程序切换至后台运行,请注意观察运行环境是否安全!");
                        tasks.remove(MyTimerTask.this);
                    }
                }
            });
        }
    }
}

防止动态调试工具类 DebuggerUtils

import android.content.Context;
import android.content.pm.ApplicationInfo;
import android.os.Debug;
import android.support.v4.BuildConfig;

import java.io.BufferedReader;
import java.io.File;
import java.io.FileReader;
import java.util.Locale;

/**
 * 动态调试工具类
 * · 检查是否被动态调试,如果是,则强制退出应用。
 *
 * refer: [Android防止被动态调试的解决方法] (https://blog.csdn.net/qq_43278826/article/details/106055838?utm_medium=distribute.pc_aggpage_search_result.none-task-blog-2~all~first_rank_v2~rank_v25-2-106055838.nonecase)
 */
public class DebuggerUtils {
    /**
     * 判断当前应用是否是debug状态
     */
    public static boolean isDebuggable(Context context) {
        try {
            ApplicationInfo info = context.getApplicationInfo();
            return (info.flags & ApplicationInfo.FLAG_DEBUGGABLE) != 0;
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 检测是否在非Debug编译模式下,进行了调试操作,以防动态调试
     *
     * @param context
     * @return
     */
    public static void checkDebuggableInNotDebugModel(Context context) {
        //非Debug 编译,反调试检测
        if (!BuildConfig.DEBUG) {
            if (isDebuggable(context)) {
                System.exit(0);
            }

            Thread t = new Thread(new Runnable() {
                @Override
                public void run() {
                    while (true) {
                        try {
                            //每隔300ms检测一次
                            Thread.sleep(300);
                            //判断是否有调试器连接,是就退出
                            if (Debug.isDebuggerConnected()) {
                                System.exit(0);
                            }

                            //判断是否被其他进程跟踪,是就退出
                            if (isUnderTraced()) {
                                System.exit(0);
                            }
                        } catch (InterruptedException e) {
                            e.printStackTrace();
                        }
                    }
                }
            }, "SafeGuardThread");
            t.start();
        }
        if (isUnderTraced()) {
            System.exit(0);
        }

    }

    /**
     * 当我们使用Ptrace方式跟踪一个进程时,目标进程会记录自己被谁跟踪,可以查看/proc/pid/status看到这个信息,而没有被调试的时候TracerPid为0
     *
     * @return
     */
    private static boolean isUnderTraced() {
        String processStatusFilePath = String.format(Locale.US, "/proc/%d/status", android.os.Process.myPid());
        File procInfoFile = new File(processStatusFilePath);
        try {
            BufferedReader b = new BufferedReader(new FileReader(procInfoFile));
            String readLine;
            while ((readLine = b.readLine()) != null) {
                if (readLine.contains("TracerPid")) {
                    String[] arrays = readLine.split(":");
                    if (arrays.length == 2) {
                        int tracerPid = Integer.parseInt(arrays[1].trim());
                        if (tracerPid != 0) {
                            return true;
                        }
                    }
                }
            }

            b.close();
        } catch (Exception e) {
            e.printStackTrace();
        }

        return false;
    }

}
wandryoung
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Android应用开发中如何使用RSA加密算法对数据进行校验
I2Cbus的专栏
12-20 2393
这个世界很精彩,这个世界很无奈。是的,在互联网时代,如何保护自己的数据,如何对数据进行加密和效验就变得非常的重要。这里总结一下Android平台使用Java语言,利用RSA算法对数据进行校验的经验。 先来看下如何RSA加密算法对数据进行校验的流程: 1、首先要用openssh之类的程序生成一个私钥 2、再根据私钥生成一个公钥 3、使用私钥和公钥,对数据进行签名,得到签名文件。 4、使用公
Android SDK开发艺术探索(五)安全校验
qq_53058639的博客
01-07 387
本篇是Android SDK开发艺术探索系列的第五篇文章。介绍了一些SDK开发中安全方面的知识,包括资源完整性、存储安全、权限校验、传输安全、代码混淆等知识。通过基础的安全配置为SDK保驾护航,探索SDK开发在安全方面的最佳实践。防杠说明:本人认同前端没有绝对的安全,基本我们公开谈论的大部分安全策略都可以绕过,但这不能成为我们忽视安全的理由。本篇主要介绍了一些SDK安全校验方面的知识。安全是一种意识,难的不是安全,是没有意识。
android 安全加固总结报告,Android应用本地代码的安全加固及安全性评估
weixin_39587246的博客
05-27 228
摘要:Android平台的开源性和可扩展性导致各种移动应用呈现爆发式的增长,出于功能与效率的考虑,使用native代码开发关键功能也变得越发普遍。但是随着目前逆向分析技术和攻击工具的不断发展,针对本地代码的各种恶意攻击变得越发频繁,代码安全性面临严峻的威胁。尽管Android系统针对其系统架构的各个层次提供了独特的安全机制,而且目前也存在不少针对Android平台应用的保护技术,但是如何提升应用软...
Android应用安全方面的设计
MatrixMind的博客
09-15 372
1.so文件加解密工具 1.原理 1.通过将app的包名签名签名的hash值预置到c++写的代码里面 2.将上述信息和object获取到的调用app的包名签名以及hash进行对比进行校验 3.在c++层里面预置非对称加密的公钥或者对称加密的密钥。 4.选择加密算法 5.将加密结果返回调用层,同时释放占用的内存 6.需要注意的是: 需要防止调试 防止内存获取 2.代码 G...
android中bindService的使用
u012554768的专栏
02-17 804
android中经常使用service为我们的app提供服务。在app中启动一个service通常有2种方式1、startService()2、bindService(); 如果使用startService只能单纯的启动一个服务,而不能让activity和service交互。如果要想使activity和service交互的话只能使用bindService()启动服务了。 下边关于bindSer
Android如何实现Md5PasswordEncoder的encodePassword加密方法(附iOS实现方式)
brycegao321的博客
08-23 6043
登录 MD5 盐值 iOS Android
Android应用安全加固关键技术研究.pdf
09-21
Android 应用安全加固关键技术研究论文旨在解决 Android 应用安全问题,通过设计防御方案,实现了一个针对 Android 应用程序的安全加固软件,该加固软件为 Android 应用程序提供透明的加固服务,实现应用程序的加壳...
一种基于远程校验的安卓软件保护方案.pdf
09-21
一种基于远程校验的安卓软件保护方案.pdf
基于ANDROID的SMS加密设计与实现.pdf
09-21
因此,基于Android系统的短信加密设计变得尤为重要,旨在保护用户隐私,提高短信传输的可靠性和安全性。 短信加密是通过软件实现的,可以降低硬件加密的成本,同时提供有效的信息保护。在ETSI TS 03.485标准中,...
Android界面防劫持,Activity防劫持,无视Android系统版本限制,无需操作栈
01-20
Android Activity 防劫持,界面防劫持,无视Android系统版本限制,无需操作栈
Android 防界面劫持方案,无视Android系统版本限制,无需操作栈
Prince_WenZheng的博客
01-20 8108
Android 防界面劫持方案 无视Android系统版本限制,无需操作栈 Demo下载地址:http://download.csdn.net/detail/prince_wenzheng/9742068
聊聊如何进行代码混淆
kingwinstar的博客
01-26 7365
前言 什么是代码混淆 代码混淆,是指将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。 代码混淆常见手段 1、名称混淆 将有意义的类,字段、方法名称更改为无意义的字符串。生成的新名称越短,字节代码越小。在名称混淆的字节代码中,包,类,字段和方法名称已重命名,并且永远不能恢复原始名称。不幸的是,控制流程仍然清晰可见。故而需要流混淆 2、流混淆 用于if, switch, while,for等关键字,对字节码进行细微的修改,模糊控制流,而不改变代码在运行时的行为。通常情况下,选择
如何提升代码的安全性 —— 代码混淆
ZP1015
05-25 1771
目录一、背景1.1 Android应用安全存在多重隐患二、代码混淆2.1 代码混淆的原理2.2 代码混淆的方法2.3 常见的代码混淆方式三、 C/C++ 代码混淆3.1 Obfuscator-LLVM实现C/C++混淆3.1.1 常见的混淆方法3.1.2其他常见的C/C++混淆手段:四、代码混淆可能带来的问题 一、背景 1.1 Android应用安全存在多重隐患 代码可逆向:客户端App的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据; 功能泄漏:客户端App中高权限行为和功能被其他未授权的应
android代码混淆和常见问题总结
移动开发
08-21 1127
转自:http://blog.csdn.net/Zengyangtech/article/details/6127600 由于各种反编译工具的泛滥,作为Android程序员在2.3版本以前只能通过手动添加proguard来实现代码混淆   proguard这个工具是一个java代码混淆的工具   在2.3版本的sdk中 我们可以看到在android-sdk-windows/t
Java项目源码为什么要做代码混淆(解释的很好)
各研发管理
04-01 435
代码混淆,是将计算机程序的代码转换成一种功能上等价,但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码,也可以用于程序编译而成的中间代码。执行代码混淆的程序被称作代码混淆器。目前已经存在许多种功能各异的代码混淆器。代码混淆的主要目的是为了保护源代码,阻止反向工程。反向工程会带来许多问题,诸如知识产权泄露,程序弱点暴露易受攻击等。使用即时编译技术的语言,如Java、C#所编写的程序更容易受到...
Android 反调试、so文件注入
lishihong
09-11 1522
关键代码: Thread t=new Thread(new Runnable() { @Override public void run() { while (true){ try { Thread.sleep(100); i...
Android防止被动态调试的解决方法
逍遥阁
05-11 5588
1、判断要是BuildConfig.DEBUG为false,但AndroidManifest却声明为debuggable,可认为是被动态调试调试状态,强制退出 2、定时轮询,判断在BuildConfig.DEBUG为false时,是否有调试器连接,如果有,可认为是被动态调试调试状态,强制退出 3、定时轮询,判断在BuildConfig.DEBUG为false时,是否被其他进程用Ptrace方式跟踪,如果有,可认为是被动态调试调试状态,强制退出 public class DebuggerUtils {
Android pppfcs校验
最新发布
05-30
Android系统中,pppfcs校验是一种帧校验序列,它用于检测数据帧在传输过程中是否出现了错误。它通过对数据帧的每个字节进行异或运算,得到一个16位的校验码,然后将该校验码添加到数据帧的末尾作为校验序列。在接收端,接收方会对接收到的数据帧进行pppfcs校验,并与接收到的校验序列进行比较,从而判断数据是否出现了错误。如果校验结果不一致,则说明数据发生了错误或者数据被篡改,需要重新发送。pppfcs校验Android系统中被广泛应用于网络通信和数据传输等场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值