Android so库防客户端破解的解决方案

最新推荐文章于 2025-01-31 03:12:34 发布
最新推荐文章于 2025-01-31 03:12:34 发布
阅读量3.8k 收藏 11
点赞数 2
文章标签: 移动开发 java c/c++
原文链接:https://juejin.im/post/5c4082b16fb9a049fa100ab8
版权
本文探讨了Android客户端的安全性问题,尤其是针对SO库的保护措施。通过将关键信息放入SO库并校验签名,提高破解难度。介绍了在C/S协议安全、SO库校验签名的方法,包括在JNI层实现签名验证,并详细讲解了编译过程及Gradle配置,以确保不同版本的SO库执行相应业务逻辑。同时分享了JNI开发的一些实用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

随着移动互联网的发展,移动应用的安全问题越来越突显,特别是涉及到钱相关的产品,前段一段时间,我们的Android客户端产品被人破解了,修改了一些代码,重新打包签名后,就可以免费获得资源,对我们的收入造成了一些影响,移动产品安全性就不得不提重视,安全性这个话题很大,包括客户端、服务端、数据存储、协议等很多方面,这里只是从客户端的角度来讨论一上如何保证客户端产品的安全性,抛砖引玉,也希望大家多提意见和建议。

下面主要从以下几个方面来展开讨论:

C/S协议安全

在不使用https的前提下,要保证C/S协议的安全,一般都会进行参数的校验,以及参数加密,客户端和服务端会约定一个固定的字符串作为key,对于客户端来说,这个key应该放到哪里?最早之前,我们是直接放到Java代码中,这样可以说没有什么安全性,后来为了稍微更加安全一点,把这些key都统一放到so库中实现,虽然也不能保证绝对安全,但起码可以增加破解的难度。

你肯定要说,如果这样做,就会有一个问题,如果别人把so拿出来,在直接调用这些native接口,也同样可以获得key,所以也同样不安全,怎么办呢?

能不能让 so 库只能在我们自己的app运行,别人调用就是砖头呢?

各位看官,接着往下看。

so库校验签名

一般的情况下,都会在 Application.onCreate() 方法里面检查当前应用的签名是否合法,如果不合法就直接退出,这种情况其实无法正在防止破解,因为破解的可以找到调用入口,把相应的代码删除,所以这样方法也就失效了,那有没有更好的方案呢?

想到的一种思路就是,so库本身就具体签名校验的机制,当so库被加载时 (JNI_OnLoad()方法),如果签名不合法,直接失败,so库根本加载不起来。

大概的思路如下代码所示:

jint JNI_OnLoad(JavaVM *vm, void *reserved) {
    JNIEnv *env;
    if (vm->GetEnv((void **) (&env), JNI_VERSION_1_6) != JNI_OK) {
        return -1;
    }

    LOGI("Library JNI_OnLoad begin =========");

  if (checkSignature(env) != JNI_TRUE) {
            LOGE("    The app signature is NOT correct, please check the apk signture. ");
            LOGI("Library JNI_OnLoad end ===========");
            return -1;
    } else {
            LOGI("    The app signature is correct.");
    }

    LOGI("Library JNI_OnLoad end ===========");

    return JNI_VERSION_1_6;
}
复制代码

说明:这里有一个问题,需要注意,在开发过程中,我们不需要检查签名的合法性,只有在release版本才检查,所以上述逻辑还再完善,需要添加上DEBUG和RELASE的判断。

要怎么判断呢?我目前的思路是通过宏来判断,如果定义了宏并且为JNI_TRUE的话,就认为是release版本。

以下是完整的实现:

jint JNI_OnLoad(JavaVM *vm, void *reserved) {
    JNIEnv *env;
    if (vm->GetEnv((void **) (&env), JNI_VERSION_1_6) != JNI_OK) {
        return -1;
    }

    LOGI("Library JNI_OnLoad begin =========");

    // RELEASE_MODE这个宏是通过编译脚本设定的,如果是release模式,
    // 则RELEASE_MODE=1,否则为0或者未定义
#ifdef RELEASE_MODE
    if (RELEASE_MODE == 1) {
        // 检查当前应用的签名是否一致,如果不签名不一致的话,则直接退出
        if (checkSignature(env) != JNI_TRUE) {
            LOGE("    The app signature is NOT correct, please check the apk signture. ");
            LOGI("Library JNI_OnLoad end ===========");
            return -1;
        } else {
            LOGI("    The app signature is correct.");
        }
    }
最低0.47元/天 解锁文章
基于NDK的Android破解
BugRunner的专栏
03-04 1万+
Android程序破解是发布app时一个很需要考虑的问题,通常的做法是对代码加入混淆干扰以增加破解难度。但即便如此,混淆操作之后的java代码仍然可以被通过各种方法进行破解。在基于NDK的Android中含有相应的main.cpp来作为应用程序的入口,因而在这里进行一些破解较验,相应的破解难度就会增大不少(相对于java代码)。 在Android整个导出过程中,生成.dex阶段是整个打包发布
安卓破解自用笔记(1)android studio 开发生成so文件
xuanwenchao的专栏
09-07 1501
1. 我这使用的是mac book pro,安装的Android studio版本在此时此刻还算可以用, 可能不是最新的,但我不要求一定要最新的。为了防止今后看到这个文章跟自己的出现的问题无法对上,我先登记一下我使用的系统版本及as版本号。
Android-APK防止二次签名妙招:为何你的应用老是被破解,该如何有效地做签名校验?
最新发布
2501_90425233的博客
01-31 722
系统将应用的签名信息封装在 PackageInfo 中,调用 PackageManager 的 getPackageInfo(String packageName, int flags) 即可获取指定包名的签名信息。这个并不用我多说了,如果没听过的话,用搜索引擎找一下「Android 签名校验」,花上几分钟就明白了,很容易的。编译出 release 包并安装,可以看见运行效果很满意。但是事实真的如此么?下面我们让他作为受害者,被一键破解
android破解方法汇总
大星星的专栏
07-12 2980
1、检测调试器 2、检测是否在模拟器中运行 3、APK签名校验 4、java代码混淆 5、使用NDK .so动态 6、android类动态加载技术
NDK编译.so动态
07-10 8271
在网上看到一篇非常优秀的文章,于是乎 拷过来吧 APK反破解之三:NDK编译.so动态 为何要用到NDK? 前段时间,工作中需要用android的应用程序访问android的根文件系统中的文件,但是由于应用程序的权限限制,无法访问这些文件,怎么办? 所以这就要用到了NDK编程了,既用C/C++代码实现访问系统文件,并将其生成本地,供android中的java代码调用,这样
如何防止客户端破解
追梦
08-06 3118
很多应用都需要用户登录或者签名认证,这可能需要在客户端保存登录信息、签名密钥、加密算法等。如何保证这些重要信息不被窃取,算法不被破解,这些成为应用开发中很重要的内容,同样也是最容易忽视的地方。一个小小的细节可能就成为整个系统的突破口,这里从实际工程角度总结了一些容易忽视的细节和常用的方法。 密钥保存在外部 钥匙扣 密钥保存在Keychain并不安全,iOS越狱后可以导出K
Android客户端机型适配解决方案.rar_文章/文档_Java_
08-09
Android客户端机型适配解决方案.ppt中,可能详细讲解了以上各个方面的实践方法、示例代码和案例分析,帮助开发者深入理解和掌握Android适配技术。对于Java开发者而言,理解并熟练运用这些技巧,能有效提升应用的...
激光推送:Android平台so文件兼容适配解决方案
在这个上下文中,我们重点分析描述中提到的“适配android各种平台情况的so文件,armeabi-v7a arm64-v8a x86 x86-64”。这些内容涉及到了Android应用开发中的本地适配问题。 - **Android平台适配**:当开发Android...
android so动态调试-测试专用apk
11-08
解压后的“3.apk”文件应当是待调试的应用,而“crack.html”可能是破解解决方案的提示,或者只是一个测试背景说明。 总之,掌握Android SO动态调试技术对于深入理解Android应用的工作原理、解决复杂问题以及进行...
Android应用安全解决方案
Android技术之家
04-03 1480
前言 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。1、一些必要的基础知识 我们在加密的时候会用到一些加密或者编码方法。常见的有,非对称加密算法 RSA 等;对称加密算法 DES、3DES 和 AES 等;不可逆的加密 MD5、SHA256 等。另外,我们会把重要的加密逻辑放到 Native 层来实现,所以一些 JNI 编程的方法也是需要的。不...
软件破解Android JNI的应用
Android人生
07-07 1327
软件破解Android JNI的应用 1、软件安全的重要性:只要有程序员在,在源代码可读的情况下,无论多么复杂的系统,总有人可以将其破解。 2、我们应该怎么做:(1)、使源代码不可读;(2)、使本地数据不可读;(3)、使网络数据不可读; 3、Android端具体应该怎么做:(1)、使源代码不可读(对APP进行加固);(2)、使本地数据不可读(对本地数据进行加密);(3)、使网络数据不可读(对网络
【转】Android 破解技术简介
weixin_33827965的博客
05-14 137
http://www.cnblogs.com/likeandroid/p/4888808.html Android 破解技术简介 这几年随着互联网的不断发展,Android App 也越来越多!但是随之而来的问题也越来越多,这其中比较令人头疼的问题就是:有些不法分子利用反编译技术破解 App,修改代码,之后再重新编译上传到应用商店!到时候,如果用户下载了这些应用,就可能造成个人信息或者金...
Android安全护应用破解
ZH-黑夜
10-13 1303
Android安全护应用破解 一、混淆代码 1.使用了自定义控件那么要保证它们不参与混淆 2.使用了枚举要保证枚举不被混淆 3.对第三方中的类不进行混淆 4.运用了反射的类也不进行混淆 5.使用了 Gson 之类的工具要使JavaBean类即实体类不被混淆 6.在引用第三方的时候,一般会标明的混淆规则的,建议在使用的时候就把混淆规则添加上去,免得到最后才去找 7.有用到 WebView 的 JS 调用也需要保证写的接口方法不混淆,原因和第一条一样 8.Parcelable 的子类和 Creator
Android破解破解
03-29 2323
Android 破解(仅用于学习参考,而不是恶意去破解别人的东西) 过程: 1.用apktool对apk进行解压 2.修改smali文件(注1) 3.用apktoo打包成apk文件 4.用签名工具signapk.jar对apk进行重新签名打包安装需要工具: 1.gd_gui(用于查看java代码) 2.dex2jar(把dex文件转jar,...
Android App加固原理分析
stephenxinzhang的专栏
08-10 779
App进行加固,可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等,保障程序的安全性、稳定性。对于金融类App,尤其重要。 对App dex进行加固的基本步骤如下:  1. 从App原始apk文件里获取到原始dex文件  2. 对原始dex文件进行加密,并将加密后的dex文件和相关的存放到assert目录里  3. 用脱壳dex文件替换原始apk文件里的dex文件;脱壳dex
【我的Android进阶之旅】Android 如何防止 so文件被未知应用盗用?
字节卷动
03-25 6311
首先,关于Android 如何防止 so文件被未知应用盗用这个话题并不是我擅长的,只是在开发中遇到了这个问题,因此在这里总结一下。 故事回到几个月之前,当时公司和第三方音乐平台合作了一款内置于手表系统的音乐APP应用,合作过程中需要第三方提供so文件来进行相关操作。当时提供so文件的时候,第三方公司要求我们提供一个我们音乐APP应用的签名文件(这个签名文件称呼为V1)中的MD5码,然后再给我们
android so 算法 破解,某apk算法逆向分析过程之旅
weixin_30909805的博客
05-27 1177
某apk算法逆向分析过程对某app抓包时发现所有请求都进行了加密,便对加密算法简单分析了下。0x00在之前的app算法分析中都喜欢从登录处开始入手,但这次因为安装在模拟器 的 app 点登录后直接崩溃, so ,换了个入口点。 很 多 app 最终调用的算法函数名称存在 encrypt 、 decrypt 关键字, 用 jadx 反编译 apk , 全局搜索 关键字 "decrypt" 。打开 S...
基于NDK的Android破解& Android破解 【转载】
a629141182的博客
07-13 633
两篇破解文章转载 基于NDK的Android破解: http://blog.csdn.net/bugrunner/article/details/8634585 Android破解:http://blog.csdn.net/xfzheng_yeah/article/details/8915816 基于NDK的Android破解 Android程序破解是发布a
Android apk如何加固防止破解防止逆向编译)
热门推荐
欧神的博客
02-24 1万+
现在主要工具是接触SDK,为了防止游戏包被破解编译,以及发现加密串,我来分享下以下几点:  破解技术主要有四种实现方式:  1.代码混淆(ProGuard)技术  2.签名比对技术  3.NDK .so 动态技术  4.动态加载技术  5.第三方平台加密以及检测漏洞 这个在 Android 安全之如何反编译与加密apk包 这篇文章中也提及到了相关的知识点。 第一种: 代
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值