android 安全防护

最新推荐文章于 2024-06-28 22:31:00 发布
最新推荐文章于 2024-06-28 22:31:00 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: android 文章标签: git android jetpack android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41722852/article/details/123730803
版权

文章目录

一.混淆

之前的文章有介绍

二.配置防止抓包

  okHttpClient = new OkHttpClient.Builder()
                            //防止抓包设置
                            .proxySelector(new ProxySelector() {
                                @Override
                                public List<Proxy> select(URI uri) {
                                    return Collections.singletonList(Proxy.NO_PROXY);
                                }

                                @Override
                                public void connectFailed(URI uri, SocketAddress sa, IOException ioe) {

                                }
                            })

三.加固

四.判断证书正确性

4.1 获取当前证书sha

 /**
     * 获取应用的签名
     *
     * @return
     */
    public static String getCertificateSHA1Fingerprint() {
        String hexString = "";


        //获取包管理器
        PackageManager pm = TUILogin.getAppContext().getPackageManager();

        //获取当前要获取 SHA1 值的包名,也可以用其他的包名,但需要注意,
        //在用其他包名的前提是,此方法传递的参数 Context 应该是对应包的上下文。
        String packageName = TUILogin.getAppContext().getPackageName();

        //签名信息
        Signature[] signatures = null;

        try {
            if (Build.VERSION.SDK_INT > Build.VERSION_CODES.P) {
                PackageInfo packageInfo = TUILogin.getAppContext().getPackageManager().getPackageInfo(TUILogin.getAppContext().getPackageName(), PackageManager.GET_SIGNING_CERTIFICATES);
                SigningInfo signingInfo = packageInfo.signingInfo;
                signatures = signingInfo.getApkContentsSigners();
            } else {
                //获得包的所有内容信息类
                PackageInfo packageInfo = pm.getPackageInfo(packageName, PackageManager.GET_SIGNATURES);
                signatures = packageInfo.signatures;
            }


//        Signature[] signatures = packageInfo.signatures;
            byte[] cert = signatures[0].toByteArray();

            //将签名转换为字节数组流
            InputStream input = new ByteArrayInputStream(cert);

            //证书工厂类,这个类实现了出厂合格证算法的功能
            CertificateFactory cf = CertificateFactory.getInstance("X509");

            //X509 证书,X.509 是一种非常通用的证书格式
            X509Certificate c = null;
            c = (X509Certificate) cf.generateCertificate(input);


            //加密算法的类,这里的参数可以使 MD4,MD5 等加密算法
            MessageDigest md = MessageDigest.getInstance("SHA1");

            //获得公钥
            byte[] publicKey = md.digest(c.getEncoded());

            //字节到十六进制的格式转换
            hexString = byte2HexFormatted(publicKey);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e1) {
            e1.printStackTrace();
        } catch (CertificateEncodingException e) {
            e.printStackTrace();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return hexString.trim();
    }

4.2 调用so包中方法去判断是否正确

extern "C"
JNIEXPORT jboolean JNICALL Java_com_tencent_qcloud_tuicore_util_EnvironmentUtil_isCertificate
        (JNIEnv *env, jobject thiz, jstring input) {
    char *out = jstringToChar(env, input);
    //hash为保存到so包中的证书sha1值 与获取到的值就行比较
    if (strcmp(hash, out) == 0) {
        return true;
    } else {
        return false;
    }
}


char *jstringToChar(JNIEnv *env, jstring jstr) {
    char *rtn = NULL;
    jclass clsstring = env->FindClass("java/lang/String");
    jstring strencode = env->NewStringUTF("GB2312");
    jmethodID mid = env->GetMethodID(clsstring, "getBytes", "(Ljava/lang/String;)[B");
    jbyteArray barr = (jbyteArray) env->CallObjectMethod(jstr, mid, strencode);
    jsize alen = env->GetArrayLength(barr);
    jbyte *ba = env->GetByteArrayElements(barr, JNI_FALSE);
    if (alen > 0) {
        rtn = (char *) malloc(alen + 1);
        memcpy(rtn, ba, alen);
        rtn[alen] = 0;
    }
    env->ReleaseByteArrayElements(barr, ba, 0);
    return rtn;
}

五.判断当前环境

5.1 判断当前环境是否root

  //判断设备是否已经被root
    public static boolean isDeviceRooted() {

        return checkRootMethod1() || checkRootMethod2() || checkRootMethod3();

    }

    private static boolean checkRootMethod1() {

        String buildTags = android.os.Build.TAGS;

        return buildTags != null && buildTags.contains("test-keys");

    }

    private static boolean checkRootMethod2() {

        String[] paths = {

                "/system/app/Superuser.apk", "/sbin/su", "/system/bin/su", "/system/xbin/su", "/data/local/xbin/su", "/data/local/bin/su", "/system/sd/xbin/su", "/system/bin/failsafe/su", "/data/local/su", "/su/bin/su"

        };

        for (String path : paths) {

            if (new File(path).exists())

                return true;

        }

        return false;

    }

    private static boolean checkRootMethod3() {

        Process process = null;
        try {

            process = Runtime.getRuntime().exec(new String[]{

                    "/system/xbin/which", "su"

            });

            BufferedReader in = new BufferedReader(new InputStreamReader(process.getInputStream()));

            if (in.readLine() != null) return true;
            return false;

        } catch (Throwable t) {

            return false;

        } finally {
            if (process != null) process.destroy();

        }

    }

5.2 判断当前环境中是否存在xposed等app

   //判断设备中是否有xposed,易开发,root应用
    public static boolean isSafe() {
        PackageManager pm = TUILogin.getAppContext().getPackageManager();
        List<PackageInfo> list = pm
                .getInstalledPackages(PackageManager.GET_UNINSTALLED_PACKAGES);
        for (PackageInfo packageInfo : list) {
            // 获取到应用所在包的名字,即在AndriodMainfest中的package的值。
            String packageName = packageInfo.packageName;
            //存在xposed框架
            if (packageName.equals("de.robv.android.xposed.installer")) {
                return false;
            } else if (packageName.equals("com.wrbug.developerhelper")) {
                //存在易开发
                return false;
            } else if (packageName.equals("formatfa.xposed.Fdex2")) {
                //存在Fdex2
                return false;
            } else if (packageName.equals("com.topjohnwu.magisk")) {
                //存在magisk
                return false;
            }else if (packageName.equals("com.topjohnwu.magisk")){
                return false;
            }else if (packageName.equals("eu.chainfire.supersu")){
                //存在supersu
                return false;
            }
        }
        return true;
    }

4.3 退出程序

extern "C"
JNIEXPORT void JNICALL
Java_com_tencent_qcloud_tuicore_util_EnvironmentUtil_exit(JNIEnv *env, jclass clazz) {
    exit(0);
}
@李超
关注
专栏目录
Android应用防护
Luzhuo 的博客
04-12 876
Android应用防护包括: 混淆, 反调试, 签名保护, 加固等.
Android安全防护防护———Android 端常见的安全问题
diaoxiao8834的博客
09-24 452
Android安全防护防护——加密算法:传送门https://www.cnblogs.com/huangjialin/p/9694488.html 组件安全 activity劫持 简单来说就是正常的activity被攻击者替换上一个假冒的activity,但是用户并不知道这是一个假冒的activity,所以用户在输入相关信息后,就直接被攻击者获取到了。通常像登录页面,支付页面,或者...
Android安全防护防护———加密算法
diaoxiao8834的博客
09-24 188
摘要 这篇文章本来早就应该写了,但是由于项目一直开发新的需求,就拖后了。现在有时间了,必须得写了。现在Android应用程序对安全防范这方面要求越来越高了。特别是金融行业,如果金融app没有没有做好相应安全处理,那些很容易被一些Hacker(黑客)所攻击。并不是说做了这些安全防范,这个应用就百分之百的安全的。只是说能够尽可能加大破解难度。也许有些开发者或者企业觉得。我们公司的app,数...
Android 安全防护
neveletgoof的博客
10-10 1298
Android 安全防护
Android 安全防护:深度解析应用保护策略
u011464172的专栏
06-28 808
Android 应用安全防护是一个持续的迭代过程,需要开发者不断学习,不断完善。本教程提供了一些基础的安全防护策略和方法,希望能够帮助开发者更好地理解 Android 应用安全,构建安全可靠的应用。记住,安全无小事,安全意识是保障应用安全的关键。
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
Android安全攻防指南》一书中,硬件层的攻击部分主要探讨了在Android系统广泛应用的背景下,如何针对各种嵌入式设备的硬件进行攻击和逆向工程。Android因其可移植性、灵活性和开放性,成为了嵌入式设备操作系统中...
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
Android软件安全与逆向分析》是一本深入探讨...通过《Android软件安全与逆向分析》的学习,开发者和安全研究人员可以深入了解Android应用的安全防护,提高应用的安全性,同时也能更好地应对和防范潜在的安全威胁。
Android安全技术揭秘与防范
最新发布
08-24
Android安全技术揭秘与防范
Android安全防护allowBackup
LVXIANGAN的专栏
07-30 473
一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没想到这个属性会直接导致隐私数据的丢失。下面就来看一下这个属性的影响到底有多大。他的作用是什么? 二、Android中的allowBackup属性 1、allowBackup安全风险描述 An...
Android应用安全防护4个步骤
wangjippp的博客
04-22 261
1、混淆:代码混淆和资源混淆。apk被反编译后增加代码阅读难度,同时也能减少apk体积; 2、签名保护:在应用入口处增加签名校验,防止apk被二次打包; 3、手动注册native方法:通过registerNative在native层注册native方法,可以映射c中的方法名和java 中的方法名,增加so文件被破解后的阅读难度; 4、反调试检测:被调试的进程会在/proc/[myPid]/...
Android 操作系统安全机制-进程,用户与文件安全
weixin_34270606的博客
12-30 168
2019独角兽企业重金招聘Python工程师标准>>> ...
Android App安全防范措施的小结
A_991128a的博客
01-08 250
这些措施也只是冰山一角,因为安全一直是永恒的话题。我们还可以考虑使用加壳、反动态调试等等。参考资料:Java与Android技术栈:每周更新推送原创技术文章,欢迎扫描下方的公众号二维码并关注,期待与您的共同成长和进步。
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1207
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
软件防破解之Android JNI的应用
Android人生
07-07 1282
软件防破解之Android JNI的应用 1、软件安全的重要性:只要有程序员在,在源代码可读的情况下,无论多么复杂的系统,总有人可以将其破解。 2、我们应该怎么做:(1)、使源代码不可读;(2)、使本地数据不可读;(3)、使网络数据不可读; 3、Android端具体应该怎么做:(1)、使源代码不可读(对APP进行加固);(2)、使本地数据不可读(对本地数据进行加密);(3)、使网络数据不可读(对网络
java防护webshell_JNI技术绕过rasp防护实现jsp webshell
weixin_34231219的博客
02-27 254
背景原理使用技术要点实战使用其他背景 想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。java技术栈中的jni的原理是使用java调用c、c++函数,具体实现的思路是jsp编译为class文件,该class通过jni技术调用另外一处dll里的函数绕过黑名单执行命令获取回显,即可实现rasp和安全防护软件的绕过。github地址:https://g...
android 内部拦截,如何使用proxy,如何在内部拦截get方法
weixin_35476604的博客
05-31 114
class A {constructor() {this.pc = {};this.pc.name = 123;setTimeout(() => {console.log(this.pc);//为什么这里不能触发 get 如何触发}, 1000)}}A = new Proxy(A, {get: (target, prop, recevier) => {console.log(targe...
Android 安全防护策略
07-27 2015
随着应用的发展,应用的安全也变的越来越重要,有些不法分子开始反编译或者劫持一些app源码。甚至有人通过截图然后做识别,获取别人内容。我们在处理时应该如何去保护我们的应用呢?接下来我们可以分析一下,一些场景,的用途.........
Android安全防护
毛豆豆的博客
08-04 9167
各位大佬好,今天谈一下我在实际项目开发中遇到的APP安全以及我做的防护 Android开发者常常面临的一个问题就是防破解、 防二次打包。现如今,安全问题越来越重要,越来越多 的Android开发者也开始寻求安全的保护方案。首先说一下,我做的是保险行业的应用。所以有很多安全监测的东西要过。其实一般的公司,外包什么的很少管APP的安全的。即使你的应用中集成了微信支付宝的支付。也不需要你自身做什么太多的安
Android 安全防护手段
qq_26984087的博客
04-20 1420
Android在开发过程中,要如何去保证安全性的?尤其是对于一些金融类的app,安全显得更为重要,以下是一些关于安全防霾呢的建议和总结。 混淆机制 代码混淆 将代码的各种元素、如变量、函数、类的名字改写成无意义的名字。使代码变得难以阅读和理解。 资源混淆 混淆之后资源的名字全是简单的混淆字母,例如: <string name=“a”>”#$Ges egg*</st...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值