Android APK 加固--开发者角度(零)

最新推荐文章于 2023-06-14 15:32:31 发布
最新推荐文章于 2023-06-14 15:32:31 发布
阅读量659 收藏 3
点赞数
分类专栏: 安卓安全 文章标签: 安卓 安全 加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44045581/article/details/90546572
版权

Android APK 加固–开发者角度(零)

1.APK加固介绍

Android应用程序使用的开发语言是Java语言,由于蚕蛹的是这种解释性语言,所以代码可以被反编译。如果没有经过混淆或是加密,会非常让人容易读懂,换言之就是容易被破解。为了能够使我们的apk更好的保护起来,Android的开发以及安全人员对APK进行了一系列的加固措施。对APK加固从开发者的角度来看,以下是常用的手段和方式:

1.使用proguard对apk中的源码进行混淆
2.对apk反编译之后的smali进行混淆
3.对apk中的字符串进行加密
4.对apk中的文件进行校验

2.使用proguard对apk中的源码进行混淆

AndroidStudio默认已经有proguard的支持,在小牧目录安排app下的build.gradle中有配置信息,只需要将false变为true即可。
默认只有release的配置,而工程默认是debug的,所以想要为debug上添加混淆要在release后面添加debug模式。
在这里插入图片描述
Proguard的混淆结果会处处到/build/outputs/mapping/release/目录或是/build/outputs/mapping/debug/,一共有四个输出文件:

1.dump.txt:描述APK中所有类文件的内部结构
2.mapping.txt:提供混淆前后类名,方法名和成员变量的对应关系。
3.seeds.txt:列出没有被混淆的类和成员
4.usage.txt:列出从apk中移除的代码

混淆之后可能出错,出错异常的分析:
http://simplyadvanced.net/blog/android-how-to-decode-proguards-obfuscated-code-from-stack-trace/
Proguard 包括四个功能,shrinker(压缩),optimizer(优化),obfuscator(混淆),preverifier(预校验)

3.对反编译之后的smali进行混淆

源码经过混淆之后,在一个产品级的apk中对apk的保护是有一定帮助的,而对于一些有一定经验的破解者,他们还是会找到比较关键的地方,一般这种方式都是经过反编译之后进行分析的,那么如果我们效仿windows下的保护软件,对smali代码进行混淆,那么某种程度上加大了破解者的分析难度。比较方便的混淆方式就是代码乱序。

1.代码乱序
原理:

我们在分析smali代码时,一般会借助于反编译工具反编译成java代码,代码乱序的主要目的就是想要将smali代码乱序之后,使反编译的效果大打折扣,这样就会挡住很短菜鸟,至少可以减慢分析速度。

2.对apk中的字符串进行加密

在开发过程中字符串的使用不可避免,但是这些字符串极可能是破解的关键点,比如服务器的地址和错误提示这些敏感的字符串信息。如果这些字符串采用硬编码的方式,很容易通过静态分析获取。

1.采用StringBuilder拼接的方式。
2.编码混淆:在硬编码的时候将字符串先转换成16进制的数组或者Unicode编码,在使用的时候在回转字符串,这种方式比StringBuider方式更难直接识别。
3.加密处理:先将字符串在本地进行加密处理,后将密文硬编码进去,运行时再进行解密。可以将解密方法通过JNI实现。

4.对apk中的文件进行校验

在apk中包括代码和资源以及签名文件,一般我们会对可执行文件进行校验,还有证书的签名进行校验,以及apk本身的校验。

1. 对apk中的dex文件进行校验

classes.dex是android虚拟机的可执行文件,我们所写的java代码骑士都在这里面,所有很多赌赢程序的篡改都是针对classes.dex文件的。

1.编写代码

代码比较简单,这里是通过计算好的crc保存在string.xml文件里,当然我们可以随便那一个值代替,等开发完成后替换掉。

private void verifyDex(){
	Long dexCrc = Long.parseLong(this.getString(R.string.crc_value));
	String apkPath = this.getPackageCodePath();
	try{
		ZipFile zipFile = new ZipFile(apkPath);
		ZipEntry dexEntry = zipFile.getEntry("classes.dex");
		//计算classex.dex的crc
		long dexEntryCrc = dexEntry.getCrc();
		Log.d("DEX",dexEntryCrc+" ");
		//对比
		if(dexCrc == dexEntryCrc){
			Log.d("DEX","dex hasn't been modified");
		}else{
			Log.d("DEX","dex has ben modified");
		}
	}catch (IOException e){
		e.printStackTrace();
	}
}
2.对apk中的apk进行校验

与DEX校验不同apk校验必须把计算好的Hash值放在网络服务端,因为对APK的任何改动都会印象到最后的Hash值。
校验代码:

private void verifyApk(){
//获取data/app/**/base.apk 路径
	String apkPath = getPackageResourcePath();
	MessageDigest msgDigest;
	try{
		//获取apk并计算MD5
		msgDigest = MessageDigest.getInstance("MD5");
		byte[] bytes = new byte[4096];
		int count;
		FileInputStream fis;
		fis = new FileInputStream(new File(apkPath));
		while((count = fis.read(bytes))>0){
			msgDigest.update(bytes,0,count);
			}
			//计算出MD5值
			BigInteger bInt = new BigInteger(1,msgDigest.digest);
			String md5 = bInt.toString(16;
			fis.close();
			Log.d("apk",md5);
			//获取服务端的md5对比
			}catch(){
			}
3.对apk中的签名进行校验

每个APK都会经过开发者独有的整数进行签名,如果破解者对APK进行二次打包一般会用自己的签名证书 打包。这时候我们就可以通过校验签名证书的MD5值进行校验。
校验代码:

public void verifySignature(){
	String packageName = this.getPackageName();
	PackageManager pm = this.getPackageManager();
	PackageInfo pi;
	String md5 = "";
	try{
		pi = pm.getPackageInfo(packageName,PackageManager.GET_SIGNATURES);
		Signature[] s=pi.signatures;
		//计算md5值
		//获取服务端签名证书,对比
Todd_Q
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java CRC16算法校验
浅颜如梦
07-06 3752
最近做项目涉及到班播机,而班播机的数据发送及数据校验用到十六进制。 其中数据校验用到CRC16算法,网上找了很多,发现都有问题,无奈,自己找C语言版改为Java可用。 {CSDN:CODE:1748282}
Android~apk混淆加固(2)
最新发布
FZBH_Q的博客
04-22 296
针对apk加固是多维度的安全防护方案,包括反破解、反逆向、防篡改等,可以防止应用被各类常见破解工具逆向,安全性要远大于单纯的代码混淆。操作的对象是项目打包成的apk文件。为什么我们需要混淆?因为java字节码特性很容易反编译。对于加固,上架应用市场一般提供相关文档指导我们进行apk的渠道打包发布,这里不做展开我们先大概知道加固的一些原理。修改gradlerelease {参考需要保留的类及方法,确定项目中哪些不能混淆的类参考混淆模板,编写我们的混淆文件。
smail语法中的疑惑与易混淆
redden333的博客
10-29 499
最近在完成移动智能终端安全的课程实验时研究了一下smali的语法,顺便记录一下几个比较具有迷惑性的地方,不过笔者不保证正确,内容仅供参考。 比如以下两行代码: invoke-virtual {p0, v0}, Lcom/example/smali/MainActivity;->setContentView(I)V iput-object v0, p0, Lcom/example/smal...
java CRC16校验,原版C++,改编成java
hnbcjzj的专栏
12-11 1万+
 /* * crc校验,输入一个数组,返回一个数组,返回的数组比原数组 * 多了两个字节,也就是两个校验码,低字节在前,高字节在后. */public class CRC16 { public static int[] crc(int[] data){  int[] temdata=new int[data.length+2];  //unsigned char alen = *aStr – 2;
JAVA CRC-16(CRC-16/IBM)计算校验值
是十月张的博客啊
09-16 1640
JAVA CRC-16(CRC-16/IBM)计算校验值 前言:对接硬件设备的通信协议需要用到CRC-16进行计算校验值,然后再网上找了很多个版本,很久都没找到这个版本的,然后好不容易找到了,就记录一下 注意: 这个是CRC-16(CRC-16/IBM)的版本,不是CRC-16/MODBUS或其他版本,如果想要其他版本可以另外搜索 代码如下: public class CRC16Utils { /** * CRC-16 校验 * 低位在前高位在后 * @param data
【干货分享】安卓加固原理分享
dingxiang234的博客
06-14 1161
之前写过几篇,感兴趣可以看一下。最近攒了一下收集的一些资料,打算简单写一下安卓加固相关的内容。今天先简单写一篇安卓加固原理的分享。
android-system-webview-7703.apk
11-30
Android8.0以下手机自带的android-system-webview版本过低使用
Android-nRF-Toolbox-2.9.0.apk
03-03
The nRF Toolbox is a container app that stores your Nordic Semiconductor apps for Bluetooth Low Energy in one location. ... 编译好的apk,直接安装运行
Android-APK加固dex加密解密
08-13
现在随意在应用市场下载一个 APK 文件然后反编译,95% 以上基本上都是经过混淆,加密,或第三方加固(第三方加固也是这个原理),那么今天我们就对 Dex 来进行加密解密。让反编译无法正常阅读项目源码。
宝利通rpm-android-phone-release-3.7-64806.apk
09-29
宝利通rpm-android-phone-release-3.7-64806移动应用程序是一个易于使用的视频系统,提供优质的音频和视频体验。与专有应用程序不同,RealPresence移动应用程序是基于标准的,可扩展您组织的视频网络,使您在任何...
Android-世界上最小的AndroidAPK
08-13
该存储库托管世界上最小的Android APKAPK的当前大小是820字节。
Android Apk加固原理解析
故不积跬步无以至千里
04-20 1888
对APP进行加固,可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等,保障程序的安全性、稳定性。常见的加固方案有很多,本文主要介绍如果通过对dex文件进行加密来达到apk加固的目的;ღ( ´・ᴗ・` )
java计算CRC16校验码
qingshui_qs的博客
10-27 1852
java计算校验和的一个公式,亲测可行有效 /** * 计算CRC16校验码 * * @param data 需要校验的字符串 * @return 校验码 */ public static String getCRC(String data) { data = data.replace(" ", ""); int len = data.length(); if (!(len % 2 == 0)) { return "0000"; } int num = le
Smali和逆向分析
PuddingGuo
03-03 7150
1.Smali简介 Smali是Dalvik的寄存器语言,它与Java的关系,简单理解就是汇编之于C。假如你对汇编有足够的驾驭能力,那你可以通过修改汇编代码来改变C/C++代码的走向。当然,学过汇编的都清楚,汇编比BrainFuck还难学,更不用说去反编译修改了。 但是Smali有一点不一样,就是它很简单,只有一点点的语法,只要你会java,了解Android的相关知识,那你完全可以通
代码混淆和baksmali,smali反编译研究
tmj2014的专栏
07-30 3294
代码混淆和baksmali,smali反编译研究 1.代码混淆   网上说的那些只支持2.2以上可以不用理会.跟着这个步骤做就可以了.   1.1混淆非常简单.先看看项目根目录是否有生成proguard.cfg,一般最新的adt都会自动生成.   1.2如果没有的话,创建这个文件,内容如下      View Code -optimizationpasses 5
几种Android混淆和逆向工具介绍
热门推荐
bupt073114的专栏
12-31 1万+
针对Android面临的安全风险,一些防止逆向的方法应运而生。代码混淆在X86架构上曾经被广泛研究,他被用于保护软件的只是产权,但是恶意软件也常常使用他来对抗杀毒软件或者对抗逆向分析者,代码混淆可以给逆向分析带来巨大工作量,比如,可以是反编译工具失效或者增加很多无用逻辑。下面我们就介绍几种Android相关的代码混淆工具和相关的反编译工具。 代码保护: 下面的这几个工具可以用来混淆代码对抗逆向
SmaliInjector (对重度混淆过的apk处理得比dex2jar更好)
jizhitp的博客
07-19 1281
SmaliInjector (对重度混淆过的apk比dex2jar处理得更可靠的注入工具)
渗透测试详解及爱加密加固使用及优势
lg_1996的博客
09-04 1960
定义: 渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。它是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。 要求: Apk如果不放到互联网上,找个免费加固工具的加一下就可以;如果后期会放到互联网上,需要保证壳不被脱掉(言外之意:必须加固防止脱壳)。 ...
【爱加密】Android App应用安全加固详细步骤
lyj1005353553的专栏
02-21 2667
随着各种牌子手机的不断推出,各种Android手机应用,即Android App也是满天飞。但是,在这个山寨、黑客遍布的世界,如何保证Android App的安全是广大Android App应用开发者头疼的一大难题。那么,Android App应用该如何加固以保证安全呢?今天  爱  加  密 小编通过详细的图文给大家演示:Android App应用安全加固详细步骤! 工
逆向工程 android,android - 从APK文件到项目的逆向工程
05-31
逆向工程 Android APK 文件可以帮助开发人员了解应用程序的内部结构和工作原理。以下是将 Android APK 文件转换为项目的步骤: 1. 下载 APK 工具(APKTool)并安装。 2. 将 APK 文件复制到您的计算机上。 3. 打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值