由于和之前的破解方式一毛一样,这里不再赘述,可参考前面两篇文章。
结语
话说这个app的防逆向功能做的真的很差劲,全是java编程,所以逆向之后,虽然只做了一层混淆,但是仔细分析后还是能把逻辑理清楚,我也破解过其他app,唯独这个让我大跌眼镜。
软件的攻防是个长久的战争,这里总结一下我的攻防心得:
1. 一定要混淆,但是千万不能相信混淆。记得刚开始接触android的时候,我就想破解别人的app,但是反编译之后全是a啊b啊,看不懂,当时由于技术能力不足就放弃了,如今拿到这个app后,三下五除二处理的干干净净,混淆只能防御初级程序员或者小白,但凡是有一点经验的破解混淆只是时间问题。
2. 核心代码要用JNI编程,像这个应用,签名校验这么重要的功能用的java编程,很容易破解掉,之前有破解一个应用,反编译后清一色的native方法,这就对调试造成了很大困难,需要用ida去动态调试,这个ida软件上手有一定困难,会进一步阻碍反编译难易度。
3. 一定要做xposed防护,xposed+fdex2 可以破解一些简单的加壳,同时xposed可以hook核心方法返回自己想要的数据,有破解一款app,做了xposed防护,一旦检测到xposed在运行,立刻闪退,都不给你运行的机会,同时这款app又做了加固,由于脱壳需要xposed环境,但是检测到xposed又闪退,让破解几乎不可能。
4. 一定要做服务端的再次校验,还是破解一款app,前面都很顺畅,唯独非VIP不给下发链接,让我的破解变得几乎无意义,这也就是为啥市面上充斥着xx去广告版,而不是xxVIP版本的原因了。
3768
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
