APP安全(安全防護(hù)篇)
對(duì)APP的安全防護(hù)主要是對(duì)程序進(jìn)行加密,其中加密有五個(gè)方向
1.URL編碼加密 對(duì)程序中出現(xiàn)的URL進(jìn)行編碼加密街立,防止URL被靜態(tài)分析。
2.本地?cái)?shù)據(jù)加密 對(duì)NSUserDefaults,sqlite存儲(chǔ)文件數(shù)據(jù)加密州弟,保護(hù)帳號(hào)和關(guān)鍵信息。
3.網(wǎng)絡(luò)傳輸數(shù)據(jù)加密 對(duì)客戶端傳輸數(shù)據(jù)提供加密方案,有效防止通過(guò)網(wǎng)絡(luò)接口的攔截獲取。
4.方法體特笋,方法名高級(jí)混淆 對(duì)應(yīng)用程序的方法名和方法體進(jìn)行混淆,保證源碼被逆向后無(wú)法解析代碼巾兆。
5.程序結(jié)構(gòu)混排加密 對(duì)應(yīng)用程序邏輯結(jié)構(gòu)進(jìn)行打亂混排猎物,保證源碼可讀性降到最低。
今天重點(diǎn)說(shuō)一下 方法體 方法名的混淆角塑。
首先看效果吧:
#使用hopper disassembler 反編譯iPA之后不能得到相應(yīng)的方法調(diào)用信息
那么如何做到呢霸奕?
創(chuàng)建shell腳本:
TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="fun.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C
createTable(){
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}
insertValue(){
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}
query(){
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}
ramdomString(){
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}
rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable
touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "http://confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE
sqlite3 $SYMBOL_DB_FILE .dump
第二 聲明要替換的方法名列表
在上邊腳本中提到了 STRING_SYMBOL_FILE="fun.list",意思就是運(yùn)行腳本的時(shí)候會(huì)到這個(gè)文件去讀取需要替換的方法名吉拳,重新寫(xiě)入符號(hào)表中。
nameAction
refreshAction
第三步: 生成對(duì)應(yīng)的轉(zhuǎn)義之后的無(wú)序字符串
具體demo 很早之前寫(xiě)的 适揉,鏈接 Blank_佐毅
另外
招聘UI交互設(shè)計(jì)師啦留攒!
招聘UI交互設(shè)計(jì)師啦煤惩!
招聘UI交互設(shè)計(jì)師啦!
招聘UI交互設(shè)計(jì)師啦炼邀!
招聘UI交互設(shè)計(jì)師啦魄揉!
嗯,重要的事情說(shuō)五遍拭宁。