上傳第三方市場的時候,經(jīng)常會碰到一些手機App市場會對一些代碼進行掃描渔欢,比如廣告、"PM"命令等瘟忱,如果出現(xiàn)此類代碼奥额,會要求提供功能描述,看是否是合理功能访诱,否者不予上架垫挨。本片就"PM"如何規(guī)避第三方市場來做一個簡單的分析。
概述
前幾天在工作中碰到過類似的問題盐数,細節(jié)不方便說太多棒拂。在提交App的時候,被第三發(fā)市場以內(nèi)部包含"pm install"代碼的理由玫氢,要求提供代碼相關功能描述帚屉,或者刪除此代碼。
"pm install"的作用相信應該都了解漾峡,不需要在這里重復講解攻旦。但是本著一個有職業(yè)操守的程序員,有"pm install"的代碼也只是本著讓用戶更方便的使用App生逸,而非使用用一些不合規(guī)的手段謀利牢屋。
那么如何規(guī)避這樣的問題,把"pm install"能夠"合規(guī)"的放在項目中槽袄,而不讓軟件市場掃描到烙无。
分析問題
第三方市場能準確的找到是那個文件中,出現(xiàn)了違規(guī)的代碼塊遍尺〗乜幔肯定是將其解包之后,做了一個全路徑掃描乾戏,做字符串的匹配迂苛,有不合規(guī)的字符串就提示警告出來。
那么唯一要做的鼓择,就是對關鍵字符串的代碼進行編碼三幻,讓手機市場掃描不到。例如把"pm install"這個字符串用Base64編碼就是一個不錯的手段呐能,然后在需要使用的時候念搬,再將編碼后的字符串進行解碼,就是一個不錯的方式。
實施方案
pm install
首先用工具把字符串轉(zhuǎn)換成Base64編碼锁蠕。
得到一個字符串夷野,然后在代碼中將其解碼即可。
private String getCommand0(){
return new String(Base64.decode("cG0gaW5zdGFsbA==", Base64.DEFAULT));
}
其實做到這一步荣倾,應該就可以很簡單規(guī)避市場上架的問題(當然我沒有試過)悯搔。
但是做事情要往深一步想想,如果只是一個簡單的一次Base64編碼舌仍,再解碼就可以解決問題了妒貌。那一定是因為三方市場沒有對這個地方做太嚴格的保護,說白了铸豁,就是對其進行放水了灌曙,增加一點門檻,又不讓門檻太高導致一部分App進不來节芥。那這個規(guī)則在刺,市場如果想嚴格一點監(jiān)管,只需要把關鍵代碼串的一些常用編碼串头镊,也加入到匹配列表中就可以了蚣驼。如果規(guī)則改了,最后麻煩的還是我們相艇。
所以再深一步颖杏,如果是我來寫這個全路徑文件內(nèi)容匹配的話,我會在apk解包之后坛芽,對所有的文件留储,進行一行行的掃描,然后比對銘感代碼串咙轩。那么如果這個代碼串获讳,不是一個連貫的,而是一個拼接的方式活喊,又如何呢赔嚎?所以我想到了一個解決方案,對getCommand0()進行了改進胧弛,當然是很簡單的改進,把他們拆分成多個字符串侠畔,拼接起來结缚。
private String getCommand1(){
return new String(Base64.decode("cG0gaW5zdGFsbA"+"==", Base64.DEFAULT));
}
雖然從代碼上看,這樣是將字符串拆分開了软棺。但是其實這樣是不生效的红竭,因為在打包的過程中,編譯器會對代碼進行優(yōu)化(當然優(yōu)化的手段有很多),把一些不不要的代碼剔除茵宪,或者改進現(xiàn)有的代碼塊的代碼最冰,讓其運行的更加高效。
如getCommand1()稀火,在打包之后暖哨,反編譯出來看看。
從圖上可以看出來凰狞,編譯器會在變異的時候篇裁,自動幫我們把一個拼接的字符串變成一個完整的字符串進行賦值。
那么赡若,如何預防這樣的問題呢达布?讓編譯器按照我們預想的,輸出兩個單獨的字符串逾冬,進行拼接黍聂。這個時候,可以使用StringBuilder來處理字符串身腻,就有了如下代碼产还。
private String getCommand() {
// pm install
return new String(Base64.decode(new StringBuilder("cG0gaW5zdGFsbA").append("==").toString(), Base64.DEFAULT));
}
然后我們再打包驗證一下結(jié)果,發(fā)現(xiàn)確實是如我們預期的去做的霸株。
總結(jié)
其實這種方案是一種比較簡單的方法雕沉,如果有心去預防,還是可以預防的去件,不過這種問題也沒必要做的太復雜坡椒。核心思想就是不要讓關鍵代碼完整的出現(xiàn)在一個地方。讓其有斷裂的尤溜,這樣機器很難通過靜態(tài)分析的方式去捕獲到此代碼倔叼。
