长久以来,为避免手机APP被反编译和破解,大多数移动开发者选择代码混淆技术来抵抗破解者的攻击。但随着不断有应用被破解和盗版的事件发生,让越来越多的开发者开始质疑这种抵御方式的有效性。用代码混淆技术来保护手机APP安全到底是良策还是误区,本文请到360加固保的技术工程师刘敏为大家揭晓。
什么是代码混淆?
代码混淆是将程序的代码转换成一种功能上等价,但是难于阅读和理解的形式的行为。比如将代码中的各种元素,如变量、函数、类的名字改写成无意义的名字,使破解者在阅读时无法根据名字猜测其用途,增加反编译的阅读难度。
代码混淆的利与弊
以济南团谱的一款APP《九天传说》为例,这是一款目前风靡的RPG类打怪游戏。以超酷的打斗视觉体验和好玩的等级模式让应用一上线就赢得了许多用户。为避免出现盗版,提高应用安全性,技术人员对其进行了代码混淆。图1是进行代码混淆前后的代码结构对比。右侧截图是对源代码文件中的一些类名做了变换,改成了以英文字母命名的名称,这样破解者在阅读时就不容易理解其特指的含义。
图1:代码混淆前后代码结构对比
这种代码混淆方法简单、便于操作。但也因此会给开发者的调试工作带来困难,开发人员通常需要保留原始的未混淆的代码用于调试。由于混淆是不可逆的,在混淆的过程中一些不影响正常运行的信息将永久丢失,这些信息的丢失会使程序变得更加难以理解。
代码混淆后手机APP能否再被破解?
虽然做了代码混淆,但混淆只是对源代码的类名和一些变量名做了变换,增加了破解者阅读的难度,并不能真正阻止反编译。下面是对进行过混淆的《九天传说》APP进行破解并插入恶意广告的过程演示。首先,使用apktool工具进行反编译,可以得到smali代码文件,再定位找到主Activtiy的代码,主Activity可以从AndroidManifest文件中查到。九天传说的主Activity查到为com.tp.ttgame.jiutian.JiuTian。
图2是处理com\tp\ttgame\jiutian\JiuTian.smali中的onCreate函数,向其中添加有米广告的初始化代码截图。
图2:添加有米广告的初始化代码
再将添加banner的函数插入其中,并在onResume函数中调用,见图3、图4。
图3 :添加banner的函数
图4 :调用添加banner的函数
这样代码部分就修改完成了。最后再修改AndroidManifest文件,需要将有米广告必要的配置写进去。见图5、图6。
图5:添加有米广告必要的组件
图6:添加有米广告必要的权限
最后,将有米广告SDK的内容转成smali,并将其跟九天程序的smali合并。用apktool重新打包之后生成的程序就是一款含有有米广告的盗版应用了。图7是启动该盗版应用后的界面,能看到右下角增加的有米广告内容。
图7:启动盗版应用后的界面
同理,破解者还可以将正版APP中的广告替换掉,这样,当用户下载该盗版应用并点击广告后,所带来的广告收入就直接进入了破解者的腰包。重要的是盗版应用中的广告大多是恶意广告,会在用户不知情的情况下下载程序,造成流量的消耗和资费的损失,影响用户体验更损害正版APP的品牌形象。所以,单纯的通过代码混淆并不能完全保证应用安全。
如何避免手机APP被破解和盗版?
目前越来越多的开发者选择使用360加固保来保护应用安全,这种方式到底是否可靠,下面再为大家做下演示。图8是对《九天传说》APP进行加固保护 戴表是一种品位一个人难得的好品味,首先是他穿着搭配得体,符合场合,而在服装与手表的关系也非常微妙,合体的衣服与手表能起到画龙点睛的作用。手表不同于服装,更能从细节体现出一个人的独特的品位,好的品牌手表做工精细,造型考究,戴上一只精制的腕表,给你的身份和仪表加分。成功男士喜欢佩戴手表可以让自己更有内涵,美丽的女士凹上手表硬是把街上的妖艳贱货甩出了十条街。如果一个屌丝带上一条金灿灿的金项链,给人什么感觉?登徒浪子?暴发户?还是……?而带上一只手表,既能显示自己的经济实力,又能体现自己的品味,含蓄而不张扬,恰到好处,给你无限的风度、气质和自信。前后的代码结构对比,能看到右侧截图中加固后的代码文件都已经被隐藏起来,只保留了加固后的保护程序,破解者在反编译时无法找到源程序真正的代码,即可有效的避免手机APP被破解和盗版。
图8:使用加固前后的代码结构对比
除了可以对手机APP的代码进行保护外,加固后还具备反调试、反篡改、反窃取和反逆向等功能,能有效防止代码注入,避免游戏外挂或木马程序的恶意篡改行为,从根源上防止应用被二次打包,杜绝盗版应用的产生。
避免手机APP被破解和盗版除了可以使用专业的第三方加固产品外,更需要开发者提高安全意识,如编写代码要规范,减少程序漏洞;及时修复漏洞,不给破解者可乘之机等。
cosc 是否真的独立cosc 是于1973 年在ABDO 发展而来,相当于五个钟表制造地的联合会——Bern, Geneva,Neuchatel, Solothurn 和Vaud。这个政府成员有意使cosc 官方认证独立,但是这个联合会是被政府和钟表工业代表参与的会员大会所控制的,虽然政府人数占 多数,但如果任何一个政府代表未能出席则法定规则允许品牌代表占多数。Soguel 先生断言说cosc 的主要目的是保护他的天文台证书是优秀的标志,并且在钟表制造商当中维持cosc 总的独立性是保护天文台认证的关键。他的策略是在测试中决不妥协。从他1997 年接管主任以来,cosc 投入了巨资更新他们的测量系统 并遵守标准管理测试程序和环境。瑞士联邦机关也同样信任cosc 实验室。“我明白cosc 是垄断的并且有威胁性”,Soguel先生说。“但我决不能在绝 对严格的要求下因为任何失误而危及cosc。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-150694.html
