sdk加固 - CSDN
精华内容
参与话题
  • Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆

    在android 应用层开发的时候咱们技术人员都或多或少都会接触一些SDK比如so、jar等,这些都是数据类公司提供给互联网开发公司的关于技术核心类

    方便的东西,因为是核心所以加密加固是必不可少的工作,本博今天就向大家介绍jar的封装打包以及混淆,完成自己的SDK!在此之前需要给大家说

    说so,so是由C/C++语言编译而来,其反编译难度更大,因为反编译之后就是汇编语言,需要懂汇编才能看懂,更重要的是即使懂汇编把其复原也是相

    当大的工程,尤其是一些大公司的SDK,那就更别说了,而jar呢反编译的难度就相比so要小很多,所以这也是很多包名和key的验证都放在so的原因!

    jar加密加固无外乎就是混淆了,只要你在这个行业做了一段时间就会知道个大概了,混淆就是把 keep 命令之外的变量名、类名、函数名、

    attributes、parameter name等全部混淆成一些小写字母之类的,这样这个SDK看起来就会异常的紊乱,但是先前提到过,只要在这个行业做过一段时

    间,即使混淆了部分,但大部分的语法还是可以寻到其根源的,所以比较好的方式就是推荐so+jar


    ①通过library打包自己的SDK

    这是笔者自己写的一个SDK,里面主要是用来管理wifi、ap、服务端的文件快传、摄像监控的rtsp推流框架、asyntask管理、网络编程、相机管理,硬加速、局域网组播、二维码

    生成和解析等,是用于一个大项目的核心代码,主要是用来降低架构与UI的耦合性,其次就是为了安全,废话不多说先开始介绍library的封装,打包成jar 的SDK最后介绍jar SDK

    的混淆加固

    首先看看library的构成,如下图:




    AndroidManifest.xml 清单文件的配置,如下代码:

    <manifest xmlns:android="http://schemas.android.com/apk/res/android"
        package="jsp.rtsp.server.camera" >
    
        <application
            android:allowBackup="true"
            android:label="@string/app_name"
            android:supportsRtl="true" >
        </application>
    
    </manifest>


    我们可以理解为这是一个新建的android application project,因为这本身就是一个ndroid application project,只是特殊的而已,新建一个ndroid application project

    然后修改AndroidManifest.xml清单文件去掉不必要的xml节点,完成这一步之后,进行如下图步骤:



    接下来弹出如下提示框,进行如下步骤:




    这样一个library的建立就完成了!

    下面介绍library的编译与依赖的编译

    编译的话直接clean就可以编译library,简单粗暴,接着说依赖编译,还是上图描述比较深刻

    还是单机选择一个非library的android项目,如下




    选择properties项后,弹出如下提示框:




    点击OK确认后,进行如下步骤:




    执行完该步骤之后,项目会生成一个新的东西,如下图:




    下面继续说上面的依赖编译,在完成上面的步骤之后,可以开始依赖编译,就是对library项目进行clean,但再此之前需要执行一下步骤,方便清除上一次的library

    缓存,如下图步骤操作,在对library进行clean:




    这就是依赖编译,这么做的好处就是可以不用每次更新编译生成新library的时候将jar copy到项目中,非常方便!

    好了,关于library的jar SDK封装就完成了,下面开始讲library SDK的混淆与加密加固了!

    ②通过Proguard 混淆 library打包的jar SDK

    Proguard 的使用,Proguard在你的android SDK 路径下的 tools目录下,比如笔者的如下图:




    双击打开,下面介绍 Proguard 使用




    点击next之后,可以新增自己需要被混淆的jar以及混淆后的jar输出路径,如下图:




    备注:其中的android.jar依赖需要根据自己的SDK版本对应,比如你选择的是6.0,那对应选择SDK目录下的platforms的android-23下的android.jar

    然后选择next进行下一步




    继续 next 执行下一步




    下面介绍怎么样配置混淆,以及混淆的具体操作:

    1.关于类的混淆:




    添加不想被混淆的类:




    添加不想被混淆的方法:




    添加不想被混淆的变量:




    关于内部类和内部接口的混淆,其中内部enum也类似



    关于函数和变量方面,笔者怕大家理解不清楚,就随便演示一下,如下图:

    1.不混淆方法演示图:

    首先看实际代码:

    	/**
    	 * @author Engineer-Jsp
    	 * @param android.content.Context context
    	 * @param jsp.rtsp.server.ap.WiFiApManager.ResponseCallBack call
    	 * @return jsp.rtsp.server.ap.WiFiApManager
    	 */
    	public static WiFiApManager getInstance(Context context, ResponseCallBack call) {
    		if (mWiFiApManager == null) {
    			mWiFiApManager = new WiFiApManager(context, call);
    		}
    		return mWiFiApManager;
    	}

    再看混淆的配置:



    argument type 看不清吗?没关系,我把它贴出来:

    android.content.Context,jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack

    你们肯定在想,为什么是WiFiApManager$ResponseCallBack而不是WiFiApManager.ResponseCallBack,这个等下会细说给大家,下面继续演示变量的混淆配置

    2. 不混淆变量演示:

    首先看一个内部类代码:

    public class CameraManager {
    
    	private static CameraManager mCameraManager = null;
    	private MediaStream mMediaStream;
    
    	public static interface CameraCallBack {
    		void onSuccess(int code, String msg);
    
    		void onCameraStop();
    
    		void onError(int errcode, String errmsg);
    	}
    
    	/**
    	 * 
    	 * @author Engineer-Jsp
    	 * 内部类的演示
    	 *
    	 */
    	public static class CameraParameters {
    		public int width;
    		public int height;
    	}


    配置不混淆的变量:




    好了,到此关于混淆的具体配置都已经讲得差不多了,下面还要给大家说说关于内部类、内部接口等的调用为什么有时候用"$"有时用".",其实这是跟具体配置和

    代码的写法有关的,还记得在配置混淆的时候的那具体的提示框吗?没错这就是引起调用的关键



    假如上图红色框的2个复选框被勾选了,那么混淆配置以及混淆之后的内部调用是不用带"$"符号的,采用"."符号,比如:WiFiApManager.ResponseCallBack

    假如上图红色框的2个复选框没有被勾选,那么混淆配置以及混淆之后的内部调用是带"$"符号的,比如:WiFiApManager$ResponseCallBack,在import 导包的时候也是用"$"而不能用点符号,即使是 new 创建新实例对象的时候,如果他是内部类,就必须要带$符号,如下导包和创建新的实例:

    import jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack;

    CameraManager$CameraParameters cameraParameters = CameraManager.getSupportResolution(this);

    所以在不勾选的情况下,建议大家刻意的去使用内部类和内部接口,除非它们不需要暴露给开发者调用,否则最好不要这样写!这样不规范!

    在配置完混淆的具体配置以后,继续next,后面的大概都不用去修改了,一直到 process 选项,选择 process 按钮,就会开始混淆jar

    在该 process 界面下,有以下按钮需要注意,如下图:



    混淆后使用jd-gui看效果:





    编译通过后导入项目与依赖该SDK的项目一起编译




    安装效果图:



    其中本项目又涉及了很多so库,所以在jni方面最好是不要混淆native的方法,而且C/C++调用java层的方法最好也不要混淆!

    关于本篇文章的介绍就这么多,谢谢观博!

    附上pro文件:

    -injars 'D:\Android\Android-6.0-23.06-Build\workspace\jsp.jar'
    -outjars 'D:\Android\Android-6.0-23.06-Build\workspace\jsp-rtsp-server.jar'
    
    -libraryjars 'D:\Java\jre7\lib\rt.jar'
    -libraryjars 'D:\Android\Android-6.0-23.06-Build\workspace\jsp-rtsp-server\libs\zxing.jar'
    -libraryjars 'D:\Android\Android-6.0-23.06-Build\android-6.0-sdk\platforms\android-23\android.jar'
    
    -dontshrink
    -keeppackagenames
    
    
    -keep,allowshrinking class jsp.rtsp.server.ap.WiFiApManager {
        *** closeWifiAp(...);
        public static jsp.rtsp.server.ap.WiFiApManager getInstance(android.content.Context,jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack);
        *** getWiFiApAddress(...);
        *** openWifiAp(...);
        *** onDestroy(...);
    }
    
    -keep,allowshrinking interface  jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack {
        void onWiFiApQrcodeBitmapCall(android.graphics.Bitmap);
    }
    
    -keep,allowshrinking class jsp.rtsp.server.camera.CameraManager {
        public static jsp.rtsp.server.camera.CameraManager getInstance(android.content.Context,android.view.SurfaceView,jsp.rtsp.server.camera.CameraManager$CameraCallBack);
        *** updateResolution(...);
        *** setDgree(...);
        *** startStream(...);
        *** getRtspAddress(...);
        *** stopStream(...);
        android.hardware.Camera getCamera(...);
        *** setRtspAddress(...);
        *** createCamera(...);
        *** startPreview(...);
        *** stopPreview(...);
        *** destroyCamera(...);
        *** switchCamera(...);
        *** reStartStream(...);
        public static void setSupportResolution(android.content.Context);
        public static jsp.rtsp.server.camera.CameraManager$CameraParameters getSupportResolution(android.content.Context);
    }
    
    -keep,allowshrinking interface  jsp.rtsp.server.camera.CameraManager$CameraCallBack {
        void onSuccess(int,java.lang.String);
        void onCameraStop(...);
        void onError(int,java.lang.String);
    }
    
    -keep,allowshrinking public class jsp.rtsp.server.camera.CameraManager$CameraParameters {
        public int width;
        public int height;
    }
    
    -keep,allowshrinking class org.easydarwin.easyipcamera.camera.EasyIPCamera {
        public static void onIPCameraCallBack(int,int,byte[],int);
    }
    
    # Keep - Applications. Keep all application classes, along with their 'main'
    # methods.
    -keepclasseswithmembers public class * {
        public static void main(java.lang.String[]);
    }
    
    # Also keep - Enumerations. Keep the special static methods that are required in
    # enumeration classes.
    -keepclassmembers enum  * {
        public static **[] values();
        public static ** valueOf(java.lang.String);
    }
    
    # Also keep - Database drivers. Keep all implementations of java.sql.Driver.
    -keep class * extends java.sql.Driver
    
    # Also keep - Swing UI L&F. Keep all extensions of javax.swing.plaf.ComponentUI,
    # along with the special 'createUI' method.
    -keep class * extends javax.swing.plaf.ComponentUI {
        public static javax.swing.plaf.ComponentUI createUI(javax.swing.JComponent);
    }
    
    # Keep names - Native method names. Keep all native class/method names.
    -keepclasseswithmembers,allowshrinking class * {
        native <methods>;
    }
    
    # Remove - System method calls. Remove all invocations of System
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.System {
        public static long currentTimeMillis();
        static java.lang.Class getCallerClass();
        public static int identityHashCode(java.lang.Object);
        public static java.lang.SecurityManager getSecurityManager();
        public static java.util.Properties getProperties();
        public static java.lang.String getProperty(java.lang.String);
        public static java.lang.String getenv(java.lang.String);
        public static java.lang.String mapLibraryName(java.lang.String);
        public static java.lang.String getProperty(java.lang.String,java.lang.String);
    }
    
    # Remove - Math method calls. Remove all invocations of Math
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.Math {
        public static double sin(double);
        public static double cos(double);
        public static double tan(double);
        public static double asin(double);
        public static double acos(double);
        public static double atan(double);
        public static double toRadians(double);
        public static double toDegrees(double);
        public static double exp(double);
        public static double log(double);
        public static double log10(double);
        public static double sqrt(double);
        public static double cbrt(double);
        public static double IEEEremainder(double,double);
        public static double ceil(double);
        public static double floor(double);
        public static double rint(double);
        public static double atan2(double,double);
        public static double pow(double,double);
        public static int round(float);
        public static long round(double);
        public static double random();
        public static int abs(int);
        public static long abs(long);
        public static float abs(float);
        public static double abs(double);
        public static int max(int,int);
        public static long max(long,long);
        public static float max(float,float);
        public static double max(double,double);
        public static int min(int,int);
        public static long min(long,long);
        public static float min(float,float);
        public static double min(double,double);
        public static double ulp(double);
        public static float ulp(float);
        public static double signum(double);
        public static float signum(float);
        public static double sinh(double);
        public static double cosh(double);
        public static double tanh(double);
        public static double hypot(double,double);
        public static double expm1(double);
        public static double log1p(double);
    }
    
    # Remove - Number method calls. Remove all invocations of Number
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.* extends java.lang.Number {
        public static java.lang.String toString(byte);
        public static java.lang.Byte valueOf(byte);
        public static byte parseByte(java.lang.String);
        public static byte parseByte(java.lang.String,int);
        public static java.lang.Byte valueOf(java.lang.String,int);
        public static java.lang.Byte valueOf(java.lang.String);
        public static java.lang.Byte decode(java.lang.String);
        public int compareTo(java.lang.Byte);
        public static java.lang.String toString(short);
        public static short parseShort(java.lang.String);
        public static short parseShort(java.lang.String,int);
        public static java.lang.Short valueOf(java.lang.String,int);
        public static java.lang.Short valueOf(java.lang.String);
        public static java.lang.Short valueOf(short);
        public static java.lang.Short decode(java.lang.String);
        public static short reverseBytes(short);
        public int compareTo(java.lang.Short);
        public static java.lang.String toString(int,int);
        public static java.lang.String toHexString(int);
        public static java.lang.String toOctalString(int);
        public static java.lang.String toBinaryString(int);
        public static java.lang.String toString(int);
        public static int parseInt(java.lang.String,int);
        public static int parseInt(java.lang.String);
        public static java.lang.Integer valueOf(java.lang.String,int);
        public static java.lang.Integer valueOf(java.lang.String);
        public static java.lang.Integer valueOf(int);
        public static java.lang.Integer getInteger(java.lang.String);
        public static java.lang.Integer getInteger(java.lang.String,int);
        public static java.lang.Integer getInteger(java.lang.String,java.lang.Integer);
        public static java.lang.Integer decode(java.lang.String);
        public static int highestOneBit(int);
        public static int lowestOneBit(int);
        public static int numberOfLeadingZeros(int);
        public static int numberOfTrailingZeros(int);
        public static int bitCount(int);
        public static int rotateLeft(int,int);
        public static int rotateRight(int,int);
        public static int reverse(int);
        public static int signum(int);
        public static int reverseBytes(int);
        public int compareTo(java.lang.Integer);
        public static java.lang.String toString(long,int);
        public static java.lang.String toHexString(long);
        public static java.lang.String toOctalString(long);
        public static java.lang.String toBinaryString(long);
        public static java.lang.String toString(long);
        public static long parseLong(java.lang.String,int);
        public static long parseLong(java.lang.String);
        public static java.lang.Long valueOf(java.lang.String,int);
        public static java.lang.Long valueOf(java.lang.String);
        public static java.lang.Long valueOf(long);
        public static java.lang.Long decode(java.lang.String);
        public static java.lang.Long getLong(java.lang.String);
        public static java.lang.Long getLong(java.lang.String,long);
        public static java.lang.Long getLong(java.lang.String,java.lang.Long);
        public static long highestOneBit(long);
        public static long lowestOneBit(long);
        public static int numberOfLeadingZeros(long);
        public static int numberOfTrailingZeros(long);
        public static int bitCount(long);
        public static long rotateLeft(long,int);
        public static long rotateRight(long,int);
        public static long reverse(long);
        public static int signum(long);
        public static long reverseBytes(long);
        public int compareTo(java.lang.Long);
        public static java.lang.String toString(float);
        public static java.lang.String toHexString(float);
        public static java.lang.Float valueOf(java.lang.String);
        public static java.lang.Float valueOf(float);
        public static float parseFloat(java.lang.String);
        public static boolean isNaN(float);
        public static boolean isInfinite(float);
        public static int floatToIntBits(float);
        public static int floatToRawIntBits(float);
        public static float intBitsToFloat(int);
        public static int compare(float,float);
        public boolean isNaN();
        public boolean isInfinite();
        public int compareTo(java.lang.Float);
        public static java.lang.String toString(double);
        public static java.lang.String toHexString(double);
        public static java.lang.Double valueOf(java.lang.String);
        public static java.lang.Double valueOf(double);
        public static double parseDouble(java.lang.String);
        public static boolean isNaN(double);
        public static boolean isInfinite(double);
        public static long doubleToLongBits(double);
        public static long doubleToRawLongBits(double);
        public static double longBitsToDouble(long);
        public static int compare(double,double);
        public boolean isNaN();
        public boolean isInfinite();
        public int compareTo(java.lang.Double);
        public <init>(byte);
        public <init>(short);
        public <init>(int);
        public <init>(long);
        public <init>(float);
        public <init>(double);
        public <init>(java.lang.String);
        public byte byteValue();
        public short shortValue();
        public int intValue();
        public long longValue();
        public float floatValue();
        public double doubleValue();
        public int compareTo(java.lang.Object);
        public boolean equals(java.lang.Object);
        public int hashCode();
        public java.lang.String toString();
    }
    
    # Remove - String method calls. Remove all invocations of String
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.String {
        public <init>();
        public <init>(byte[]);
        public <init>(byte[],int);
        public <init>(byte[],int,int);
        public <init>(byte[],int,int,int);
        public <init>(byte[],int,int,java.lang.String);
        public <init>(byte[],java.lang.String);
        public <init>(char[]);
        public <init>(char[],int,int);
        public <init>(java.lang.String);
        public <init>(java.lang.StringBuffer);
        public static java.lang.String copyValueOf(char[]);
        public static java.lang.String copyValueOf(char[],int,int);
        public static java.lang.String valueOf(boolean);
        public static java.lang.String valueOf(char);
        public static java.lang.String valueOf(char[]);
        public static java.lang.String valueOf(char[],int,int);
        public static java.lang.String valueOf(double);
        public static java.lang.String valueOf(float);
        public static java.lang.String valueOf(int);
        public static java.lang.String valueOf(java.lang.Object);
        public static java.lang.String valueOf(long);
        public boolean contentEquals(java.lang.StringBuffer);
        public boolean endsWith(java.lang.String);
        public boolean equalsIgnoreCase(java.lang.String);
        public boolean equals(java.lang.Object);
        public boolean matches(java.lang.String);
        public boolean regionMatches(boolean,int,java.lang.String,int,int);
        public boolean regionMatches(int,java.lang.String,int,int);
        public boolean startsWith(java.lang.String);
        public boolean startsWith(java.lang.String,int);
        public byte[] getBytes();
        public byte[] getBytes(java.lang.String);
        public char charAt(int);
        public char[] toCharArray();
        public int compareToIgnoreCase(java.lang.String);
        public int compareTo(java.lang.Object);
        public int compareTo(java.lang.String);
        public int hashCode();
        public int indexOf(int);
        public int indexOf(int,int);
        public int indexOf(java.lang.String);
        public int indexOf(java.lang.String,int);
        public int lastIndexOf(int);
        public int lastIndexOf(int,int);
        public int lastIndexOf(java.lang.String);
        public int lastIndexOf(java.lang.String,int);
        public int length();
        public java.lang.CharSequence subSequence(int,int);
        public java.lang.String concat(java.lang.String);
        public java.lang.String replaceAll(java.lang.String,java.lang.String);
        public java.lang.String replace(char,char);
        public java.lang.String replaceFirst(java.lang.String,java.lang.String);
        public java.lang.String[] split(java.lang.String);
        public java.lang.String[] split(java.lang.String,int);
        public java.lang.String substring(int);
        public java.lang.String substring(int,int);
        public java.lang.String toLowerCase();
        public java.lang.String toLowerCase(java.util.Locale);
        public java.lang.String toString();
        public java.lang.String toUpperCase();
        public java.lang.String toUpperCase(java.util.Locale);
        public java.lang.String trim();
    }
    
    # Remove - StringBuffer method calls. Remove all invocations of StringBuffer
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.StringBuffer {
        public <init>();
        public <init>(int);
        public <init>(java.lang.String);
        public <init>(java.lang.CharSequence);
        public java.lang.String toString();
        public char charAt(int);
        public int capacity();
        public int codePointAt(int);
        public int codePointBefore(int);
        public int indexOf(java.lang.String,int);
        public int lastIndexOf(java.lang.String);
        public int lastIndexOf(java.lang.String,int);
        public int length();
        public java.lang.String substring(int);
        public java.lang.String substring(int,int);
    }
    
    # Remove - StringBuilder method calls. Remove all invocations of StringBuilder
    # methods without side effects whose return values are not used.
    -assumenosideeffects public class java.lang.StringBuilder {
        public <init>();
        public <init>(int);
        public <init>(java.lang.String);
        public <init>(java.lang.CharSequence);
        public java.lang.String toString();
        public char charAt(int);
        public int capacity();
        public int codePointAt(int);
        public int codePointBefore(int);
        public int indexOf(java.lang.String,int);
        public int lastIndexOf(java.lang.String);
        public int lastIndexOf(java.lang.String,int);
        public int length();
        public java.lang.String substring(int);
        public java.lang.String substring(int,int);
    }
    


    展开全文
  • 一周前,央视315晚会上,手机APP中的一些“窃贼”插件被曝光,涉嫌违规收集用户个人隐私信息。很多知名公司的SDK插件都会在用户不知情的情况下,偷偷窃取用户隐私,更有...几维安全SDK 加固系统是一款针对 AAB、AAR、

    一周前,央视315晚会上,手机APP中的一些“窃贼”插件被曝光,涉嫌违规收集用户个人隐私信息。很多知名公司的SDK插件都会在用户不知情的情况下,偷偷窃取用户隐私,更有甚者直接盗取个人资产。

    目前大部分移动应用直接裸奔,没有采取任何安全措施。部分应用采用签名校验、Dex 加壳等技术来杜绝盗版应用,但是难以抵挡专业“黑客”的逆向破解,攻击者利用 IDA 等逆向工具结合静态和动态手段,可以轻松破解软件的防御机制,并肆意篡改代码或植入病毒来窃取隐私数据。

    sdk加固-1.jpg

    几维安全SDK 加固系统是一款针对 AAB、AAR、JAR、SO 等文件的自动化安全加固产品,可以提高 SDK 程序的代码安全性,防止 SDK 被逆向分析,造成核心技术泄露、业务逻辑被篡改等安全问题。

    用户只需要提供 AAB、AAR、JAR 包即可快速集成防静态工具分析、Jar-Java2C保护、Java2C-So 虚拟化保护、Java2C-So 加壳保护等多项安全功能。

    SDK加密使用说明

    注册/登录成功以后,默认将自动跳转加固页面,整个加固过程仅需三个步骤:

    A、上传SDK包;

    B、配置加固,进行加固;

    C、下载加固文件 ;

    上传加密文件(.aar或者.jar文件)

    sdk加固-2.jpg

    设置加密入口类

    loadLibrary配置参数"Lcom/init;"(注意双引号和分号),里面内容是SDK的入口类,比如SDK初始化的类,或者在SDK中第一个被执行的类全路径,这个写法是smali语言的写法。

    举例说明:比如SDK中初始化或者第一个被调用的函数在com/test/init.java中,那么所对应写法就是 Lcom/test/init; 添加一个大写L,在末尾添加分号(英文格式分号)。

    sdk加固-3.jpg

    通过该加固方案可以满足政策监管、应用破解、盗版伪冒、数据泄漏、木马感染的安全要求,提高 APP/SDK 安全性,同时符合等保 2.0 技术要求。

    近期SDK加密产品全线5折,为您的APP保驾护航!欢迎咨询!

    展开全文
  • 安卓APP之加固技术

    千次阅读 2017-01-13 20:02:02
    在版本上线后为了防止APP版本被篡改,经常需要对App进行加固!这样可以防止APP被篡改和反编译。 那么问题来了怎样对App进行反编译呢!1.首先我们可以下载一个加固工具: 然后只需要把要加密的文件路径放进去...

    在版本上线后为了防止APP版本被篡改,经常需要对App进行加固!这样可以防止APP被篡改和反编译。
    那么问题来了怎样对App进行反编译呢!

    1.首先我们可以下载一个加固工具:

    这里写图片描述


    然后只需要把要加密的文件路径放进去即可:点击生成文件XiangCunTianDi_apkcrypt.apk
    注:点击开始后,可能会弹出错误信息:The application need Java jre , please install jre and retry
    解决办法:由于电脑是64位的,我只安装了64位的jre,再去装个32位的jre就可以了



    这里写图片描述

    2.对生成的文件进行加密,首先我们要在开发工具中制作 xxx.keystore 文件

    在XiangCunTianDi_apkcrypt.apk文件路径下按shift键和鼠标左键 点击在此处打开命令行
    输入命令:
    这里写图片描述
    jarsigner -verbose -keystore android.keystore -signedjar XiangCunTianDi_signed.apk XiangCunTianDi_apkcrypt.apk androiddebugkey

    其中androiddebugkey 指的是Alias对应的值:输入秘钥即可完成:

    下面是我对加固后的APK反编译后的结果:可见加固后的apk反编译出错了。
    这里写图片描述

    Zipalign

    在Android SDK中包含了一个工具名为Zipalign,它可以优化你的APK程序包,我们都知道APK的MIME其实就是一个Zip压缩文件,通过Zipalign可以让你的应用程序运行更快.

    1.下载Zipalign 并把此文件放在SDK build-tools文件夹下。并配置到系统路径:
    这里写图片描述

    然后在加固后的apk的文件夹下文件路径下按shift键和鼠标左键 点击在此处打开命令行输入:

    zipalign -v 4 XiangCunTianDi_signed.apk XiangCunTianDi.apk即可:这样就完成了APK的优化:

    展开全文
  • android-加固方案对比

    千次阅读 2017-04-21 00:42:36
    android-加固方案对比 加固 应用安全 移动安全

    目前成熟的第四方解决方案

    1. 娜迦

    针对Android平台下的APP被逆向分析,破解,植入木马病毒后,用户敏感信息泄露或者被钓鱼网站劫持,NAGA Android保护采用防止静态分析与防止动态调试全面防护的思路,在未保护程序运行的不同周期采取不同程度的加固措施,可以针对银行、基金、券商,电商等需在线支付领域及游戏领域,提供定制型APP安全解决方案。

    主要实现:

    • 类抽取:保护dex文件,防止静态分析及动态破解
    • 代码加解密:保护so文件,防止静态破解
    • 网络访问控制:保护so文件,拦截恶意广告,阻止注入型木马
    • 敏感文件检测:保护so文件,防止静态调试
    • 整体包裹:保护dex文件,防止静态破解
    • 利用重定位清除ELF头:保护so文件,利用系统机制ELF头已经被系统清除,不兼容X86处理器
    • 字符串表加密:保护so文件,防止静态破解
    • 检查核心库:保护so文件,防止功能性数据库被劫持
    • 检查调试器:保护so文件,防止动态调试
    • Xposed检查:保护so文件,防止so文件,防止静态调试,防dump 防xposed脱壳神器对加固apk进行一键脱壳
    • 防止跟踪:保护so文件,防止动态跟踪
    • 强力清除ELF头:保护so文件,防止静态分析
    • 中间码乱序:保护smali文件,dex保护,防止静态分析,不兼容Android5.0 ART模式
    • 重定位加密壳段:保护so文件,对抗静态分析
    • 壳完整性检查:保护so文件,防止对APP程序中的壳段进行修改、调试 兼容性100%

    扩展阅读:娜迦社区

    2. 爱加密

    爱加密主要功能:

    1. 漏洞分析:

    • 文件检查:检查dex、res文件是否存在源代码、资源文件被窃取、替换等安全问题
    • 漏洞扫描:扫描签名、XML文件是否存在安全漏洞、存在被注入、嵌入代码等风险。
    • 后门检测:检测App是否存在被二次打包,然后植入后门程序或第三方代码等风险。
    • 一键生成:一键生成App关于源码、文件、权限、关键字等方面的安全风险分析报告。

    2. 加密服务:

    • DEX加壳保护:DEX文件加壳保护对DEX文件进行加壳防护,防止被静态反编译工具破解获取源码。
    • 内存防dump保护:防止通过使用内存dump方法对应用进行非法破解
    • 资源文件保护:应用的资源文件被修改后将无法正常运行
    • 防二次打包保护:保护应用在被非法二次打包后不能正常运行。
    • 防调试器保护:防止通过使用调试器工具(例:zjdroid)对应用进行非法破解
    • 多渠道打包:上传1个APK,通过选择android:name和填写android:value来实现对每一个渠道的包的生成和加密
    • 漏洞分析服务:漏洞分析采用文件检查、漏洞扫描、后门检测等技术方向对APK进行静态分析并支持一键生成分析报告
    • 渠道监测服务:监控国内400多个渠道市场入口,对应用的各渠道的下载量、版本信息、正盗版进行一站监控
    • 签名工具:爱加密提供纯绿色签名工具,支持Windows、Linux和MAC系统,同时支持批量签名
    • DEX专业加壳保护:本服务是对安卓DEX文件进行加壳保护,有效防止所有静态调试器对APK进行破解
    • DEX专业加花保护:本服务对安卓DEX文件进行加入花指令(无效字节码)保护
    • 资源文件指纹签名保护:对资源文件指纹签名进行验证保护,有效防止资源文件被篡改
    • 高级防二次打包保护:本服务对APK进行防止二次打包保护,防止APK被使用非法手段修改替换文件后进行二次打包
    • 高级防调试器保护:防止通过使用调试器工具(如:zjdroid、APK改之理、ida等)对应用进行非法破解
    • 高级内存保护:本服务是对内存数据的专业高级保护,可防止内存调试,防止通过dump获取源码,防止内存修改
    • 截屏防护:防止黑客通过截屏形式获取应用账号、应用密码、支付银行卡号、支付银行卡密码,支持安卓所有机型
    • 本地数据文件保护:对APK应用的网络缓存数据、本地储存数据(提供SDK)进行深度保护
    • 源码优化:1) 一键清除Log(开发日志)信息;2) 一键优化减少加密后增大的源用包大小
    • 防止脚本:本服务爱加密提供防止脚本SDK,用户根据开发帮助文档进行二次开发,此保护项可有效防止游戏非法使用脚本
    • 防止加速器:防止游戏使用加速器,破坏游戏公平(如:防八门神器和葫芦侠中的加速器功能)
    • 防止模拟器运行:防止模拟器非法运行(可以防止运行在PC上的任何类型的android模拟器)
    • 防止内购破解:防止游戏被内购破解(如:游戏内部有支付项,可以防止支付项相关内容被破解)
    • SO文件保护:so文件专业保护,对so文件进行优化压缩、源码加密隐藏、防止调试器逆向分析

    3. 渠道监测:

    • 渠道数据监控
    • 精准识别渠道正盗版
    • 盗版APP详情分析

    扩展阅读:加密资讯

    3. 梆梆加固

    提供的移动应用保护服务:

    • 防逆向保护:以加密代码的方式阻止反编译,从而防止被窃取代码和创意
    • 防篡改保护:通过对app的完整性保护,防止app被篡改或者盗版
    • 反调试保护:阻止应用运行中被动态注入,防止被外挂,木马偷窃账号密码,修改交易金额等
    • 存储数据加密保护:更底层,跨文件格式的数据加密,防止应用数据被窃取
    • 环境监测和保护:云监测设备环境,防止盗版应用,恶意应用的钓鱼攻击

    扩展阅读:安全SDK下载

    4. 360加固保

    加固保为移动应用提供专业安全的保护,可防止应用被逆向分析、反编译、二次打包,防止嵌入各类病毒、广告等恶意代码,从源头保护数据安全和开发者利益,
    360的加固流程大体和阿里聚安全差不多,加固前选择项比较多,可以选择增强服务比如日志分析,X86架构,应用升级通知,对于签名的选择。

    主要提供:

    • 反篡改:通过签名校验保护,能有效避免应用被二次打包,杜绝盗版应用的产生
    • 反窃取:对内存数据进行变换处理和动态跟踪,有效防止数据被获取和修改
    • 反逆向:对代码进行加密压缩,可防止破解者还原真实代码逻辑,避免被复制
    • 反调试:多重手段防止代码注入,可避免外挂、木马、窃取账号密码等行为

    5. 阿里聚安全

    如果是认证用户可以选择已有的应用或者上传新应用直接开始加固,操作过程很顺畅。加固中会提示先给应用进行恶意代码检测,这点挺人性化的。加固后将文件下载下来再次签名即可发布。另外还有在线多渠道加固可以选择,这个功能比较适合发布渠道多的用户。




    6. 腾讯云应用乐固

    腾讯云的加固上传应用后默认选择了加固,漏洞检测还有渠道监控。可选项是适配分析,限量每天一次。









    加固前后指标对比

    加固等待时间对比

    对于加固等待时间这一次对比中也做了记录。同样的应用在不同的平台加固时间也是很不一样,最快的是阿里聚安全,16MB的应用加固用时27秒,而通付盾最久用时3分08秒。当然时间的差别除了和加固引擎不一样之外,也可能是加固强度和加固项目有关。

    加固前后体积对比

    阿里聚安全的加固反而使应用包变小1MB,其他的几个则都出现了0-0.8MB的浮动。

    加固前后首次启动速度对比

    一般来说加固后首次启动速度会略微受到一点影响,但是第二次启动就会正常。通过第三方兼容性测试testin的测试,这五个平台输出的应用签名后兼容性相差不大。这次采用的是覆盖100台主流手机的测试,检测结果如下:

    除了360加固,其他4各平台加固后启动速度比加固前要慢。其中对速度影响最大的是梆梆安全。

    加固前后兼容性对比

    对于应用的兼容性也是非常重要的一项指标。通过这次的评测,可以发现测试的应用采用通付盾的加固后,兼容性出现了大幅度下降只有88%。而其他四个并没有太多的变化。


    总结

    最后再来一个汇总的统计表格,看看这几个指标中都是哪些平台得了第一:

    这里要特别提一下,如果应用市场选择360开发平台的话是不允许使用其他品牌商的加固功能的,这一点体验上就会不太好。目前整个加固市场从这次的样本分析上来看也是大同小异,各位如果想选择加固产品可以重点关注加固后的兼容性还有启动速度这两个维度。

    最后是想说明一下这次加固使用的都是免费版自动化加固,目前各个平台也都有提供一些API或者更高强度的加固方案。不过就目前加固技术而言,还是有方法可以对应用脱壳的,对于应用安全来讲除了加固还可以再结合其他的一些方式。比如在应用中嵌入安全组件,进行数据加密和逻辑混淆这种方式。



    注意点:
    其实,就个人而言,最终的参数,就是首次启动时间,其次就是兼容性。然后才是安全性,如果使用的体验不好,再安全的应用也没什么用。所以个人还是比较偏爱360的。
    但是首次启动的时间,往往和加密的复杂度相关,所以,有的时候,首次加密时间越长有的时候可以认为越安全,但是安全没有绝对的。
    网上,有一些安全论坛的大牛们,,使用打进包里面so文件,或者其他文件,进行二进制的读取,和寻找规律,如果不是全量数据的加密,而是使用基础结构变化的加固方案,还是有破解的风险的,还是那句那,复杂度往往会带来首次启动时间过长。

    如果有比较好的方案,欢迎交流。
    展开全文
  • Android sdk加固使用详细说明主要介绍Android版本的密钥保护SDK如何使用,阅读者需要一定的Android的开发经验,否则可能存在一定的疑问 拷贝.so文件 在Android Stuido中打开项目,将解压文件夹下armeabi-v7a 和x86...
  • iOS sdk加固使用详细说明主要介绍iOS版本的密钥保护SDK如何使用,阅读者需要一定的iOS的开发经验,否则可能存在一定的疑问 拷贝Lib文件 a、在Xcode中打开项目,右键项目后选择Add Files to “testDemo”[测试项目]...
  • 消息推送SDK的易用性可以从下面几个方面考虑: (1)接入简单:接入SDK时有集成demo直接可以运行,且接入文档清晰、步骤简单,最好能实现一键集成。 (2)保持核心优势:关于推送,我们主要考虑及时性、到达率、...
  • 谈Android接入Sdk开发的安全性方案

    千次阅读 2018-01-15 16:08:31
    Android 接入sdk是指某公司作为能力提供方...裸Sdk是指sdk未进行加固,直接简单的通过反编译工具就可以看到其实现,现在混淆不算加固,但很多sdk就仅限于混淆而已,就没有其他安全措施了,这样就很容易暴露如下问题:
  • android 常用第三方服务

    千次阅读 2017-03-26 22:53:34
    消息推送 ...应用加固 360加固保 爱加密加固 阿里聚安全 百度加固 腾讯云加固 梆梆加固 Dexguard 分享三方平台 友盟分享 ShareSDK 自动化测试 即时通讯 融云 网易云信 环信 极光IM 友盟IM VTC微特喜
  • Unity游戏开发——unity接入多渠道sdk

    千次阅读 2017-07-25 11:12:32
    最近游戏进入最后测试和接入sdk阶段,对接了多个sdk简单记录和分享一下在接入各个渠道sdk中遇到的问题和坑,在之后或其他人看到之后可以绕过,提高效率仅此而已。 我们使用的unity开发,在选择sdk接入的时候最先想...
  • Android版本加固后签名

    千次阅读 2016-09-22 12:44:38
    Android版本加固后签名 在上传应用的时候,应用加固之后会破坏原有的签名,需要重新签名才能发布到应用市场中,如下图: 加固后的签名步骤如下: 1:签名之前需要Java的JDK环境以及被破坏签名的apk安装包,以及将...
  • Android代码混淆与加固技术一

    千次阅读 2018-02-05 22:03:49
    1、 2、 3、 ② ③配置文件proguard-android-optimize.txt和...proguard-a...-optimize.txt文件位于sdk/tools/proguard/目录下 开启优化开关 在proguard-
  • apk签名之用 jarsigner签名

    千次阅读 2019-01-27 10:36:10
    Android sdk中有个工具jarsigner,可以对apk进行签名,看名字感觉应该可以对jar也进行签名。 在360那里上传apk的时候,同事跟我说因为360要加固的关系,所以本来已签名的apk最终得到一个加固后未签名的apk,然后...
  • 应用不兼容的常见原因使用了系统的 ClassLoader 加载 org.apache.http.* 的库Android M 就已经开始移除对 Apache HTTP cl...
  • 使用百度加固服务给app应用加固

    万次阅读 2015-08-27 12:08:07
    先上一段百度加固的上线公告: 尊敬的开发者: 为防止您的在百度开发者平台提交的移动应用利益受损,现百度开发者平台为您提供移动应用加固服务,使用加固服务,能有效防止应用被反编译、篡改,保护...
  • 支持Android7.0 Signature V2 Scheme 多渠道打包,并解决类似360加固后获取不到渠道信息 - 渠道统计失败的问题步骤Tinker使用参考:Tinker使用过程及注意点 根据上文,假设我们现在获得了: 原始安装包:base.apk ...
  • 近来 为了维护项目的安全性 解决应用签名的安全问题 采用了此签名方案 目前市场上 仍没有同时支持 v1 和 v2 的 签名工具(android studio除外) studio 可以应用打包时 对应用进行v1+v2 签名 但是在经过加固后 签名...
  • 之前我打包混淆的时候有遇到这个问题,不过如果真的有混淆难以解决的也不要怕,因为现在app加固工具非常的多,而且也很稳定不混淆用加固工具也是可以的。 这个问题就是alipay的包不能被依赖,可以现在alipay都是给...
  • Bugly热更新SDK你需要知道的一些事

    千次阅读 2016-11-29 09:32:22
    Bugly出热更新SDK了?没错,Bugly也出热更新SDK啦,2016.11.25号,我们Bugly也上线了Android版的热更新SDK,大家都知道这一年来热更新被无数次提起,各大厂自主研发的热更新方案层出不穷,下面就列举一些大家比较...
  • Android9.0对非 SDK 接口的限制

    千次阅读 2018-10-19 12:02:13
    在 Android 9.0 版本中,谷歌加入了非 SDK 接口使用限制,无论是通过调用、反射还是JNI等方式,开发者都无法对非 SDK 接口进行访问,此接口的滥用将会带来严重的系统兼容性问题。 在开发过程中,开发者如果...
1 2 3 4 5 ... 20
收藏数 2,732
精华内容 1,092
热门标签
关键字:

sdk加固