文档章节

apk安全保护及处理

luhang
 luhang
发布于 2017/02/09 13:27
字数 571
阅读 6
收藏 0
点赞 0
评论 0

apk安全保护

App的安全问题首先是『数据安全』。App本地存储的数据和网络请求数据中有没有涉及到用户的隐私数据。关闭日志输出是最基本的方法之一。

还有就是『应用自身安全性』。对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。

一.项目配置 AS环境

1,AndroidManifest配置 application下设置 android:allowBackup=”false”

关闭ADB调试

2.build.gradle配置

build.gradle文本

-说明

  • debuggable=”false”的作用就是,将0赋给变量debuggable,相当于debuggable=0.
    如果这个设置这个变量的目的是为了调试,那么赋值后就会关闭调试

  • buildConfigField “boolean”, “LOG_DEBUG”, “false” // 不显示Log

  • shrinkResources false //移除无用资源
    设置混淆文件的路径名字

  • proguardFiles getDefaultProguardFile(‘proguard-android.txt’), ‘proguard-project.pro’

proguard-project.pro配置示范

二.使用AS签名打包

build下
生产打包签名

获取apk包

三.使用360加固工具

1.下载及工具配置

360加固工具去下载

  • 配置
  • 签名信息配置
可以配置签名信息 ,多渠道打包 加固类别

加固apk上传,加固及重签

加固完成会对apk进行二次重签,这个在工具内已经自动化完成

找到输出路径加固后的apk,会发现apk包明显增大


- 接下来是加固效果测试,你懂的o-o

解压apk,获取dex文件打包jar

反编译效果

效果很厉害!

我们的项目包经过这样多层处理,基本上已经可以不用担心别人的反编译了,源码基本是很难拿到手的。

注:由于android的打包机制,目前资源文件及AndroidManifest文本还是可以随时查看的,这个在BAT里面也避免不了,因为新版的Android Studio已经支持APK包分析了,上个图给你们看看

这里写图片描述

-只需要把apk安装包复制进AS项目中 双击就可以看到当前apk包的资源分析了


上述就是目前针对apk安全的处理及分析,如果有更好的方法欢迎与博主一起探讨交流!

© 著作权归作者所有

共有 人打赏支持
luhang
粉丝 3
博文 15
码字总数 571
作品 0
长宁
程序员
安卓反编译揭秘,伪加密APK文件如何被破坏

源码混淆 如上图,对Android APP的源码进行混淆后混淆器将代码中的所有变量、函数、类的名称加密为简短的英文字母代号,在APP被破解后增加破解者对代码的阅读难度。 但是混淆的功效只能运作在...

科技创造 ⋅ 2014/09/05 ⋅ 1

校验数字签名防止apk二次打包

Android系统的开放性和免费性等特征让开发者和用户趋之若鹜,用户也渐渐习惯了Android应用的这种免费午餐,但在免费的背后却有着巨大的安全阴影。 “Android APP二次打包”则是盗版正规Andro...

科技创造 ⋅ 2015/03/23 ⋅ 2

山寨Android apk产生原因?

Androidapk市场充斥着大量的盗版软件,直接危害了APP开发者的利益,让“如何防止apk反编译,保护APP安全”成为开发者面临的头等大事。目前很多APP个人开发者以及企业都在积极寻求解决之道,其...

ablansetaimeng ⋅ 2014/03/10 ⋅ 2

移动安全时代,如何保护你的app

Android系统的安全性历来备受诟病,在强大的反编译工具下,APK中的代码逻辑一览无余;重打包技术使得各种盗版软件层出不穷,充斥着Android市场,特别是对于金融、电商、游戏等产品的盗版应用...

今生 ⋅ 2015/11/11 ⋅ 2

浅谈Android应用保护(一):Android应用逆向的基本方法

对于未进行保护的Android应用,有很多方法和思路对其进行逆向分析和攻击。使用一些基本的方法,就可以打破对应用安全非常重要的机密性和完整性,实现获取其内部代码、数据,修改其代码逻辑和...

阿里聚安全 ⋅ 2016/04/15 ⋅ 1

柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要的结...

刘桂林 ⋅ 2016/05/30 ⋅ 0

Janus安卓应用签名绕过漏洞(CVE-2017-13156),允许攻击者修改合法应用

     安卓官方12月份更新修复了一个高危漏洞,攻击者可以利用该漏洞修改应用而不影响应用签名。漏洞名称为Janus,CVE编号CVE-2017-13156,影响安卓5.1.1到安卓8.0版本,大约74%的安卓设备...

嘶吼RoarTalk ⋅ 01/09 ⋅ 0

安卓应用安全指南 5.6.3 密码学 高级话题

5.6.3 密码学 高级话题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 5.6.3.1 选择加密方法 在上面的示例代码中,我们展示了三种加密...

apachecn_飞龙 ⋅ 04/05 ⋅ 0

Android安全开发之通用签名风险

Android安全开发之通用签名风险 作者:伊樵、舟海、呆狐@阿里聚安全 1 通用签名风险简介 1.1 Android应用签名机制 阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。Android系统...

阿里聚安全 ⋅ 2016/08/08 ⋅ 0

安卓应用安全指南 4.3.1 创建/使用内容供应器 示例代码

4.3.1 创建/使用内容供应器 示例代码 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 使用内容供应器的风险和对策取决于内容供应器的使...

apachecn_飞龙 ⋅ 03/22 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Kubeflow实战系列:利用TFJob导出分布式TensorFlow模型

介绍 本系列将介绍如何在阿里云容器服务上运行Kubeflow, 本文介绍如何使用TfJob导出分布式模型训练模型。 第一篇:阿里云上使用JupyterHub 第二篇:阿里云上小试TFJob 第三篇:利用TFJob运行...

全部原谅 ⋅ 22分钟前 ⋅ 0

007. 深入JVM学习—老年代

老年代空间的主要目的是用于存储由Eden发送来的对象,一般在经历好几次“Minor GC”还会保存下来的对象,才会被复制到老年代,这样就可以存放更多的对象,同时在老年代中执行GC的次数也相对较...

影狼 ⋅ 23分钟前 ⋅ 0

常见的一些C#开源框架或者开源项目

原:https://blog.csdn.net/qq_27825451/article/details/70666044 Json.NET http://json.codeplex.com/ Json.Net 是一个读写Json效率比较高的.Net框架.Json.Net 使得在.Net环境下使用Json更......

whoisliang ⋅ 23分钟前 ⋅ 0

设计模式基本原理

刚开始接触编程这行的时候看过设计模式,当时感觉学这些模式没有太大的用处,当时也看不太懂。但是随着慢慢接触这一行,经过一段时间的编程以后,再回过头来看设计模式,发现设计模式的确是太...

王子城 ⋅ 27分钟前 ⋅ 0

阿里云全面支持IPv6!一文揽尽4位大咖精彩演讲

摘要: 自从去年11月以来,阿里巴巴高度重视数据中心的网络改造、云产品改造、应用及网络改造等多个维度,经过半年以来的建设,阿里云已经完成了域名解析等关键产品的分析,现在阿里云已经完...

传授知识的天使 ⋅ 37分钟前 ⋅ 0

windows Android sdk 配置

1、下载Android SDK,点击安装,直接默认路径即可! 下载地址:http://developer.android.com/sdk/index.html 2、默认路径安装后,安装完成,开始配置环境变量。 3、打开计算机属性——高级系...

阿豪boy ⋅ 40分钟前 ⋅ 0

bash shell script 简明教程

User <--> bash <--> kernel shell is not kernel or part of kernel various shells: tcsh, csh, bash, ksh find the using shell: echo $SHELL find all the shells: cat /etc/shells what......

mskk ⋅ 42分钟前 ⋅ 0

Service Mesh简史

William Morgan Service Mesh是一个相当新的概念,讲它的“历史”似乎有些勉强。就目前而言,Service Mesh已经在部分企业生产环境中运行了超过18个月,它的源头可以追溯到2010年前后互联网公...

好雨云帮 ⋅ 43分钟前 ⋅ 0

10个免费的服务器监控工具

监控你的WEB服务器或者WEB主机运行是否正常与健康是非常重要的。你要确保用户始终可以打开你的网站并且网速不慢。服务器监控工具允许你收集和分析有关你的Web服务器的数据。 有许多非常好的服...

李朝强 ⋅ 55分钟前 ⋅ 0

压缩工具之zip-tar

zip 支持目录压缩。使用yum安装zip包,使用yum安装unzip包 zip 1.txt.zip 1.txt #将1.txt文件压缩,新生成的压缩文件为1.txt.zip,原文件保留 zip -r 123.zip 123/ #-r对目录操作。将123/目录...

ZHENG-JY ⋅ 55分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部