渗透测试详解及爱加密加固使用及优势

       定义:

             渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。它是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

     要求:

            Apk如果不放到互联网上,找个免费加固工具的加一下就可以;如果后期会放到互联网上,需要保证壳不被脱掉(言外之意:必须加固防止脱壳)。

    解决方式:

            对apk进行加固,笔者说一下自己踩得坑,一开始apk是采用360助手加固,利用网上大部分反编译工具就算脱壳也无法反编译,按理说这种加固方式是可以的。

           但是让第三方公司做了一次渗透测试,被他们的反编译成功脱壳获取到源代码了。最后了解到他们用的工具是frida-dexdump,我也了解了一下这个工具为何那么神奇。原来这个工具脱壳原理是破解动态内存,就是在apk运行的时候抓取加壳工具解密后的代码。我说一下我解决的思路及解决方式。

          解决思路:在网上寻找防止frida-dexdump资料,但是查阅很久后无果,我也很无奈。后来在吾爱破解博主上看到了希望,他写了一篇文章,就是介绍frida-dexdump工具安装使用的,其中有frida-dexdump工具的安装使用,

链接:https://www.52pojie.cn/forum.php?mod=viewthread&tid=1116812

        然后看到爱加密加固方式可能无法利用此工具破解。然后我先安装frida-dexdump工具,再者就是开始大量查阅爱加密加固方式的使用。下面是爱加密加固的步骤:

  1. 登录爱加密官网,注册企业版账号
  2. 打包apk,签名apk(不签名无法进行加固),然后登录已注册的爱加密账号,然后点击加密中心、立即加密,然后选择填写对应的信息。

渗透测试详解及爱加密加固使用及优势_第1张图片渗透测试详解及爱加密加固使用及优势_第2张图片

  1. 最后等待加密完成下载已加固的apk,再进行一次签名。备注:加固后的apk默认清除之前的签名信息,所以整个流程需要进行两次签名。

 

  1. 签名工具:爱加密官网有推荐的签名工具,自行下载

渗透测试详解及爱加密加固使用及优势_第3张图片

渗透测试详解及爱加密加固使用及优势_第4张图片

最后:我使用爱加密加固后的apk,再次用frida-dexdump工具,果然成功了,所以说到这里,我的问题解决了。哈哈哈

了解了一下爱加密免费加固和收费加固的区别:免费加固服务是针对dex源码做基础的保护,采用挖空的技术实现,是防止二次打包和防止静态反编译的;收费加固服务是为客户量身定做,根据客户的需求来定做加固内容。

你可能感兴趣的:(加固方式,渗透测试,apk加固,渗透测试)