应用加固|辛苦开发的APP被山寨?为您的APP上把加固锁

近些年来,移动APP数量呈现爆炸式的增长,黑产也从原来的PC端转移到了移动端,伴随而来的逆向攻击手段也越来越高明。APP一旦分发出去,都会以某种形式处于不可信环境中,难免被有心人分析破解。然后侵犯原作者的商业利益或知识产权,所以应用被逆向破解是商业风险源头之一。

互联网环境下,盗用和剽窃能有多简单?

先看一波新闻标题感受下:

  • 《北斗卫星导航系统全球免费,却因山寨app收费20元连中国人都误会》

  • 《500万人用山寨12123查违章?高仿APP不只是坑钱》

  • 《关注:小米金融被骗子盯上遭假冒,真假难辨山寨APP要警惕!》

  • ......

诸如此类的新闻太多了,根据国家互联网金融风险分析技术平台检测数据显示:截至2020年5月底,共发现2801个互联网金融仿冒APP,仿冒APP下载量高达3343.7次。

伴随着移动应用数量的喷射式增长,对于一款APP来说,被山寨和盗版无疑成为了每一位应用开发者最头疼与烦恼的问题之一。

为了保护公司的APP安全,我用遍了市面上的加固产品

最近,公司开发了一款新的APP,我试遍了市场主流的加固产品。虽然国内外的都有,但是差距很大。移动端的黑产随着应用数量增加而日益壮大,伴随而来的逆向攻击手段也越来越高明,大量的应用程序面临着遭受逆袭破解、知识产权被侵犯、被二次打包签名等安全问题。

为解决上述问题,使用加固技术是对抗逆向攻击最有效的方式之一。但目前的移动端加固技术真的可以抵御黑客的攻击吗?

APP加固技术功能发展与功能实现

通过这几年的发展APP加固技术,不断得到快速迭代发展,加固的强度也在不断的提升。加固技术的发展主要经历:动态加载、内存不落地加载、指令抽取、指令转换、虚拟机保护。下面就跟我一起来了解一下APP加固后有什么可实现的功能吧!

App加固后的功能实现

1、字符串加密:将App的源代码中敏感字符串做随机加密处理。在运行时进行对字符串动态解密,这样就可以避免攻击者,通过利用工具进行静态逆向分析发现关键字符串信息,从而快速定位到应用中的业务代码。

2、控制流平坦化:将so文件中C\C++代码中的执行控制逻辑变换为平坦的控制逻辑,从抽象语法树层面进行深度混淆,使得其在常用反编译工具中,极大的降低反编译逆向代码的可读性,增加逆向代码的分析难度。

3、指令替换:对代码中的运算表达式进行等效转换,使其在常用反编译工具中,提高破解者逆向分析门槛,有效的保护核心算法的原始逻辑。

4、局部变量名称混淆:对源代码中的变量名称进行做混淆操作,混淆后变量名称变成无任何意义的名称。这给分析者加大了分析强度。

5、符号混淆:对App应用中的类名称、函数名称进行混淆操作,增大直接用工具分析难度,让反编译逆向工具,无法直接通过类名称、函数名称进行快速定位App的核心代码。

6、混淆多样化:采用在混淆过程中引入随机性技术,在相同的混淆策略下,每次混淆后的代码均不一致,进一步提升攻击者通过利用工具进行静态分析的难度。

7、不透明谓词:将代码中分支跳转判断条件,由原来的确定值变为表达式,增加程序逻辑的复杂性、降低代码的可读性。

8、防动态调试:对App应用进行防调试保护、检测到配置防动态调试功能的类、方法、函数被IDA逆向工具进行动态调试时候,App应用进行自动退出运行操作,有利于保护App应用直接被动态调试,从而提高攻防对抗的门槛。

9、防动态注入:对App应用进行防动态注入保护,当利用zygote或ptrace技术进行App应用的注入操作时,App应用进行自动退出运行操作,以此进行防御攻击方对App应用的非法操作,避免动态分析执行代码,从而达到动态保护App应用安全。

10、HOOK检测:对App进行防HOOK保护,检测到配置防hook保护功能的类名、方法名、函数名在被frida、xposed等工具动态hook时候,App进行自动退出操作,以此进行提高防御App安全性,保护App不被注入攻击,抵御恶意侵入。

11、代码段检验:对App应用中的代码段进行完整性校验,发现代码段被篡改,App应用进行自动退出运行,防止App应用中的代码逻辑被篡改,以此进行动态保护App的源代码安全性。

12、完整性校验:对App中指定的函数级进行完整性校验,当应用被重新签名和代码的完整性遭到破坏时候,检测点进行触发App程序闪退,以此抵御主流的调试器调试分析,从而达到动态保护程序安全。

最后我想说点儿

通过蒲公英APP加固技术不仅可以提高对逆向后的代码阅读难度、而且有利于降低APP被破解、插入病毒、木马、后门程序等恶意代码的风险,同时也能增强用户隐私数据、交易数据的安全性。通过APP加固技术,也是为了更好地应对国家对APP安全合规监管检测的标准,降低APP被第三方媒体曝光,从而严重影响企业品牌形象和信誉,为企业和开发者的业务正常发展保驾护航。蒲公英安全应用加固为您守护每一个用心的应用,不被盗用与剽窃!

你可能感兴趣的:(职场和发展,经验分享,项目管理,测试工具,产品运营)