Objective-C代码混淆

使用classdump对原程序进行dump，可以dump出所有源程序的函数所有信息：所有函数类型，变量全部泄露。
这样的话，攻击者会了解到程序结构，从而方便逆向。因为在工程中，我们这些变量或函数命名都是有一定可读性的，例如跟用户名相关的，那一般里面会有 userName，跟密码相关的一般会有passWord，这样定义只是为了代码可读性更强，容易维护。并不希望方便黑客们去破解我们的APP。

混淆的一般做法

1）花代码花指令，即随意往程序中加入迷惑人的代码指令
2）易读字符替换

1. 创建一个func.list文件在工程目录下
   先cd到你项目的路径下，回车,然后在终端中分别输入 touch func.list然后回车

   
   
   touch func.lit.png

2. 建立一个.pch文件，添加混淆头文件

#import "codeObfuscation.h"

3. 配置脚本

   
   
   添加脚本.png

TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C

#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE


sqlite3 $SYMBOL_DB_FILE .dump

注：混淆脚本，主要思路是把敏感方法名集中写在一个名叫func.list的文件中，逐一#define成随机字符，追加写入.h

4. 把你想混淆的代码复制一下，然后粘贴到我们的func.list文件中去。然后编译一下

   
   
   混淆结果.png

参考1
参考2
参考3