Objective-C代码混淆

使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:所有函数类型,变量全部泄露。
这样的话,攻击者会了解到程序结构,从而方便逆向。因为在工程中,我们这些变量或函数命名都是有一定可读性的,例如跟用户名相关的,那一般里面会有 userName,跟密码相关的一般会有passWord,这样定义只是为了代码可读性更强,容易维护。并不希望方便黑客们去破解我们的APP。

混淆的一般做法

1)花代码花指令,即随意往程序中加入迷惑人的代码指令
2)易读字符替换

  1. 创建一个func.list文件在工程目录下
    先cd到你项目的路径下,回车,然后在终端中分别输入 touch func.list然后回车


    touch func.lit.png
  2. 建立一个.pch文件,添加混淆头文件

#import "codeObfuscation.h"

  1. 配置脚本


    添加脚本.png
TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C

#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE


sqlite3 $SYMBOL_DB_FILE .dump

注:混淆脚本,主要思路是把敏感方法名集中写在一个名叫func.list的文件中,逐一#define成随机字符,追加写入.h

  1. 把你想混淆的代码复制一下,然后粘贴到我们的func.list文件中去。然后编译一下


    混淆结果.png

参考1
参考2
参考3

你可能感兴趣的:(Objective-C代码混淆)