V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
paparika
V2EX  ›  Android

请教 V 友是怎么保护自己的 SO 库的

  •  
  •   paparika · 2018-01-29 12:22:07 +08:00 · 12254 次点击
    这是一个创建于 2489 天前的主题,其中的信息可能已经有所发展或是发生改变。
    16 条回复    2018-01-30 14:52:03 +08:00
    ltux
        1
    ltux  
       2018-01-29 13:40:05 +08:00 via Android
    请拿起法律武器。
    Karblue
        2
    Karblue  
       2018-01-29 15:28:10 +08:00
    千百种保护都敌不过逆向。先看自己有没有被逆向的价值。有的话。加强壳可以抵挡一部分菜鸡逆向,要防逆向玩的 6 的。你只能各种暗桩+vm+代码变形(拖延时间而已)
    paparika
        3
    paparika  
    OP
       2018-01-29 16:50:43 +08:00
    @Karblue 安全行业确实赚钱,刚查了下几个大厂加固都是 8w/year,360 倒是免费,不过有点担心他们会不会搞事情。目前看来可能比较好实现的就是 OLLVM 混淆+ndk 代码验证签名防二次打包,话说验证签名有多靠谱呢?有什么手段可以攻破?
    closedevice
        4
    closedevice  
       2018-01-29 18:08:04 +08:00
    @paparika 只是一个时间问题,关键还得看你的应用有没有触手可得的利益
    tanranran
        5
    tanranran  
       2018-01-29 18:19:30 +08:00
    重要数据放云端
    boywhp
        6
    boywhp  
       2018-01-29 18:26:51 +08:00
    OLLVM 吧 性价比高
    funCoder
        7
    funCoder  
       2018-01-29 18:43:46 +08:00
    OLLVM 其实坑很多。经常会遇到各种神奇的情况,把头发拔完了才发现是 OLLVM 混淆的问题,关了就没事
    nicevar
        8
    nicevar  
       2018-01-29 18:53:23 +08:00
    防不住,稍微加强一下能挡住大部分人就可以了,移动安全方面发展还是比较缓慢的,跟 windows 相比,android 的混淆、加壳这些手段还在初级阶段
    kohos
        9
    kohos  
       2018-01-29 21:49:10 +08:00
    IDA Pro 调试功能太强,就算加了反调试也能在启动的时候注入绕过,建议重要的逻辑还是放服务器端
    MonoLogueChi
        10
    MonoLogueChi  
       2018-01-29 22:22:46 +08:00 via Android
    加固对 app 会有影响,另外,千万别用 360 加固,上次有人用 360 加固,锁屏会弹通知,会在手机上创建文件夹,吓得他赶紧停了加固。虽然各大厂商都说加固对 app 没啥影响,但是确实有影响了,最简单的栗子就是横屏竖屏横屏竖屏。
    zhouquanbest
        11
    zhouquanbest  
       2018-01-30 00:57:54 +08:00
    之前做金融 app 自己搞了用动态函数生成 key+签名验证 拉白帽子来扫过 没出过大问题
    不过前端再怎么加密 都只是增加破解难度而已
    ihciah
        12
    ihciah  
       2018-01-30 01:23:39 +08:00 via iPhone   ❤️ 1
    360 那个加固似乎跑个修改版的 dalvik 就可以脱
    miyuki
        13
    miyuki  
       2018-01-30 02:49:48 +08:00 via Android
    @ihciah 是 ART

    关键词: dex2oat
    miyuki
        14
    miyuki  
       2018-01-30 02:51:11 +08:00 via Android
    @MonoLogueChi +1,劫持了锁屏
    codehz
        15
    codehz  
       2018-01-30 09:48:00 +08:00 via Android
    Minecraft 表示:混淆?不存在的,不仅如此,我们还默认导出所有符号,包括虚表,typeinfo 在内的符号都被一并导出了,我们还贴心的大量使用模版,以便导出更多的类型信息!
    paparika
        16
    paparika  
    OP
       2018-01-30 14:52:03 +08:00
    @zhouquanbest 关于动态函数生成 key+签名验证,可以详细说说做法吗?之前看过 Jake 大神的文章,square 基本不做混淆啥的,基本上靠端到端之间的可靠性
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5317 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:39 · PVG 16:39 · LAX 00:39 · JFK 03:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.