请教 V 友是怎么保护自己的 SO 库的

2018-01-29 12:22:07 +08:00
 paparika
12782 次点击
所在节点    Android
16 条回复
ltux
2018-01-29 13:40:05 +08:00
请拿起法律武器。
Karblue
2018-01-29 15:28:10 +08:00
千百种保护都敌不过逆向。先看自己有没有被逆向的价值。有的话。加强壳可以抵挡一部分菜鸡逆向,要防逆向玩的 6 的。你只能各种暗桩+vm+代码变形(拖延时间而已)
paparika
2018-01-29 16:50:43 +08:00
@Karblue 安全行业确实赚钱,刚查了下几个大厂加固都是 8w/year,360 倒是免费,不过有点担心他们会不会搞事情。目前看来可能比较好实现的就是 OLLVM 混淆+ndk 代码验证签名防二次打包,话说验证签名有多靠谱呢?有什么手段可以攻破?
closedevice
2018-01-29 18:08:04 +08:00
@paparika 只是一个时间问题,关键还得看你的应用有没有触手可得的利益
tanranran
2018-01-29 18:19:30 +08:00
重要数据放云端
boywhp
2018-01-29 18:26:51 +08:00
OLLVM 吧 性价比高
funCoder
2018-01-29 18:43:46 +08:00
OLLVM 其实坑很多。经常会遇到各种神奇的情况,把头发拔完了才发现是 OLLVM 混淆的问题,关了就没事
nicevar
2018-01-29 18:53:23 +08:00
防不住,稍微加强一下能挡住大部分人就可以了,移动安全方面发展还是比较缓慢的,跟 windows 相比,android 的混淆、加壳这些手段还在初级阶段
kohos
2018-01-29 21:49:10 +08:00
IDA Pro 调试功能太强,就算加了反调试也能在启动的时候注入绕过,建议重要的逻辑还是放服务器端
MonoLogueChi
2018-01-29 22:22:46 +08:00
加固对 app 会有影响,另外,千万别用 360 加固,上次有人用 360 加固,锁屏会弹通知,会在手机上创建文件夹,吓得他赶紧停了加固。虽然各大厂商都说加固对 app 没啥影响,但是确实有影响了,最简单的栗子就是横屏竖屏横屏竖屏。
zhouquanbest
2018-01-30 00:57:54 +08:00
之前做金融 app 自己搞了用动态函数生成 key+签名验证 拉白帽子来扫过 没出过大问题
不过前端再怎么加密 都只是增加破解难度而已
ihciah
2018-01-30 01:23:39 +08:00
360 那个加固似乎跑个修改版的 dalvik 就可以脱
miyuki
2018-01-30 02:49:48 +08:00
@ihciah 是 ART

关键词: dex2oat
miyuki
2018-01-30 02:51:11 +08:00
@MonoLogueChi +1,劫持了锁屏
codehz
2018-01-30 09:48:00 +08:00
Minecraft 表示:混淆?不存在的,不仅如此,我们还默认导出所有符号,包括虚表,typeinfo 在内的符号都被一并导出了,我们还贴心的大量使用模版,以便导出更多的类型信息!
paparika
2018-01-30 14:52:03 +08:00
@zhouquanbest 关于动态函数生成 key+签名验证,可以详细说说做法吗?之前看过 Jake 大神的文章,square 基本不做混淆啥的,基本上靠端到端之间的可靠性

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/426751

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX