柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布
柔弱的APP如何自我保护,浅谈APP防驭手段,使用360加固助手加固/签名/多渠道打包/利用市场发布
由于JAVA和Android的平台型,所以APP很容易被反编译,这对我们开发者来讲,是1个不想要的结果,对用户来讲,就是1个凶讯,而安全性,1直是我们关注的焦点,今天,我们来聊聊这个安全性,和1起玩玩Apk加固!
1.我们为何要提高APP的安全性
手机已是不会离开身旁了,APP更是重中之重的环节,我们衣食住行,基本上大部份都是靠APP来完成的,这样的话,APP的安全就是1个很大的挑战了,不管你哪个环节出了问题,都会使你的私人信息,菜场安全遭到要挟,更何况,万1给你来1个全家桶,那你还不得哭死!
2.提升APP安全性的手段
1般我们针对安全性有甚么流程?
- 1.打包(学了几年的Android全部还给了Google爸爸了)
- 2.混淆 (可行性比较高,但是坑有点多,有些SDK不支持混淆)
- 3.加固 (平台多,选择慎重)
- 4.特殊处理 (企业不传之密)
1般就这几个流程吧,打包就直接上架了,这个点,明显是个梗啊,略微反编译1下就可以把你代码看个7788了,混淆也算不错的点,但是略微有点麻烦,不过还算是不错的手段。加固,很轻松就弄定了,对大多说开发者来讲,算是挺不错的手段,但是,人家高手也能够直接解固的(好想学…),所以,作为开发者,我们平常的习惯1定要保持好啊,就拿我来讲吧,我们公司有自家的系统,APP都是自己开发的,但是我每次调试的时候都能看到很多的APP的Log,这时候我都会告知负责这1块的工程师,把这些细节注意下,所以,我们的代码意识也有几个类型‘
- 1.时刻斟酌多种情况下的功能实现
- 2.对权限严格控制,不要为了实现某个功能加很多过剩的权限
- 3.清除你的Log信息,这里推荐用封装好的Log类
- 4.使用最新的开发工具和API,这点不多说,谁用谁知道
- 5.有使用到第3方SDK的时候,多斟酌1下他的各个方面,对权限的严查和掌握它更新的动向
- 6.看看新闻,没准你能收获到很多安全意识
固然,我们不光写代码习惯要注意,我们写代码的时候也应当要多注意1些问题,固然,只针对大型企业APP和金融类APP
- 1.避免在JAVA层处理敏感数据
- 2.利用内自我效验
- 3.代码进行混淆
- 4.采取安全组件
- 5.APK加固
就拿输入密码来讲吧,对密码的处理,各种加密,各种隐蔽上传,但是还是会有疏漏,比如前段时间就有人爆料搜狗的输入法把用户输入的信息上传到了自己的服务器,还用的是明文,额…这个…..,友谊的小船就这样没说就翻了,固然,这里也不只是针对搜狗,其他几家也好不到哪里去,这时候,我们也能够自定义键盘甚么的,不需要很多的功能,其实实现起来还是没甚么大难度的
固然,编译后的利用,数据都被编码了,进1步修改还是有点难度的,我们接下来说1下加固的技术对编译的APK再穿上1层保护伞
3.加固手段
甚么是加固(以360加固为基础)?
- 加固就是1种提升APK安全性的处理手段,他的原理就是使用1个classes.dex文件做Loader,对原字节码Classes.dex文件进行加载和启动,即在原字节码文件履行前增加1段额外的逻辑,用来增加安全策略,引导援用正常运行
大家都知道,我们用APKTools去反编译的时候,得到的源码文件就是Classes.dex,而加固就是把原本的Classes.dex做了假装进行保护,我们来看张图
图是我偷来的,哈哈,这个就是1个加固的模式了,我们的APK的1些文件可以看这里
那我们加固前和加固后的文件结构有甚么不同呢?这个我们还得分两个点来说
- 文件结构的不同
文件结构产生了少量的变化,我们直接看图说话
这图自己画的,不是偷的啊,哈哈!
- 代码的不同
代码的不同,主要体现在
- AndroidManifest.xml
清单文件里,新增加了1条权限
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>- 而且强迫把Application的name指定为
android:name="com.qihoo.util.StubApplication"- 最后是增加了1个注册Activity的信息
android:name="com.qihoo.util.appupdate.AppUpdateActivity"对了,包名也产生了变化,在启动APP的时候就是进行了1些逻辑处理了,我们说了这么多,其实没甚么luan用,我们还是实战了解1下把,这里就用360来演示
4.360加固助手
哟西,到正题了
- 官网:http://jiagu.360.cn/
1. 360加固助手的介绍
额,这个,还是照搬网上的吧,既然用人家的东西是吧,也不好黑人家,官网是这样说的,加固报移动利用提供专业安全的保护,可避免利用被逆向分析,反编译,2次打包,避免嵌入各类病毒,广告等歹意代码,从源头保护数据安全和开发作利益,为了满足广大开发者的需求,加固报团队推出了即网页端加固宝后的PC端360加固助手,来发着只需要打开360加固助手软件,1键上传APK,就能够自动完成利用的加固,多渠道打包,签名工作
2. 360加固助手的特点
- 1.1键上传自动加固与签名
无需下载签名工具,轻松实现自动签名,免去重复签名的麻烦
- 2.多渠道打包更简便,快捷
不限制渠道包个数,记忆你的渠道信息,无需重复配置渠道信息
- 3.自动下载和保存
利用加固后,自动保存在指定文件夹下,无需手动下载
3. 360加固助手的功能
- 本地加固
与加固报Web服务完全对接,使得加固变得更加便捷
- 2.查看加固任务的进度
在本地查看加固任务的详情
- 3.配置信息
本地配置签名,利用市场发布渠道,增强服务
- 4.辅助工具
制作签名,签名APK
- 5.1键发布
将加固后的利用1键发布到各大利用市场
怎样感觉在给360加固打广告1样啊…..
好了,我们直接进入官网
然后可以点击立即便用,他也会提示你下载助手的,这里给个链接1键直达
- 360加固助手下载:http://jiagu.360.cn/qcmshtml/details.html#helper
我们就直接下载Windows版了,里面有1些支持文件和1本说明书,还有1个安装程序,这里要注意我们需要登录哟
固然,主界面上的功能我们上面都讲到了,也就这么点东西可以说的了
好的,我们来时利用加固了
4.加固
为了加固,我们提早准备好1个APK,然后我们签名,得到他的签名文件,密码是123456789,好了,我们点击加固利用,导入我们的APK
我们暂时先暂不配置,就会看到正在进行加固
他就会提示输出的目录,也就是加固后的利用
而我们点击任务详情,就能够看到我们本次加固的1些信息
现在你,我们可以去配置信息中配置我们的信息了,这里有3个选项卡,第1个是配置你当前的app所需要的配置信息,你把签名文件放上去,再填写密码就能够了
第2个就是大多比较感兴趣的多渠道打包了,我们其实很简单,选择统计平台,选择市场,填写编号就能够了,很方便
最后加固选项就是指定输前途径了
下1个选项是辅助工具,没甚么说的,签名和制作签名
最后,我们可以点击1键发布把利用发布出去了
还是挺方便的,get到新技能了哟!
好的,我们这章就到这里结束了