关于某社交类app安全分析及app防止反编译的方法

本帖最后由 爱加密 于 2014-4-21 11:11 编辑     这款社交类APK是无数宅男宅女的挚爱，但是听说他们对这款app进行了非常严密的保护，防止用户进行二次打包。现在我们就来分析下这款app的安全性到底如何！     我们通过某APK代码安全免费检测平台，对这款手机软件进行了APK的源代码安全分析检测。可以看出这款手机软件未做很高级的加密保护，只是对APK进行了混淆源码和防二次打包的基础加密保护。下面我们通过对APK的源代码分析，看一下这款手机软件的安全如何！     首先，我们来分析下防二次打包加密保护，我们先去网上找到这款Android APK的安装包。然后对这款手机软件进行：解包-->打包-->安装-->运行，发现当我们登录的时候会提示签名信息不一致，导致不能登录！经过分析发现他是将apk的签名信息，上传到服务器然后进行验证，这时我们需要找到他获取签名信息的地方，如下图：     Ok，获取签名信息的方法已经拿到，现在我们要做的是把他这个签名信息换做我们从原包里边获取的签名字符串。 如下图： 到这一步就可以绕过这款APK的二次打包防护了，这样我们就可以登录了！     其次针对这种社交类APK，用户的账号密码也是很重要的，下边我们就来分析一下怎样获取用户的账号密码。 如下图： 这样就可以轻松随意的拿到用户的账号密码。     我们通过简单的反编译分析，就可以得到源代码并且进行修改。对任何APK来说这样的加密技术都等于摆设，那么什么样的APK加密技术，可以有效的对Android APP进行防破解和反编译保护呢？我想这是很多Android开发者都想知道的！     对于Android手机应用来说能做到有效保护，防止破解和反编译的加密技术。只有对安卓应用的DEX、RES、SO库等主要文件的加密保护，才能真正的对APK做到保护。下面我们尝试一下第三方的安卓应用加密保护，看看是否有能有效对APK进行加密保护！     首先我们登录一个APK加密平台，让平台对这款手机应用进行加密。 ①进入官网登录或注册（已有账号可以直接登录使用，如果没有需要先注册，注册新账号一定到完善个人资料，否则无法正常使用！） ②上传APK包提交加密，等待系统审核APK安全后，由系统进行加密。 ③加密完成后系统会发出邮件提示加密完成，然后下载APK包进行再次签名就可以使用了。     这时我们再次对这款手机软件的APK，进行源代码安全检测分析看看安全程度怎么样！     经过对APK的源码安全分析我们看到DEX、RES、SO库等主要文件，已经做了相对高级的加密保护。下面我们对APK源代码破解一下，看看是否有效果！     看来使用高级的APK加壳保护是有效的！DEX指令动态加载保护，可以保证APP的动态安全和静态安全，黑客几乎没有机会进行任何破解。并且还有SO库保护，使C/C++和JAVA的层面源代码的专业保护，可以有效防止破解和反编译！ 这就是我的Androd APK加密防破解经验分享，希望可以帮到需要的安卓开发者朋友！