欢迎来到天天文库
浏览记录
ID:8853105
大小:21.50 KB
页数:2页
时间:2018-04-09
《移动应用安全之app加壳详解》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、什么是APP加壳?加壳是移动应用加密的一种方式。APP加壳是指在二进制的应用程序中植入一段代码,对原始二进制原文进行加密、隐藏、混淆;加壳是应用加密的一种手法,应用加壳后,在运行的时候会优先取得程序的控制权,做一些额外的安全工作。APP加壳的作用加壳的程序可以有效阻止对程序的反汇编分析,以达到它不可告人的目的,这种技术也常用来保护软件版权,防止被软件破解。通俗的解释,加壳可以有效防止APP被植入恶意代码导致的程序被破解、被山寨的风险,同时保护用户隐私信息和数据泄露等。如今,安卓apk文件很容易暴露出来,这也是安卓本身的特性。安卓危险的
2、原因:第一个原因就是签名机制问题,安卓上没有中央的签名机制,签名的原因造成现在安卓这个市场上二次打包的现象非常严重。第二个原因是技术问题,安卓采用JAVA语言开发的,源码很容易泄露。第三个原因就是安卓的开放性,苹果控制了签名,使下载程序的来源变得单一,而在安卓上你可以在任何地方下载应用程序,其实安卓不安全的真正原因就是这个因素造成的。在这种情况下,我们还会经常碰到一些问题,现在会暴露一些服务器的漏洞。为了支持手机的客户端,新开发了一套接口,而这套接口没有经过调试,黑客仿编你的客户端,通过未调试的接口就会发现你后台有一些相关的漏洞,从而
3、通过这种方式进行一些入侵。作为开发者或开发商,是应用程序产生的源头。建议将安全融入到应用开发生命周期当中去,在开发阶段进行安全测试和检测,及时发现应用程序缺陷和安全漏洞,减少不必要的安全风险;在应用发布阶段进行应用安全加固,增加应用安全强度,防止应用被破解和二次打包;在运营阶段进行渠道监测,及时发现盗版应用,保障自身合法权益不受恶意损害。APP加壳的利弊通过使用APP加壳技术,开发者可以有效保护自己的核心代码算法,提高破解、盗版程序和二次打包的难度;技术层面,APP加壳可以缓解代码注入、动态调试、内存注入攻击,加强了APP的安全;目前
4、主流的移动应用安全服务商都将APP加壳作为主要的应用加密手段,辅以其他保护APP的手段。任何事物都存在两面性,有优势的同时也存在着弊端,APP加壳也不例外。APP加壳后存在的主要弊端包括影响兼容性和影响程序运行效率,特别是用户频繁使用的游戏和社交软件。难题是用来攻克的,魔高一尺,道就能超过一丈。爱加密APP加壳采用最先见的技术,以最优的方案降低了使用APP加壳后应用的兼容性问题,通过爱加密加壳的应用可以达到市面上容量增加最少,对程序运行效率影响最低的效果。对于软件开发人员来说,保护代码安全是非常重要的。然而,目前GoogleAndro
5、id平台选择了JavaDalvikVM的方式使其程序很容易被破解、修改,首先APK文件其实就是一个MIME为ZIP的压缩包,我们修改ZIP后缀名方式可以看到内部的文件结构,类似SunJavaMe的Jar压缩格式一样,此外,Android上的二进制代码被编译成为DEX的字节码,所有的JAVA文件最终会编译进该文件中去,作为托管代码虚拟机可以轻易识别,那么我们就可以很轻松进行反编译。所有的类调用涉及到的方法都在里面体现到,至于逻辑的执行可以通过实时调试的方法来查看,当然这需要借助一些我们自己编写的跟踪程序。Google最然在Android
6、Market上设置了权限保护APP-private文件夹的安全,但是最终我们使用修改定值的系统仍然可以获取到需要的文件。如何帮助更多用户和开发者免受恶意APP的侵害,这需要一个长期的过程。首先需要开发者对AndroidAPP安全的重视;其次需要开发者从技术手段上加强对自身APP的保护,如现在被众多开发人员追捧的第三方免费加密服务平台——爱加密,可对APP进行免费的漏洞分析、应用保护以及渠道监测,更方便有效的对APP做全面的分析和加固保护。同时,也需要政府加大对盗版篡改的监测和打击,建立一个良好的产业环境。只有大家共同努力才会让恶意AP
7、P应用吸费现象不再“出现”。通过对加壳后的应用采用全方位无死角的主流机型兼容性测试,使用过爱加密加壳服务的应用的兼容性达到99%以上,实现ART全面兼容;同时,爱加密加壳后的应用程序增量最小,启动运行效率达到业内最优。目前市面上的大量应用都缺少这类保护,特别是金融类应用和敏感度较高的游戏应用。爱加密安全专家警示:亡羊补牢不如未雨绸缪,安全是大事,APP要防患于未然。
此文档下载收益归作者所有