关于某社交app的安全分析,简单介绍下app防止反编译的方法
2014-03-17 10:14
513 查看
这款app是无数宅男宅女的挚爱,也被称为“约炮神器”,它的注册用户已经达到8千万,但是听说他们对这款app进行了非常严密的保护,防止用户进行二次打包。现在我们就来分析下这款app的安全性到底如何。
首先,我们来分析下二次打包防护,我们先去网上找到这款app的安装包,解包-->打包-->安装-->运行。发现当我们登录的时候就会提示,签名信息不一致,导致不能登录。经过分析发现,他是将apk的签名信息上传到服务器然后进行验证,然后我们需要找到他获取签名信息的地方,如下图:
Ok,获取签名信息的方法已经拿到,现在我们要做的是把他这个签名信息换做我们从原包里边获取的签名字符串,如下图:
到这一步我们就可以绕过他的二次打包防护了,可以登录了。
其次,针对这种社交app,用户的账号密码也是很重要的,下边我们就来分析一下怎样获取用户的账号密码,如下图:
轻松随意的可以拿到用户的账号密码。。。
如此知名的app安全做的竟然如此不堪一击,app安全问题很严峻呀,一直在研究防止反编译的方法,源代码混淆,花指令,最近发现一个第三方加密平台,爱加密,测试了下,可以把源代码隐藏。并且使用三层加壳保护,DEX加壳保护,DEX指令动态加载保护,高级混淆保护,可以保证APP的动态安全和静态安全,黑客几乎没有机会进行任何破解。并且还有SO库保护,使C/C++层面的代码也得到了专业保护。做的还是比较全面的。
首先,我们来分析下二次打包防护,我们先去网上找到这款app的安装包,解包-->打包-->安装-->运行。发现当我们登录的时候就会提示,签名信息不一致,导致不能登录。经过分析发现,他是将apk的签名信息上传到服务器然后进行验证,然后我们需要找到他获取签名信息的地方,如下图:
Ok,获取签名信息的方法已经拿到,现在我们要做的是把他这个签名信息换做我们从原包里边获取的签名字符串,如下图:
到这一步我们就可以绕过他的二次打包防护了,可以登录了。
其次,针对这种社交app,用户的账号密码也是很重要的,下边我们就来分析一下怎样获取用户的账号密码,如下图:
轻松随意的可以拿到用户的账号密码。。。
如此知名的app安全做的竟然如此不堪一击,app安全问题很严峻呀,一直在研究防止反编译的方法,源代码混淆,花指令,最近发现一个第三方加密平台,爱加密,测试了下,可以把源代码隐藏。并且使用三层加壳保护,DEX加壳保护,DEX指令动态加载保护,高级混淆保护,可以保证APP的动态安全和静态安全,黑客几乎没有机会进行任何破解。并且还有SO库保护,使C/C++层面的代码也得到了专业保护。做的还是比较全面的。
相关文章推荐
- 关于某社交app的安全分析 简单介绍下app防止反编译的方法
- 关于某社交类app安全分析及app防止反编译的方法
- 小小的分享,关于社交app的安全分析报告!
- 关于AppDelegate及内部方法的简单介绍
- jQuery 遍历- 关于closest() 的方法介绍以及与parents()的方法区别分析
- 关于成本核算方法、步骤、成本分析的简单回复
- ATM关于数据安全的简单介绍
- iOS-AppDelegate中回调方法简单介绍
- ATM关于数据安全的简单介绍。
- 关于巴什博弈的简单介绍分析
- android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测
- 关于苹果审核,防止app文件自动备份到icloud上的方法。
- 关于RequireJS的简单介绍即使用方法
- jQuery 遍历- 关于closest() 的方法介绍以及与parents()的方法区别分析
- 关于成本核算方法步骤回复简单的成本分析
- 关于未将对象引用设置到对象实例简单原理分析,与解决方法
- 关于java RMI框架(远程方法调用)的简单介绍
- 关于软件防止破解的思考,如何避免简单的跳转指令型的验证方法,如何设置更复杂的验证方式。
- iOS开发中大部分App的网络数据交换是基于HTTP协议的。本文将简单介绍在Swift中使用HTTP进行网络请求的几种方法。
- 关于成本核算方法、步骤、成本分析的简单回复