移动应用安全加固技术到底有多重要

发布时间：2023-01-08 12:40:22 所属栏目：应用来源：网络

导读： 据统计，超97%的Android应用遭受盗版侵袭，病毒木马肆虐、流氓软件和钓鱼应用随处可见，严重影响了开发者收益、客户端安全和体验。爱加密移动应用安全加固平台，可从根本上解决移动应用的安

据统计，超97%的Android应用遭受盗版侵袭，病毒木马肆虐、流氓软件和钓鱼应用随处可见，严重影响了开发者收益、客户端安全和体验。爱加密移动应用安全加固平台，可从根本上解决移动应用的安全缺陷和风险，通过Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、微信小程序加固、SDK加固、SO文件加固和源对源混淆加固等技术，使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。

爱加密始终以创新发展为宗旨移动应用安全，通过不断的提升产品和服务质量，为金融、政府、能源、交通、运营商等广大行业用户提供完善的移动安全服务。爱加密移动应用安全加固平台，优化了AAB加固能力；增强了源对源动态保护技术；全面支持服务端jar加固、PHP加固、Python加固等，安全防护能力不断提升，并以自主核心技术为突破点，持续引领行业风向标。

一、平台架构

移动应用安全_移动应用安全 pdf_qq互联网站应用和移动应用不能重名

二、源对源混淆-iOS端

字符串加密

对程序中的字符串进行保护，增大程序的分析难度：对字符串采取随机加密方式，运行时动态解密。

控制流扁平化

对C/C++代码中的函数所对应的控制流进行“横向”变扁边长，使其在常用反编译工具中，增加破解者分析难度，有效的保护核心算法的原始逻辑。

等效指令替换

对C/C++函数中的运算表达式进行等效转换，使其在常用反编译工具中，增加破解者分析难度，有效的保护核心算法的原始逻辑。

虚假控制流

在C/C++函数中，插入一些虚假的不可达指令或多余的跳转指令，在运行时刻这些插入的指令不会运行，在静态分析时难以被发现，从而保护用户的源代码安全。

局部变量名混淆

对源代码中的变量名进行混淆，混淆后的变量名为无意义的名称。

完整性保护

对应用进行完整性校验，发现应用被重签名，应用自动退出运行。

代码段校验

对应用代码段进行完整性校验，发现代码段被篡改，应用自动退出运行。

资源文件完整性校验

对应用资源文件进行完整性校验，发现资源文件被篡改，则退出运行。

不透明谓词

将代码中分支跳转判断条件由原来的确定值变为表达式，增加程序逻辑复杂性，降低代码可读性。

符号混淆

对方法名、类名进行混淆，增大分析难度，无法通过方法名、类名快速定位程序核心代码。

防动态调试

对应用进行防调试保护，检测到配置防动态调试功能的类、方法、函数被GDB、Xcode、LLDB工具进行动态调试时，应用自动退出运行。

防动态注入

当利用Framework或者Dylib等第三方库的方式对应用进行动态注入（越狱环境利用Cydia直接注入，非越狱环境利用yololib注入后重签）时，自动退出运行。

Hook检测

对应用进行防Hook保护，检测到配置防Hook保护功能的类、方法、函数在被Frida、Cydia Substrate工具动态注入时，应用自动退出运行。

混淆多样性

采用随机化技术，相同加固策略下，每次混淆的输出结果是随机且不重复的，增强了代码的保护能力。

过滤指定文件/目录

对填写的指定文件或者指定目录下面的所有文件不进行混淆。

三、AAB加固

防逆向保护

二代DEX整体加密保护

三代代码分离保护

四代混合加密保护

五代VMP保护(虚拟指令集技术)

so加壳

soLinker

爱加密so Linker安全加固对整个so文件进行加密压缩，包括代码段、导出表和字符串等，运行时再解密解压缩到内存，从而有效的防止so数据的泄露。使用so Linker，隐藏so的基地址，有效的防止so被DUMP。

使用函数运行时动态加解密技术（FRAEP），在运行前进行解密，运行结束后进行加密，从而保证了so即使被DUMP，也无法反汇编出源码（so函数指令不运行时，在内存中处于加密状态）。so Linker代码使用爱加密自有的so VMP技术保护，大大增强了反调试代码被跟踪的难度。

so防调用

数据防泄密

防日志泄露

本地Sharepferences数据加密

防调试保护

防止动态调试

防止内存代码注入

防模拟器

防trace分析

HOOK框架检测

页面数据保护

防截屏

防劫持

四、服务端Jar加固

对服务端Jar（Web服务端应用的开发涉及到第三方SDK）以及Windows上面的可执行Jar文件进行虚拟化保护，防止通过逆向分析获取源代码，保护SDK代码、业务逻辑不被泄漏。

VMP保护

对服务端Jar进行VMP保护，将原始指令转化为爱加密自定义虚拟机指令，使用自定义虚拟机解释器解释执行，防止通过逆向分析获取源代码，保护SDK代码、业务逻辑不被泄漏。

字符串加密

对Jar进行语法分析以及逻辑分析，解析出代码中字符串的位置，然后对字符串进行混淆以及加密，使破解者无法使用它来快速定位程序核心代码的位置。

防调试

防止通过动态调试的方式获取服务端Jar的核心代码逻辑。检测到Jar被动态调试，则自动退出运行。

五、PHP加固

对PHP文件中的源代码进行加密，加密后无法直接查看PHP文件中明文的源代码。

平台优势：

1、加固包增量小

加密后包增量大小不超过原包“±5%”。

2、兼容性好

加固包兼容性高达99%，实现ART全面兼容。

3、全面的移动应用安全加固技术

支持Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、Android SDK加固、so文件加固。

4、高效的性能，节约时间

应用加固时间短，可即时获取加固后的应用。

5、无人工操作，节约成本

全自动一键操作，无需专业的安全技术人员参与，大幅降低人力开销及技术学习成本。

- end -

欢迎给我们留言或评论~如果喜欢这篇文章，那就动动手指点击右下【在看】吧~

产品力持续升级，爱加密这波操作上头了

三方联合|重磅发布《全国移动App安全研究报告》

爱加密亮相ISC 2021第九届互联网安全大会

联系我们

qq互联网站应用和移动应用不能重名_移动应用安全 pdf_移动应用安全

移动应用安全 pdf_移动应用安全_qq互联网站应用和移动应用不能重名

（编辑：海南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!