现在很多应用在为了安全对应用做了很多防护方式,之前我也介绍了很多防护策略:;文中也提到了应用安全防护的最终目标是防止别人看到你的代码,我们也知道这里的最终方式都是加固操作,但是加固有一些缺点,而这些确定导致现在很多公司应用并不会去选择他,所以一些其他的防护策略就出来了,包括防hook,防调试等操作。今天我们再来看一下如何把应用中的常量字符串信息进行加密,这个意义还是很大的,而这个主要是看到支付宝应用中是这么做的:
看到支付宝内部的字符串信息全部使用Base64进行编码操作了,这样做的目的也很简单,因为我们在进行反编译破解的时候如果是这么直接的字符串信息,那么对于破解就太简单了,我们可以直接全局搜索字符串信息很快定位到我们想要的地方,如果这种加密操作我们全局搜索字符串信息肯定是找不到的。但是支付宝这种的加密算法就太简单了,我们可以写一个解密方法然后在直接操作即可。
二、工具编写
我们可能知道把代码中的字符串常量进行加密之后可以防护,但是如果项目中的常量字符串很多,这样手动去替换是很麻烦的,而且每个开发者不可能总是记住这件事的,无意中就定义了一个常量就操作了,所以我们需要写一个自动脚本在项目编译期间自动替换即可,这个工具就是我们本文需要介绍的重点。工具其实不难,因为是编译器,那么我们可能需要对编译后的class文件进行操作,我们知道Android中项目编译流程如下:
我们写好这个工具然后利用gradle脚本,在编译后的class文件做操作即可,那么这个工具其实也很简单,输入class文件,输出就是加密之后的class文件了,为什么操作class文件呢,首先操作class文件有一个很好的工具asm和javassist,本人偏向于asm,著名的热修复框架Robust就是依靠这个工具进行操作的:;
因篇幅问题不能全部显示,请点此查看更多更全内容