问题描述
|
我正在开发一个具有sqlite数据库的应用程序,该数据库用于存储必须保护的个人信息。有哪些保护这些个人数据的方法? APK可以很容易地完全反编译,那么我们如何保护APK?此外,如何保护移动应用程序的数据库?
解决方法
基本上,有5种方法可以保护您的APK不会被破解/反转/重新打包:
1.隔离Java程序
最简单的方法是使用户无法访问Java Class程序。这是最基本的方法,并且它具有多种实现此目的的特定方法。例如,开发人员可以将关键的Java类放置在服务器上,客户端通过访问服务器的相关接口而不是直接访问Class文件来获取服务。因此,黑客无法反编译Class文件。当前,通过接口提供的标准和协议服务越来越多,例如HTTP,Web Service,RPC等。但是有许多应用程序不适合此保护。例如,独立程序中的Java程序无法隔离。
2.加密类文件
为了防止直接反编译Class文件,许多开发人员会加密一些关键的Class文件,例如注册号,序列号管理和其他相关类。在使用这些加密的类之前,程序需要先解密这些类,然后再将这些类加载到JVM中。这些类可以通过硬件或软件解密。
开发人员通常通过自定义的ClassLoader类加载加密类(出于安全性,Applet不支持自定义的ClassLoader)。自定义的ClassLoader将首先找到加密类,然后将其解密。最后将解密的类加载到JVM。自定义的ClassLoader是此保护方法中非常重要的类。由于它本身未加密,因此可能是黑客的第一个目标。如果克服了相关的解密密钥和算法,则可以轻松地解密加密的类。
3.转换为本机代码
将程序转换为本地代码也是防止反编译的有效方法。因为本机代码通常很难反编译。开发人员可以将整个应用程序转换为本地代码,也可以仅转换关键模块。如果仅转换模块的关键部分,则Java程序使用这些模块时将需要JNI技术来调用。使用此方法保护Java程序时,它放弃了Java的跨平台功能。对于不同的平台,我们需要维护不同版本的本机代码,这将增加软件支持和维护工作量。但是对于某些关键模块,有时通常需要这种解决方案。为了保证这些本地代码不会被修改或替换,开发人员经常需要对这些代码进行数字签名。在使用这些本地代码之前,开发人员通常需要对这些本地代码进行身份验证,以确保黑客不会更改这些代码。如果通过了签名检查,则开发人员可以调用相关的JNI方法。
4.代码混淆
代码混淆是为了重新组织和处理Class文件,使处理后的代码完成与未处理代码相同的功能(语义)。但是,混淆后的代码难以反编译,即,反编译后的代码很难理解,因此反编译人员很难理解真正的语义。从理论上讲,如果黑客有足够的时间,混淆的代码可能仍会被破解。甚至有些人也在开发去混淆工具。但是从实际情况来看,由于混淆的多元化发展,混淆理论的成熟,混淆的Java代码可以很好地防止反编译。
5.在线加密
APK Protect是APK的在线加密网站,但自2013年左右以来,活动显然已经停止。它提供了Java代码和C ++代码保护,以实现反调试和反编译效果。
我最初建议您使用后一种方法,因为它可以节省更多时间。根据我的经验,它非常简单,并且不需要很长时间。
, 现在有了豆形软糖已经成为可能。
$ openssl enc -aes-128-cbc -K 000102030405060708090A0B0C0D0E0F
-iv 000102030405060708090A0B0C0D0E0F -in my-app.apk -out my-app-enc.apk
$ adb install --algo \'AES/CBC/PKCS5Padding\' --key 000102030405060708090A0B0C0D0E0F
--iv 000102030405060708090A0B0C0D0E0F my-app-enc.apk
pkg: /data/local/tmp/my-app-enc.apk
Success