目录
前段时间,研究了一些Android逆向相关的工具和技术,并写了一些博客。当然,逆向的博客还没写完,初步写了那么几篇,后面还会继续写。之前也提到过,有逆向,就有相关的保护措施,加固就是其中的一种。接下来,我将总结一下目前常用的Android加固平台。
一.梆梆加固
1.在线加固
这是梆梆加固的官网:梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测。注册新用户并且登录后,点击立即加固,如下图所示:
打开新的页面后,选择添加应用,如图所示:
选择应用后,上传完成,点击提交应用。如下图所示:
提交后,等待加固完成:
当收到邮件通知后,加固已经完成,可以刷新一下网页:
点击加固完成的apk,进去后点击下载加固包。因为不能在线签名,所以下载后需要自己签名。如下所示:
不知道如何签名的,可以按照上图的指引下载签名工具并且签名,至此,在线加固完成。在线加固还是比较繁琐的,不推荐在线使用,更推荐使用梆梆助手加固,下面会介绍。
2.梆梆助手下载及使用
我们进入官网下载梆梆助手。“梆梆助手,是梆梆安全面向广大开发者提供的桌面级(PC端)APP加固辅助工具,具有提交便捷、响应迅速、传输稳定等特点,同时支持断点续传、可视化任务管理、多任务处理、自动一体化加固、自定义签名导出形式等功能”。
傻瓜式安装完之后,我们打开梆梆助手,登录账号密码。如果未注册,可以点击注册新用户。如果点击注册新用户未打开注册页面,直接去官网注册。如下图所示:
注册完后,登录,主界面如图所示:
3.使用梆梆助手加固apk
点击文件、添加任务、添加单APK文件(在这里以加固一个apk为例,如果加固多个可以选择添加目录),如图所示:
选择要加固的apk后,会自动进行接下来的加固工作:上传中、加固中、下载中、已完成,如下图所示:
梆梆加固有一点做的比较好,就是在加固任务完成后,会进行邮件提醒。我们测试用的apk文件很小,如果文件很大的话,可能我们选择完就不管它了,那么当加固完成后,收到邮件提醒,我们就可以继续我们的工作了,不用一直盯着看,如下图所示:
收到邮件提醒后,看一下梆梆助手,任务进度可能还是显示加固中或者下载中,刷新一下状态,加固完成。如下图所示:
完成上面的加固工作后,我们需要导出加固后的apk。选中我们要导出的apk,点击导出,选择导出签名apk,如下图所示:
在弹出的界面选择签名文件,输入密码,选择导出位置,点击开始导出,如下图所示:
当导出成功后,会弹窗提示,至此,我们的加固工作完成。
4.使用AndroidKiller验证加固
首先,我们反编译一下原来的apk,看一下反编译后的文件。具体的步骤不再详细说,看一下反编译的结果。从下图可以看到,我们的包名和类名的smali源代码很清晰的暴露了出来。通过修改一些smali源代码,我们可以修改逻辑功能,二次打包。如下图所示:
我们使用AndroidKiller反编译一下加固后的apk。反编译成功了,但是,我们打开smali文件件,发现包名和类名全都变成了我们不熟悉的样子。打开看smali代码,看不到任何熟悉的代码。如下图所示:
我们看一下AndroidManifest文件,里面有app入口Activity的声明,发现是MainActivity,我们尝试搜索MainActivity,发现除了Manifest文件以为,没搜到任何MainActivity的记录。如图所示:
5.比较加固前后的apk
比较一下加固前后的apk安装包大小
加固前的apk是1.25M,加固后的apk是1.82M,增加了0.57M。如下图所示:
测试一下加固后的app是否可用,如下测试结果,是可以使用的:
最后,简单总结一下。梆梆加固的使用非常的方便,使用梆梆助手,一键加固,一键导出。加固后通过AndroidKiller反编译后无法获取源码,加固后的apk大小会有所增加,加固后应用可以正常的安装和使用。
二.腾讯乐固
接下来介绍一下腾讯乐固的使用。(注:这些与加固相关的博客本来是四月份写的,因为后面觉得这些加固工具的使用大都差不多,所以删掉了。最近想了想,好歹是自己一边操作一边整理的,还是恢复吧,把四篇加固的文章合并成一篇,基本涵盖了国内主流的加固工具了)。
1.乐固在线使用
乐固的使用需要登录腾讯云,进入移动应用安全板块。地址如下:移动应用(APP)安全_移动应用加固_移动应用安全解决方案 - 腾讯云。可以选择QQ或者微信登录,登陆后,点击立即体验。如图所示:
进入如下图所示界面:
点击立即去加固,选择免费加固,上传应用后,点击确认加固,需要等待一段时间。如下图所示,:
加固完成后,点击下载加固包。在线不支持签名打包,因此,下载后需要签名。具体的签名不多说了。不推荐在线使用,推荐使用自助加固工具,下面会介绍。
2.加固助手加固
点击应用加固,然后下载加固工具,如下图所示:
2.打开加固助手,这里需要注意一下,需要一个密钥id和密钥Key,点击如何获取云API密钥,按照指引一步步来,如下所示:
登录进来后,选择添加应用,如下图所示:
进入如下界面,选择签名文件,输入密码,点击下一步,然后点击加固,等待加固完成即可:
加固完成后,点击详情,下载。注意:下载后的两个文件,名字短的是未签名的,无法安装。名字长的是签名好的,可以安装和使用。
3.使用AndroidKiller验证加固
使用AndroidKiller反编译后,发现,smali中的代码均没有明显的意义。搜索MainActivity也搜索不到任何的信息:
4.加固前后apk比较
apk体积比较:
加固前1.25M,加固后1.39M,体积增加0.14M,如下图所示:
apk加固后是否可以安装使用,如下图所示,可以正常使用:
最后,总结一下。腾讯的乐固加固,使用起来也非常方便,乐固助手的使用非常简单,加固后的apk体积比之前略微增加一点,这一点比梆梆加固好很多。加固后反编译得到的代码是处理过的,加固后apk可以正常的安装和使用。
三.Tistin云加固
接下来,介绍另一款加固工具:Testin云加固。与前两种加固平台不同的是,Testin云加固只支持网站在线加固。接下来,抱着体验和学习的态度来看一下Testin云加固。
1.Testin云加固的使用
首先,进入Testin云加固的官网:云测,助力产业智能化|测试,安全,AI数据。注册登录后,点击立即体验:
2.点击立即体验后,进入如下界面,点击开始加固,在弹出的窗口选择标准版加固:
3.绑定邮箱后,进入如下界面:
点击上传应用,选择要提交的apk,然后完善信息。选择高级设置,上传key的相关信息,如下图所示:
选中自己提交的apk,点击下一步,在新打开的页面勾选邮件通知,点击下一步。如下图所示:
6.在新页面点击查看任务,如下图所示:
加固完成后,会收到邮件通知,收到通知后,刷新一下页面,点击下载加固包。
2.使用AndroidKiller验证加固
3.比较加固前后apk
比较加固前后apk体积:
加固前1.25M,加固后3.24M,体积增加到将近原来的三倍。如图所示:
确认加固后apk是否可以安装和使用:
虽然前面我们提交了签名文件,但是下载后的apk是没有签名的,因此安装失败,需要我们手动签名。在这里我使用的梆梆加固的梆梆签名员签名的,签名后可以安装和使用:
总结一下,Testin云加固可以实现app加固,只支持网站加固,没有自助工具,而且加固后需要自己手动签名。最重要的一点是,加固后体积增加太多,这可能与加固的技术有关。
四.360加固保
最后,介绍下360加固保的使用。360加固保也是目前市面上使用比较多的加固工具之一。接下来,抱着学习和体验的态度,看一下360加固保的使用。
1.360加固保的使用
360加固保的官方地址:三六零天御-企业移动应用安全一站式服务平台。注册并且登录后,点击免费使用:
进入如下页面,360加固保也是支持网站加固的,回想前面几个加固工具的使用,网站加固一般比较繁琐,因此我们直接下载工具加固:
打开并登录360加固保,首次需要注册个人信息:
填写保存后,进入主界面,点击添加应用后:
点击马上配置,配置签名文件,配置完后点击添加,然后开始加固:
加固完成后,如下图所示,点击确定,至此,加固完成:
2.使用AndroidKiller验证加固
使用AndroidKiller反编译一下,看看效果如何。如下图所示,反编译后发现包名和类名均已经改变,而且搜索不到MainActivity的相关信息。
3.apk加固前后对比
apk体积对比:
加固前还是1.25M,加固后2.04M,增加0.79M,如下图所示:
apk加固后是否可以安装和使用,经验证,可以:
360加固保使用时需要注册个人信息,配置好签名文件后加固完成自动签名,使用起来也是比较方便的。加固后apk体积略微有所增加,可以安装和运行。最后,说一下,本篇博客只是基于原来Android逆向博客中所使用的Demo来测试,并不能保证所有的apk都可以顺利的加固。
五:爱加密加固加密
1.首先是注册爱加密的账户,登录进去。
2.登录进去后按以下图片点击
进去后,再次点击签名工具,我用的是windows,所以下载的是windows版本,下载完成点击按自动提示安装即可
3.安装好后,点击打开
4.打开后,在里面的操作
最后我的建议。
目前我使用的是360加固来用来加固,然后加固完成,使用的是爱加密来加密。
这样的组合还不错。
现在的360加固的加密要收费,之前是免费的加固与加密一起,现在要开vip才可加密,但是加固还是老样子免费。
喜欢就喜欢吧,喜欢没有理由
来源地址:https://blog.csdn.net/zxz_zxz_zxz/article/details/130974818