APICloud – 解密SuperWebview
先了解一下什么是SuperWebview,然后进入主题。简介较多,可以往下滑直接进入解密主题
SuperWebview简介
SuperWebview 是APICloud 官方推出的另一项重量级API生态产品,以SDK方式提供,致力于提升和改善移动设备Webview体验差的整套解决方案,APP通过嵌入SuperWebview替代系统Webview,即可在Html5中使用APICloud平台现有的所有端API,以及包括增量更新、版本管理、数据云、推送云、统计分析、积木式模块化开发、所有已经聚合的开方平台服务等在内的云服务能力,增强用户体验,解决移动设备Webview使用过程中出现的兼容能力弱、加载速度慢、功能缺陷等任何问题,帮助开发者解决使用Webview过程中的所有痛点。
SuperWebview继承APICloud终端引擎的包括跨平台能力,模块扩展机制,生命周期管理,窗口系统,事件模型,APP级别的用户体验等在内的所有优秀能力,并且全面打通Html5与Android和iOS之间的交互,同步提供APICloud平台最新的API技术能力和服务,APICloud团队将保持对SuperWebview的持续更新和优化,兼容Html5的新特性,持续推出优质服务。
总结来说有三点:
-
安卓原生Webview的扩展
-
结合native app 和 web app
-
APICloud实现安卓框架,自己开发web
SuperWebview的安全措施-- 全包加密
-
网页全包加密:对网页中全包的html,css,javascript代码进行加密,加密后的代码都是不可读的,并且不能通过常用的格式化工具恢复。代码在运行前都是加密的,在运行时进行动态解密。
-
一键加密、运行时解密 在开发过程中无需对代码做任何特殊处理,在云编译时选择代码加密即可。
-
零修改、零影响 加密后不改变代码的大小,不影响运行效率。
-
安全盒子 定义了一个安全盒子,在盒子内的代码按照加密和解密进行处理,其他代码不受影响。
-
重新定义资源标准 对保护的代码进行统一资源管理,加速资源加载,加速代码运行。
以上内容摘自看雪论坛https://bbs.pediy.com/thread-218656.htm
解密
在我们抓包分析时,很多参数都需要通过分析app代码获取,比如 token 、sign,还有很多接口,在抓包时是获取不到的,又不能将全部功能点一个一个点一遍就需要反编译apk ,直接获取。
这次的样本使用SuperWebview对安卓app进行加密,核心代码也有可能会存放在本地web文件中
当然,在直接上手之前 还是要分析一下整个apk的结构和流程
我在刚开始拿到apk的时候还不了解SuperWebview ,先当作普通的加固app分析的,见招拆招
在真机上安装apk 打开闪退,那可能是有代理或vpn检测、xposed检测、root检测。
这里推荐mumu模拟器