Android应用安全防护技术(上)

已于 2023-07-14 23:25:38 修改
阅读量1.2k 收藏 5
点赞数 6
分类专栏: 移动安全 文章标签: Android安全 安全技术
于 2018-10-02 14:52:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wutianxu123/article/details/82926096
版权
本文介绍了Android应用安全防护的基本策略,包括混淆策略、资源混淆、签名保护、手动注册native方法和反调试检测。同时,分析了Android中常用权限如辅助功能、设备管理和通知栏管理权限的风险。此外,探讨了run-as命令的使用、Linux中的setuid和setgid概念及其在Android中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本博客地址:https://security.blog.youkuaiyun.com/article/details/82926096

一、Android应用安全防护的基本策略

1.1、混淆策略

混淆机制有两个用途,第一个是为了安全保护应用,第二个是为了减小应用安装包大小,所以每个应用在发版之前必须要添加混淆这项功能。混淆机制一般有两种:代码混淆和资源混淆。

代码混淆查阅:左侧代码类名方法名不是正常的项目代码,而是以abcd命名,如此可以增加代码阅读难度,增加破解难度。

破解查看Java代码的两种方式:

1、直接解压classes.dex文件,使用dex2jar工具转化为jar文件,再使用jd-gui工具进行查看类结构。

2、使用apktool工具直接反编译apk,得到smali源代码,阅读smali源代码。

代码混淆不能保证绝对安全,因为程序入口是不能进行混淆的(机器预定的组件类是不能进行混淆,自定义名称才可以进行混淆),这些入口一般是Application或者是ManiActivity之处,找到入口代码然后进行跟踪。

1.2、资源混淆

资源混淆的核心优势是减小APK包大小,资源混淆

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1486
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
2024年网安最全【AndroidAndroid应用安全方案梳理_so防护手段
2303_79055586的博客
05-03 941
写了那么多东西,我也无奈,破解比反破解要容易得多,以上是我在实践过程中总结的一些基本的技巧。对于 Android 应用安全,我还有很多东西需要学习和了解。毕竟,对于应用层开发来说,安全是另一个专业领域的事情。我也只能“防君子不防小人”。后续我学习了更多的内容,做了更多的攻防战,总结更多经验之后再补充。唉,“本是同根生,相煎何太急”!对于很多初中级Android工程师而言,想要提升技能,往往是自己摸索成长。而不成体系的学习效果低效漫长且无助。
Android 安全防护
neveletgoof的博客
10-10 1338
Android 安全防护
Android应用安全防护的基本策略(2)--签名保护
fengyulinde的博客
12-25 1977
前言签名的作用保护策略备注 前言 记录逆向的一点一滴 签名的作用 Android中的每个应用都有一个唯一的签名,如果一个应用没有被签名是不允许安装到设备中的。 保护策略 在app的入口判断签名是否正确,如果不正确则退出。 public static String getSignature(Context context) { try { Signature...
App应用安全防护体系
clmaykr95629的博客
07-13 508
...
Android应用安全防护4个步骤
wangjippp的博客
04-22 304
1、混淆:代码混淆和资源混淆。apk被反编译后增加代码阅读难度,同时也能减少apk体积; 2、签名保护:在应用入口处增加签名校验,防止apk被二次打包; 3、手动注册native方法:通过registerNative在native层注册native方法,可以映射c中的方法名和java 中的方法名,增加so文件被破解后的阅读难度; 4、反调试检测:被调试的进程会在/proc/[myPid]/...
Android应用安全加固关键技术研究.pdf
09-21
Android 应用安全加固关键技术研究论文旨在解决 Android 应用安全问题,通过设计防御方案,实现了一个针对 Android 应用程序的安全加固软件,该加固软件为 Android 应用程序提供透明的加固服务,实现应用程序的加壳...
基于Android系统的企业级移动应用数据安全防护技术的研究与实现.pdf
09-21
基于Android系统的企业级移动应用数据安全防护技术的研究与实现.pdf
WebView跨域防护:Android混合应用安全.pdf
最新发布
05-06
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档...通过行业洞察与技术前瞻,帮助读者理解信息安全的底层逻辑,掌握实用的安全防护技巧。让我们共同提升安全意识,用技术为数字生活保驾护航。
如何保护Android应用程序的安全
代码教主
06-12 649
介绍 Android操作系统具有许多内置的安全功能,例如应用程序沙箱,针对缓冲区和整数溢出攻击的保护以及用于程序指令和数据的独立存储区。 因此,默认情况下,通常不将不执行任何文件系统或网络操作的简单Android应用程序视为安全的。 但是,如果您要开发更复杂的应用程序,则有责任确保其安全并保护用户的隐私。 在本文中,我将列出一些最佳实践,您可以遵循这些最佳实践来构建安全Android应...
Android平台通用安全问题分析及策略
学习笔记
08-19 324
一、Android安全问题产生的根源 【51CTO专稿】研究人员已发现Android上的流行软件普遍存在安全陷阱与安全漏洞,漏洞频发的原因可能有很多,主要有如下几种:   与一切都是集中管理的IOS相比,Android提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性。 开发团队通常将精力集中在产品设计、功能实现、用户体验和系统等方面,而很少考虑安全问题...
Android App安全防范措施的小结
A_991128a的博客
01-08 284
这些措施也只是冰山一角,因为安全一直是永恒的话题。我们还可以考虑使用加壳、反动态调试等等。参考资料:Java与Android技术栈:每周更新推送原创技术文章,欢迎扫描下方的公众号二维码并关注,期待与您的共同成长和进步。
AndroidAndroid应用安全方案梳理
m0_56144365的博客
07-05 987
作为独立开发者,应用被破解是一件非常让人烦恼的事情。之前有同学在我的一篇博文下面问,有没有一些 Android 防破解的方法。在多次加固、破解、再加固、再破解的过程中,我也积累了一些思路和方法。这里分享一下,如果需要用到,可以作一个参考。先说一个结论,也是我在 Stackoverflow 上面的一个国外程序员的答案,就是说,APK 包已经在别人手上了,我们能做的不过是提升被破解的难度,如果真的遇到非常“执着”的,要破解一样被破解。如果逻辑非常值钱,那么最好还是把逻辑放到服务器上面。此外,加固也是一个可选的方
Android 安全防护:深度解析应用保护策略
u011464172的专栏
06-28 1185
Android 应用安全防护是一个持续的迭代过程,需要开发者不断学习,不断完善。本教程提供了一些基础的安全防护策略和方法,希望能够帮助开发者更好地理解 Android 应用安全,构建安全可靠的应用。记住,安全无小事,安全意识是保障应用安全的关键。
Android 移动安全知识技术全解(加固技术、常规漏洞、Android 逆向......),移动安全问题不容忽视
qq_44102588的博客
11-30 5635
前言 您的设备是否处于遭受攻击、劫持或损害的风险中?毫无疑问。剑桥大学的研究人员发现,87% 的 Android 智能手机有至少一个严重漏洞,Zimperium Labs 在早些时候发现,黑客只需通过一条简单的短信便能对 95% 的 Android 设备发起攻击。 随着网络信息技术迅速发展,移动互联网的生态系统日益庞大。市场上移动应用也越来越多,在我们享受着手机 APP,为我们提供便捷服务的同时,木马病毒、程序破解、广告钓鱼、信息窃取、等诸多移动端安全问题也一直围绕着我们。 因此对于开发者而言,移动安.
Android 安全与防护策略
07-27 2142
随着应用的发展,应用安全也变的越来越重要,有些不法分子开始反编译或者劫持一些app源码。甚至有人通过截图然后做识别,获取别人内容。我们在处理时应该如何去保护我们的应用呢?接下来我们可以分析一下,一些场景,的用途.........
腾讯安全Blade团队《Android 移动安全知识技术全解》Android安全【逆向】开发宝典,首次开源分享
datian1234的博客
11-10 5764
前言 北京时间3月15日,世界顶级信息安全峰会CanSecWest于加拿大温哥华举办,来自腾讯安全平台部的Blade团队带来了手机基带相关的创新安全议题,这也是业内首次公开主流手机基带的研究方法及工具。 CanSecWest作为国际顶级信息安全会议之一,专注于二进制安全领域,议题面向全球开放申请。据悉,CanSecWest演讲议题挑选非常严格,只有在相关领域具有独到、深度的研究,并对安全行业未来发展有深入影响的议题才能入选。 Android 移动安全的重要性 说到安全方面的问题,这里必须说一下Android
Android安全防护实用办法
yang_niuxxx的博客
01-11 1625
最近一直做安全方面的业务,有一些理解总结一下 安全防护的有效方式 1.混淆 ★★★★★ 最有用的方式之一,必须要做, a.注意配置字典,最好不要用特殊字符,jadx反混淆之后,特殊字符会很被改写,最好是oO0这个字典,github有很多, b.形参混淆,局部变量混淆,这些东西默认是不会被混淆的,需要人工来做 2.加固 ★★★ 免费的加固,基本上不管您是哪一家,都是白给,脱壳和加壳的技术一直是在对抗发展,但是免费的壳,用处十分有限, 现在的youpk方案脱壳机,对于免费壳都是一键...
Android安全策略
u012378167的专栏
12-03 183
1.开发一款app,保证app安全很重要,别人可以通过反编译查看你的代码获得与服务器的交互的接口,攻击服务器,监听数据报文;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值