最近自己开发的亲儿子一般的软件被人破解了 烦的很 经过两天的实践 整理出了一套比较全面的防护方案 也是不花钱 不付出很大的代价就能完成的方案。
正文开始说明 本人码字不爱打标点符号 语句病句 或者混乱的 介意勿看 反正都是玩代码的 懂意思就ok 不要纠结这些乱七八糟的
正文开始
最近查看服务器日志发现一些很多不正常的api调用 感觉很奇怪 经过查找多天的日志分析感觉是被人把接口拿出去调用了 不是走的APP内的请求 然后经过网上搜索自己的APP软件名字+破解版之类的关键字找到被人破解后的APP 问题终于确定了 自己APP被人搞了
问过朋友之后推荐使用网上的加固工具加固 一番搜索找到有腾讯的加固、360的加固、百度的加固、梆梆的加固、爱加密的加固。
为了兼容性起见 对加固的应用做了一番测试 得出个人结论
| 名称 | 兼容性 | 安全性 | 用后感 |
|---|---|---|---|
| 腾讯的加固 | 兼容性好 未收到用户的异常反馈 | 容易被破解 | 操作简单 提供一键加固签名软件 |
| 百度的加固 | 兼容不好 少量用户反馈启动白屏 | 一般融易被破解 | 操作简单 提供的签名工具下载链接失效 |
| 360的加固 | 兼容性未完全测试 | 一般融易被破解 | 操作简单 提供特色的java转ndk加固 可以通过注解把你需要的方法转化成ndk库 这个很方便 |
| 梆梆的加固 | 兼容性未完全测试 感觉比百度好点 | 一般融易被破解 | 操作简单 无脑填信息 提供英文的加固工具 |
| 爱加密的加固 | 兼容性好 未收到用户的异常反馈 | 不容易被破解 | 操作简单 独特的函数体抽离加固 反编译后的代码函数体是看不到的 需要特殊处理 比其他的安全 就是客服有点坑 |
以上是使用后的个人总结 仅供参考 本文章系列适用于个人项目 不做真实xxx 使用导致任何问题我不负责 如果遇到问题可以评论讨论
当时选择了爱加密加固 然后发布了新版本 感觉这波稳了
过了几天 破解版同步我的版本更新。。。
加固后的又被破解了 龟龟啊 真的6
为了更好的保护我的软件 我打入了敌人内部卧底几天终于了解到
他们那个圈子 有一键脱壳机 ???
脱壳机分为几个档次 一直普通的 是通过xposed框架hook软件getDex函数来获取源码
中档的是一些开源的dump工具 是从内存中找到你的dex
高档的就牛皮了 直接修改安卓系统源码 然后编译系统镜像刷入手机 然后只要在他手机上运行的 基本所有免费的加固全部通杀 至少我还没见过不能搞定的
至此 我很绝望 网上的免费加固 只能防御一部分小小白 只会玩apktool的那种
大白就防不住了 他们一般会有中低端的一键脱壳工具 基本能通杀腾讯的加固
之后的就是一些高级脱壳机或者手动IDA Pro破解 木得办法
说了那么多 其实就是告诉你们 单独依靠那些免费的加固 是没得什么用的 只是防一下小白
我们需要代码混淆、请求加上签名、apk自身md5校验或自身签名校验更多内容请看下一集