最近工作中接到了一个研究防止逆向编译的任务.研究了几天资料,最后基本实现了防破解技术,在这个工程中,也略有一些心得体会,现整理下来分享,供大家探讨参考研究。文中如有纰漏、失实之处,请大家及时给与指正。

防破解技术主要有四种实现方式:1.代码混淆(ProGuard)技术 2.签名比对技术 3.NDK  .so 动态库技术 4.动态加载技术.

参考资料:http://bbs.pediy.com/showthread.php?t=137112

第一种 代码混淆技术(ProGuard)  该技术主要是进行代码混淆,降低代码逆向编译后的可读性,但该技术无法防止加壳技术进行加壳(加入吸费、广告、病毒等代码),而且只要是细心的人,依然可以对代码依然可以对代码进行逆向分析,所以该技术并没有从根本解决破解问题,只是增加了破解难度。

第二种  签名比对技术      该技术主要防止加壳技术进行加壳,但代码逆向分析风险依然存在。而且该技术并不能根本解决被加壳问题,如果破解者将签名比对代码注释掉,再编译回来,该技术就被破解了。

第三种   NDK .so动态库技术,该技术实现是将重要核心代码全部放在C文件中,利用NDK技术,将核心代码编译成.so动态库,再用JNI进行调用。该技术虽然能将核心代码保护起来,但被加壳风险依然存在。

第四种  动态加载技术  该技术在Java中是一个比较成熟的技术,而Android中该技术还没有被大家充分利用起来。该技术思想主要分为以下几步:

1.将核心代码编译成dex文件的Jar包  --> 2. 对jar包进行加密处理  3.在程序主入口利用NDK进行解密 4再利用ClassLoader将jar包进行动态加载.5.利用反射技术将ClassLoader 设置成系统的ClassLoader。

该技术可以有效的防止逆向分析、被破解、被加壳等问题。

主要优点有:

1.核心代码在被加密的jar中,所以破解者无法解压出class文件,如果加密秘钥被破解者拿到,那将是另外一层面的安全问题了。

2.该技术也可以有效防止加壳技术,代码是动态加载上来的,破解者的壳程序无法加入到已加密的jar包中,及时破解者注入壳程序入口,壳程序因为不在ClassLoader 的jar包中,所以也无法被执行起来,除非破解者替换ClassLoader的jar包,关掉NDK解密代码.但这种安装到手机上,已经不在是我们的应用,用户一定会将其卸载掉。

所以综合起来比较,第四种动态加载技术是最安全的,但效率问题,本人并没做严格测试,粗略实验了一下,效率并没有明显降低。

现将研究过程的技术节点分享给大家:

1.Jar包加密

	// 加密解密文件//

	public static boolean enOrDecryptFile(byte[] paramArrayOfByte,

			String sourceFilePath, String destFilePath,int mode){

		File sourceFile = new File(sourceFilePath);

		File destFile = new File(destFilePath);

		CipherOutputStream cout = null;

		FileInputStream in  = null;

		FileOutputStream out = null;

		if (sourceFile.exists() && sourceFile.isFile()) {

			if (!destFile.getParentFile().exists()) {

				destFile.getParentFile().mkdirs();

			}

			try {

				destFile.createNewFile();

				in = new FileInputStream(sourceFile);

				out = new FileOutputStream(destFile);

				// 获取密钥//

				init();

				SecretKeySpec secretKeySpec = new SecretKeySpec(defPassword, "AES");

				Cipher cipher;

				cipher = Cipher.getInstance("AES");

				cipher.init(mode, secretKeySpec);

				cout = new CipherOutputStream(out, cipher);

				byte[] cache = new byte[CACHE_SIZE];

				int nRead = 0;

				while ((nRead = in.read(cache)) != -1) {

					cout.write(cache, 0, nRead);

					cout.flush();

				}

			}catch (IOException e) {

				e.printStackTrace();

				return false;

			} catch (NoSuchAlgorithmException e) {

				e.printStackTrace();

				return false ;

			} catch (NoSuchPaddingException e) {

				e.printStackTrace();

				return false ;

			}catch (InvalidKeyException e) {

				e.printStackTrace();

				return false;

			}finally{

					if(cout != null){

						try {

							cout.close();

						} catch (IOException e) {

							e.printStackTrace();

						}

					}

					if(out != null){

						try {

							out.close();

						} catch (IOException e) {

							e.printStackTrace();

						}

					}

					if(in != null){

						try {

							in.close();

						} catch (IOException e) {

							e.printStackTrace();

						}

					}

			}

			return true;

		}

		return false;

	}

2.jar用SDK\platform-tools\下的dx命令进行dex格式转化:命令如下:

dx   --dex    --output=生成的目标文件的地址(绝对路径)     需要转化的jar文件(绝对路径)

例如:dx --dex --output=H:\classdex.jar     H:\mainwidget.jar

3.再用加密工具将生成jar文件进行加密

4.代码动态加载:

File file = new File("/data/data/" + base.getPackageName() + "/.cache/");

		if (!file.exists()) {

			file.mkdirs();

		}

	    try {

			Runtime.getRuntime().exec("chmod 755 " + file.getAbsolutePath()).waitFor();

		} catch (InterruptedException e1) {

			// TODO Auto-generated catch block

			e1.printStackTrace();

		} catch (IOException e1) {

			// TODO Auto-generated catch block

			e1.printStackTrace();

		}

		Util.copyJarFile(this);

		Object currentActivityThread = RefInvoke.invokeStaticMethod(

				"android.app.ActivityThread", "currentActivityThread",

				new Class[] {}, new Object[] {});

		String packageName = getPackageName();

		HashMap mPackages = (HashMap) RefInvoke.getFieldOjbect(

				"android.app.ActivityThread", currentActivityThread,

				"mPackages");

		WeakReference wr = (WeakReference) mPackages.get(packageName);

		MyClassLoader dLoader = new MyClassLoader("/data/data/"

				+ base.getPackageName() + "/.cache/classdex.jar", "/data/data/"

				+ base.getPackageName() + "/.cache", "/data/data/"

				+ base.getPackageName() + "/.cache/", base.getClassLoader());

		try {

			Class<?>  class1 = dLoader.loadClass("com.example.test.TestActivity");

			Log.i("b364","----------->class1: "+class1);

		} catch (ClassNotFoundException e){

			Log.i("b364","----------->class not found Exception!");

			e.printStackTrace();

		}

		Log.i("b364","------>PackageInfo: "+wr.get());

		// DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath,

		// libPath, (ClassLoader) RefInvoke.getFieldOjbect(

		// "android.app.LoadedApk", wr.get(), "mClassLoader"));

		RefInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader",

				wr.get(), dLoader);

Android 动态加载(防止逆向编译) jar混淆加密的更多相关文章

  1. Android动态加载jar、apk的实现

    前段时间到阿里巴巴参加支付宝技术分享沙龙,看到支付宝在Android使用插件化的技术,挺好奇的.正好这几天看到了农民伯伯的相关文章,因此简单整理了下,有什么错误希望大神指正. 核心类 1.1     ...

  2. 【Android】Android动态加载Jar、APK的实现

    本文介绍Android中动态加载Jar.APK的实现.而主要用到的就是DexClassLoader这个类.大家都知道Android和普通的Java虚拟机有差别,它只能加载经过处理的dex文件.而加载这 ...

  3. Android动态加载jar/dex

    前言 在目前的软硬件环境下,Native App与Web App在用户体验上有着明显的优势,但在实际项目中有些会因为业务的频繁变更而频繁的升级客户端,造成较差的用户体验,而这也恰恰是Web App的优 ...

  4. 深入浅出Android动态加载jar包技术

    在实际项目中,由于某些业务频繁变更而导致频繁升级客户端的弊病会造成较差的用户体验,而这也恰是Web App的优势,于是便衍生了一种思路,将核心的易于变更的业务封装在jar包里然后通过网络下载下来,再由 ...

  5. [转载] Android动态加载Dex机制解析

    本文转载自: http://blog.csdn.net/wy353208214/article/details/50859422 1.什么是类加载器? 类加载器(class loader)是 Java ...

  6. Android 动态加载 (一) 态加载机制 案例一

    在目前的软硬件环境下,Native App与Web App在用户体验上有着明显的优势,但在实际项目中有些会因为业务的频繁变更而频繁的升级客户端,造成较差的用户体验,而这也恰恰是Web App的优势.本 ...

  7. Android动态加载技术初探

    一.前言: 现在,已经有实力强大的公司用这个技术开发应用了,比如淘宝,大众点评,百度地图等,之所以采用这个技术,实际上,就是方便更新功能,当然,前提是新旧功能的接口一致,不然会报Not Found等错 ...

  8. Android 动态加载 (二) 态加载机制 案例二

    探秘腾讯Android手机游戏平台之不安装游戏APK直接启动法 重要说明 在实践的过程中大家都会发现资源引用的问题,这里重点声明两点: 1. 资源文件是不能直接inflate的,如果简单的话直接在程序 ...

  9. Android应用开发提高系列(4)——Android动态加载(上)——加载未安装APK中的类

    前言 近期做换肤功能,由于换肤程度较高,受限于平台本身,实现起来较复杂,暂时搁置了该功能,但也积累了一些经验,将分两篇文章来写这部分的内容,欢迎交流! 关键字:Android动态加载 声明 欢迎转载, ...

  10. Android动态加载代码技术

    Android动态加载代码技术 在开发Android App的过程当中,可能希望实现插件式软件架构,将一部分代码以另外一个APK的形式单独发布,而在主程序中加载并执行这个APK中的代码. 实现这个任务 ...

随机推荐

  1. CentOS 7 快速初始化脚本 for MySQL

    #!/bin/bash## CentOS 7.x # SSH configuresshd_port=22 # Disable SElinuxprintf "Disable SElinux.. ...

  2. Django REST framework+Vue 打造生鲜超市(九)

    十.购物车.订单管理和支付功能 10.1.添加商品到购物车 (1)trade/serializer.py # trade/serializer.py __author__ = 'derek' from ...

  3. C#之FTP上传下载(二)

    这个类几乎包含了对FTP常用的方法,有不对的地方,欢迎批评指正 public class FtpClient { #region 构造函数 /// <summary> /// 创建FTP工 ...

  4. 八:Vue下的国际化处理

    p { margin-bottom: 0.25cm; line-height: 120% } 1:首先安装 Vue-i8n npm install vue-i18n --save 注:-save-de ...

  5. selenium chrome浏览器与chrome.driver的对应关系

    看到网上基本没有最新的chromedriver与chrome的对应关系表,便兴起整理了一份如下,希望对大家有用: chromedriver版本 支持的Chrome版本 v2.34 v61-63 v2. ...

  6. xcode7,AFN不能使用的问题

    今天手贱立刻升级了Xcode7,结果AFN报错,且不能用了,解决办法如下 第一步:升级AFN到2.6.0 完成之后,运行,结果请求都失败,提示 The resource could not be lo ...

  7. 洛谷P2480 [SDOI2010]古代猪文

    要求(图是盗来的QAQ) 首先用欧拉定理把幂模一下,直接就是MOD-1了 然后发现MOD-1可以分解为2,3,4679,35617,都是质数,可以直接用Lucas定理 然后用中国剩余定理合并一下即可 ...

  8. Codeforces 700E. Cool Slogans

    Description 给定一个串 \(S\),求一个序列 \(a_i\),满足 \(a_i\) 是原串的子串,且 \(a_i\) 在 \(a_{i-1}\) 中至少出现两次,求这个序列的最大的长度 ...

  9. 最小公共祖先 (Tarjan) POJ1470

    POJ 1470 标准的LCA,输入感觉怪怪的=.= 自己看了下Tarjan,再参考了下别人的处理方法(感觉自己好弱..) #include <iostream> #include < ...

  10. spoj 1676 AC自动机+矩阵快速

    Text Generator Time Limit: 1386MS   Memory Limit: 1572864KB   64bit IO Format: %lld & %llu Submi ...