该方法只能针对有.m.h的类进行混淆,静态库等只有.h文件的没法进行混淆

代码混淆,刚刚看到是不是有点懵逼,反正我是最近才接触到这么个东西,因为之前对于代码和APP,只需要实现功能就好了,根本没有考虑什么安全问题。

而这一次应用交付时,客户进行安全评估提出一个问题:

使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量全部泄露。这样的话,让攻击者,也就是黑客们了解了程序结构方便逆向。

因为在工程中,我们这些变量或函数命名都是有一定可读性的,例如跟用户名相关的,那一般里面会有 userName,跟密码相关的一般会有 passWord,这样定义也是为了我们自己代码可读性更强,我们修改的时候才更加的方便。但是我们相信,这么个定义法,我们只是希望方便我们自己,我们可不希望方便黑客们去破解我们的APP。

那我们先来看看用这个所谓的 classdump 对原程序进行 dump,究竟用 dump 出些什么东西来:

 
 

所有的 .h 文件

.h 文件全暴露了,那点开的话,你里面的函数名,属性名也一样清清楚楚:

 
 

属性、函数

惊了个呆,那为了防止这样全裸,这时候我们就需要用到代码混淆了。

大概什么个意思呢?简单点讲,就是把你的这些个用户名和函数名弄得没有可读性,比如你的用户名的变量名定义为 userName,那你自己用肯定是正常的,如果黑客们 dump 出来的这个变量名会变成 abcd 或 1234 ,这样他也就不清楚你这是用来干吗的了。

第一、在工程项目路径中建立一个confuse.sh、一个func.list文件

先打开终端,然后 cd 到你的项目工程路径下:

 
 

cd 到项目工程路径下

然后创建两个文件,一个 confuse.sh,一个 func.list:

 
 

创建两个文件

这时候我们打开这个工程文件夹,可以看到,这两个文件已经创建好了:

 
 

我们创建的两个文件

打开工程,把刚才创建的两个文件加进去,右键你的项目蓝色标志,然后选择 Add Files to...:

 
 

添加到工程中

添加进去了:

 
 

成功添加

点击 confuse.sh ,发现还是空白的,什么都没有,现在要在这上面加上代码了:

 
 

需要添加的代码

原脚本代码出自:http://blog.csdn.net/yiyaaixuexi/article/details/29201699

第二、在 .pch 文件中添加代码

不要跟我说你的工程没有 .pch 文件,如果真没有,自行百度,这应该算是标配,常识来的。

#ifdef __OBJC__#import#import//添加混淆作用的头文件(这个文件名是脚本confuse.sh中定义的)#import"codeObfuscation.h"#endif

写到这里,编译的时候是不是发现报错啦?刚才的 .pch 文件里面的添加的代码居然报错了:

 
 

报错了!

不要慌,先把那句报错的先给注释掉:

 
 

先注释掉报错的这一行代码

然后我们继续往下走!

第三、配置 Build Phase

1:添加 Run Script

 
 

添加 Run Script

2:配置好 Run Script

 
 

配置好 Run Script

然后再回到终端,同样先 cd 到工程目录下,接着我们要打开刚才 .sh 这个脚本文件的运行权限,因为默认是没有这个权限的,在终端输入以下指令:

 
 

打开运行权限

回车,搞定,回到我们的工程,先 command + b 编译一下工程,然后再把我们刚刚注释掉的那句代码解开:

 
 

打开刚刚被我们注释掉的代码

再次 command + b 编译,现在是不是编译通过啦?刚刚报错的,现在解决了!

基本上就搞定了,剩下的就是添加上我们想要混淆的变量名或函数名

第四、在  func.list 文件里,写入待混淆的函数名

如果像下面这几个属性跟函数:

 
 

需要混淆的属性跟函数名

那么就这在 fun.list 就这么列出来就好了:

 
 

列出需要混淆的

大功告成!现在 command + b 运行一下,然后在哪里看结果呢,请看这里:

 
 

运行结果

可能这么看有点麻烦,那来个简单一点的:

 
 

查看

哈哈,你会发现,多了好多宏定义,其实就是我们刚才的字段来的:

 
 

结果

当然,这也只是最简单的代码混淆而已,APP安全还是有很多需要注意的。一步一步来吧!

dome 链接:https://github.com/QQ396368888/The-iOS-code-confusion#ios%E4%BB%A3%E7%A0%81%E6%B7%B7%E6%B7%86%E5%8A%A0%E5%AF%86-%E5%9F%BA%E7%A1%80%E7%AF%87

ios -逆向-代码混淆的更多相关文章

  1. iOS 初探代码混淆(OC)

    iOS 初探代码混淆(OC) 前言 自己做iOS开发也有几年的时间了,平时做完项目基本就直接打包上传到Appstore上,然后做上架操作了.但是最近,客户方面提出了代码安全的要求.说是要做代码混淆,这 ...

  2. 关于Unity发布iOS平台代码混淆问题

    之前在越狱手机里找到<永恒战士3>的程序发现是用Unity做的,拷出资源出来看的时候发现里面有游戏程序集,立马抽出来反编译了一下,发现里面的代码只有方法签名,没有方法体,还以为用什么高端混 ...

  3. iOS安全——代码混淆&反编译

    本文是初步了解和集成网上的相关反编译博客, 并做公司内部技术人员分享研讨PPT.

  4. iOS安全攻防(二十三):Objective-C代码混淆

    iOS安全攻防(二十三):Objective-C代码混淆 class-dump能够非常方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完好的程序给同行留下笑柄. 所以 ...

  5. iOS安全攻防之代码混淆

    iOS 代码安全之代码混淆实践: 前言: 在8月份的时候写了个关于 class-dump 反编译的文章(使用 Class-dump 反编译),利用 class-dump 工具可以反编译出工程的头文件, ...

  6. iOS 代码混淆

    一般做了防调试的话,被调试进程会退出的,是防动态分析措施. 代码混淆加花这些是防静态分析措施. 反调试是防动态分析措施. 混淆的方法方法名混淆其实就是字符串替换,有2个方法可以,一个是#define, ...

  7. 代码混淆 iOS

    该方法只能针对有.m.h的类进行混淆,静态库等只有.h文件的没法进行混淆 代码混淆,刚刚看到是不是有点懵逼,反正我是最近才接触到这么个东西,因为之前对于代码和APP,只需要实现功能就好了,根本没有考虑 ...

  8. iOS 代码安全加固--反编译和代码混淆

    一.class-dump反编译 1.将打包的ipa反编译下,.ipa改成.zip,并解压 6.右击—显示包内容,找到如下有个白框黑底的  7.将其复制到桌面xx文件夹中,在终端中输入相关命令 cd 进 ...

  9. 大公司怎么做Android代码混淆的?

    3月17日,网易资深安全工程师钟亚平在安卓巴士全球开发者论坛上做了<安卓APP逆向与保护>的演讲.其中就谈到了关于代码混淆的问题.现摘取部分重点介绍如下:   Java代码是非常容易反编译 ...

随机推荐

  1. 建立DB-LINK和建立视图

    在系统数据通信间经常会有数据库的数据直接引用,使用视图VIEW的方式实现.视图调用通常会有两种情况,一种是同一数据库的视图,一种是跨数据库的视图. 在同一数据库地址不同用户下,不过不同的用户视图调用需 ...

  2. Servlet执行时一般实现哪几个方法?

    public void init(ServletConfig config) public ServletConfig getServletConfig() public String getServ ...

  3. MAC 使用技巧及常用软件备忘

    公司转向MAC快一年, 换了MAC PRO半年时间,MAC这东西除了颜值和性能,软件真是不如WINDOWS啊,不是没有,只是好多都收费! 先介绍几个跨平台的. WIN+MAC 通用: 浏览器: CHR ...

  4. PostgreSQL数据库的安装与配置

    项目中要用PostgreSQL,所以专门学习了一下如何安装和调试postgresql,此博文用来记录自己的安装和调试过程,安装环境是centos7. 首先尝试了yum安装,因为毕竟yum安装简单粗暴, ...

  5. Python Socket API 笔记

    将上节中的C#该成Python版的容易程度大大超出了我的意料之外.从来没有发现,仅仅用灰尘简单的几句话就实现了该程序的主要功能,可见python的简易和强大之处.这里先对SocketAPI 做一下总结 ...

  6. iOS tableView下拉图片放大

    事实上这个效果,本质上就是在你tableView下拉 造成offset时候. 保持你顶部图片的y坐标点还停留在下拉时屏幕的顶点(offset), 而图片的长度变为原始的height长度-(offset ...

  7. 使用 curl() 函数实现不同站点之间注册用户的同步

    一 需求 在A站点注册一个新用户,那么,在B站点也会被同时注册 二 思路 在A站点注册的同时,调用API接口实现在B站点也会被同时注册 三 实现 主要代码如下: function http_curl( ...

  8. iOS原生推送(APNS)进阶iOS10推送图片、视频、音乐

    代码地址如下:http://www.demodashi.com/demo/13208.html 前言 我们首先要在AppDelegate里面进行iOS的适配,可以参考这篇文章 iOS原生推送(APNS ...

  9. lua类库 middleclass学习笔记

    middleclass使在lua中面象对象变的简单 抄了一遍他的示例代码运行着试了试,基本懂了 local class = require 'middleclass' --类的继承 Person = ...

  10. 关于行内元素之间有空隙的问题,例如span与input之间

    问题如图: 想要的是下面的效果,而却出现上面的效果,解决方法如下: 对于行元素span或者input来说 很多人会用inline-block来显示他们,但是往往发现  中间会留一段小空隙 , 其实这个 ...