辛辛苦苦開發出來一個客戶端。雖然沒多少人用,但被打包黨內嵌了惡意扣費等行爲。該怎麼辦?怎麼預防?修改
按票數排序按時間排序
7 個回答
Android應用重打包的現狀,推薦豌豆莢團隊的相關回答:豌豆莢 2013 年清明節後執行的應用審查制度影響如何?
---------------------------------------正題----------------------------------------
暫時想到對付重打包的兩個辦法:
下面着重分析技術上的手段
PackageManager.getPackageInfo(pkgName, PackageManager.GET_SINATURES)
簽名信息較長,可以獲取簽名對象的hashCode進行比較。
2. 運行時校驗可執行文件
App安裝完成後,會在系統中保存apk文件,啓動時校驗該文件,並與正常值比較即可。
可以只對classes.dex文件進行校驗,也可以對整個apk文件進行校驗。前者保護了代碼邏輯,後者 同時保護了佈局和資源文件(很多去廣告的重打包僅僅改變佈局文件)。
需要注意的是,正常值不能寫到代碼裏,這是由於每次編譯代碼後,校驗值會發生改變。解決方法:
需要指出的是,以上方法均有剋制手段,重打包問題很難通過單純的App本身的技術方法解決。App分發審覈機制、版權保護等也是非常重要的。
參考:
《Android軟件安全與逆向分析》(豐生強)【摘要 書評 試讀】
---------------------------------------正題----------------------------------------
暫時想到對付重打包的兩個辦法:
- 技術上預防
- 與應用商店、論壇等聯繫,要求其刪除重打包應用
下面着重分析技術上的手段
- 運行時校驗簽名
PackageManager.getPackageInfo(pkgName, PackageManager.GET_SINATURES)
簽名信息較長,可以獲取簽名對象的hashCode進行比較。
2. 運行時校驗可執行文件
App安裝完成後,會在系統中保存apk文件,啓動時校驗該文件,並與正常值比較即可。
可以只對classes.dex文件進行校驗,也可以對整個apk文件進行校驗。前者保護了代碼邏輯,後者 同時保護了佈局和資源文件(很多去廣告的重打包僅僅改變佈局文件)。
需要注意的是,正常值不能寫到代碼裏,這是由於每次編譯代碼後,校驗值會發生改變。解決方法:
- 只對classes.dex文件校驗,可以將正常值保存到res文件中或網絡上
- 對整個apk文件進行校驗,保存正常值到網絡上
需要指出的是,以上方法均有剋制手段,重打包問題很難通過單純的App本身的技術方法解決。App分發審覈機制、版權保護等也是非常重要的。
參考:
《Android軟件安全與逆向分析》(豐生強)【摘要 書評 試讀】
![]()
劉立正,Android開發程序猿,web前端愛好者!
如果能做成在google play那樣下載後不可保存apk文件也能稍微減少一些被重打包的情況吧!
不過這也不是一種解決的辦法!
只有在編寫完代碼後使用混析代碼,給他們反編譯造成一定難度了!讓他們反編譯不了!
還有就是在首次運行程序的時候,提示用戶從正規網站下載,非原作者提供的下載地址有可能被惡意修改,這樣也能儘量避免一些的!
不過這也不是一種解決的辦法!
只有在編寫完代碼後使用混析代碼,給他們反編譯造成一定難度了!讓他們反編譯不了!
還有就是在首次運行程序的時候,提示用戶從正規網站下載,非原作者提供的下載地址有可能被惡意修改,這樣也能儘量避免一些的!
![]()
謝然,沒有抗爭就沒有自由
混淆。這樣對手看不出你代碼裏寫了什麼,你升級時他永遠只能比你晚,而且功能永遠只能是你的子集。Android工程混淆很簡單,改一下工程根目錄下那個Properties文件就行了,裏面有註釋的
