求大牛指导一下Android APK的加固思路-Android安全-看雪-安全社区|安全招聘|kanxue.com

求大牛指导一下Android APK的加固思路

发表于: 2017-3-22 09:55 8058

求大牛指导一下Android APK的加固思路

Marg

2017-3-22 09:55

8058

是这样的，公司最近的一个APK需要加固；我自己是做安卓开发的，以前只做过简单的proguard混淆。联系了一些第三方加密机构，谈下来价

格都比较高，远远超出了公司的预算，所以准备自己做。

现在只会做proguard混淆，知道dex文件加壳,so文件加固，这两个的话不知道怎么下手，求各位大神给点好的建议指导下

顺便问各位大神一个问题：一个APK装到手机上以后，本地APK的包被删除了，只有一个安装好的运行程序，直接从这个运行程序把源码

搞出来的难度大吗，就是在没加固的情况下。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (19)
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 2 楼真那么好做这么多公司就都自己做了,且不说原理复杂，光是兼容性稳定性就要折腾很久了。建议楼主如果对加密要求不是很高，就用一些免费版的加固就可以了，对加密要求高的话还是花点钱吧。 2017-3-22 10:11 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 3 楼 Zkeleven 真那么好做这么多公司就都自己做了,且不说原理复杂，光是兼容性稳定性就要折腾很久了。建议楼主如果对加密要求不是很高，就用一些免费版的加固就可以了，对加密要求高的话还是花点钱吧。本来是想花钱做这块的，但是第三方的报价太高了，比开发成本都高了很多。自己做确实很难搞，有好的第三方推荐吗，前几天咨询了两家报价太高了。 2017-3-22 10:23 0
wooyunking 雪币： 1039 活跃值： (1830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 3 关注私信	wooyunking 4 楼一般来说加固费10w吧，养一个开发加测试不值10w吧？自己如果没有实力的话还不让使用免费版加固吧，但是免费版加固几乎可以肯定都能脱掉，比较坑，但是对于普通攻击者还是很有效果的 2017-3-22 10:37 0
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 5 楼大多数app没有太高的加密需求就没必要花那么多钱，对于真正有加密需求的比如金融，游戏这类app又不在乎那点钱。 2017-3-22 10:39 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 6 楼 wooyunking 一般来说加固费10w吧，养一个开发加测试不值10w吧？自己如果没有实力的话还不让使用免费版加固吧，但是免费版加固几乎可以肯定都能脱掉，比较坑，但是对于普通攻击者还是很有效果的大神请教你个问题一个APK在没加固的情况下装到手机上以后，本地APK的包被删除了，只有一个安装好的运行程序，直接从这个运行程序把源码搞出来的难度大吗 2017-3-22 11:10 0
hznetease 雪币： 28 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 80 粉丝 0 关注私信	hznetease 7 楼可以关注下易盾加固。网易出品。价格可以咨询下。 2017-3-22 11:14 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 8 楼 Zkeleven 大多数app没有太高的加密需求就没必要花那么多钱，对于真正有加密需求的比如金融，游戏这类app又不在乎那点钱。属于半金融的，现在是项目刚出来，资金不是很充足，想先简单解决下，后面市场打开了再往深了加。 2017-3-22 11:17 0
奔跑的阿狸雪币： 4549 活跃值： (5704) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 141 粉丝 25 关注私信	奔跑的阿狸 1 9 楼难度不大，只要从内存中把没加固的.dex文件找出来，用jar分析即可 2017-3-22 11:42 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 10 楼奔跑的阿狸难度不大，只要从内存中把没加固的.dex文件找出来，用jar分析即可谢谢大神回复，那要是加密过的呢，我咨询第三方的时候他们说可以内存防dump，这个靠谱吗 2017-3-22 11:48 0
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 11 楼没加固的不管你怎么混淆都很容易被人给你分析得干干净净，免费版的加固可以防止大多数只会反编译的小白，真正难得还是商业版的加固，比如梆梆的商业版，非常难搞。 2017-3-22 12:41 0
wooyunking 雪币： 1039 活跃值： (1830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 3 关注私信	wooyunking 12 楼 Marg 大神请教你个问题一个APK在没加固的情况下装到手机上以后，本地APK的包被删除了，只有一个安装好的运行程序，直接从这个运行程序把源码搞出来的难度大吗现在很多xx助手都有一个应用备份功能，你本地安装好的apk可以直接完整备份出来，即使你不使用商业版加固，也得请个安全工程师辅组开发设计app加固吧？其实app加固不加固我觉得无所谓，只有你设计的时候从安全角度出发，也没那个必要，你看现在支付宝微信还不是没加固，照样好好的 2017-3-22 14:12 0
Ethernet 雪币： 203 活跃值： (414) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 141 粉丝 0 关注私信	Ethernet 13 楼 wooyunking 现在很多xx助手都有一个应用备份功能，你本地安装好的apk可以直接完整备份出来，即使你不使用商业版加固，也得请个安全工程师辅组开发设计app加固吧？其实app加固不加固我觉得无所谓，只有你设计的时候从 ... 支付宝这种体量的app，最担心的还是业务层面的安全风控，比如扫个二维码会导致钱被转，前段时间刚刚出来的好友可以窃取你的帐号等问题，这些都不是安全加固可以解决的。不过你仔细分析过它的so的话，你会发现核心so还是经过保护的。 2017-3-22 15:03 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 14 楼人家靠这个收钱吃饭的自然是有两把刷子，不说收费版了，就靠你这样没基础的要做到人家免费版那样的加密等级，没个半年一年功夫是不可能的 2017-3-22 16:50 0
笑对VS人生雪币： 423 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 19 关注私信	笑对VS人生 15 楼加固永远不是办法 2017-3-23 11:59 0
RealityAbb 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	RealityAbb 16 楼删掉安装包的那个没什么用，应用安装时会复制一份apk到/data/app目录下，只要把手机root掉，就可以把这个apk给拷出来。关于加固这个怎么做，我也不是很清楚，最近才开始搞。有什么进展可以相互进展可以交流一下。 2017-3-23 13:23 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 17 楼 RealityAbb 删掉安装包的那个没什么用，应用安装时会复制一份apk到/data/app目录下，只要把手机root掉，就可以把这个apk给拷出来。关于加固这个怎么做，我也不是很清楚，最近才开始搞。有什么进展可以相互进 ... 意思就是root完了过后，可以直接在data里面拿到源码吗 2017-3-30 17:15 0
米利托雪币： 168 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	米利托 18 楼 Marg 意思就是root完了过后，可以直接在data里面拿到源码吗是的，你可以找一台root过的手机自己看看 2017-3-30 19:20 0
bunnyrene 雪币： 158 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 19 楼其实不root也可以拷贝出来 2017-3-31 15:10 0
不知世事雪币： 3712 活跃值： (1736) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 20 楼加固暂且不说加固难度，兼容性是很难保障的，楼主如果对加密性要求不高的话。可以参考这个博客做一些本地层so的简单处理。比如混淆，加密，UPX壳的简单处理。899K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3k6X3g2A6j5X3q4T1k6h3W2T1k6h3W2Q4y4h3k6T1k6h3W2T1k6h3W2Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0f1J5y4U0j5^5y4e0x3@1 2017-4-1 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Marg

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 2 楼真那么好做这么多公司就都自己做了,且不说原理复杂，光是兼容性稳定性就要折腾很久了。建议楼主如果对加密要求不是很高，就用一些免费版的加固就可以了，对加密要求高的话还是花点钱吧。 2017-3-22 10:11 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 3 楼 Zkeleven 真那么好做这么多公司就都自己做了,且不说原理复杂，光是兼容性稳定性就要折腾很久了。建议楼主如果对加密要求不是很高，就用一些免费版的加固就可以了，对加密要求高的话还是花点钱吧。本来是想花钱做这块的，但是第三方的报价太高了，比开发成本都高了很多。自己做确实很难搞，有好的第三方推荐吗，前几天咨询了两家报价太高了。 2017-3-22 10:23 0
wooyunking 雪币： 1039 活跃值： (1830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 3 关注私信	wooyunking 4 楼一般来说加固费10w吧，养一个开发加测试不值10w吧？自己如果没有实力的话还不让使用免费版加固吧，但是免费版加固几乎可以肯定都能脱掉，比较坑，但是对于普通攻击者还是很有效果的 2017-3-22 10:37 0
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 5 楼大多数app没有太高的加密需求就没必要花那么多钱，对于真正有加密需求的比如金融，游戏这类app又不在乎那点钱。 2017-3-22 10:39 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 6 楼 wooyunking 一般来说加固费10w吧，养一个开发加测试不值10w吧？自己如果没有实力的话还不让使用免费版加固吧，但是免费版加固几乎可以肯定都能脱掉，比较坑，但是对于普通攻击者还是很有效果的大神请教你个问题一个APK在没加固的情况下装到手机上以后，本地APK的包被删除了，只有一个安装好的运行程序，直接从这个运行程序把源码搞出来的难度大吗 2017-3-22 11:10 0
hznetease 雪币： 28 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 80 粉丝 0 关注私信	hznetease 7 楼可以关注下易盾加固。网易出品。价格可以咨询下。 2017-3-22 11:14 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 8 楼 Zkeleven 大多数app没有太高的加密需求就没必要花那么多钱，对于真正有加密需求的比如金融，游戏这类app又不在乎那点钱。属于半金融的，现在是项目刚出来，资金不是很充足，想先简单解决下，后面市场打开了再往深了加。 2017-3-22 11:17 0
奔跑的阿狸雪币： 4549 活跃值： (5704) 能力值： ( LV13，RANK：437 ) 在线值：发帖 29 回帖 141 粉丝 25 关注私信	奔跑的阿狸 1 9 楼难度不大，只要从内存中把没加固的.dex文件找出来，用jar分析即可 2017-3-22 11:42 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 10 楼奔跑的阿狸难度不大，只要从内存中把没加固的.dex文件找出来，用jar分析即可谢谢大神回复，那要是加密过的呢，我咨询第三方的时候他们说可以内存防dump，这个靠谱吗 2017-3-22 11:48 0
Zkeleven 雪币： 53 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 11 楼没加固的不管你怎么混淆都很容易被人给你分析得干干净净，免费版的加固可以防止大多数只会反编译的小白，真正难得还是商业版的加固，比如梆梆的商业版，非常难搞。 2017-3-22 12:41 0
wooyunking 雪币： 1039 活跃值： (1830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 147 粉丝 3 关注私信	wooyunking 12 楼 Marg 大神请教你个问题一个APK在没加固的情况下装到手机上以后，本地APK的包被删除了，只有一个安装好的运行程序，直接从这个运行程序把源码搞出来的难度大吗现在很多xx助手都有一个应用备份功能，你本地安装好的apk可以直接完整备份出来，即使你不使用商业版加固，也得请个安全工程师辅组开发设计app加固吧？其实app加固不加固我觉得无所谓，只有你设计的时候从安全角度出发，也没那个必要，你看现在支付宝微信还不是没加固，照样好好的 2017-3-22 14:12 0
Ethernet 雪币： 203 活跃值： (414) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 141 粉丝 0 关注私信	Ethernet 13 楼 wooyunking 现在很多xx助手都有一个应用备份功能，你本地安装好的apk可以直接完整备份出来，即使你不使用商业版加固，也得请个安全工程师辅组开发设计app加固吧？其实app加固不加固我觉得无所谓，只有你设计的时候从 ... 支付宝这种体量的app，最担心的还是业务层面的安全风控，比如扫个二维码会导致钱被转，前段时间刚刚出来的好友可以窃取你的帐号等问题，这些都不是安全加固可以解决的。不过你仔细分析过它的so的话，你会发现核心so还是经过保护的。 2017-3-22 15:03 0
dddsdf 雪币： 64 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	dddsdf 14 楼人家靠这个收钱吃饭的自然是有两把刷子，不说收费版了，就靠你这样没基础的要做到人家免费版那样的加密等级，没个半年一年功夫是不可能的 2017-3-22 16:50 0
笑对VS人生雪币： 423 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 19 关注私信	笑对VS人生 15 楼加固永远不是办法 2017-3-23 11:59 0
RealityAbb 雪币： 202 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	RealityAbb 16 楼删掉安装包的那个没什么用，应用安装时会复制一份apk到/data/app目录下，只要把手机root掉，就可以把这个apk给拷出来。关于加固这个怎么做，我也不是很清楚，最近才开始搞。有什么进展可以相互进展可以交流一下。 2017-3-23 13:23 0
Marg 雪币：活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	Marg 17 楼 RealityAbb 删掉安装包的那个没什么用，应用安装时会复制一份apk到/data/app目录下，只要把手机root掉，就可以把这个apk给拷出来。关于加固这个怎么做，我也不是很清楚，最近才开始搞。有什么进展可以相互进 ... 意思就是root完了过后，可以直接在data里面拿到源码吗 2017-3-30 17:15 0
米利托雪币： 168 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	米利托 18 楼 Marg 意思就是root完了过后，可以直接在data里面拿到源码吗是的，你可以找一台root过的手机自己看看 2017-3-30 19:20 0
bunnyrene 雪币： 158 活跃值： (216) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 199 粉丝 2 关注私信	bunnyrene 19 楼其实不root也可以拷贝出来 2017-3-31 15:10 0
不知世事雪币： 3712 活跃值： (1736) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 156 粉丝 14 关注私信	不知世事 1 20 楼加固暂且不说加固难度，兼容性是很难保障的，楼主如果对加密性要求不高的话。可以参考这个博客做一些本地层so的简单处理。比如混淆，加密，UPX壳的简单处理。899K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3k6X3g2A6j5X3q4T1k6h3W2T1k6h3W2Q4y4h3k6T1k6h3W2T1k6h3W2Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0f1J5y4U0j5^5y4e0x3@1 2017-4-1 08:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复