这是一个创建于 3032 天前的主题,其中的信息可能已经有所发展或是发生改变。
36 氪独家获悉,“几维安全”已于 2017 年 5 月获得 1000 万 Pre-A 轮融资,由宽带资本投资。几维安全定位为中小企业提供简单高效的移动应用安全( http://www.kiwisec.com/product/compiler.shtml )产品,此前于 2015 年 4 月获得了北京掌上云集科技有限公司的 250 万天使轮投资。
截止至 2016 年 6 月 30 日,累计上传到 App Store 的应用总数已达 2187260,中国区新增应用总数约 29.3 万,较去年上半年同比增长约 29.6%,其中游戏类别占比最大,占 21.39%(数量 332531 ),排名之后是商业、教育、生活类应用。
拿游戏 APP 举例,通常情况下,开发者写出代码,再经由发行商上架产品压缩包,如果没有进行加密加固的话,任何人都能够轻易下载并解压缩,篡改内部逻辑,从而破解游戏降低关卡难度,例如把人物设置跳的更高、跑的更快。若不法者再进行二次打包上传其他渠道,新下载的玩家其实使用的就是盗版,并且会降低付费意愿,不仅对企业来说是一大损失,用户的操作安全也很难得到保障。
之后,安全厂商开始从压缩包着手,在包外加一层“壳”,防止程序被破解。但这样可能存在一些问题,对系统层改动越多,就需要越多的监控,会影响兼容性,出现黑屏、崩溃等问题。
所以,“几维安全”的解决方案是,基于白盒加密,从开发阶段就引入加密机制,把安全技术下沉到代码层,不会干预应用内部的运行流程。例如,开发者写出代码 A 版本,经过几维,插入了一些混淆代码,变成更复杂的 B 版本,不法者获得后,会把伪指令当作真实代码,反编译的成本就大大增加,而对于手机终端来说,只需要识别外围属性,这时候的 B 版本= A 版本,即用户安装和之前一样。相比 APK 压缩包的后期加密,几维安全从代码层入手就是前期加密,这样一来,能避免版本迭代后的兼容问题,也就减少了开发者后期的维护成本。
在白盒加密的基础上,几维安全又推出了国内首个移动代码虚拟化方案“ KiwiVM ”。在操作层面,几维安全提供的简单工具,开发者集成到开发平台后,跟之前一样的编写程序,就能自动生成加密代码。其实,一款产品中关键代码只占比 10%- 20%,开发者可以调节关键部分加密强度高,其余部分低强度,从而达到最优比。
几维安全 CEO 范俊伟强调,KiwiVM 代码虚拟化技术是基于编译器中间层的技术实现,而其他代码虚拟化厂家都是基于二进制实现。问及难点,范俊伟告知:“虚拟化在代码加密是最难的技术,CTO 刘柏江是资深白帽黑客,全球首个移动平台调试器 GikDbg、深度代码混淆 KiwiVM 独立开发者,对编译调试一套体系非常了解,因为这不是堆人做出来的项目,需要一个人对全流程有透彻的了解。”
具体到产品上:
首先,几维安全有一款免费 APP 检测平台,提供了各应用市场接口,C 端用户可以直接搜索 APP,开发者可以一键提交压缩包,之后平台就会出现安全评测报告,报告是基于 APP 的读取权限、可篡改性、动态攻防、静态代码、漏洞扫描五大方面分析出结果。该免费平台对几维的意义是,扩大用户量,让普通用户都能体验加密方式。
其次,几维安全提供收费的企业级加密加固服务,主要是以离线工具的形式提供,开发者不需要把包到上传到几维的服务器,从而强度、安全、服务等方面都比免费在线平台要高。
此外,几维还有部分收入来自 KiwiVM 代码混淆高级定制服务。通用情况下,几维的离线工具是通过自己的算法库来加密,标准化产品基本可以满足 80%的企业场景。但总有企业想要用算法库之外的算法,所以几维还提供定制服务。
据了解,几维安全的免费平台已经有接近 1000 家企业注册使用,并产生了大量付费转化,付费增长率在 50%,由于几维主打标准化产品,相对成本较低,客单价可以到几千元-几万元。范俊伟认为,先用标准化产品服务付费能力低的中小企业是不错的思路。同时,几维对大客户也有策略,就是把核心技术能力输出给集成商或者传统安全厂商合作,由他们来负责获客销售。
团队方面,除 CTO 刘柏江是资深白帽黑客外,CEO 范俊伟在游戏漏洞挖掘、渗透测试和逆向分析领域也有较长时间的经验。公司成立于 2014 年,现在有 9 人,2015 年- 2016 年负责产品研发,2016 年 10 月份测试版产品上线,之后,与千万级流水手游“风之旅团”成都白银时代科技有限公司的合作,并为索乐网络科技(上海)有限公司出海手游提供了多语言编译器加密服务,等等。而本轮融资将主要用于投入研发和市场营销,预计年底扩张到 20 人,实现 200 家企业付费。
截止至 2016 年 6 月 30 日,累计上传到 App Store 的应用总数已达 2187260,中国区新增应用总数约 29.3 万,较去年上半年同比增长约 29.6%,其中游戏类别占比最大,占 21.39%(数量 332531 ),排名之后是商业、教育、生活类应用。
拿游戏 APP 举例,通常情况下,开发者写出代码,再经由发行商上架产品压缩包,如果没有进行加密加固的话,任何人都能够轻易下载并解压缩,篡改内部逻辑,从而破解游戏降低关卡难度,例如把人物设置跳的更高、跑的更快。若不法者再进行二次打包上传其他渠道,新下载的玩家其实使用的就是盗版,并且会降低付费意愿,不仅对企业来说是一大损失,用户的操作安全也很难得到保障。
之后,安全厂商开始从压缩包着手,在包外加一层“壳”,防止程序被破解。但这样可能存在一些问题,对系统层改动越多,就需要越多的监控,会影响兼容性,出现黑屏、崩溃等问题。
所以,“几维安全”的解决方案是,基于白盒加密,从开发阶段就引入加密机制,把安全技术下沉到代码层,不会干预应用内部的运行流程。例如,开发者写出代码 A 版本,经过几维,插入了一些混淆代码,变成更复杂的 B 版本,不法者获得后,会把伪指令当作真实代码,反编译的成本就大大增加,而对于手机终端来说,只需要识别外围属性,这时候的 B 版本= A 版本,即用户安装和之前一样。相比 APK 压缩包的后期加密,几维安全从代码层入手就是前期加密,这样一来,能避免版本迭代后的兼容问题,也就减少了开发者后期的维护成本。
在白盒加密的基础上,几维安全又推出了国内首个移动代码虚拟化方案“ KiwiVM ”。在操作层面,几维安全提供的简单工具,开发者集成到开发平台后,跟之前一样的编写程序,就能自动生成加密代码。其实,一款产品中关键代码只占比 10%- 20%,开发者可以调节关键部分加密强度高,其余部分低强度,从而达到最优比。
几维安全 CEO 范俊伟强调,KiwiVM 代码虚拟化技术是基于编译器中间层的技术实现,而其他代码虚拟化厂家都是基于二进制实现。问及难点,范俊伟告知:“虚拟化在代码加密是最难的技术,CTO 刘柏江是资深白帽黑客,全球首个移动平台调试器 GikDbg、深度代码混淆 KiwiVM 独立开发者,对编译调试一套体系非常了解,因为这不是堆人做出来的项目,需要一个人对全流程有透彻的了解。”
具体到产品上:
首先,几维安全有一款免费 APP 检测平台,提供了各应用市场接口,C 端用户可以直接搜索 APP,开发者可以一键提交压缩包,之后平台就会出现安全评测报告,报告是基于 APP 的读取权限、可篡改性、动态攻防、静态代码、漏洞扫描五大方面分析出结果。该免费平台对几维的意义是,扩大用户量,让普通用户都能体验加密方式。
其次,几维安全提供收费的企业级加密加固服务,主要是以离线工具的形式提供,开发者不需要把包到上传到几维的服务器,从而强度、安全、服务等方面都比免费在线平台要高。
此外,几维还有部分收入来自 KiwiVM 代码混淆高级定制服务。通用情况下,几维的离线工具是通过自己的算法库来加密,标准化产品基本可以满足 80%的企业场景。但总有企业想要用算法库之外的算法,所以几维还提供定制服务。
据了解,几维安全的免费平台已经有接近 1000 家企业注册使用,并产生了大量付费转化,付费增长率在 50%,由于几维主打标准化产品,相对成本较低,客单价可以到几千元-几万元。范俊伟认为,先用标准化产品服务付费能力低的中小企业是不错的思路。同时,几维对大客户也有策略,就是把核心技术能力输出给集成商或者传统安全厂商合作,由他们来负责获客销售。
团队方面,除 CTO 刘柏江是资深白帽黑客外,CEO 范俊伟在游戏漏洞挖掘、渗透测试和逆向分析领域也有较长时间的经验。公司成立于 2014 年,现在有 9 人,2015 年- 2016 年负责产品研发,2016 年 10 月份测试版产品上线,之后,与千万级流水手游“风之旅团”成都白银时代科技有限公司的合作,并为索乐网络科技(上海)有限公司出海手游提供了多语言编译器加密服务,等等。而本轮融资将主要用于投入研发和市场营销,预计年底扩张到 20 人,实现 200 家企业付费。
目前尚无回复
Select Language