新的 APK 加固方法?

啥工具？

抽空 再填充

之前记得有个操作是把方法内容都抽到 native 层

没看到包不知道具体操作，猜测基本逻辑应该还是 java2c，dex 取 insn 块，填充 return null，批量加 tag，后续 c 层回调用 java 或者回填字节码。问题在于如何进行函数对标，考虑可能是函数签名做唯一标识，但只是猜测，直接打个 id 和用函数签名其实差不多。

这是几年前的技术了。。不过加固技术基本已经到头，以后估计也不会有太多新技术。。

加壳吧，抽出来放 native 里了

指令抽取。要破解的话一般是用定制 ROM，在底层主动调用触发方法 byte code 回填。

你去看银行的 app，一般都是指令抽取的加固。

@MaxLi77
@hugedeffing

有没有类似的加固工具？

@kingof 基本大厂都有，免费的也有，github 上也有开源的

@kingof 网易网盾？

至少是 5 年前的方法了吧

@ifxo 我真是 outdate 了:)，这种方我还是第一次见

@fixend 感谢感谢，试一下

@hugedeffing 开源的，能给个名字或关键词吗？

@kingof

各大加固厂都有，稳定性，兼容性比开源的要好

这个是 smali 指令抽取，将 dex 中方法的指令抽走，然后利用 hook 技术在 dalvik/art 中注入代码，当 dalvik/art 执行到这个方法时，把抽走的的指令再填充回来；这种加固方法目前也是有比较稳定的脱壳工具的，一般都在 art 中强行回填所有的指令，再把 dex 拿下来。更强的是 dex vmp 了，鄙人不才，曾写过一篇文章, google 搜索 《 Android DEX-VMP 虚拟保护技术》


@MaxLi77 哥们说得对，加固技术基本到头了

这种加固方案依赖于虚拟机的实现,会有兼容性问题,每个安卓版本都得适配.java2c 有开源的实现,搜索 dex to c compiler.

@YouKnowIt
@amimo


感谢两位大佬

@amimo 是的，有兼容性问题，我也提到过。不过兼容性问题是可以慢慢收敛的，现在，这种方案我个人觉得兼容性，稳定性已经做的可以了，毕竟也经过不少商业客户线上检验

APK 安全加固，可以提高应用程序的代码安全性、数据安全性和自主防御能力，并且符合《 GBT25070-2019 信息安全技术网络安全等级保护安全设计技术要求》 [简称:等保 2.0] 中的移动互联安全计算环境设计技术要求。可以帮助金融、手游、电商、社交等行业解决移动应用的诸多安全问题，包括核心代码被反编译、应用被仿冒、API 接口暴露、密钥被窃取、请求协议被伪造，APK 包被植入恶意代码等，提供全面的标准化安全保护功能。

只需要提供 APK 包即可快速集成防静态工具分析、Dex 文件保护、So 文件保护、内存保护、反调试、防二次打包、本地数据加密、资源文件加密等多项安全功能。

APK 加固： https://www.kiwisec.com/product/app-encrypt.html

1000 块买了个加固服务，通过了安全合规检测。相比其他动则万元很便宜了

DexVMP 保护，壳加密算法保护，Dex 文件防篡改保护，壳防动态调试保护，防内存 DUMP 保护，模拟器&ROOT 检测保护，防日志泄露保护，防线程动态调试保护，防进程动态调试保护，防 JDWP 调试保护，防注入保护