为了保护公司的App安全,我用遍了市面上的加固产品

栏目: IOS · 发布时间: 6年前

内容简介:加固是保护App安全的重要手段之一,不仅能够保障App代码安全,防止被破解入侵篡改,更是等保、测试等合规性要求。最近,公司开发了一款运动App,主要面向苹果用户。我试遍了市场主流的iOS加固产品。虽然国内外的都有,但是差距很大。当然,能够拿出来单独说的不超过6款。以下是iOS App加固产品选型时的一点心得,主要有Obfuscator-LLVM、网易iOS加固、360iOS加固、顶象iOS加固和数字遁甲iOS加固。Obfuscator-LLVM是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项

加固是保护App安全的重要手段之一,不仅能够保障App代码安全,防止被破解入侵篡改,更是等保、测试等合规性要求。

最近,公司开发了一款运动App,主要面向苹果用户。我试遍了市场主流的iOS加固产品。虽然国内外的都有,但是差距很大。当然,能够拿出来单独说的不超过6款。以下是iOS App加固产品选型时的一点心得,主要有Obfuscator-LLVM、网易iOS加固、360iOS加固、顶象iOS加固和数字遁甲iOS加固。

Obfuscator-LLVM

Obfuscator-LLVM是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目,该项目旨在提供一套开源的针对LLVM的代码混淆工具,以增加对逆向工程的难度。后期转向商业项目strong.protect。目前,OLLVM已经支持LLVM-4.0版本。

作为代码混淆的优秀开源项目,Obfuscator-LLVM提供控制流扁平化、指令替换、虚假控制流等功能,不支持swift和Bitcode,加固强度比较低。

为了保护公司的App安全,我用遍了市面上的加固产品

Obfuscator-LLVM使用时必须集成到xcode上,也就是插件形式进行加固,开发调试很简单。

Obfuscator-LLVM的混淆样式如下:

为了保护公司的App安全,我用遍了市面上的加固产品

网易iOS加固

iOS加固( dun.163.com/product/ios… 是网易易盾下面的一个移动安全产品。主要提供字符串加密、代码逻辑混淆、字符串混淆和反调试等功能,也不支持swift和Bitcode,加固强度中等。

为了保护公司的App安全,我用遍了市面上的加固产品

网易iOS加固是一套独立工具,开发调试程度一般。

它提供了15天的企业免费试用。需要提供bundleID和邮箱。

使用过程如下:

为了保护公司的App安全,我用遍了市面上的加固产品

360 iOS加固

360iOS加固( jiagu.360.cn/#/global/in… 是360加固保旗下的产品。主要提供源代码进行常量加密、逻辑混淆、结构替换、多路径执行等保护,同样也不支持swift和Bitcode,加固强度中等。

为了保护公司的App安全,我用遍了市面上的加固产品

360iOS加固是在线加固的形式。在官网注册账号,上传文件即可使用。开发调试程度比较麻烦。

为了保护公司的App安全,我用遍了市面上的加固产品

数字遁甲iOS加固

数字遁甲是新崛起的一个加固厂商。其iOS加固产品主要提供二进制加固、字符串混淆和高级反调试等功能,不支持swift和Bitcode,加固强度较低。

为了保护公司的App安全,我用遍了市面上的加固产品

为了保护公司的App安全,我用遍了市面上的加固产品

以下是一个加固后的结果。

为了保护公司的App安全,我用遍了市面上的加固产品

顶象iOS加固

顶象iOS加固( www.dingxiang-inc.com/business/io… 是顶象技术端安全旗下产品,主要提供代码虚拟化、字符串加密、代码混淆等功能。支持swift和Bitcode两种(这也是目前唯一支持该两类语言加固的工具),加固强度较高。

多说一句,该产品团队人员主要来自阿里巴巴移动安全产品团队。

为了保护公司的App安全,我用遍了市面上的加固产品

顶象iOS加固比较有意思,提供两种在线和插件两种形式。

在线添加参加,然后直接上传文件即可使用。

为了保护公司的App安全,我用遍了市面上的加固产品

为了文件上传方便,顶象还做了一个辅助工具,用来提取加固需要的文件和合并文件。

为了保护公司的App安全,我用遍了市面上的加固产品

第二种方式是插件,与Obfuscator-LLVM类似,也是到xcode上。使用流程如下:

为了保护公司的App安全,我用遍了市面上的加固产品

五款iOS加固 工具 比较

为了保护公司的App安全,我用遍了市面上的加固产品

写在最后的总结

1、功能。这几款工具都具备了市面上目前常见的字符串加密、代码和符号混淆、代码混乱等基础功能。其中,网易iOS加固和数字遁甲iOS加固还提供了防调试功能,开启后自动注入防调试代码,省去了手写;而顶象iOS加固集成了代码虚拟化功能,开启后会使函数体消失,进入虚机运行,整体加固效果较佳。

2、操作。Obfuscator-LLVM集成到新版xcode(9.4.1)上,操作比较麻烦。网易iOS加固单独工具操作比较简单,但是不能集成到xcode使用;360加固和数字遁甲iOS加固是在线服务,也比较简单;顶象iOS加固既可以在线使用,也可以集成到xcode上,可谓两不误。

3、语言支持。swift是苹果2014年发布一个新编程语言,bitcode是编译的中间语言,都是比较常用的。但是除了顶象iOS加固外,其他均不支持。

4、配置方式。Obfuscator-LLVM、网易iOS加固、顶象iOS加固的配置方式类似。

5、版本更新。Obfuscator-LLVM是全部免费的,但是已经停止了更新。其他产品都有更新。

6、加固文件。顶象iOS加固在线使用时,不需要上传源码,这与其他几个在线加固的产品不同。

*本文作者:奔驰雪铁龙,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《为了保护公司的App安全,我用遍了市面上的加固产品》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Intersectional Internet

The Intersectional Internet

Safiya Umoja Noble、Brendesha M. Tynes / Peter Lang Publishing / 2016

From race, sex, class, and culture, the multidisciplinary field of Internet studies needs theoretical and methodological approaches that allow us to question the organization of social relations that ......一起来看看 《The Intersectional Internet》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

随机密码生成器
随机密码生成器

多种字符组合密码

html转js在线工具
html转js在线工具

html转js在线工具