|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 移动应用安全需求分析与安全保护工程 > 移动应用安全保护机制与技术方案 >
|
|
相关知识点:2个
|
|
|
|
|
为保护移动应用App的安全性,通常采用防反编译、防调试、防篡改、防窃取等多种安全保护措施。
|
|
|
|
|
|
对移动应用程序文件进行加密处理,防止攻击者通过静态的反编译工具,获取到应用的源代码。除了加密措施之外,还可以对移动应用程序进行代码混淆,增加破解者阅读代码的难度。常见的混淆方法有名字混淆、控制混淆、计算混淆等。例如,将移动应用App程序中有明确含义的变量替换成无意义变量,在移动应用App程序中插入无关的代码,修改计算等式。
|
|
|
|
|
|
动态调试利用调试器启动或附加应用程序,可对应用程序运行时的情况进行控制,可以在某一行代码上设置断点,使进程能够停在指定代码行,并实时显示进程当前的状态,甚至可通过改变特定使用目的寄存器值来控制进程的执行。通过调试器,可以获取应用程序运行时的所有信息。
|
|
|
|
为防止应用程序动态调试,应用程序设置调试检测功能,以触发反调试安全保护措施,如清理用户数据、报告程序所在设备的情况、禁止使用某些功能甚至直接退出运行。
|
|
|
|
|
|
通过数字签名和多重校验的防护手段,验证移动应用程序的完整性,防范移动应用程序APK被二次打包以及盗版。
|
|
|
|
|
|
对移动应用相关的本地数据文件、网络通信等进行加密,防止数据被窃取。
|
|
|
|
国内App安全加固商用工具主要有腾讯乐固、360加固和梆梆加固,详细情况可参看相关公司的网站。除了商业工具外,也有免费的安全工具,如ProGuard。ProGuard是一个压缩、优化和混淆Java字节码文件的免费工具,可以删除无用的类、字段、方法和属性。删除没用的注释,最大限度地优化字节码文件,还可以使用简短的、无意义的名称来重命名已经存在的类、字段、方法和属性。
|
|
|
