发新帖

Dex文件的完整性校验

[复制链接]
14987 3
本帖最后由 水波摇曳 于 2015-9-15 16:25 编辑

  classes.dex 在 Android 系统上基本负责完成所有的逻辑业务,因此很多针对Android 应用程序的篡改都是针对 classes.dex 文件的。在 APK 的自我保护上,也可以考虑对 classes.dex文件进行完整性校验,简单的可以通过 CRC 校验完成,也可以检查 Hash 值。由于只是检查classes.dex,所以可以将 CRC 值存储在 string 资源文件中,当然也可以放在自己的服务器上,
  通过运行时从服务器获取校验值。基本步骤如下:
  首先在代码中完成校验值比对的逻辑,此部分代码后续不能再改变,否则 CRC 值会发生变化;
  从生成的 APK 文件中提取出 classes.dex 文件,计算其 CRC 值,其他 hash 值类似;
  将计算出的值放入 strings.xml 文件中。
  核心代码如下:
  代码:
  1. String apkPath = this.getPackageCodePath();
  2. Long dexCrc = Long.parseLong(this.getString(R.string.dex_crc));
  3. try {
  4. ZipFile zipfile = new ZipFile(apkPath);
  5. ZipEntry dexentry = zipfile.getEntry("classes.dex");
  6. if(dexentry.getCrc() != dexCrc){
  7. System.out.println("Dex has been *modified!");
  8. }else{
  9. System.out.println("Dex hasn't been modified!");
  10. }
  11. } catch (IOException e) {
  12. // TODO Auto-generated catch block
  13. e.printStackTrace();
  14. }
  但是上述的保护方式容易被暴力破解,完整性检查最终还是通过返回true/false 来控制后续代码逻辑的走向,如果攻击者直接修改代码逻辑,完整性检查始终返回 true,那这种方法就无效了,所以类似文件完整性校验需要配合一些其他方法,或者有其他更为巧妙的方式实现。那么我们可以借用第三方apk安全漏洞检测平台:爱内测能检测程序可执行文件Dex是否做加密保护处理,给出修复建议,防止被dex2jar等工具反编译。

举报 使用道具

回复

精彩评论3

水波摇曳    发表于 2015-9-15 16:24:44 | 显示全部楼层
额 这个不能是原创吧?

举报 使用道具

回复 支持 反对
huluxia    发表于 2015-9-15 19:49:15 来自手机  | 显示全部楼层
感谢分享

举报 使用道具

回复
FindAllBlue    发表于 2015-9-16 20:29:24 | 显示全部楼层
多谢分享

举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表