对于APP开发者而言,加固工作至关重要。没有经过加固防护的APP,黑产可以轻易将APP的源码通过逆向进行还原,然后重新打包、植入恶意代码甚至病毒,严重损害开发者甚至用户的利益。 寻找既安全又便捷的加固工具让许多APP开发者头疼不已。 一直关注APP开发者加固体验的腾讯云应用加固(乐固),近日全新升级了PC端加固工具,希望帮助开发者解决这些问题。新版本在继续提升安全性的同时,支持签名文件制作、一键连接专业版、网络代理设置等APP开发者关注的加固功能。除此之外,新版加固工具还对加固过程中的多个细节进行优化,全
很多开发者没有意识到APP的安全隐患可能会严重损害他们的利益,加固可以帮助他们规避很多风险;
dumpDex: 一个开源的 Android 脱壳插件工具,需要xposed支持。可以用来脱掉当前市场上大部分的壳。(360加固、腾讯乐固、梆梆加固、百度加固均可脱壳)
圣经《出埃及记》记载了一个很有名的传奇故事:摩西分海。犹太人的领袖摩西率领族人逃出埃及时来到红海边,前有巨浪,后有追兵,他举起手杖将海水分开,率领族人穿过红海抵达彼岸。 多年后的互联网化语境给“红海”赋予了新的意义:它成为了竞争白热化的市场的代名词。各方势力已经将海域瓜分完毕,若有新人下场搏杀,必然招招见红。 “以前看电影,觉得摩西分红海太难了。要从满满的海水中硬生生开出一条路。”腾讯云乐固产品负责人李京涛说,“没想到做‘乐固’,真就碰上了红的不能再红的红海市场。这次轮到我们来做摩西了。” 入局之初 °
11月16日,首届安卓绿色联盟开发者大会在北京举办。来自腾讯、华为、阿里巴巴、百度等国内各大知名企业的20多位技术大咖,围绕高效应用开发、应用创新体验、自动化测试三大议题方向,与千名开发者展开了深度技术分享。 此外,本次大会还对互联网新形势下的移动应用安全防护产品进行表彰,腾讯云乐固凭借着稳定、强力的性能,荣获主办方颁发的“最佳贡献企业奖”。 应用黑产损害开发者利益 乐固提供一站式移动安全解决方案 近年来,暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、APP推广刷量等一系列移动端互联网黑产活动迅
下面是解决办法: 拷贝/Users/yourname/android-sdk-macosx/build-tools/28.0.2/zipalign到legu应用目录,替换掉 /Applications/legutools.app/Contents/PlugIns/JRE/Contents/Home/jre/bin/zipalign
应用宝官网 APP与男神女神同框不是梦 加入应用宝&乐固「星级权益计划」 加速你与男神女神同框 想你的APP与女神或者仲基老公同框出现在应用宝官网吗?还要苦攒各加分项目拼榜首吗?且听安小妹一本正经道来
10月27日,由工业和信息化部指导,中国信息通信研究院主办,移动智能终端技术创新与产业联盟承办的「2016移动智能终端峰会」在京隆重召开, 会上发布了「移动信息化可信选型」测试结果,并对通过厂商进行了
这些场景是否似曾相识 📷 我流量刷刷刷的没了; 这APP太恶心了,老弹广告; 怎么又乱扣我话费了; 怎么手机那么卡啊,好慢,不会是中木马病毒了吧? ... 网友 吐槽 开发者 吐苦水 📷 投入数百万打造的APP结果被无数盗版淹没在应用市场; 盗版用户体验极差, 直接影响品牌口碑; 被植入病毒木马后, 我们的真实粉丝造财产损失; 用户财产损失后投诉我们, 直接影响品牌口碑。 📷 移动互联网时代,移动 APP 已经渗透进大家生活点
* 本文原创作者:Sunnieli 首先做个说明为什么我会先这个自动化加固的评测。很大一部分原因是和兴趣有关,因为是学习app安全开发,所以多多少少要了解移动安全这方面的知识,很多时候我们会用一些线上的自动化安全平台来给应用加固。 所以在一开始选择什么加固产品的时候也是试了好多个不同的厂商。这次就不如把我之前测的一些数据分享出来,供大家参考。 对于移动应用开发工程师来说,应用自动化加固无疑是最便捷的一种安全方式了。通过加固可以在一定程度上达到反编译和防止被二次打包的效果。当然,现在网上很多平台都提供加固服务
参考文章:https://www.jianshu.com/p/138c9de2c987
乐固加固提供了专业版加固服务,相比普通版本整体保护强度更高,主要包括SO加壳保护、APK 防二次打包保护、资源防篡改、内存防dump等服务,目前服务于公司内百万终端量的app,具体可以参考客户案例。购买专业版服务成功后会生成一个服务项,可在左侧侧边栏“我的服务”里查看。
加固过程中会破坏apk的签名文件,此时直接安装时会出错,找不到签名。因此需要重新签名,重签名后的apk签名文件和原来的保持一致就不会影响更新应用。
启动 VirtualXposed,并在 VirtualXposed中安装 FDex2:
问题:辅助工具 -> 多渠道打包,针对乐固加固包进行多渠道打包失败。(未加固的包可以进行多渠道打包)
因为app开发者常常需要统计app在不同渠道的使用量,所以app安装包就得按照不同的渠道号分别打包。至于为什么要进行使用量的统计,可参见《Android开发笔记(一百零七)统计分析SDK》,现在我们以友盟统计为例,演示一下如何在Eclipse环境实现多渠道打包的功能。 代码工程导入了友盟统计分析的sdk后,还需在AndroidManifest.xml中定义当前发布包的渠道号,如下所示:
主要是担心apk加了乐固之后,还会被人脱壳,网上各种技术无处不在,看了官网介绍虽然挺不错的,但是心里总觉得这东西真的能百分之百保证的吗?以下内容忽略
链接:https://www.jianshu.com/p/052ce81ac953
若第三方杀毒引擎提示您的应用存在安全风险,应用安全则会拒绝您的上传、同时拒绝对应用进行加固。一旦出现该情形,建议您检查应用中是否存在违规行为。若您将该应用发布出去,极大可能被渠道市场拒绝、无法在用户手机安装。对于此类应用,加固能否成功并非最核心要素,因为渠道分发、用户手机都会有类似的安全扫描,应用安全采信的第三方杀毒引擎也极有可能被各分发市场、用户手机上安装的安全软件采信。该类应用正真的问题在于,很难发布到正规市场、安装到用户手机上去,而非无法加固。
用户上传的apk,移动安全-应用加固会使用杀毒引擎先过滤一遍,对于出现安全风险的应用不会给予加固操作,因为有安全风险的软件,上架到应用市场也是会被拒绝;
使用Lint对无用资源进行清理,而Lint则可以检查所有无用的资源文件,只要使用命令./gradlew lint或者在Android Studio工程中点击Analyze->Inspect Code,选择Whole Project点击ok就行。它在检测完之后会提供一份详细的资源文件清单,并将无用的资源列在“UnusedResources: Unused resources” 区域之下。只要你不通过反射来反问这些无用资源,你就可以放心地移除这些文件了。
类加载技术: 针对apk中的classes.dex文件进行处理,放入待定的文件中,通过native代码来进行对其运行时解密。
11月10日,第二届中国互联网安全领袖峰会(简称CSS)进入第二日议程。腾讯云主办的云安全分会场干货频出,Radware、天际友盟、神州网云等腾讯云合作伙伴齐聚一堂,共同探讨抗击黑产、移动安全、安全治
选择自由风格(项目名字最好不要有中文,容易乱码;下方Copy from可以选择复制其他人物的配置文件)
在庞大数据背后暗流涌动的究竟是什么? 据统计,2016年,国内移动互联网活跃用户数已经突破10亿,APP发行数量仅电商、金融、游戏这三大类共计高达2万左右,其中游戏与电商类正版的日活跃度由2015年的
移动 APP 安全行业现状与导读 “ 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移
前情提要 上期关键词回顾:网民吐槽的场景、障眼法的病毒、给他人做嫁衣的开发团队、见招拆招的乐固 上期阅读链接:[移动 APP 安全揭秘]第一期——泛滥的盗版 往事再现 两年前新加坡南洋理工大学一位名叫 Wang Jing 的博士生,发现了 OAuth 和 OpenID 开源登录工具的“隐蔽重定向”漏洞(Covert Redirect),博足了全世界眼球,也被一些安全研究人员研究出了各种猥琐利用的方式(参看知乎专栏:优主张,OAuth 相关文章),能随意进出各大社交网站的用户主页,当时不少媒体以为是 OAut
移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析, 整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。 本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来
背景介绍 谷歌2017I/O开发者大会今年将于5月17-19日在美国加州举办。大会将跟往年一样发布最新的 Android 系统,今年为 Android 8.0。谷歌在今年3 月21日发布 Android 新系统开发者预览版时已给新系统取名为 Android O。自2008 年发布以来, Android 依靠 Google 的生态运作,全球市场份额在2016年底已超过85% 。而近几年依靠 Android 发展起来的智能手机厂商不断增加, Android 生态大家庭也正在不断壮大。 Android O 是 G
你熟悉的Android Root方式有哪些? 如何在无需任何特殊权限条件下 控制用户手机设备? 安小妹无意中发现了乐固一枚技术GG的文档 于是整理分享给大家 喜欢的话别忘了分享噢 [附视频演示] 不依赖于软件漏洞的 Android Root 方式 引言: 安全界有四大著名的顶级会议: S&P,CCS,USENIX Security,NDSS 这四个会议论文通过率都非常之低,也从侧面透露出其发表的研究论文含金量极高。在其中2016年的CCS会议上,来自阿姆斯特丹自由大学与加利福尼亚大学圣巴巴拉分校的研究员V
移动 APP 安全行业现状与导读 “ 移动应用开发者所面临的安全问题主要涉及终端漏洞威胁,应用重打包威胁,应用仿冒威胁。 本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并
前段时间做爬虫遇到一个app,里面的数据需要登录之后才能拿到,而且登录不能用密码,只能通过验证码登录。 这不是明摆着欺负人么,按赵四哥那句话来说就是:
很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。 第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧? 第二张图是微信运动步数作弊,6不6? ok,那我们从头说起…… 1.反编译 Android 的反编译,相信大家都应该有所了解,apktool、JEB 等工具。 我们先看一下 Apk 文件的结构吧,如下图: 1.META-INF:签名文件(这个是如何生成的后面会提到)。 2.r
移动 APP 安全行业现状与导读 “ 移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。 本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分
如培训现场所言,企业的网络安全是一个体系,方方面面都做的话是一个大工程,即使只是网络安全一个分支也需要较长时间建设,所以在早期需要解决当前主要矛盾(即“止血”,在关键位置先控制住大部分风险)。基于我们几个人过往的从业经验,我们建议各位在以下几个关键位置做好控制,则可以达到事半功倍立竿见影的效果:
上一篇我们讲了java的引用机制,今天我们来一下和它有关的app性能优化(其实也不是很大)。
d.通过写xposed hook插件打印请求url和请求参数(示例可参照下面的案例)
几维安全com.Kiwisec.KiwiSecApplication或者com.Kiwisec.ProxyApplication或者干脆没有application
在CTF比赛中, CTF逆向题目除了需要分析程序工作原理, 还要根据分析结果进一步求出FLAG。逆向在解题赛制中单独占一类题型, 同时也是PWN题的前置技能。在攻防赛制中常与PWN题结合。CTF逆向主要涉及到逆向分析和破解技巧,这也要求有较强的反汇编、反编译、加解密的功底。
2016年3月10日,Tinker项目正式启动,并在同年9月23日举行的MDCC会议上开源。一年过去了,两个人,50%的工作时间。总的来说,填了一些坑,获得少许成绩,也遭受不少批评。 究竟Tinker是否将已经很糟糕的Android的生态变得更差,会不会对用户的安全造成更大的挑战? 回想Tinker的初心,我们希望开发者可以用很小代价进行快速升级,它是国内追求快速迭代诉求。立项至今,Tinker踩了很多坑也填了很多坑。今天,我希望跟大家分享这一年来我们遇到的一些问题,以及解决它们的思路与过程。 Tinke
公司为政府做的App开发完了,需要上一些手段保证安全。这样客户才放心嘛。 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。
作者|shwen 来自|WeMobileDev 2016年3月10日,Tinker项目正式启动,并在同年9月23日举行的MDCC会议上开源。一年过去了,两个人,50%的工作时间。总的来说,填了一些坑,获得少许成绩,也遭受不少批评。究竟Tinker是否将已经很糟糕的Android的生态变得更差,会不会对用户的安全造成更大的挑战? 回想Tinker的初心,我们希望开发者可以用很小代价进行快速升级,它是国内追求快速迭代诉求。立项至今,Tinker踩了很多坑也填了很多坑。今天,我希望跟大家分享这一年来我们遇到的一
根据多家研究机构的统计,2022年上半年全球智能手机销量出现明显下滑。例如,IDC咨询2022年发布的《全球手机市场跟踪报告》显示:全球智能手机市场的出货量在2016年达到历史峰值的14.71亿台,之后在2017~2020年出现连续下跌,虽然2021年恢复性增长到13.55亿台,但迄今仍无法回到曾经的巅峰。这不只是短期因素引发的回调,长周期的趋势变化更值得关注。
乐固-签名APK-会出来一个aligned的apk包,在签名的时候你们还做了什么操作吗?
国庆假期回家,如往常一样set好猫猫的饮用水、摄像头和喂食机,结果却发现喂食机App无法正常工作了,无法在列表中刷出我的喂食机设备。考虑到可以远程控制,必然有个官方后台服务做类似于控制中心的角色,感觉那个服务可能歇菜了。App已经不能在App Store搜索到,手机上的版本连全面屏都尚未适配。App中Copy Right是2016-2018,搜索到的官方公众号也在18年停更。木得办法着急出门只能让猫猫敞开吃了……
荷叶为何能「出淤泥而不染」?鸭子怎么能浮在水面上?水黾(mǐn)是怎么实现「水上漂」的?
领取专属 10元无门槛券
手把手带您无忧上云