安(ān)全加固是保障App安(ān)全运营、降低安(ān)全风险的重要手段，根据爱加密携手天翼安(ān)全编写《2023上半年全國(guó)移动应用(yòng)安(ān)全观测报告》显示，截止2023年上半年已采取安(ān)全加固的应用(yòng)约2万款，占11.97%，未采取安(ān)全加固的应用(yòng)占总量的88.03%。App不进行安(ān)全加固等同裸奔，使用(yòng)低强度加固将存在被被插入/替换广告SDK、修改支付渠道、插入病毒/木(mù)马程序风险，以及手机端及传输层数据泄露风险。為(wèi)提升安(ān)全防护能(néng)力，全方位保护App的安(ān)全，爱加密不断升级安(ān)全加固技(jì )术。经过多(duō)次迭代更新(xīn)，爱加密已拥有(yǒu)八代安(ān)全加固技(jì )术，当下我们给大家提供的安(ān)全加固策略是第二代技(jì )术到第八代AII-in-VMP技(jì )术的叠加，目前爱加密成功在保证安(ān)全加固强度的情况下，将对性能(néng)的影响控制到最小(xiǎo)，启动时间增量小(xiǎo)于1秒(miǎo)，包體(tǐ)大小(xiǎo)变化±5%，各代技(jì )术可(kě)见下图。

在Android防逆向保护方面，主要基于二代整體(tǐ)加密至第六代双重VMP技(jì )术。第五代DEX VMP技(jì )术将原来的DEX 字节码转换為(wèi)爱加密自定义的字节码，这些自定义的字节码只能(néng)由爱加密自定义的虚拟机解释器执行。可(kě)完全改变APK中(zhōng)代码的表现形式，把原始指令转换成自定义指令；并重新(xīn)自定义虚拟机指令，攻击者根本无法执行。每次进行安(ān)全加固时，随机使用(yòng)不同的自定义指令集，攻击者很(hěn)难找到指令映射关系。同时向后兼容，保证Android未来版本的良好兼容效果。整體(tǐ)加密、代码分(fēn)离加固技(jì )术都属于代码的隐藏技(jì )术，最终代码还是通过Dalvik/ART虚拟机进行执行。因此，破解者可(kě)以通过构建一个自己修改过的虚拟机来对保护方案进行脱壳。第五代VMP保护技(jì )术从根源上解决了虚拟机运行时导致的源码逆向的问题，破解者使用(yòng)静态工(gōng)具(jù)逆向后能(néng)够看到类名(míng)、方法名(míng)和类全局变量。但是由于使用(yòng)爱加密自定义指令集，破解还原明文(wén)DEX成本极高。

爱加密六代双重VMP保护技(jì )术降低了反编译出来的代码的阅读性，提升逆向难度。虚拟解析器增加动态调试难度，有(yǒu)效对抗动态调试。打乱静态反编译之后程序执行流程。使用(yòng)DEX VMP + ELF VPM 全方位保护Android APP代码安(ān)全。此外还提供Java2CPP加固、so文(wén)件保护、DEX字符串加密、插件加密等技(jì )术进行防逆向保护。Java2CPP加固可(kě)将DEX文(wén)件中(zhōng)的Java代码转化成C++代码，并将转化后的C++代码编译成动态库即so文(wén)件，加固后的APK包的DEX文(wén)件的Java代码就转化成了二进制代码形式，提升了加固后应用(yòng)的兼容性和性能(néng)。因加固后的APK包中(zhōng)的Java代码已经转化成了二进制代码，所有(yǒu)可(kě)防止DEX文(wén)件被静态反编译获取源码，并且能(néng)有(yǒu)效的防止破解者通过动态调试的方式获取DEX文(wén)件中(zhōng)的Java代码。结合爱加密自有(yǒu)的so源码混淆、so加壳、so VMP技(jì )术对转化后的二进制代码进行加固，提高了加固后应用(yòng)的安(ān)全性。

爱加密字符串加密技(jì )术对DEX文(wén)件中(zhōng)的明文(wén)字符串（如密钥、敏感信息等）进行加密，防止敏感信息泄露，防止攻击者通过明文(wén)字符串定位关键代码。字符串加密采用(yòng)一次一密，每次加固后的密文(wén)都不相同，防止破解分(fēn)析。

爱加密移动应用(yòng)安(ān)全加固平台為(wèi)开发者提供全面的移动应用(yòng)安(ān)全加固技(jì )术，包括Android应用(yòng)加固、iOS应用(yòng)加固、游戏应用(yòng)加固、H5文(wén)件加固、微信小(xiǎo)程序加固、SDK加固、so文(wén)件加固和源对源混淆加固技(jì )术，从根本上解决移动应用(yòng)的安(ān)全缺陷和风险，使进行安(ān)全加固后的移动应用(yòng)具(jù)备防逆向分(fēn)析、防二次打包、防动态调试、防进程注入、防数据篡改等安(ān)全保护能(néng)力，本文(wén)介绍的仅為(wèi)爱加密移动应用(yòng)安(ān)全加固平台中(zhōng)Android防逆向技(jì )术。

爱加密長(cháng)期以来不断对核心技(jì )术进行深入研究，目前已支持各大厂商(shāng)深度定制系统、拥有(yǒu)1000款真机测试资源，兼容性极佳。经过深度安(ān)全加固后对性能(néng)影响极小(xiǎo)，启动时间增量小(xiǎo)于1秒(miǎo)，包體(tǐ)大小(xiǎo)变化±5%！

爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，通过不断探索与实践，已覆盖政企、运营商(shāng)、金融、医(yī)疗、教育、能(néng)源等多(duō)个行业的安(ān)全业務(wù)场景。并参与了中(zhōng)央网信办(bàn)、工(gōng)信部、公(gōng)安(ān)部、市场监督管理(lǐ)总局等國(guó)家监管单位制定移动应用(yòng)、移动支付相关的标准规范；未来将继续凭借自身技(jì )术优势、业務(wù)资质(zhì)优势、产(chǎn)品方案优势等，守护互联世界。

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告