目的
- 为了进一步增加应用的安全性,防止我们的应用程序很容易的被攻击者分析、破解、重打包,提高攻击者逆向分析应用的难度
应用的加固方案
- 数据加密:静态字符串、本地存储和网络传输的加密
- 静态混淆:类名、方法名、属性的混淆
- 动态保护:反调试、注入检测、hook检测、越狱检测、签名检测等
- 代码混淆:将代码分快、扁平化、增加干扰代码,以提高分析者的分析难度
下面结合具体应用场景说明下各个加固方案
数据加密:在我们的应用中已经有了,对数据进行加密之后,实质上我们已经给攻击者提高了逆向分析的难度了,但是攻击者依然可能通过动态调试或者编写IDA脚本的方式来还原算法。-
静态混淆:程序中的类名和方法名,在逆向分析中只要通过class-dump获取程序中的所有类、定义的方法和属性,就能很快从名字中猜到某个方法的作用是什么,所以,我们就需要做混淆了。tips:
1. 类名和方法名混淆有很多坑,一个类是通过文件、网络或者字符串动态获取的,如果被混淆了就会出错,相同名称但不同功能的参数进行混淆,也会造成错误,还有其他很多坑需要踩踩才知道了2. 目前AppStore对应用代码混淆的审核比较严格,一旦做了混淆,有可能会导致延迟审核或者直接驳回,具体可参考混淆上架风险参考1 和 混淆上架风险参考2
有可能就很不幸就收到这样的审核反馈
审核反馈.png
3. 那怎么办呢?别慌,我们可以对少量涉及核心业务的重要参数的生成做点混淆,然后试探试探
那么具体的静态混淆我们如何去做呢?
接下来就要get新技能啦~~~~
我这里演示的是对方法名和属性的混淆,实质上就是就是字符串替换,最后抛出来的都是宏,可以跑脚本自动生成混淆后的乱七八糟的字符,我这里的脚本是网上搜的,当然有能力的可以自己写哟。
类名的混淆做法是相同的,参考链接,但是否需要对类名混淆可以依据实际的项目需求,当然这坑也是比较多的,踩踩才知道了,关于其他可能存在的问题还需要更多的摸索
-
首先创建一个demo工程,我的工程名是LFHelpers
假设我现在需要对UIbutton+LFCategories文件中的imageDirectionWithButtonImageType方法做混淆,还有viewcontroller中的titles属性做混淆
image.png
调用的时候现在是这个样子的~
在开始混淆之前我们先来看看我class-dump出来的demo头文件(嘛?不懂怎么dump?别急,翻到文档最后就能知道啦~)
好嘛,完美的暴露了我的方法名和属性呀
那我们就开始混淆吧~
-
打开控制台,在工程文件夹中创建confuse.sh , func.list这两个文件,并拖到项目工程中
image.png
- 将以下脚本copy到confuse.sh文件中
#!/usr/bin/env bash
TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C
#维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}
insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}
query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}
ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}
rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable
touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at `date`" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE
sqlite3 $SYMBOL_DB_FILE .dump
-
创建pch文件,并在build Settings下的Prefix Header中填写相对路径
image.png
这时候你在pch文件中导入codeObfuscation.h编译肯定是会报错的啦,codeObfuscation.h是在脚本中定义的,所你先将#import "codeObfuscation.h"注释掉吧,别急着编译~
-
运行脚本文件,在build Phases中添加
image.png -
再打开控制台,打开项目目录,赋予confuse.sh权限
image.png
然后在func.list中写上需要混淆的方法名和属性
-
此时打开pch中的#improt "codeObfuscation.h" 的注释,command+b编译一下项目,查看build信息,编译成功啦,对应的混淆字符串也生成啦
image.png
我们现在来看看变成什么样子了~
点进去可以看到具体的宏定义
既然成功了,我们再看看现在再class-dump下会是什么样子的吧
没错,都变成了猜不出来的乱七八糟的字符了~
当然,从appstore中下载的app都是需要砸壳的,至于砸壳可以使用譬如pp助手这些三方的软件,弄出来.app后缀的包我们就可以使用class-dump对他进行分析了
动态保护: 其实就是为了对项目进行动态保护,包括一些反反调试、注入检测、反注入、hook检测、完整性校验等功能 ,通俗的说就是防守,因此要学会防守,就要先会攻击吧
我们也可以加入些风控类的SDK,可以用于分析评估风险-
代码混淆:属于汇编层的,在编译期做的混淆,前面的都是在编译之前做的静态字符串的混淆
代码混淆也就是基于llvm定制代码混淆器
llvm:- 可以理解为一个完整的编译架构,也就是一个编译器。它将源代码(.c或者.cpp或者.m等文件代码)生成与机器无关的中间代码,称之为IR。然后对产生的IR进行优化,生成对应的机器汇编语言。
- llvm具有强大的可扩展性,可以通过自定制前端或者后端来使之支持编译你的语言,对应的就是将源码转为中间IR代码,或者中间IR代码转为指定的机器代码,即只需要实现指定的前端或者后端即可。
- 对于LLVM来说,其前端是clang,在编译源码文件的时候使用的编译工具也是clang。而生成中间IR代码后需要对IR代码进行一些操作,例如添加一些代码混淆功能。LLVM的做法是通过编写Pass(其实就是对应的一个个类,每个类实现不同的功能)来实现混淆的功能。所以实现混淆,其实就是编写功能性的Pass。
简单点说llvm的功能就是通过代码混淆来增加一些无用的代码,增加一些乱七八糟的流程的,没有加混淆的时候,逆向破解时走的就像条直路,加上混淆之后,走的就是条弯路。做这些就是为了给攻击者增加静态分析的难度
感兴趣的可以搜搜如何基于llvm自定制代码混淆器,因为难度有点大,所以就有了三方的开源框架~
ollvm:基于llvm开发的一套开源的代码混淆工具,目前是基于llvm-4.0的。
下载地址
目前只要能调通即可直接使用
调试过程会比较复杂点,需要慢慢填坑,网上的资料比较少,这篇可以参考参考
- 最后补充个关于
静态库混淆的
按理说可以不需要再对静态库进行混淆了,静态库已经是比较的安全了
但是可以了解下大概的思路:
由于编译器混淆是基于中间代码bitcode进行的,因此需要编译生成带bitcode的静态库,就可以直接提取其中的bitcode就行混淆了具体做法:
在build Settings的Other C Flags中增加-fembed-bitcode参数,然后生成静态库,并将其拖入MachOView查看二进制文件
然后使用命令将MachOView中section里面生成的bitcode代码提取出来,使用带有混淆功能的clang将其重新编译成目标文件(这就要基于上面一条ollvm混淆工具进行啦),生成的xxx.o就是混淆后的object文件,然后将xxx.o重新打包成xxx.a(可使用命令行),最后将混淆后的静态库集成到app中,也是可以正常使用的,只是该静态库没有了bitcode,因为主工程中也不能开启bitcode
附:
安装方法:
打开安装压缩包后,将class-dump复制到/usr/local/bin/class-dump 下
打开命令行执行命令:sudo chmod 777 /usr/local/bin/class-dump 赋予其执行权限
-
可以输入class-dump查看用法
image.png -
提取头文件的方法
class-dump -H 需要导出的框架路径 -o 导出的头文件存放路径
例如:
image.png
注意,必须是对可执行文件进行提取哦, xcode运行工程可以在products下的.app包中获取
如果是appstore下载的,就要先砸壳,获取到.app后缀的包再进行提取
- 另外,由于做代码混淆是比较复杂与繁琐的,并且还面临着苹果公司的严酷审核,也有很多公司选择用三方的加固工具
除了ollvm,以下列举其他集中常用的三方
作者简介
就职于甜橙金融 ( 翼支付 ) 信息技术部,负责iOS客户端开发
