静态反编译工具 Android平台阿里云安全解决方案总结

阿里聚安全目前提供了安全扫描、安全组件、应用加固、安全审计、安全测试工具五种方案。

??

一、安全扫描

??

将APP提交到阿里服务器上，然后由阿里服务器进行安全扫描发现恶意代码、漏洞、仿冒应用等。结合静态污点分析技术和动态模糊测试技术，帮助开发者快速定位APP中潜在的安全漏洞和风险；Knight杀毒引擎，采用多种机器学习算法识别恶意应用，自动提取特征码，让恶意代码识别更智能更准确；监控300多个应用市场，通过应用图标与代码相似算法识别其中的仿冒应用，让仿冒应用无处遁形。

??

二、安全组件

??

在APP中接入安全组件sdk，在存储和传输敏感信息时，调用安全组件SDK中的代码，进行加密，使用时解密。防止应用被黑客或木马攻击、客户端机密信息泄漏、客户端请求伪造。安全组件涵盖Android和iOS平台；安全沙箱、白盒加密、底层加固，共同保证客户端数据安全；应用层、运行层、native层，多层次全方位立体防护；实时更新客户端模块，保证攻防对抗强度。

??

三、应用加固

??

将APP提交到阿里服务器上，阿里拿到APP后，在APP中嵌入部分防止反编译的代码，然后对代码进行混淆打包。可以提升安全等级，防止应用被逆向破解。防止通过apktool、dex2jar、jeb等静态工具来查看应用的java层代码；防止通过ida、readelf等工具对so里面的逻辑进行分析，保护native代码；防止对java层代码的内存dump、保护java层代码；通过修改java层业务逻辑的调用关系链, 保护业务逻辑；通过对java层代码的指令的二次翻译,保护某些核心函数的关键逻辑。

??

嵌入的的防止反编译的代码基本原理是：APP在反编译（破解）时，嵌入的防止反编译代码将反编译工具失灵，无法进行后续的反编译过程。静态反编译工具

??

四、安全审计

??

需要向安全审计提供设计评审、渗透测试、应急响应等服务。对系统、协议、架构、数据使用等多个方面进行安全评估，避免线上问题；模拟黑客对上线后的应用进行安全测试，并全面审计应用的风险；安全事件应急处理，及时分析定位出现的安全问题，及时给出止血方案及长期有效的解决方案；基于互联网敏捷开发模式，提供安全编码规范、ASDL标准流程及规范、应用安全开发架构，有效防止真实的安全风险。

??

五、安全测试工具

??

目前只有iOS平台的，而且尚未开放，暂时无法拿到安全测试工具使用。

??

六、总结

??

第一、三、四种方案都需要提交APP；第二种方案，对我们而言安全组件就是一个黑盒子，通过调用阿里的安全组件sdk的代码，将需要保存到本地的敏感信息处理之后，获得处理后的信息保存到本地；第三种方案，可以自己嵌入防止反编译代码，对代码进行混淆处理，当然混淆处理的混效率未必有第三方的混效率高。静态反编译工具

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-77693-1.html