美文网首页
0x10 二进制和资源文件自检

0x10 二进制和资源文件自检

作者: richar_ | 来源:发表于2017-09-14 14:10 被阅读0次

    注:原文---念茜的博客

    我们把自己的程序发布到app store,但是不能保证每一个用户都是从app store下载官方app,也不能保证每一个用户都不越狱。

    换句话说,我们无法保证程序运行环境在MAC管控策略下就绝对的安全。

    所以,在有些情况下,尤其是和钱有关系的app,我们有必要在和服务器通信时,让服务器知道客户端到底是不是官方正版的app。

    何以判断自己是不是正版app呢?hackers们破解你的app,无非就2个地方可以动,1个是二进制,1个是资源文件。

    二进制都重新编译过了自然肯定是盗版……

    有些低级的hackers喜欢修改人家的资源文件然后贴上自己的广告,或者给用户错误的指引……修改资源文件是不需要重新编译二进制的。

    因此,我们有必要在敏感的请求报文中,增加正版应用的二进制和资源文件的标识,让服务器知道,此请求是否来自正版的未经修改的app。

    在沙盒中,我们可以读到自己程序的二进制,也可以读到资源文件签名文件,这两个文件都不算大,我们可以对其取md5值然后以某种组合算法得到一个标记字符串,然后发给服务器。

    我封装了相关文件的读取地址:

    md5方法:

    这样做就100%安全了吗?

    答案是:不……

    所谓魔高一尺,道高一丈,不过也能阻止一些低级的hack手段了~

    相关文章

      网友评论

          本文标题:0x10 二进制和资源文件自检

          本文链接:https://www.haomeiwen.com/subject/gccdsxtx.html