| Android | iOS | |
|---|---|---|
| 逆向 | 编译出的可执行文件可能有dex/so和普通可执行文件。通过分析可以容易的知道哪个模块文件的功能 | Apple上架应用不允许动态加载模块(此处为动态下载然后加载),因此整个工程编译出来就是整个一个大binary。由于所有功能都混杂在一起,进行逆向分析的工程量较大,需要依靠Frida进行动态分析 |
| 脱壳 | Android上dex壳和so壳比较成熟,都是第三方平台开发的加壳工具。脱壳还原需要解除反调试等保护 | iOS上,Apple负责签名及加壳,因此脱壳方式简单且固定。iOS上唯一可以阻止脱壳的就是反注入标记,但是开启了这个标记会损失使用swift的能力,因此很多商业软件都没有加反注入 |
| 混淆 | Android分为Java代码和C++代码: * Java层混淆在商业软件中很常见 * C++关键代码采用OLLVM加密,分析耗时 |
iOS分为Objective-C代码和C++代码: * Objective-C代码混淆相对较少,易于使用Frida动态破解 * C++关键代码采用OLLVM加密,和Android难度等同 |
| 环境检测 | * 脱壳/重打包以后可以用过签名校验 文件MD5等方式检测出 * Android模拟器有很多,也很容易检测 |
* iOS上脱壳后有时候可以直接运行,因为加壳是苹果进行的操作,App不会通过MD5检验可执行文件本身,但是有可能会检测重打包(比如百度钱包的安全SDK),但是一般不会直接结束进程 * iOS不存在arm模拟器,因此不存在模拟器检测 |
| 调试 | Java:AndroidStudio/Jdb/Frida C++:IDA Pro/GDB/Frida |
C++ / Objective-C /Swift:IDA Pro 7.0/LLDB/Frida |
| 反调试 | 存在Java层和C层调试的检测;可以多进程相互保护 | 存在C层调试检测,检测方式有限;单进程保护 |
| Root检测 | 存在 | 检测方法较多,没法完全屏蔽 |
网友评论