前言
什么!我们的代码拿去安全扫描啦?什么!还扫描出来问题啦?什么!源码都别看到啦?
居于上一篇文章iOS简单逆向之:Class-Dump、Hopper说如何做到把我们的App通过Class-dump导出来我们的头文件,还有利用Hopper分析我们的代码逻辑结果,可知道别人很容易就可以获取到我们代码的信息信息!!那么我们如何防止我们核心的代码被别Hook呢,下面步骤对我们的代码进行混淆。
一、代码安全扫描
做安全扫描的同事都应该熟练操作class-dump和Hopper这两款工具了,下面是他们对项目的扫描结果,心痛自己。
代码.png
函数.png
每次说要把我们的项目放去扫描,心里都捏了一把汗,每次都能找到一些漏洞,真羞人哈哈哈哈。
二、代码易读字符串混淆
混淆分许多思路,比如:
1)花代码花指令,即随意往程序中加入迷惑人的代码指令
2)易读字符替换
2.1 防止class-dump出可读信息的有效办法是易读字符替换
首先切换到我们的项目目录下,创建两个文件:
confuse.sh: 存放混淆的脚本
func.list: 需要混淆的方法、变量名
创建文件
右键项目名称,把这两个文件导进来项目中来
添加新建项目到项目中
然后打开 confuse.sh 文件,添加以下脚本:
<pre>
!/usr/bin/env bash
TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C
维护数据库方便日后作排重
createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}
insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}
query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}
ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}
rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable
touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h
define Demo_codeObfuscation_h' >> $HEAD_FILE
echo "//confuse string at date" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE
sqlite3 $SYMBOL_DB_FILE .dump
</pre>
2.2 配置 Build Phase
点击工程名称 — > Build Phase — > Run Script
设置
在里面添加 $PROJECT_DIR/confuse.sh ,这句命令的意思的应用每次启动的时候,都会先去跑我们confuse.sh 脚本
添加运行脚本的本间
这时候,我们编译一下,会发现报错:
错误信息
解决办法:切换到工程目录下,输入命令行 chmod 755 confuse.sh 给我们的脚本本间授权
授权
此时,我们再编译一下项目,然后在工程目录下,我们会多出一个codeObfuscation.h文件
混淆后的代码
这里面是用来装混淆前 —> 混淆后的代码对比
同样把这个文件拉到项目中,我们再建一个PCH文件来引入这个文件,那么整个项目都可以实现,宏的替换了。
配置PCH文件
然后打开PCH文件,导入头文件:
导入头文件
2.3 混淆的变量,方法名
下面我们举例子,比如我想混淆以下的变量和方法:
需要混淆的内容
那么打开 func.list 文件,一一把名称打进去
需要混淆的内容
然后点击编译,这样子我们需要混淆的代码就已经混淆成功了。但是也不会印象到我们的阅读。这里是通过宏定义来修改的:
我们的方法
混淆的代码,其实就是通过把敏感的变量、代码通过宏来修改掉:
混淆
注意:
1、 系统的方法
2、XIB中拖线的控件名
这些都不能用这个方法混淆,因为会导致运行的时候出错。
参考
念茜女神http://blog.csdn.net/yiyaaixuexi/article/details/29201699
网友评论
#!/usr/bin/env bash
另外
echo '#ifndef Demo_codeObfuscation_h
#define Demo_codeObfuscation_h' >> $HEAD_FILE
第二行,define前少了个#号
错误信息
Shell Script Invocation Error
Command/bin/sh/failed with exit code 126 是怎么回事呢
https://github.com/huapeng222/Dump/tree/master
还有如果
chmod 755 confuse.sh
不管用
改成
777