Android 应用是不是几乎没有办法防破解?
无论是运行时签名校验也好,还是把核心逻辑写到 native 代码也好,感觉都能轻松反编译,得益于 jadx ,IDA 这些工具,so 库也能给你搞出 C 伪代码来,各种命名,逻辑一览无余。代码混淆也只是缓兵之计,加固算比较高级的,但一样可以脱壳,可能付费的那种会安全一点?他们又是怎么做防护的呢?如果一个 App 有会员功能,在各种逆向工具和熟手面前,是不是几乎没有办法防护?
会员功能放到服务端
ida 反编译 so 文件还是有些门槛的吧,倒是编译到 dex 的代码,不做保护真的很容易破解
这 Android 没关系吧,window 上的程序也是一样。加壳会增加破解难度,但是并不能防止破解。如果破解成本比收益低的情况下,就没有破解的必要了。感觉联网验证,把一部分功能跑在服务器上,这样破解的难度就很高了
理论上是,但是现实中这样的人又有多少呢?只要增加复杂性,总能拦住绝大多数人。这样就够了
逆向:花里胡哨。会员共享:我在听,你继续说。QX:该我上场了。开发者:up up up up up up up up up up up up up up up up up up up up up up bugs. win.还是我厉害。一看数据,付费用户 10 人,破解用户 1 人,白嫖用户 0 ,项目黄了。
会员验证肯定要联网啊。现在还有不联网的游戏么。付费、订单类的都交给服务器
现在一些加固做的还是挺牛逼的,自定义 linker ,混淆 so ,魔改 aes 算法,至少阻挡 98%的脚本小子
会找盗版的人本来就不是你的用户。
看看 TX ,敢 PJ 直接封号,管你是不是 VIP
我做过一点这方面的东西, juejin.cn/post/7079794266045677575 juejin.cn/post/7314558811111866418主要是因为业务本身不依赖后端,所以客户端做安全处理是不可避免的。虽然没法完全杜绝,但是应该可以提升一些门槛。
这是一个博弈,让破解成本>收益 就可接受了
联网的已经能破解了,直接拦截到本地破.
用 flutter 写
分析的挺好的,但是大部分开发者都选择裸奔
Play Integrity API ,可认为基本不可破解: developer.android.google.cn/google/play/integrity/overview?hl=zh-cn
以前国际上最猛的 USB 硬件加密狗,甚至自建虚拟指令的加密方式,都能被破掉,安卓上这些渣渣加密,就不用提了。想保密,老老实实用自建云服务。关键服务上云,其他不重要的服务放在本地就好。
逻辑放云端,另外要有安全运营,防破解并不是一锤子买卖。
感觉纯本地应用就比较难受了。
感觉也没啥门槛呢,IDA 可以直接转换成 C 代码,逻辑很容易就看出来了,就是要改代码需要懂汇编。
混淆 so 确实很需要。
感谢分享!
算是 Google 官方比较好的方案了。
主要看你 app 贵不贵,并实不实用
放服务端其实可以破解免登陆 vip 的
啥都是一句话容易,你自己去破解几个商业 app 试试容不容易呗
核心功能和核心验证放服务端,只能这样,别无他法
#19 dex 手机有现成工具可以看和改,这门槛比要用 pc 的 ida 要低吧,而且因为要支持反射,函数名还是保留的,像 so 一般就没有函数名,有个函数名对反编译帮助很大的
客户端软件不存在完全防破解的方法,默认客户端就是随便被人改的。现阶段可信执行就两条路径,云端执行跟可信加密硬件。当然硬件也不是完全不能破解。所以只需要让你的软件破解代价大于收益即可。例如一个版本一密
你关键服务放到云端,然后客户端万一遇到网络一不好,下一次续费直接 cancel ,损失一个大客户。
我们以前是用魔改加密算法+vmp 加固+行为日志分析,没上之前盗版满天飞,上了之后基本能防住
你必须做成“网络游戏”
用 Flutter 打包后的 APK 是不是没有这个烦恼。
订阅价格已经公布 docs.orbstack.dev/faq#free Personal use: free Business and commercial use: $…
要求支持 WIN ,MAC ,安卓,坑少点就行。 想着开发一次,处处能运行的,或少量修改就行运行的。 那些独立开发者多平台开发用的啥框架呀。 win mac 安卓,坑少,处处…
有些时候,我们可能想要比较一下两个数据表,以找到其中不同的数据。比如,在进行数据移植的时候,或是在合并数据的时候,或是在比对验证数据的时候。当然比较两个表,需要这两个表结构是一…