ios安全加固 ios 加固方案

一、iOS加固保护原理

1.字符串混淆

2.类名、方法名混淆

3.程序结构混淆加密

4.反调试、反注入等一些主动保护策略

二代码混淆步骤

1. 选择要混淆保护的ipa文件

2. 选择要混淆的类名称

3. 选择要混淆保护的函数，方法

4. 配置签名证书

5. 混淆和测试运行

一、iOS加固保护原理

从上面的分析来看，我们可以从以下几个方面来保护我们的APP：

1.字符串混淆

对应用程序中使用到的字符串进行加密，保证源码被逆向后不能看出字符串的直观含义。

2.类名、方法名混淆

对应用程序的方法名和方法体进行混淆，保证源码被逆向后很难明白它的真正功能。

3.程序结构混淆加密

对应用程序逻辑结构进行打乱混排，保证源码可读性降到最低。

4.反调试、反注入等一些主动保护策略

这是一些主动保护策略，增大破解者调试、分析APP的门槛。

4.1字符串加密字符串会暴露APP的很多关键信息，攻击者可以根据界面显示的字符串，快速找到相关逻辑的处理函数，从而进行分析破解。加密字符串可以增加攻击者阅读代码的难度以及根据字符串静态搜索的难度。

比如一个APP中有如下的一些字符串定义在代码文件中：

经过加密后，代码文件变成如下的形式：

里面已经没有明文的字符串了，全是用byte的形式保存的，打包生成APP后，他们也就无法直观的看出实际内容了,这对破解者会造成巨大的难度：

4.2符号混淆符号混淆的中心思想是将类名、方法名、变量名替换为无意义符号，提高应用安全性；防止敏感符号被class-dump工具提取，防止IDA Pro等工具反编译后分析业务代码。

比如一款混淆后的APP,用IDA等工具打开，如下图所示:

“Labels”栏里，显示的这些符号，不管是类名还是方法名，谁也看不出来到底什么意思，这个函数到底是什么功能，就有点丈二和尚摸不着头脑的感觉，这就大大增加了破解者分析APP的难度。

4.3代码逻辑混淆代码逻辑混淆有以下几个方面的含义：

对方法体进行混淆，保证源码被逆向后该部分的代码有很大的迷惑性，因为有一些垃圾代码的存在；

对应用程序逻辑结构进行打乱混排，保证源码可读性降到最低，这很容易把破解者带到沟里去；

它拥有和原始的代码一样的功能，这是最最关键的。

混淆前后的对比如下（左边是原始结构，右边是混淆后的结构）：

下面以混淆工具 ipaguard为例：

无论是加密还是运行时虚拟机，最后都可以通过执行时调试把代码反向生成出来原来的代码，虽然能抵御低端的黑客攻击，但是对高端黑客却形同虚设。代码混淆是通过修改源代码结构和变量名，使得代码难以被理解和反编译。这可以黑客获取应用程序的代码，也会很难理解它，不管他是高端还是低端的黑客，目前都没有有效的方法来还原为原来的代码，是公认的非常有效的方法之一。下面以ipaguard为例子介绍怎么对ipa文件中的类、方法、方法参数、变量等进行全面修改混淆，使其名称成为没有意义的乱码，极大地增加应用破解的难度。ipaguard代码混淆工具支持对OC、Swift、Flutter、H5、HBuilder、Unity3D、Cocos2dx等各种开发平台开发的app。