《金融移动应用安全对策移动收单银行mpos云pos》由会员分享,可在线阅读,更多相关《金融移动应用安全对策移动收单银行mpos云pos(16页珍藏版)》请在金锄头文库上搜索。
1、金融移动应用安全对策信雅达技术中心张树人shur.zhang13296719616安全问题移动应用在运营推广过程中被破解、盗版、二次打包、注入、反编译等行业常见解决方案分析一、抗静态分析1、国内的apk加固技术都使用了将原有的dex隐藏在运行时解压并且通过修改app的类加载器的方式实现加固不管如何隐藏dex最终在运行时都必须释放到内存所以从内存中找到解密后的dex文件进而得到加固前的apk2、so混淆行业常见解决方案分析二、抗动态-反调试一个进程只能被一个进程ptrace,如果自己调用ptarce,这样其它程序就无法通过ptrace调试或者向程序进程注入代码。android防破解方法汇总1、禁
2、用调试标志以及检测调试器2、检测是否在模拟器中运行3、APK签名校验4、java代码混淆5、使用NDK.so动态库6、android类动态加载技术7、伪加密8、加壳9、防代码注入10、自修改dalvik字节码(运行时篡改Dalvik字节码)11、运行时重要数据防篡改12、和服务器通信数据加密13、存储数据的加密加固工具分析加固后apk新增以下文件:assetsmeta-datamanifest.mfAPK文件列表SHA1-Digestassetsmeta-datarsa.pubRSA公钥信息assetsmeta-datarsa.sig数字签名文件assetsclasses.jar已加密原cla
3、sses.dex文件assetscom.example.hellojniARM平台二进制可执行文件assetscom.example.hellojni.x86x86功能同上libsarmeabilibsec.soARM平台共享库文件libsx86libsec.sox86功能同上加固后修改文件:AndroidMainfest.xml(如果应用配置有Application信息,则该文件加固前后相同,如果应用未配置Application信息,则该文件加固前后不相同,梆梆会配置Application信息为自己实现类)classes.dex开发者LicenseDexGuard让应用开发者专注于业务功能,
4、无须为安全费神1DexGuarddeveloperlicense-4802DexGuarddeveloperlicenses-6503DexGuarddeveloperlicenses-8204DexGuarddeveloperlicenses-9905DexGuarddeveloperlicenses-1160APKProtectKNOX集成了由美国国家安全局研发的Android系统安全强化套件(SEAndroid)以及应用于硬件和Android框架的完整性管理服务。而且三星GALAXYS4年初作为首个搭载该服务的机型也与一向以企业安全服务著称的黑莓新品Q10和Z10一起通过了美国国防部安全认证。SEAndroid概述SEAndroid(Security-EnhancedAndroid),是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立类似沙箱的执行隔离效果,来确保每一个App之间的独立运作,也因此可以阻止恶意App对系统或其它应用程序的攻击。SEAndroid的中心理念是,即使root权限被篡夺,只求阻止应用的恶意行为。安全云POS操作系统基础SELinux移动安全平台组成移动安全平台部署
