V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3308 days ago, the information mentioned may be changed or developed.
 |
1
billlee Apr 6, 2017
客户端程序理论上都是裸奔
|
 |
2
seeker Apr 6, 2017
还有反汇编呢
|
 |
3
XiaoFaye Apr 6, 2017
大局域网内谁不是裸奔?
|
 |
4
kokutou Apr 6, 2017 via Android
混淆。。。
我在哪看到过说 bat 3 家的 app 混淆很恶心之类的。 |
 |
5
yidinghe Apr 6, 2017 via Android
混淆
|
 |
6
GoldenLee Apr 6, 2017 via Android
混淆,加壳,修改 zip ,加 kotlin 反编译异常代码等等。
这些只是增加了被反编译的成本,预防住了一大部分。 相当于穿了防护衣,别人在不了解的情况下要扒光你是需要很大成本的。 |
 |
7
KNOX Apr 6, 2017 via Android
加固过的 app 怎么反编译都是徒劳
|
 |
12
LeeSeoung Apr 6, 2017
@KNOX 360 的加固原 apk 里的 classes.dex 只是壳的加载入口,真正的 dex 被加密压缩放到其他地方了,可以动态调试脱壳(较为方便)或者写静态脱壳机(老 360 版本的加固 rc4 加密+lzma 压缩,现在静态已经不好搞了)
|
 |
19
ovear Apr 6, 2017
|
|
20
ovear Apr 6, 2017
@ovear 至于说加密原程序的,那类壳 C#上一大堆。。还不是一键脱,看懂 360 那段代码在做什么就好,当一次人肉 CPU 。
偷懒的就直接上 memory dump |
 |
21
yankebupt Apr 6, 2017
楼主估计想说,只有在线热补丁 hotfix 的代码比较安全......没运行过的都不下载,还能怎么安全
不过 hotfix 差点被各家(目前好像只有苹果)市场禁掉,因为反过来对用户不够安全...... |
 |
22
Pastsong Apr 6, 2017
写前端从来都是裸奔...
|
 |
24
est Apr 6, 2017
webpack 出来一个 10M 的 .min.js 去分析吧。
|
 |
26
maomaomao001 Apr 6, 2017 via Android
混淆过的 js 代码扔给你你也不想看了~~~(虽然它也是源代码,但是, 1 不能二次开发, 2 不能学习(除非是算法类),不然没多少意义)
|
 |
27
UnixCRoot Apr 6, 2017
你得看他会不会用……
|
 |
28
humgy Apr 6, 2017
成本,一切都是成本问题
|
|
29
humgy Apr 6, 2017
就像黑客一样
|
 |
30
Chrisplus Apr 6, 2017
理论上来说是裸的……
混淆加固加壳各类工具本质上只是增加了反向的成本 但是裸奔也不一定意味着非安全,比如核心秘密关键操作依赖于网络可信第三方或者本机专用安全硬件等…… |
 |
31
phithon Apr 6, 2017
网上那些使用开源程序的网站和服务,不能算裸奔吧,关键还是代码质量和通信过程的安全。
|
 |
32
hhh Apr 6, 2017
360 加固好像会夹带私货?
|
 |
33
debye Apr 6, 2017
裸奔就裸奔也无所谓啊
大部分业务逻辑基本都在 server 端,客户端只是少量的体验性功能,有的 app 甚至是空壳 |
 |
34
cwek Apr 6, 2017
简单可以用混淆和加壳。
复杂就是将业务代码全部放在服务端处理,客户端就是收发界面。 |
 |
35
jccg90 Apr 6, 2017
是的。。。只要有足够的利益,客户端都是可以破的,参考腾讯的微信,安全算是顶级的了,也照样搞出各种插件和修改版来。。。
|
 |
36
changwei Apr 6, 2017 via Android
@yushiro 大项目多页面路由的情况下,在没做异步模块,懒加载之前有 10m 一点也不夸张,毕竟图片, css 都打包进了 js 里面呢。
|
 |
37
kenX Apr 6, 2017
|
 |
38
Lostars Apr 6, 2017
http://www.mottoin.com/89035.html
再怎么加固, dex 还是要加载到内存中运行的,可以通过各种手段 dump 出内存中的 dex 。 其实苹果的 app 才是裸奔的,它只有 appStore 一层弱弱的保护。 |
 |
39
zongren Apr 6, 2017
混淆就可以了,还想咋的
|
 |
40
zhihaofans Apr 6, 2017 via iPhone
@yankebupt 谷歌好像也是
|
 |
42
introom Apr 7, 2017 via Android
有些人眼里它是穿底裤的,有些人眼里它什么都没穿。还有些人压根就没看到它。
纯粹看你是谁。 |
 |
44
diefishfish Apr 7, 2017
所以才有服务端存在呀
|
 |
46
boolean93 Apr 8, 2017
其实都是裸奔,读懂只是成本的问题。
只能说,我们需要尽量地提高反编译成本,让做这件事变得不值得即可。 |
 |
47
FrankHB Apr 10, 2017
看你定义什么叫裸,或者说想裸到什么程度。
比如我还没有见到会(无聊到)能逆向出源码中的 ASCII art 的反编译工具。 |
Select Language