class-dump可以很方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完善的程序给同行留下笑柄. 所以,我们迫切的希望混淆自己的代码. 混淆的常规思路 混淆分许多思路,比如: 1)花代码花指令,即随意往程序中加入迷惑人的代码指令 2)易读字符替换 等等 防止class-dump出可读信息的有效办法是易读字符替换. Objective-C的方法名混淆 混淆的时机 我们希望在开发时一直保留清晰可读的程序代码,方便自己. 同时,希望编译出来的二进制包含乱七八糟的混…

iOS 代码安全之代码混淆实践: 前言: 在8月份的时候写了个关于 class-dump 反编译的文章(使用 Class-dump 反编译),利用 class-dump 工具可以反编译出工程的头文件,这样很方便"坏人"了解工程代码结构,参数传输,严重危及了应用安全.为了应对反编译,需要对工程进行"代码混淆". 正文: 首先在工程目录下新建个存放反编译文件的文件夹,然后拖进工程. 在 Config 文件目录下新建 .sh 和 .list 文件. 拖进工程. 添加 编译…

代码布局抛弃storyboard,用代码生成界面,它的优劣不谈 首先在项目设置中,更改应用的"入口" 不选main,清空它 然后在AppDelegate.m中,更改(添加内容),别忘了import 1 - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NSDictionary *)launchOptions { 2 // Override point for customiza…

iOS 初探代码混淆(OC) 前言 自己做iOS开发也有几年的时间了,平时做完项目基本就直接打包上传到Appstore上,然后做上架操作了.但是最近,客户方面提出了代码安全的要求.说是要做代码混淆,这方面的工作之前从来没有接触过.然后就上网查了一下,原来有很多应用程序都做了代码混淆.看来是我固步自封了...... 起因 使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量全部泄露.这样的话,让攻击者,也就是黑客们了解了程序结构方便逆向.因为…

一.class-dump反编译 1.将打包的ipa反编译下,.ipa改成.zip,并解压 6.右击—显示包内容,找到如下有个白框黑底的  7.将其复制到桌面xx文件夹中,在终端中输入相关命令 cd 进入xx文件夹 class-dump -H  二进制文件名字 然后在tt文件中就可以看到多出的很多.h文件 二.ios代码混淆 1.在项目的Resource文件夹中新建 脚本文件:confuse.sh, 宏定义文件:codeObfuscation.h, 函数列表文件:func.list, 头文件:Pr…

混淆原理 代码编译阶段将符号(方法名.属性名等)替换成随机生成的字符串 长话短说,直接上步骤. 混淆集成步骤 步骤一.创建shell文件(confuse.sh)并配置相应的运行环境. 在项目根目录下新建一个文件夹 这里取文件夹名称为CodeObfuscation,如下图所示 在上一步的文件下新建一个shell文件(.sh文件) 输入文件名:confuse.sh,点击Create按钮 给.sh文件添加运行环境 添加.sh文件的读取路径$PROJECT_DIR/CodeObfuscation/con…

首先是安装和使用dump: 下载dump地址 1.选择class-dump-3.5.dmg 下载: 2.下载之后,点击打开,复制class-dump文件, 3.shift+command+G 打开finder 的路径,输入/usr/local,并把class-dump粘贴到 /bin 这个文件中,(这个文件是隐藏的文件夹) 这样就可以开始玩dump了, 4.找个项目(跑过真机的)拿到app包(或包里的可执行文件), 5.在桌面创建一个文件夹,用于存放反编译出来的头文件: 6.终端:class-d…

该方法只能针对有.m.h的类进行混淆,静态库等只有.h文件的没法进行混淆 代码混淆,刚刚看到是不是有点懵逼,反正我是最近才接触到这么个东西,因为之前对于代码和APP,只需要实现功能就好了,根本没有考虑什么安全问题. 而这一次应用交付时,客户进行安全评估提出一个问题: 使用classdump对原程序进行dump,可以dump出所有源程序的函数所有信息:源程序所有函数类型,变量全部泄露.这样的话,让攻击者,也就是黑客们了解了程序结构方便逆向. 因为在工程中,我们这些变量或函数命名都是有一定可读性的,…

iOS安全攻防(二十三):Objective-C代码混淆 class-dump能够非常方便的导出程序头文件,不仅让攻击者了解了程序结构方便逆向,还让着急赶进度时写出的欠完好的程序给同行留下笑柄. 所以,我们迫切的希望混淆自己的代码. 混淆的常规思路 混淆分很多思路,比方: 1)花代码花指令,即任意往程序中加入迷惑人的代码指令 2)易读字符替换 等等 防止class-dump出可读信息的有效办法是易读字符替换. Objective-C的方法名混淆 混淆的时机 我们希望在开发时一直保留清晰可读的程序…

一般做了防调试的话,被调试进程会退出的,是防动态分析措施. 代码混淆加花这些是防静态分析措施. 反调试是防动态分析措施. 混淆的方法方法名混淆其实就是字符串替换,有2个方法可以,一个是#define,一个是利用tops.利用#define的方法有一个好处,就是可以把混淆结果合并在一个.h中,在工程Prefix.pch的最前面#import这个.h.不导入也可以编译.导入则实现混淆. 单段的selector,如func: ,可以通过#define func 来实现字符串替换.多段的selector…