代码混淆 iOS

该方法只能针对有.m.h的类进行混淆，静态库等只有.h文件的无法进行混淆

 

代码混淆，刚刚看到是否是有点懵逼，反正我是最近才接触到这么个东西，由于以前对于代码和APP，只须要实现功能就行了，根本没有考虑什么安全问题。

而这一次应用交付时，客户进行安全评估提出一个问题：

使用classdump对原程序进行dump，能够dump出全部源程序的函数全部信息：源程序全部函数类型，变量所有泄露。这样的话，让攻击者，也就是黑客们了解了程序结构方便逆向。

由于在工程中，咱们这些变量或函数命名都是有必定可读性的，例如跟用户名相关的，那通常里面会有 userName，跟密码相关的通常会有 passWord，这样定义也是为了咱们本身代码可读性更强，咱们修改的时候才更加的方便。可是咱们相信，这么个定义法，咱们只是但愿方便咱们本身，咱们可不但愿方便黑客们去破解咱们的APP。

那咱们先来看看用这个所谓的 classdump 对原程序进行 dump，究竟用 dump 出些什么东西来：

 

 

全部的 .h 文件

.h 文件全暴露了，那点开的话，你里面的函数名，属性名也同样清清楚楚：

 

 

属性、函数

惊了个呆，那为了防止这样全裸，这时候咱们就须要用到代码混淆了。

大概什么个意思呢？简单点讲，就是把你的这些个用户名和函数名弄得没有可读性，好比你的用户名的变量名定义为 userName，那你本身用确定是正常的，若是黑客们 dump 出来的这个变量名会变成 abcd 或 1234 ，这样他也就不清楚你这是用来干嘛的了。

第1、在工程项目路径中创建一个confuse.sh、一个func.list文件

先打开终端，而后 cd 到你的项目工程路径下：

 

 

cd 到项目工程路径下

而后建立两个文件，一个 confuse.sh，一个 func.list：

 

 

建立两个文件

这时候咱们打开这个工程文件夹，能够看到，这两个文件已经建立好了：

 

 

咱们建立的两个文件

打开工程，把刚才建立的两个文件加进去，右键你的项目蓝色标志，而后选择 Add Files to...：

 

 

添加到工程中

添加进去了：

 

 

成功添加

点击 confuse.sh ，发现仍是空白的，什么都没有，如今要在这上面加上代码了：

 

 

须要添加的代码

原脚本代码出自：http://blog.csdn.net/yiyaaixuexi/article/details/29201699

第2、在 .pch 文件中添加代码

不要跟我说你的工程没有 .pch 文件，若是真没有，自行百度，这应该算是标配，常识来的。

#ifdef __OBJC__#import#import//添加混淆做用的头文件（这个文件名是脚本confuse.sh中定义的）#import"codeObfuscation.h"#endif

写到这里，编译的时候是否是发现报错啦？刚才的 .pch 文件里面的添加的代码竟然报错了：

 

 

报错了！

不要慌，先把那句报错的先给注释掉：

 

 

先注释掉报错的这一行代码

而后咱们继续往下走！

第3、配置 Build Phase

1:添加 Run Script

 

 

添加 Run Script

2:配置好 Run Script

 

 

配置好 Run Script

而后再回到终端，一样先 cd 到工程目录下，接着咱们要打开刚才 .sh 这个脚本文件的运行权限，由于默认是没有这个权限的，在终端输入如下指令：

 

 

打开运行权限

回车，搞定，回到咱们的工程，先 command + b 编译一下工程，而后再把咱们刚刚注释掉的那句代码解开：

 

 

打开刚刚被咱们注释掉的代码

再次 command + b 编译，如今是否是编译经过啦？刚刚报错的，如今解决了！

基本上就搞定了，剩下的就是添加上咱们想要混淆的变量名或函数名

第4、在  func.list 文件里，写入待混淆的函数名

若是像下面这几个属性跟函数：

 

 

须要混淆的属性跟函数名

那么就这在 fun.list 就这么列出来就行了：

 

 

列出须要混淆的

大功告成！如今 command + b 运行一下，而后在哪里看结果呢，请看这里：

 

 

运行结果

可能这么看有点麻烦，那来个简单一点的：

 

 

查看

哈哈，你会发现，多了好多宏定义，其实就是咱们刚才的字段来的：

 

 

结果

固然，这也只是最简单的代码混淆而已，APP安全仍是有不少须要注意的。一步一步来吧！

 

转自：http://www.jianshu.com/p/a17640cb32b9