veridex 使用教程_扫描非法API调用

1. 限制非SDK接口背景

从Android P开始,谷歌就开始限制开发者,禁止反射调用系统的一些方法,特别是谷歌给出的黑名单里面的方法.固然,这是为了提高开发者体验和加强APP稳定,更是为了安卓的生态发展.

那些官方限制的都是一些非SDK接口,就是一些private的或者是hide的方法或字段,这些由于是没有公开的,可能会在某个版本就消失了.因此不该该访问这些SDK中未列出的方法或字段.

2. 下载扫描工具

好了,废话很少说.最近公司为了适配Android Q,其实都还好,仍是比较好适配的.什么存储权限,定位,惟一码.不清楚的看这里.

本文主要是教你们如何使用veridex.这个工具能够帮咱们查找出一个APK中有哪些地方使用了非SDK接口.主要是项目若是特别大的话,查找哪里调用了非SDK接口很是麻烦,,并且最麻烦的是第三方SDK中的一些骚操做,你不知道它干了啥,也不能改代码,只能经过工具来扫描.

• 官方下载地址
• 百度网盘下载连接,更方便地下载(失效了,记得在下方评论区留言)：pan.baidu.com/s/1MnpHXoSS… 提取码：ynyy

3. 开始查找非SDK接口调用

在官方的工具中,分别提供了linux,mac,windows的工具.veridex-linux是给linux用的,veridex-mac是给mac用的.

若是你是linux或者macOS还好,直接用就行(下面会介绍使用方式).若是是windows,则必须是Windows 10,并且必须打开WSL,具体教程看这里;

好了,如今准备工做OK了,无论你是什么系统,要使用工具,首先须要进入veridex目录,使用下面的命令行方式.

./appcompat.sh --dex-file=test.apk
复制代码

test.apk是你的apk名称,尽可能把apk放到veridex工具的同一目录下.执行上面的命令后,会获得一些输出,可是这些输出是在命令行上的,一晃而过,很差观察.咱们使用下面的命令行将其扫描内容输出到文件中

./appcompat.sh --dex-file=test.apk >> happy.txt
复制代码

固然也能够加一个--imprecise参数,加这个参数是为了让输出内容更加详细,可是也可能存在误报.我在使用过程当中,发现不少误报,明明没什么问题的,结果报出来了.

./appcompat.sh --dex-file=test.apk --imprecise >> happy2.txt
复制代码

扫描出来的内容大概以下所示:

......

#62: Linking blacklist Ljunit/textui/TestRunner;->fPrinter:Ljunit/textui/ResultPrinter; use(s):
       Ljunit/textui/TestRunner;-><init>(Ljunit/textui/ResultPrinter;)V
       Ljunit/textui/TestRunner;->doRun(Ljunit/framework/Test;Z)Ljunit/framework/TestResult;
       Ljunit/textui/TestRunner;->doRun(Ljunit/framework/Test;Z)Ljunit/framework/TestResult;
       Ljunit/textui/TestRunner;->pause(Z)V
       //表示junit.textui.TestRunner的setPrinter方法里面在调用非SDK接口
       Ljunit/textui/TestRunner;->setPrinter(Ljunit/textui/ResultPrinter;)V
.......

//这种是灰名单,不用管
#71: Reflection greylist Lsun/misc/Unsafe;->theUnsafe use(s):
       Lcom/bonree/gson/internal/UnsafeAllocator;->create()Lcom/bonree/gson/internal/UnsafeAllocator;

71 hidden API(s) used: 4 linked against, 67 through reflection
       57 in greylist
       28 in blacklist
       0 in greylist-max-o
       14 in greylist-max-p
To run an analysis that can give more reflection accesses, 
but could include false positives, pass the --imprecise flag. 
复制代码

上面是一个简单示例,能够看到我这里扫描的时候有28处黑名单(公司项目中不会有这么多的,放心,否则得累死).

从上面的文件中咱们读取到以下信息:

• 调用某个API是否非法
• 该方法限制级别是什么
• 调用该方法的位置是哪里

在Android Q版本,为了更精准的控制与兼容,对非SDK接口分类进行修改,修改后以下所示:

• whitelist 白名单 可随意调用
• greylist 灰名单 警告
• greylist-max-o targetSDK>=O时不容许调用,targetSDK<O时警告
• greylist-max-p targetSDK>=P时不容许调用,targetSDK<P时警告
• blacklist 黑名单 不容许调用

因为我上面是测试,我将Junit的引入方法改成api,平时应该这样写testImplementation 'junit:junit:4.12'.这样在打包的时候就会将Junit也打进去,扫描的时候也会把Junit里面的东西扫出来,就会出现不少黑名单里面的API.

这个时候咱们须要根据这个扫描出来的文件去项目中,一个一个地找黑名单调用处.若是是本身的代码,则本身修改,使用SDK公开的方法,别反射.若是是第三方SDK中的代码,则给该SDK提工单.由于三方SDK通常公司用的时候都是给了钱的,提工单的时候回复仍是比较快的,解决也很快.

由于我在公司不是用的macOS,也是我装了个虚拟机Ubuntu,把上面的东西跑出来,而后一个一个地将项目中的黑名单移除.还好工程量不大,哈哈,开心.