如何作好iOS应用安全？这有一把行之有效的“三板斧”

时间 2019-11-25

标签如何作好 ios 应用安全一把行之有效板斧栏目 iOS 繁體版

原文原文链接

本文由网易云发布。ios

iOS应用面临不少破解问题，常见的有IAP内购破解、山寨版本、破解版本等；大众应用上，微信抢红包、微信多开等；而在iOS游戏上，愈来愈泛滥的外挂问题也不断困扰着游戏厂商。算法

网易云易盾资深安全开发工程师王桂林安全

3月17日，Cocoa社区CVP系列开发者沙龙在北京举办，网易云易盾资深安全开发工程师王桂林出席沙龙，并作《iOS游戏的破解以及防御》的演讲，分享了究竟该如何作好App的安全防御工做。微信

攻防，首先得知道他们是怎么破的函数

要想防御的好，必需要知道对手是怎么破解的，王桂林首先分享了两个破解分析实例。工具

游戏加速分析过程加密

第一个实例就是加速器，“加速器原理都差很少，只是实现方式不同。”王桂林说，它们的原理都是经过修改时间相关函数实现加减速功能，实现方式上主要是两大类，一类是U3D，另一类是COCOS。如何作的呢？“经过有无UnityAppController来判断是否为Unity游戏。若是为Unity游戏的话，就会用Hook OC的方法；若是不是Unity游戏，就会采用常规的Hook Gettimeofday方式修改游戏。”调试

修改参数blog

破解效果游戏

只要是手游，基本都被外挂侵害，《旅行青蛙》是当下很是火的佛系游戏，网易云易盾资深安全开发工程师因而就对它进行了分析：经过iOS和安装安装包联合分析，就能够发现iOS使用的是IL2CPP模式，C#脚本转成C/C++代码，使用II2CppDumper还原符号。王桂林说：“知道这些开发状况后，就能够搜索三叶草、抽奖券代码，经过修改对应的代码达到三叶草数目无限、抽奖券变成本身想要的效果等。”

不管是加速器，仍是外挂，都会伤害正常玩家——包括付费玩家，同时也会影响游戏开发者的收入，面对这些状况时，咱们该怎么办？

iOS游戏安全，行之有效的“三板斧”

那iOS游戏怎么才能作好相应的保护？面对现场你们期盼的眼神，王桂林分享了网易云易盾行之有效的“三板斧”：

第一板斧是防静态分析，这里包括字符串加密、符号混淆、代码逻辑混淆和游戏存档加密；
第二板斧是防动态调试、反调试和通讯安全（数据加密）；
第三板斧是外挂检测、加速挂、内存修改挂和自动任务挂等。

字符串加密

代码逻辑混淆

具体来看字符串加密、符号混淆、代码逻辑混淆。字符串加密，就是在编译器编译源码时，对程序中的字符串进行加密，运行的时候动态解密；符号混淆，则是将代码中使用的类名、方法名、属性替换成其余意义的名字；代码逻辑混淆，就是在编译器编译源码时，对代码结构进行变形，提升代码的复杂度和逆向分析难度，从而保护程序不被轻易破解，里面也能够加密算法逻辑和特定的验证逻辑，好比一开始的代码结构很简单，改了之后就会变得很复杂。

反调试

王桂林说，上面的都属于放静态分析范畴，它都是对变量进行加密保护，让破解者没法搜索。外挂都会有反调试分析，所以静态分析以外还有防动态调试，好比说反调试，它使应用没法被调试、避免被动态分析的风险；同时，易盾还会作通讯数据加密，防止被抓包工具抓包分析。

作好上面防御以外，易盾也采起主动出击，作外挂检测、加速挂、内存修改挂和自动任务挂等。

“这就是网易云易盾行之有效的三板斧——从防静态分析到防动态调试到最后的外挂识别，全方位保护iOS应用和游戏安全。”王桂林最后说。

感兴趣的朋友能够点这里免费试用网易云易盾加固产品。

“移动安全诊断室”活动

原文地址：http://mp.weixin.qq.com/s/KIp3ZHpd7O2OCwhTauVkKA

了解网易云：
网易云官网：https://www.163yun.com/
新用户大礼包：https://www.163yun.com/gift
网易云社区：https://sq.163yun.com/