Android 第三方加固方案對比 MD

時間 2019-11-29

原文原文鏈接

常見的第三方加固方案官網介紹

因爲安卓APP是基於Java的，因此極容易被破解，一個不通過加固的APP猶如裸奔同樣，毫無防備。以前曾有新聞報道，一些專職的APP打包黑產就是專門從各類渠道找到apk，經過各類破解手段將apk文件破解、反編譯，而後加入廣告、病毒代碼，從新打包投入市場，不明真相的用戶將帶病毒廣告的apk下載下來，甚至所以形成利益損失。

對於移動應用開發工程師來講，應用自動化加固無疑是最便捷的一種安全方式了。經過加固能夠在必定程度上達到反編譯和防止被二次打包的效果。固然，如今網上不少平臺都提供加固服務包括bat在內。加固原理差很少，可是加固強度和兼容性上仍是有很大差異的。

360加固保【我的選擇】

http://jiagu.360.cn/#/global/index 下載加固工具

爲應用提供安全可靠的保護及服務，技術領先、兼容性強、服務穩定

保護設備：1,000,000,000+

服務應用：800,000+

加固服務：7,000,000+

360加固保介紹

360加固保是爲移動應用安全提供專業保護的平臺，盜版APP一般是將正版APP進行破解、篡改後從新打包生成的應用。若是手機APP可以具有防反編譯、防反破解能力，就能夠有效的防止APP被盜版。
360加固保專爲開發者的應用提供免費安全加固服務，首創了多重防禦方式，對應用程序深度加密處理；獨有的程序文字信息加密功能，能有效防止應用被反編譯和惡意篡改，保護應用不被二次打包，保護數據信息不會被黑客竊取。開發者無需任何開發成本，一鍵上傳，便可在5分鐘內完成應用加固，從而完全防止應用在上線後被反編譯、調試、破解、二次打包和內存截取等多種威脅。給予官方應用最強保護，從源頭消滅惡意盜版應用，保護開發者收入。
360加固保在爲APP提供加固服務的同時，還爲開發者提供APP數據分析、崩潰日誌分析、盜版監測和漏洞掃描等服務，全方位幫助開發者瞭解數據健康與運行情況。截止2015年第二季度，已使用360加固保的應用達30萬，應用所覆蓋的用戶超過10億，360加固保已經成爲國內最大的移動應用保護平臺。

360加固保特色

加固零成本：線上加固，無開發成本，一鍵擁有頂級安全保護
應用零風險：防止應用被二次打包、惡意篡改、內存截取等風險
大小零增長：首創隱形壓縮技術，加固後文件大小零增長
使用零影響：完美兼容各版本安卓系統，對應用功能、性能零影響
安裝啓動更快速：提升應用安裝速度，ART模式下啓動更快速

360加固保功能：

反篡改：經過簽名校驗，有效避免應用被二次打包，杜絕盜版應用
反竊取：對內存數據進行變換處理和動態跟蹤，防止內存數據被修改和獲取
反逆向：進行代碼加密壓縮，防止還原真實代碼邏輯，避免應用被複制
反調試：多重手段防止代碼注入，避免外掛、木馬或竊取帳號密碼等惡意行爲

提供的服務

一、安全開發：提供針對性的安全建議，培養安全開發意識，爲應用作好第一道防禦

安全掃描：提供全面高效的APP體檢，準肯定位安全問題，解析風險原理，估計風險可能的影響
修復建議：根據掃描結果，有針對性地提供修復建議，幫助開發者有效提高程序的安全性，作到安全開發

二、安全護航：加固，應用上線前的外部安全保障

應用加固：加固保爲移動應用提供專業安全的保護，可防止應用被逆向分析、反編譯、二次打包，防止嵌入各種病毒、木馬等惡意代碼及低俗廣告，從源頭保護數據安全和開發者利益
iOS加固：加固保的iOS加固產品旨在爲廣大的iOS軟件開發者以及廠商提供針對軟件產品的源碼級的反破解、反逆向、反黑客保護
SDK加固：加固保爲SDK提供全方位的安全保護，加固強度高，有效對抗多種反編譯逆向工具，防止SDK被破解剽竊，提高SDK安全等級。

三、安全追蹤：根據監控應用問題及風險，評估反饋應用的線上安全及運營問題

盜版監測：全面覆蓋國內外各大安卓應用市場，全方位、高精準識別盜版 APP，實時幫助開發者發現盜版 APP，識別盜版特徵，精準計算盜版影響
崩潰日誌：全面監控 Java 層和 Native 層崩潰，實時掌握應用的崩潰狀況，幫助開發者對問題進行定位和還原
數據分析：零開發成本洞悉應用線上運營數據，幫助開發者方便快捷掌握應用線上效果及問題

使用步驟：

一、註冊登陸【0909082401@163.com】

二、配置

點擊配置信息-->簽名配置：勾選啓用自動簽名，選擇簽名文件，輸入密碼、別名密碼，點擊添加，而後選擇其中一個做爲默認簽名
點擊配置信息-->多渠道配置：勾選啓用多渠道打包，能夠設置統計平臺、增刪改渠道信息，啓用關閉渠道，加固包輸入目錄

點擊配置信息-->加固選項：可設置是否啓用加強服務，如崩潰日誌分析，支持X86，升級通知，消息推送，簽名校驗等

三、加固

正常打包：能夠打任何簽名的debug包或release包，無論用那個簽名打的包，加固後都還會用你配置的簽名從新打包
點擊加固應用：選擇安裝包，而後就會把你的安裝包上傳到服務器加固，加固完成後會自動下載到你指定的目錄（一鍵加固）

四、除了上述一鍵加固功能，工具還提供了另外三個小功能：製做簽名、給APK簽名、多渠道打包，另外還提供了安全掃描的功能。

愛加密

安全加固，一鍵Get，專業、高效、便捷的移動應用安全解決方案

50萬開發者的安全首選，爲100多萬款APP提供安全服務，累計覆蓋9億移動終端

愛加密是全球專業的移動信息安全綜合服務商，爲企業提供涵蓋安全培訓、合規諮詢、安全檢測、安全加固、威脅感知、安全管理、服務端安全、數據防泄漏等一整套覆蓋週期流程的解決方案體系。愛加密有效保護移動應用安全，爲移動金融、電力、物聯網、政企、運營商，手遊等行業提供完善可靠的安全服務。

服務體系：

安全培訓：提供針對企業移動業務安全開發，安全平臺維護及應用安全風險分析和防禦相關定製化培訓。

合規諮詢：協助用戶完成安全等級保護需求、搭建ISO27001等信息安全管理體系框架，並進行風險評估和安全諮詢，實現企業安全信息合規要求。
安全檢測：經過強大的安全分析引擎及安全漏洞檢測規則，全面挖掘系統源代碼、移動應用、服務器及Web應用中存在的安全漏洞、性能缺陷、編碼缺陷等問題，有效避免因安全漏洞致使的安全事故及風險。
安全加固：爲企業移動應用業務提供全面的加固防禦技術。
安全感知：監控移動應用相關風險，提供實時威脅數據監測與風險預警。
安全管理：可擴展的企業移動應用生命週期安全管理平臺，以移動應用的深刻檢測和分析爲入口，爲用戶提供全面的安全風險信息展示和治理能力，輔助用戶對安全風險進行跟蹤處理，同時對有安全風險的應用進行安全加固。
服務端安全：應用層深度防護，支持全透明直連部署，「源碼級」深度防禦，防護應用內未知漏洞和風險。
DLP產品：網絡監控、網絡保護、數據發現、郵件保護、終端保護五大功能模塊融合，經過管理平臺統一制定數據安全策略，實現敏感數據全IT環境、全生命週期的安全防禦。

十大核心安全產品：

源代碼審計：覆蓋主流開發語言，提供詳細整改建議
安全檢測：Android/iOS應用自動靜動態安全風險檢測
安全加固：Android/iOS/H5/SDK/SO庫加固
漏洞分析培訓：針對企業移動業務潛在風險與漏洞提供諮詢方案與安全培訓
安全信息等級保護諮詢：提供企業安全信息等級保護建設諮詢服務與規劃設計方案：Web端滲透測試服務：Web漏洞掃描與風險分析
iData智能數據平臺：深度數據分析實現持續智能運營
移動安全運營平臺：可擴展的企業移動應用生命週期安全管理平臺
安全大數據平臺：構建移動應用智能安全監測體系
數據防泄漏：統一的數據安全策略，實現敏感數據全IT環境安全防禦

應用場景：

金融解決方案：針對移動互聯網時代的金融業務面臨的安全漏洞和風險，爲手機銀行、手機理財、移動支付等移動金融業務提供一整套穩定、可靠的解決方案，保證移動應用的合規性和安全性。
政企解決方案：爲政企行業移動應用提供安全保障，保證政企機構敏感數據的安全性，促進政企移動信息化建設的規範性和安全性，助力政企機構移動信息化的安全發展，提升政企運營效率。
運營商解決方案：針對運營商數據流量大、隱私性強，用戶量大，穩定性要求高等特色，有針對性的制定移動應用安全解決方案，全方位保證其應用安全、數據安全和網絡安全。
IoT解決方案：「Internet of things 物聯網，針對IoT行業發展速度快、業務場景複雜等狀況，造成貼合IoT實際場景的安全解決方案，適應IoT「雲、管、端」的基礎架構，全面保護其終端安全、平臺安全、應用安全和通訊安全。
互聯網解決方案：移動互聯網比傳統互聯網涉及的業務更加普遍、使用場景更加多樣、採用技術更加複雜，結合業務邏輯和技術特色，給出契合的安全防禦方案，使移動互聯網暢通無阻。
遊戲解決方案：針對遊戲行業外掛類、模擬器類、數據盜取和修改類的安全風險進行防禦，保證廠商和玩家利益；同時知足遊戲包體無損壓縮需求，提高玩家體驗和用戶粘性，使手機遊戲獲得更好的運營。

優點：

技術優點：行業領先的六代安全技術，爲客戶提供的全部解決方案技術均爲行業最優
產品優點：完整的安全生態體系，提供事前防禦能力、安全威脅大數據分析和預測能力，賦能予用戶
性能最優：支持最新安卓8.0系統，機型兼容性高達99%，內存損耗控制在3%之內，包體增量±5%
服務承諾：快速服務響應承諾、系統的技術知識轉移方案、完善的售後服務
市場驗證：2000多家行業客戶的信任，50萬開發者的選擇，積累了業內豐富的安全保護經驗
權威認證：擁有近30項公司及產品資質、10多項專利，服務能力被公安部等保測評等諸多權威機構承認

娜迦

http://www.nagain.com/

國內惟一 native 層加密技術，首創DIS融合SO保護技術。

NAGA娜迦信息專一移動應用安全解決方案與開發者服務，爲移動領域的金融、電子商務、遊戲娛樂應用提供Android/iOS平臺客戶端安全服務，覆蓋Android/iOS應用生命週期的安全保護服務。

移動應用安全保護體系：

研發階段：安全鍵盤SDK、數據庫保護SDK、緩存文件保護SDK、防模擬器SDK、通信加固SDK、APP運行環境監測、敏感信息隔離沙箱、安全編譯器
運營階段：實時攻防安全服務、應急響應服務
安全合規階段：安全檢測服務、 VMP加固、Unity3D加固、H5加密、敏感信息跟蹤檢測
運維階段：渠道監控服務(7*24小時高效防護APP在渠道分發遇到的風險)

應用場景：

移動金融：對金融應用源碼加密和應用包加殼，防止APP被反編譯、被破解的風險，避免帳號密碼泄漏，保護用戶資金安全。
移動遊戲：提供對APK包中的unity3d的資源文件版本號進行篡改加密保護,防止黑客進行惡意攻擊，篡改遊戲內置數據。
視頻媒體：提供高強度的源代碼加密方案，避免APP被破解、被二次打包，防止付費資源被盜取、廣告被攔截等惡意行爲的發生。
政企單位：提供有針對性的移動安全解決方案，對應用進行安全評估、加殼等防禦策略。

核心優點

專業技術的團隊，10年+技術大牛：從事移動安全領域平均10年以上的技術大牛，專業團隊保障你的移動應用安全
成熟的產品體系，開發上線—運營：提供從應用開發到上線運營的相關產品，知足用戶各個階段的需求
國內權威認證，中國信息安全認證：國家信息安全技術聯盟成員，國家信息安全測評中心合做夥伴，國家發改委信息安全專項承接單位
全方位服務體系，快速響應處理：積累豐富的線上線下服務經驗，爲用戶提供專業及時的產品服務

梆梆

https://www.bangcle.com/

提供的服務：

一、移動應用安全加固

針對目前移動應用廣泛存在的破解、篡改、盜版、釣魚欺詐、內存調試、數據竊取等各種安全風險，梆梆安全爲開發者提供全面的移動應用加固加密技術和攻擊防範服務

核心加固技術：

防逆向（Anti-RE）：抽取classes.dex中的全部代碼，剝離敏感函數功能，混淆關鍵邏輯代碼，總體文件深度加密加殼，防止經過apktool，dex2jar，JEB等靜態工具來查看應用的Java層代碼，防止經過IDA，readelf等工具對so裏面的邏輯進行分析，保護native代碼。
防篡改（Anti-tamper）：每一個代碼文件、資源文件、配置文件都會分配惟一識別指紋，替換任何一個文件，將會致使應用沒法運行，存檔替換、病毒廣告植入、內購破解、功能屏蔽等惡意行爲將沒法實施。
防調試（Anti-debug）：多重加密技術防止代碼注入，完全屏蔽遊戲外掛、應用輔助工具，避免釣魚攻擊、交易劫持、數據修改等調試行爲。
防竊取（Storage Encryption）：支持存儲數據加密，提供輸入鍵盤保護、通信協議加密、內存數據變換、異常進程動態跟蹤等安防技術，有效防止針對應用動、靜態數據的捕獲、劫持和篡改。

二、移動應用源代碼加固

未經混淆的源代碼受到攻擊後，易暴露程序中關鍵算法、核心業務邏輯、數據結構和模塊的控制流佈局等敏感內容

鑑於源代碼的超低風險抵抗能力，梆梆安全推出了了面向Android ndk工程、Android gradle工程、iOS工程的源代碼安全保護系統。

主要功能：

控制流平坦化在保證不改變源代碼功能的前提下，將C、C++、Objective-C等語言中的if、while、for、do等控制語句轉化爲switch分支選擇語句。
插入各類花指令：插入各類不會被執行的無效字節碼到源碼文件中，使逆向分析工具進行字節碼解析時崩潰。
控制流變換：對於跳轉控制條件和分支語句，在保持原程序邏輯關係的前提下，隨機肯定控制塊的執行順序，達到模糊程序控制邏輯、隱藏程序控制流的目的。
代碼完整性校驗：在混淆源碼時植入check因子，在程序執行時校驗同因子映射對應的代碼，保證代碼執行時的完整性。
源對源混淆：自主研發的高強度混淆技術，代碼混淆結果當即可看，不用擔憂使用網上開源工具不清楚混淆結果是否有效的問題。

三、安全密鑰白盒

目前使用的基於Key的AES、DES、SM4等傳統加密算法已再也不安全，攻擊者經過控制軟件的運行環境（如CPU、內存、寄存器等）實現對密鑰的白盒攻擊、破解。

爲解決在不直接暴露任何密鑰或數據的前提下實現對數據加解密，梆梆安全推出密鑰白盒加密保護技術，從根本上防禦針對密鑰的白盒攻擊行爲。

梆梆安全密鑰白盒加密技術:

Lookup table轉換：將密鑰轉換爲大量的Lookup table，構造複雜龐大的結構化查找表系統。
隨機雙射編碼：應用隨機化、非線性化操做，對查找表進行隨機雙射編碼，隱藏相關內容。
算法邊界擴展：將加密算法邊界由算法自己擴展到整個程序，實現對密鑰的隱藏。
內外混編：採用外部編碼加內部編碼混合方式，對查找表進行隱藏、混淆和擴散。
多層防禦措施：採用多種安全技術集成，加強對密鑰白盒環境下非法調用、注入、內存修改的防禦。

四、安全軟鍵盤SDK

全流程、多層次、立體化保護信息數據輸入安全

基於鍵盤輸入數據的各種信息竊取攻擊很是廣泛，大量敏感數據被經過App鍵盤錄入移動互聯網中，黑客們經過反編譯這些流行應用，將鍵盤鉤子（監控程序）捆綁嵌入其中，以監控、竊取用戶經過鍵盤輸入的各項數據。

針對以上信息泄露的風險，梆梆安全推出了安全軟鍵盤SDK，全面保護信息輸入安全。從底層、啓動前、輸入時、輸入後等多個維度進行輸入數據保護。

梆梆安全提供的隨機分佈式虛擬安全鍵盤，對鍵盤的數據輸入過程、數據存儲過程、內存數據換算過程進行全程高級加密，可有效防止數據偵聽、鍵盤劫持、鍵盤截屏等攻擊行爲。

■ 密碼在內存中全程加密存儲：採用高強度的組合加密算法和機制，對安全鍵盤輸入的信息在全流程實施加密，不留下風險空當。

■ 防截屏攻擊：對截屏攻擊進行防護，不回顯輸入信息。

■ 防止從底層獲取密碼：經過隨機佈局鍵盤，防止被底層分析輸入節點進而獲取密碼。

■ 防止底層dump內存讀取密碼：對於底層的內存dump作了有效防禦，防止被dump出內存密碼的明文拷貝等風險。

■ 防輸入日誌泄露：對輸入輸出的日誌進行保護，防止輸出信息打印出明文密碼賬戶信息。

■ 密碼so文件加殼保護：在so文件中保存密鑰，並對so文件高強度加殼。

■ 病毒掃描：系統調用安全軟鍵盤時，進行病毒掃描、環境清場。

■ 依託加固的安全鍵盤自我保護：輔助App加固服務，防止安全鍵盤被去除或繞過，從外層對安全鍵盤造成加殼保護。

五、防界面劫持SDK

利用仿冒的界面覆蓋、替換App原界面來進行釣魚欺詐，正在成爲一種流行的App惡意攻擊方式，即界面劫持攻擊。

梆梆安全防界面劫持SDK，根據App當前界面視圖焦點的變化，捕獲當前惡意程序的攻擊行爲，提醒用戶安全風險，有效下降移動App敏感信息被竊取風險。

主要功能特色：

■ Activity實時監測攔截

■ Windows實時監測攔截

■ 鍵盤行爲監測及數據分析

■ 仿冒界面風險提示

■ 防誤判白名單

......還有一堆堆的服務

提供的移動應用保護服務：

防逆向保護：以加密代碼的方式阻止反編譯，從而防止被竊取代碼和創意
防篡改保護：經過對app的完整性保護，防止app被篡改或者盜版
反調試保護：阻止應用運行中被動態注入，防止被外掛，木馬偷竊帳號密碼，修改交易金額等
存儲數據加密保護：更底層，跨文件格式的數據加密，防止應用數據被竊取
環境監測和保護：雲監測設備環境，防止盜版應用，惡意應用的釣魚攻擊

通付盾

https://www.tongfudun.com/

通付盾是國內領先的信息科技公司，聚焦網絡安全、人工智能和區塊鏈技術，爲金融等機構提供信任基礎服務。

產品服務：

一、金融科技

設備行爲分析：入網設備虛擬空間「身份證」
風險監測平臺：跨行業、多場景欺詐風險預警
信貸生命週期：全流程的信貸風控解決方案
信用認證平臺：完善信用認證體系一站式服務
風險信息共享：共享信貸機構借貸信息和黑名單
多因子身份認證：移動在線身份認證解決策略
遠程實名認證：實現移動端遠程精準實名認證
智能加密短信：對短信驗證碼進行加密和校驗

二、網絡安全

Android檢測：動靜雙擎安全漏洞全覆蓋
Android加固：提供移動應用程序全方位加固
渠道應用監測：全局視角追本溯源
終端威脅感知：威脅感知風險預警
風險評估：全方位無死角安全體檢
滲透測試：領先黑客不止一兩步
反病毒引擎：惡意代碼高精度智能檢測
防界面劫持SDK：防護界面釣魚下降泄露風險

三、區塊鏈

鎧鏈：可信的數字身份區塊鏈
盾分：基於鎧鏈的數字身份憑證

核心優點：

專業的技術團隊：平均項目經驗10年以上的項目大牛，必須專業
成熟的產品體系：深厚的技術基礎，過硬的產品質量，靈活的產品選擇
完善的服務體系：服務體系成熟完善，以知足客戶需求爲使命
雄厚的經驗積累：跨行業實戰經驗豐富，厚積薄發

解決方案：

政府企業解決方案：基於動靜雙擎檢測、VMP加固等先進的移動安全技術和海量移動應用數據，爲政府和監管機構提供APP檢測與加固、終端威脅感知、渠道應用監測等安全解決方案
銀行業解決方案：針對銀行存在的詐騙轉帳、銀行卡盜刷及洗錢等風險，提供轉帳和支付安全、帳號保護、應用保護等安全解決方案，全面提高銀行機構的安全能力
互聯網金融解決方案：堅持「聯防聯控」理念，創建精準反欺詐風控模型，提供貸前審覈、貸中監控、貸後預警等全業務流程風險防控，幫助信貸機構下降風險、減小資金損失
支付行業解決方案：基於海量跨行業風險數據，採用領先的多因子身份認證和移動安全技術，幫助解決盜刷、套現、帳號盜用、支付欺詐等安全問題，保護網絡支付安全
電子商務解決方案：依託海量風險數據和強大的機器學習技術，爲電商平臺量身打造精準風控模型，解決薅羊毛、虛假交易、惡意下單、庫存綁架等欺詐問題，保障交易安全

阿里聚安全

http://jaq.alibaba.com/

若是是認證用戶能夠選擇已有的應用或者上傳新應用直接開始加固，操做過程很順暢。加固中會提示先給應用進行惡意代碼檢測，這點挺人性化的。加固後將文件下載下來再次簽名便可發佈。另外還有在線多渠道加固能夠選擇，這個功能比較適合發佈渠道多的用戶。

移動安全：專一應用開發安全

安全掃描：快速掃描APP漏洞、惡意代碼以及仿冒應用
應用組件：防止被攻擊、信息泄漏、客戶端請求僞造
應用加固：提高安全等級，防止應用被逆向破解
實時監控：全生命週期實時量化評估風險情況
安全審計：提供設計評審、滲透測試、應急響應等業務

騰訊雲應用樂固

https://cloud.tencent.com/product/cr

騰訊雲的加固上傳應用後默認選擇了加固，漏洞檢測還有渠道監控。可選項是適配分析，限量天天一次。

加固先後指標對比

加固等待時間對比

最快的是阿里聚安全，16MB的應用加固用時27秒，而通付盾最久用時3分08秒。固然時間的差異除了和加固引擎不同以外，也多是加固強度和加固項目有關。

360加固保	阿里聚安全	騰訊應用樂固	梆梆安全	通付盾
1分20秒	35秒	1分1秒	2分14秒	3分8秒

加固先後體積對比

阿里聚安全的加固反而使應用包變小1MB，其餘的幾個則都出現了0-0.8MB的浮動。

加固前	360加固保	阿里聚安全	騰訊應用樂固	梆梆安全	通付盾
16MB	16MB	15MB	17MB	16.5MB	16.8MB

加固先後首次啓動速度對比

通常來講加固後首次啓動速度會略微受到一點影響，可是第二次啓動就會正常。經過第三方兼容性測試testin的測試，這五個平臺輸出的應用簽名後兼容性相差不大。此次採用的是覆蓋100臺主流手機的測試，檢測結果以下：

加固前	360加固保	阿里聚安全	騰訊應用樂固	梆梆安全	通付盾
2.52秒	1.77秒	5.02秒	3.48秒	5.57秒	3.82秒

除了360加固，其餘4各平臺加固後啓動速度比加固前要慢。其中對速度影響最大的是梆梆安全。

加固先後兼容性對比

對於應用的兼容性也是很是重要的一項指標。經過此次的評測，能夠發現測試的應用採用通付盾的加固後，兼容性出現了大幅度降低只有88%。而其餘四個並無太多的變化。

加固前	360加固保	阿里聚安全	騰訊應用樂固	梆梆安全	通付盾
100%	99%	100%	100%	99%	88%

總結

最後再來一個彙總的統計表格，看看這幾個指標中都是哪些平臺得了第一：

操做體驗最好	加固等待時間最少	體積變化率最小	啓動速度最快	加固後兼容性最好
通付盾，騰訊雲	阿里聚安全	阿里聚安全	360加固保	阿里聚安全&騰訊雲