python混淆ios代码_iOS-代码混淆

前言——代码混淆初探如何做到把我们的App通过Class-dump导出来我们的头文件，还有利用Hopper分析我们的代码逻辑结果，可知道别人很容易就可以获取到我们代码的信息信息！！那么我们如何防止我们核心的代码被别Hook呢，下面步骤对我们的代码进行混淆。一、代码安全扫描做安全扫描的同事都应该熟练操作class-dump和Hopper这两款工具了，下面是他们对项目的扫描结果，心痛自己。代码.png

白宇翰

430人浏览 · 2021-02-21 05:33:44

白宇翰 · 2021-02-21 05:33:44 发布

前言

——代码混淆初探

如何做到把我们的App通过Class-dump导出来我们的头文件，还有利用Hopper分析我们的代码逻辑结果，可知道别人很容易就可以获取到我们代码的信息信息！！那么我们如何防止我们核心的代码被别Hook呢，下面步骤对我们的代码进行混淆。

一、代码安全扫描

做安全扫描的同事都应该熟练操作class-dump和Hopper这两款工具了，下面是他们对项目的扫描结果，心痛自己。

代码.png

函数.png

每次说要把我们的项目放去扫描，心里都捏了一把汗，每次都能找到一些漏洞，真羞人哈哈哈哈。

二、代码易读字符串混淆

混淆分许多思路，比如：

1)花代码花指令，即随意往程序中加入迷惑人的代码指令

2)易读字符替换

2.1 防止class-dump出可读信息的有效办法是易读字符替换

首先切换到我们的项目目录下，创建两个文件：

confuse.sh：存放混淆的脚本

func.list：需要混淆的方法、变量名

创建文件

右键项目名称，把这两个文件导进来项目中来

添加新建项目到项目中

然后打开 confuse.sh 文件，添加以下脚本：

#!/usr/bin/env bash

TABLENAME=symbols

SYMBOL_DB_FILE="symbols"

STRING_SYMBOL_FILE="func.list"

HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"

export LC_CTYPE=C

#维护数据库方便日后作排重

createTable()

{

echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE

}

insertValue()

{

echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE

}

query()

{

echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE

}

ramdomString()

{

openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16

}

rm -f $SYMBOL_DB_FILE

rm -f $HEAD_FILE

createTable

touch $HEAD_FILE

echo '#ifndef Demo_codeObfuscation_h

#define Demo_codeObfuscation_h' >> $HEAD_FILE

echo "//confuse string at date" >> $HEAD_FILE cat "$STRING_SYMBOL_FILE" | while read -ra line; do if [[ ! -z "$line" ]]; then ramdom=`ramdomString` echo $line $ramdom insertValue $line $ramdom echo "#define $line $ramdom" >> $HEAD_FILE fi done echo "#endif" >> $HEAD_FILE sqlite3 $SYMBOL_DB_FILE .dump

2.2 配置 Build Phase

点击工程名称 — > Build Phase — > Run Script