0x10 二进制和资源文件自检

2017-09-14  本文已影响0人  richar_

注:原文---念茜的博客

我们把自己的程序发布到app store,但是不能保证每一个用户都是从app store下载官方app,也不能保证每一个用户都不越狱。

换句话说,我们无法保证程序运行环境在MAC管控策略下就绝对的安全。

所以,在有些情况下,尤其是和钱有关系的app,我们有必要在和服务器通信时,让服务器知道客户端到底是不是官方正版的app。

何以判断自己是不是正版app呢?hackers们破解你的app,无非就2个地方可以动,1个是二进制,1个是资源文件。

二进制都重新编译过了自然肯定是盗版……

有些低级的hackers喜欢修改人家的资源文件然后贴上自己的广告,或者给用户错误的指引……修改资源文件是不需要重新编译二进制的。

因此,我们有必要在敏感的请求报文中,增加正版应用的二进制和资源文件的标识,让服务器知道,此请求是否来自正版的未经修改的app。

在沙盒中,我们可以读到自己程序的二进制,也可以读到资源文件签名文件,这两个文件都不算大,我们可以对其取md5值然后以某种组合算法得到一个标记字符串,然后发给服务器。

我封装了相关文件的读取地址:

md5方法:

这样做就100%安全了吗?

答案是:不……

所谓魔高一尺,道高一丈,不过也能阻止一些低级的hack手段了~

上一篇下一篇

猜你喜欢

热点阅读