iOS安全攻防（十）：二進位制和資原始檔自檢

發表於2014-02-13

iOS

我們把自己的程式釋出到app store，但是不能保證每一個使用者都是從app store下載官方app，也不能保證每一個使用者都不越獄。

換句話說，我們無法保證程式執行環境在MAC管控策略下就絕對的安全。

所以，在有些情況下，尤其是和錢有關係的app，我們有必要在和伺服器通訊時，讓伺服器知道客戶端到底是不是官方正版的app。

何以判斷自己是不是正版app呢？hackers們破解你的app，無非就2個地方可以動，1個是二進位制，1個是資原始檔。

二進位制都重新編譯過了自然肯定是盜版……

有些低階的hackers喜歡修改人家的資原始檔然後貼上自己的廣告，或者給使用者錯誤的指引……修改資原始檔是不需要重新編譯二進位制的。

因此，我們有必要在敏感的請求報文中，增加正版應用的二進位制和資原始檔的標識，讓伺服器知道，此請求是否來自正版的未經修改的app。

在沙盒中，我們可以讀到自己程式的二進位制，也可以讀到資原始檔簽名檔案，這兩個檔案都不算大，我們可以對其取md5值然後以某種組合演算法得到一個標記字串，然後發給伺服器。

我封裝了相關檔案的讀取地址

@implementation WQPathUtilities  

+ (NSString *)directory:(NSSearchPathDirectory)dir  
{  
    NSArray *paths = NSSearchPathForDirectoriesInDomains(dir, NSUserDomainMask, YES);  
    NSString *dirStr = [paths objectAtIndex:0];  
    return dirStr;  
}  

+ (NSString *)documentsDirectory  
{  
    return [WQPathUtilities directory:NSDocumentDirectory];  
}  

+ (NSString *)cachesDirectory  
{  
    return [WQPathUtilities directory:NSCachesDirectory];  
}  

+ (NSString *)tmpDirectory  
{  
    return NSTemporaryDirectory();  
}  

+ (NSString *)homeDirectory  
{  
    return NSHomeDirectory();  
}  

+ (NSString *)codeResourcesPath  
{  
    NSString *excutableName = [[NSBundle mainBundle] infoDictionary][@"CFBundleExecutable"];  
    NSString *tmpPath = [[WQPathUtilities documentsDirectory] stringByDeletingLastPathComponent];  
    NSString *appPath = [[tmpPath stringByAppendingPathComponent:excutableName]  
                         stringByAppendingPathExtension:@"app"];  
    NSString *sigPath = [[appPath stringByAppendingPathComponent:@"_CodeSignature"]  
                         stringByAppendingPathComponent:@"CodeResources"];  
    return sigPath;  
}  

+ (NSString *)binaryPath  
{  
    NSString *excutableName = [[NSBundle mainBundle] infoDictionary][@"CFBundleExecutable"];  
    NSString *tmpPath = [[WQPathUtilities documentsDirectory] stringByDeletingLastPathComponent];  
    NSString *appPath = [[tmpPath stringByAppendingPathComponent:excutableName]  
                         stringByAppendingPathExtension:@"app"];  
    NSString *binaryPath = [appPath stringByAppendingPathComponent:excutableName];  
    return binaryPath;  
}  

@end

@implementation WQPathUtilities

+ (NSString *)directory:(NSSearchPathDirectory)dir

{

NSArray *paths = NSSearchPathForDirectoriesInDomains(dir, NSUserDomainMask, YES);

NSString *dirStr = [paths objectAtIndex:0];

return dirStr;

}

+ (NSString *)documentsDirectory

{

return [WQPathUtilities directory:NSDocumentDirectory];

}

+ (NSString *)cachesDirectory

{

return [WQPathUtilities directory:NSCachesDirectory];

}

+ (NSString *)tmpDirectory

{

return NSTemporaryDirectory();

}

+ (NSString *)homeDirectory

{

return NSHomeDirectory();

}

+ (NSString *)codeResourcesPath

{

NSString *excutableName = [[NSBundle mainBundle] infoDictionary][@"CFBundleExecutable"];

NSString *tmpPath = [[WQPathUtilities documentsDirectory] stringByDeletingLastPathComponent];

NSString *appPath = [[tmpPath stringByAppendingPathComponent:excutableName]

stringByAppendingPathExtension:@"app"];

NSString *sigPath = [[appPath stringByAppendingPathComponent:@"_CodeSignature"]

stringByAppendingPathComponent:@"CodeResources"];

return sigPath;

}

+ (NSString *)binaryPath

{

NSString *excutableName = [[NSBundle mainBundle] infoDictionary][@"CFBundleExecutable"];

NSString *tmpPath = [[WQPathUtilities documentsDirectory] stringByDeletingLastPathComponent];

NSString *appPath = [[tmpPath stringByAppendingPathComponent:excutableName]

stringByAppendingPathExtension:@"app"];

NSString *binaryPath = [appPath stringByAppendingPathComponent:excutableName];

return binaryPath;

}

@end

md5方法：

#import "CommonCrypto/CommonDigest.h"  

+(NSString *)md5WithString:(NSString *)string  
{  
    const charchar *cStr = [string UTF8String];  
    unsigned char result[CC_MD5_DIGEST_LENGTH];  
    CC_MD5(cStr, strlen(cStr), result);  

    return [[NSString stringWithFormat:@"%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X",  
             result[0], result[1], result[2], result[3],  
             result[4], result[5], result[6], result[7],  
             result[8], result[9], result[10], result[11],  
             result[12], result[13], result[14], result[15]  
             ] lowercaseString];  
}

#import "CommonCrypto/CommonDigest.h"

+(NSString *)md5WithString:(NSString *)string

{

const charchar *cStr = [string UTF8String];

unsigned char result[CC_MD5_DIGEST_LENGTH];

CC_MD5(cStr, strlen(cStr), result);

return [[NSString stringWithFormat:@"%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X%02X",

result[0], result[1], result[2], result[3],

result[4], result[5], result[6], result[7],

result[8], result[9], result[10], result[11],

result[12], result[13], result[14], result[15]

] lowercaseString];

}

這樣做就100%安全了嗎？

答案是：不……

所謂魔高一尺，道高一丈，不過也能阻止一些低階的hack手段了～

iOS二進位制和資源包的自檢
2018-02-26
iOS
Python 進位制互相轉換（二進位制、十進位制和十六進位制）
2012-12-03
Python
十進位制——二 (八、十六 )進位制
2020-10-11
js二進位制和十進位制轉換程式碼
2017-03-15
JS
（轉）【iOS 開發】二進位制、十進位制、十六進位制相互轉換的方法
2017-12-13
iOS
二進位制轉十進位制快速方法
2020-11-17
javascript十進位制數字和二進位制相互轉換
2017-04-08
JavaScript
python進位制轉換（二進位制、十進位制和十六進位制）及注意事項
2013-01-02
Python
二進位制、十進位制與十六進位制相互轉化
2024-03-28
JavaScript十進位制轉換為二進位制
2018-07-03
JavaScript
Oracle二進位制與十進位制轉換
2015-12-28
Oracle
二進位制，八進位制，十進位制，十六進位制的相互轉換
2020-02-01
Carthage和iOS元件二進位制化
2017-05-19
iOS元件
java中二進位制、八進位制、十進位制、十六進位制的轉換
2018-10-12
Java
二進位制，八進位制，十進位制，十六進位制之間的轉換
2018-07-09
十進位制轉換為十六進位制和二進位制程式碼例項
2017-04-11
十進位制與二進位制互相轉換指南
2018-01-11
二進位制轉十進位制快速轉換方法
2013-03-23
JAVA 二進位制，八進位制，十六進位制，十進位制間進行相互轉換
2018-11-12
Java
計算機基礎進位制轉換（二進位制、八進位制、十進位制、十六進位制）
2018-09-07
計算機
進位制詳解：二進位制、八進位制和十六進位制
2021-07-07
大話二進位制，八進位制，十進位制，十六進位制之間的轉換
2015-09-05
JavaScript 二進位制數字轉換為十進位制
2017-04-01
JavaScript
一看就懂二進位制、八進位制、十六進位制數轉換十進位制
2021-07-31
Oracle中的二進位制、八進位制、十進位制、十六進位制相互轉換函式
2012-05-12
Oracle函式
進位制之間的轉換之“十六進位制轉十進位制轉二進位制方案”
2024-04-07
如何把十進位制的數輸入用二進位制全加器，並以十進位制輸出
2019-03-25
[計算機基礎] 計算機進位制轉換：二進位制、八進位制、十進位制、十六進位制
2020-03-16
計算機
java二進位制運算十進位制(精確運算)
2018-05-15
Java
3416：【例72.1】二進位制轉化為十進位制
2024-03-10
1474 十進位制轉m進位制+1475 m進位制轉十進位制
2014-10-11
n進位制轉十進位制
2019-02-15
十進位制轉十六進位制
2018-04-07
ORACLE使用函式對二進位制、十進位制、十六進位制數互相轉換
2013-11-03
Oracle函式
【轉帖】Oracle中的二進位制、八進位制、十進位制、十六進位制相互轉換函式
2008-05-20
Oracle函式
Python 十進位制轉換為二進位制高位補零
2018-06-15
Python
45:十進位制到八進位制
2017-03-04
46:八進位制到十進位制
2017-03-04

iOS安全攻防（十）：二進位制和資原始檔自檢

相關文章