[发明专利]一种用于保护APK的方法和装置

说明书

本发明提出了一种用于保护APK的方法和装置。该方法包括：解压APK文件获得APK中的所有文件，包括classs.dex、lib、META‑INFO、AndroidManifest.xml、res；so库加密，调用密码库中加密算法对so库文件中text字段加密；dex文件加密，调用密码库中加密算法对classs.dex文件进行加密；加壳和打包，将Dex壳文件、so库、AndroidManifest.xml文件、META‑INFO打包成新的APK；对新的APK进行签名。本发明采用白盒算法，dex文件加密，so库加密，安全环境检测(root检测、hook检测、动态调试检测)、代码混淆、完整性校验等技术，解决Android应用的业务逻辑泄露、隐私数据保护、防止被逆向分析、二次打包、篡改、仿冒等问题。

技术领域

本发明属于移动互联网应用安全防护领域，具体涉及一种用于保护APK的方法和装置。

背景技术

随着互联网时代的快速发展，尤其是移动互联网的发展，出现了越来越多的APP，这些手机端的APP使得人们可以方便的购买各种各样的产品、便捷的快速支付等等。但是随着APP的普及，手机端APP的安全变的越来越重要。由于手机端APP开发人员的疏忽或者知识局限性，每个APP都存在一定的安全漏洞，这些漏洞一旦被恶意用户掌握，带来的危害将是不可估量的。

虽然Android平台本身有比较规范的安全机制，如应用层引用签名机制、应用权限控制机制保护程序的安全；内核层通过沙箱机制隔离不同进程的资源，并辅助独特的内存管理机制和进程间通信机制等。但是，由于Android本身的开源性、推广的开放性等因素，安卓平台在自身架构、架构的安全机制以及平台的运营模式等方面均存在一定的不足，这些问题一旦被攻击者利用，用户的利益将受到侵害。

针对Android系统中APK应用所面临的各种风险和威胁，市面出现了很多应对措施和保护方法，例如专利号为CN109858203A的专利，同时采用了dex加密、so加固等技术对APK进行整体保护，但该专利主要通过定制Android系统进行解密。此外，还有代码混淆、dex加壳、完整性校验等保护方法。随着攻击软件的不断升级，不断向底层渗透，很多关键业务回向底层转移，native代码的保护是市面很多保护措施所欠缺的。并且未来单一的安全服务已经不能满足用户的需求。

因此，需要一套完整的保护方法来应对不同的攻击手段。

发明内容

本发明的目的在于提供一种用于保护APK的方法和装置，用户使用该保护APK的方法和装置，可以对dex文件进行加壳，保护Java代码；可以对APK中的so库进行加固，保护Native代码；可以保证APK的运行环境安全，在运行时不被动态调试和内存dump；具有完善的完整性校验。

根据本发明的一个方面，提供一种用于保护APK的方法，该方法包括：

解压APK文件获得APK中的所有文件，包括classs.dex、lib、META-INFO、AndroidManifest.xml、res；

so库加密，调用密码库中加密算法对so库文件中text字段加密；

dex文件加密，调用密码库中加密算法对classs.dex文件进行加密；

加壳和打包，将Dex壳文件、so库、AndroidManifest.xml文件、META-INFO打包成新的APK；

对新的APK进行签名。

进一步地，所述so库加密包括：

通过密码库产生密钥key1和向量IV1，利用密码库中白盒算法将密钥key1放入加密白盒文件wbFile1；

根据密钥key1生成解密白盒文件decwbFile1，将解密白盒文件decwbFile1和向量IV1放入assets文件夹；