Android 应用是不是几乎没有办法防破解？

无论是运行时签名校验也好，还是把核心逻辑写到 native 代码也好，感觉都能轻松反编译，得益于 jadx ，IDA 这些工具，so 库也能给你搞出 C 伪代码来，各种命名，逻辑一览无余。代码混淆也只是缓兵之计，加固算比较高级的，但一样可以脱壳，可能付费的那种会安全一点？他们又是怎么做防护的呢？
如果一个 App 有会员功能，在各种逆向工具和熟手面前，是不是几乎没有办法防护？

mxT52CRuqR6o5

2024-03-14 19:31:14 +08:00

ida 反编译 so 文件还是有些门槛的吧，倒是编译到 dex 的代码，不做保护真的很容易破解

dhb233

2024-03-14 19:31:32 +08:00

这 Android 没关系吧，window 上的程序也是一样。加壳会增加破解难度，但是并不能防止破解。如果破解成本比收益低的情况下，就没有破解的必要了。

感觉联网验证，把一部分功能跑在服务器上，这样破解的难度就很高了

iOCZS

2024-03-14 19:33:49 +08:00

理论上是，但是现实中这样的人又有多少呢？只要增加复杂性，总能拦住绝大多数人。这样就够了

DCodeLauncher

2024-03-14 19:36:58 +08:00

逆向：花里胡哨。
会员共享：我在听，你继续说。
QX：该我上场了。

开发者：up up up up up up up up up up up up up up up up up up up up up up bugs. win.还是我厉害。

一看数据，付费用户 10 人，破解用户 1 人，白嫖用户 0 ，项目黄了。

kyrieIvring

2024-03-14 19:41:03 +08:00

会员验证肯定要联网啊。现在还有不联网的游戏么。

付费、订单类的都交给服务器

seers

2024-03-14 20:14:43 +08:00

现在一些加固做的还是挺牛逼的，自定义 linker ，混淆 so ，魔改 aes 算法，至少阻挡 98%的脚本小子

WngShhng

2024-03-14 21:10:40 +08:00

我做过一点这方面的东西，

https://juejin.cn/post/7079794266045677575
https://juejin.cn/post/7314558811111866418

主要是因为业务本身不依赖后端，所以客户端做安全处理是不可避免的。
虽然没法完全杜绝，但是应该可以提升一些门槛。

ih8es9OIzne0959p

2024-03-14 22:21:49 +08:00

@WngShhng 分析的挺好的，但是大部分开发者都选择裸奔

mmdsun

2024-03-14 22:40:17 +08:00

Play Integrity API ，可认为基本不可破解：
https://developer.android.google.cn/google/play/integrity/overview?hl=zh-cn

laminux29

2024-03-14 22:43:41 +08:00

以前国际上最猛的 USB 硬件加密狗，甚至自建虚拟指令的加密方式，都能被破掉，安卓上这些渣渣加密，就不用提了。

想保密，老老实实用自建云服务。

关键服务上云，其他不重要的服务放在本地就好。

leloext

2024-03-14 22:48:39 +08:00

逻辑放云端，另外要有安全运营，防破解并不是一锤子买卖。

ysy950803

2024-03-14 23:39:15 +08:00

@mxT52CRuqR6o5 感觉也没啥门槛呢，IDA 可以直接转换成 C 代码，逻辑很容易就看出来了，就是要改代码需要懂汇编。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1023733

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.