android 加固和脱壳

Android逆向之路—脱壳360加固原理解析 – 掘金 (juejin.cn)   Android应用加固原理 – 掘金 (juejin.cn)   Android逆向之路—脱壳360加固原理解析 MartinHan36912 2018年12月19日 01:58 ·  阅读 12620 关注 前言 众所周知,上次说到了如何脱壳360加固,大致意思就是安装一个xposed插件,然后自动就会脱壳了,那么这个插件是如何工作的呢,本次重点说说这个。 上次说道了dumpDex脱壳360加固,其实先说个大概,就是从ndk层和java层,适配不同的系统,hook关键函数,然后在运行时将dex文件dump出来。 如果仅仅想知道如何使用,可以参见上一篇 点我:Android逆向之路—脱壳360加固、与xposed hook注意事项 dumpDex github项目地址:点我点我、dumpDex 需要的环境 无,看文章就可以了解大致了 (当然你要是想编译下dumpDex项目,需要如下工具) Android Studio sdk ndk 入口 所有的程序执行的时候都是有个入口的,dumpDex工程也不例外。 由于是个xposed插件,所以我们先看com.wrbug.dumpdex.XposedInit类。 public class XposedInit implements IXposedHookLoadPackage { //——–略——— @Override public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) { PackerInfo.Type type = PackerInfo.find(lpparam); if (type == …

android 加固和脱壳 Read More »

add ssl for website

(14条消息) WordPress增加SSL证书实现HTTPS协议访问_tuhoooo的博客-CSDN博客   Certbot Instructions | Certbot (eff.org)   LNMP添加、删除虚拟主机及伪静态使用教程 – LNMP一键安装包   Getting Started – Let’s Encrypt (letsencrypt.org)

Android网络安全之NetworkSecurityConfig

转-https://blog.csdn.net/cpcpcp123/article/details/108063189 google在android p为了安全起见,已经明确规定禁止http协议额,但是之前很多接口都是http协议,我们一般是这样解决的: 在res目录下创建xml目录,然后随便创建一个.xml文件,里面内容如下: <?xml version=”1.0″ encoding=”utf-8″?> <network-security-config> <base-config cleartextTrafficPermitted=“true” /> </network-security-config> 然后在AndroidManifest.xml文件下加上: android:networkSecurityConfig=”@xml/文件名” <application android:testOnly=“false” android:name=“.base.BaseApplication” android:allowBackup=“true” android:configChanges=“orientation|keyboardHidden” android:networkSecurityConfig=“@xml/文件名” android:icon=“@mipmap/ic_launcher” android:label=“@string/app_name” android:supportsRtl=“true” android:theme=“@style/AppTheme” tools:ignore=“AllowBackup,GoogleAppIndexingWarning,UnusedAttribute” tools:replace=“android:icon,android:label,android:theme,android:allowBackup,android:name”>   networkSecurityConfig是什么呢 从Nougat(Android 7)一个名为“Network Security Configuration”的新安全功能也随之而来。如果应用程序的SDK高于或等于24,则只有系统证书才会被信任。 网络安全性配置特性让应用可以在一个安全的声明性配置文件中自定义其网络安全设置,而无需修改应用代码。可以针对特定域和特定应用配置这些设置。此特性的主要功能如下所示: 自定义信任锚:针对应用的安全连接自定义哪些证书颁发机构 (CA) 值得信任。例如,信任特定的自签署证书或限制应用信任的公共 CA 集。 仅调试重写:在应用中以安全方式调试安全连接,而不会增加已安装用户的风险。 明文通信选择退出:防止应用意外使用明文通信。 证书固定:将应用的安全连接限制为特定的证书。 下面分别来看看具体的用法 自定义可信 CA 应用可能需要信任自定义的 CA 集,而不是平台默认值。出现此情况的最常见原因包括: 连接到具有自定义证书颁发机构的主机,如自签署或在公司内部签发的 CA。 将 CA 集仅限于您信任的 CA,而不是每个预装 CA。 信任系统中未包含的附加 …

Android网络安全之NetworkSecurityConfig Read More »

转:gradle写法build.gradle

转:https://blog.csdn.net/weixin_37625173/article/details/100867037     flavorDimensions和productFlavors——安卓gradle 猛猛的小盆友 于 2019-10-16 21:43:58 发布 6831 收藏 24 分类专栏: gradle 文章标签: gradle android flavorDimensions productFlavors 渠道包 版权 gradle 专栏收录该内容 13 篇文章 7 订阅 订阅专栏 目录 一、前言 二、flavorDimensions 的意义 三、productFlavors的意义 四、productFlavor 五、写在最后 一、前言 有了前两篇博客的铺垫,我们可以来分享下另外两个参数了 flavorDimensions 和 productFlavors,而这两个参数成对出现,可以做一些差分化定义。 前两篇博客为: 1、defaultConfig——安卓gradle 2、buildTypes——安卓gradle 需要事先说明的是,接下来所说的 “意义” 并非官方文档翻译,而是结合了小盆友自己的理解,会比较口语化。 二、flavorDimensions 的意义 flavorDimensions 从单词字面理解知道是 “风味维度”,是需要结合 “产品风味(即productFlavors)” 来一起使用的。 flavorDimensions 的使用会定义出维度,供接下来的 …

转:gradle写法build.gradle Read More »

APP规范和要求

尊敬的开发者: 非常感谢您选择在您所开发的产品中集成百度地图开放平台产品和服务! 百度地图开放平台非常重视用户个人信息保护,包括使用集成百度地图开放平台软件开发工具包(SDK)产品的最终用户的个人信息保护,因此特制定《百度地图开发者合规指引》(目前包括《开发者合规手册》和《隐私合规自查指南》两部分),以供您在您所开发的产品中集成并使用百度地图SDK时参照执行。为了保障您的业务的安全合规性,请您务必将所使用或集成的SDK产品升级至最新版本(详见《隐私合规自查指南》),此外也请您持续关注我们有关《百度地图开放平台产品和服务隐私政策》的通知,并在使用百度地图开放平台服务时充分获得最终用户的合法有效授权,以上如有任何疑问可通过官网反馈平台与我们取得联系!   尊敬的开发者: 非常感谢您在您所开发的产品中选择集成百度地图开放平台的产品和服务! 百度地图开放平台为开发者提供互联网地图服务所利用的地图数据是关系国家安全的重要数据,属于国家核心数据,百度地图开放平台依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《测绘资质分类分级标准》及其他与网络安全、数据安全、测绘地理信息安全等相关的法律法规、部门规章、规范性文件实施严格的安全管理制度。 请广大开发者务必严格遵守合规手册以及百度地图开放平台的《服务条款》、《隐私政策》、开发文档、隐私合规自查指南等相关文件使用百度地图开放平台的产品和服务。 为了帮助您落实隐私合规义务、规避隐私违规风险,特制定隐私合规自查指南,您可参考相关内容进行自产并按照相关要求进行合规操作。 ——————————————————————————————————————————-   亲爱的开发者: 非常感谢您选择在您所开发的产品中集成百度地图开放平台产品和服务! 2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组(以下简称“App专项治理工作组”),具体推动App违法违规收集使用个人信息评估工作。2019年12月,App专项治理工作组印发了《App违法违规收集使用个人信息行为认定方法》。 2020年7月,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(以下简称为“指南”),您可参照指南对其收集使用个人信息的情况进行自查自纠,提升个人信息保护水平。 百度地图开放平台非常重视用户个人信息保护,包括使用集成百度地图开放平台软件开发工具包(SDK)(以下简称“百度SDK”)产品的最终用户(以下简称“最终用户”)的个人信息保护,因此特制定《百度地图开放平台开发者合规指引》,以供您在您所开发的产品(以下简称“您的产品”)中集成并使用百度SDK时参照执行。     ——————————————————————————————————————————- 为了保证应用准入合规性,针对部分行业应用上架百度手机助手相关应用审核规范,平台进行如下更新,辛苦相关开发者重点关注,避免因应用不符合审核规范被拒审: (一) 通用资质更新 1.所有APP均需提供《计算机软件著作权证书》或《APP电子版权证书》 2.金融理财、医疗健康、直播、社交、教育培训类APP必须提交ICP备案 (二) 特殊行业资质更新 1.【教育培训类】需提交: 省级教育行政部门对校外线上培训机构予以备案的公示信息截图(如:http://edu.gd.gov.cn/zxzx/tzgg/content/post_3009713.html)或教育移动互联网应用程序备案信息截图(https://app.eduyun.cn/mapp/appRecordList) 2.【小说书城类】需提交: 1)出版物经营许可证或网络出版服务许可证或互联网出版许可证; 2)至少3本出现在应用主要页面的小说的著作权证明。 3.【快递物流类】需提交: 《快递业务经营许可证》或邮政管理部门的备案证明文件 4.【电商平台类】需提交: 《增值电信业务经营许可证 》 ——————————————————————————————————————————-   应工信部监管相关要求,上架应用均须展示隐私政策。请您于2020年8月24日00:00前,点击进入应用编辑更新页面,补充填写隐私政策URL,以确保您的应用正常上架和分发。逾期未填将导致应用下架。 ——————————————————————————————————————————-   根据2019年11月6日,工信部发布的《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》,请开发者自查自纠以下相关内容: (一)违规收集用户个人信息方面 1.“私自收集个人信息”。即APP未明确告知收集使用个人信息的目的、方式和范围并获得用户同意前,收集用户个人信息。 2.“超范围收集个人信息”。即APP收集个人信息,非服务所必需或无合理应用场景,超范围或超频次收集个人信息,如通讯录、位置、身份证、人脸等。 (二)违规使用用户个人信息方面 3.“私自共享给第三方”。即APP未经用户同意与其他应用共享、使用用户个人信息,如设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等。 4.“强制用户使用定向推送功能”。即APP未向用户告知,或未以显著方式标示,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销,且未提供关闭该功能的选项。 (三)不合理索取用户权限方面 5.“不给权限不让用”。即APP安装和运行时,向用户索取与当前服务场景无关的权限,用户拒绝授权后,应用退出或关闭。 6.“频繁申请权限”。即APP在用户明确拒绝权限申请后,频繁申请开启通讯录、定位、短信、录音、相机等与当前服务场景无关的权限,骚扰用户。 7.“过度索取权限”。即APP在用户未使用相关功能或服务时,提前申请开启通讯录、定位、短信、录音、相机等权限,或超出其业务功能或服务外,申请通讯录、定位、短信、录音、相机等权限。 (四)为用户账号注销设置障碍方面 8.“账号注销难”。即APP未向用户提供账号注销服务,或为注销服务设置不合理的障碍。 请广大开发者于2019年11月10日前完成,否则可能影响到贵司应用在我平台线上状态。 …

APP规范和要求 Read More »

新APP的targetSdkVersion必须26

关于更新应用软件API等级的通知 尊敬的开发者您好: 为保障用户合法权益,促进移动应用软件预置与分发服务规范有序发展,应《移动应用软件高API等级预置与分发自律公约》及其他相关法律法规的要求,请各单位按如下要求更新自应用版本: 1、自2019年5月1日起,新上市Android 9.0及以上版本智能手机所预置应用应基于Android 8.0 (API等级26 )及以上开发。自2019年8月1日起,已上市Android 9.0及以上版本智能手机预置应用的更新应基于Android 8.0 (API等级26)及以上开发。 2、自2019年5月1日起,新上架应用应基于Android 8.0 (API等级26)及以上开发。自2019年8月1日起,现有应用的更新应基于Android 8.0 (API等级26)及以上开发。

ViewBinding 和 DataBinding 都有什么区别

ViewBinding 和 DataBinding 都有什么区别。 ViewBinding: 仅仅支持绑定 View 不需要在布局文件中添加 layout 标签 需要在模块级 build.gradle 文件中添加 viewBinding = true 即可使用 效率高于 DataBinding,因为避免了与数据绑定相关的开销和性能问题 相比于 kotlin-android-extensions 插件避免了空异常 DataBinding: 包含了 ViewBinding 所有的功能 需要在模块级 build.gradle 文件内添加 dataBinding = true 并且需要在布局文件中添加 layout 标签才可以使用 支持 data 和 view 双向绑定 效率低于 ViewBinding,因为注释处理器会影响数据绑定的构建时间。 ViewBinding 可以实现的, DataBinding 都可以实现,但是 DataBinding 的性能低于 ViewBinding,DataBinding 和 ViewBinding 会为每个 XML 文件生成绑定类。   –   Activity, Fragment 使用viewbinding注意: Fragment中,onDestroyView时要将_binding置空,对于binding的操作时机靠自己保证,时序自己保证。  

databinding使用可能导致UI闪烁

  databinding使用的时候,直接在xml里面让数据变化驱动UI,如果UI是图片imageview的话,会导致界面闪烁。 避免方法: 在逻辑代码中根据data变化改变UI即可。