如题,APP 被破解内购,破解了联网验证,蓝奏云举报后 24 小时无用,有大佬分享一些验证加固思路给我吗,我蛮自闭的。
1
RikkaW 2020-08-07 23:46:55 +08:00 15
核心就是把验证跟干活的部分绑一起写成原生库,怎么做可以随便发挥想象力
顺带一提,签名验证可以做成不走系统 API 直接读 apk 文件的(如何读签名,参考 https://source.android.com/security/apksigning/v2 ),也绑在自己的 native 库里给破解人增加难度 另外,既然是个人作品就别用那些脏脏的奇奇怪怪的加固的东西了( |
3
murmur 2020-08-07 23:48:42 +08:00 2
工具类 app 必死,现在国内主要功能不再服务端的 app 几乎没什么活路
|
4
murmur 2020-08-07 23:49:09 +08:00 4
连网游都能被破解做成私服,你一个个人产品拿啥幸免于难
|
5
maokabc 2020-08-08 00:11:42 +08:00 via Android
不是很清楚,我个人只是加了反调试及签名验证,签名验证自己解析 pkcs7 对比证书,这部分代码编译进几个 so 里,虽然用处不是特别大,但能防住一些人。
|
6
waruqi 2020-08-08 00:24:03 +08:00 via Android 3
放 so 也没用,真要搞你的 这些人 反编译 so 就跟看明文似的,即使上 so 编译混淆 java 加固,基本上也都能破 除非 so 和 dex 都上 vmp 加固,虽然也能搞,但花时间,如果是小 app 也就不值得投入时间进去破了
|
10
Wait845 2020-08-08 01:35:08 +08:00 via iPhone
不介意的话取消付费,走破解的路让破解无路可走
|
11
zhdsuperm 2020-08-08 01:51:52 +08:00 via Android
这些黑产业真的毒瘤,没什么技术含量。也没好的维权手段
|
12
littlewing 2020-08-08 02:59:53 +08:00 via iPhone 1
只做 ios app,不做 android
|
14
czkwg8 2020-08-08 03:16:15 +08:00 1
毕竟也是那句老话,如果软件的主要功能是在 client 实现的,那是怎么都逃不过被 x 的命运
不过也可以开心一下,有人来 x 说明写的真的好嘛 用原生语言写的 x 难度会大很多 |
16
lulinux 2020-08-08 05:54:25 +08:00 via Android
上 SaaS
|
17
MePride OP 好冷,早知道不做安卓了,还是工具类😞
|
18
xuanbg 2020-08-08 07:20:04 +08:00 1
安卓平台而且功能都在 APP 实现的,只能做免费。也许稍微内嵌几个广告赚点小钱可能还行。真要破解,都是分分钟的事情。
要做收费,只能把功能逻辑写在服务端。 |
19
daozhihun 2020-08-08 07:47:33 +08:00
可以先按照楼上的一些方法增加难度看看。
或者工具类软件可以考虑上架 play store,可能营收方面会相对好一些 |
20
ipadpro4k 2020-08-08 08:18:28 +08:00 via iPhone
@littlewing #12 现在 ios 破解不要太容易
|
22
aino 2020-08-08 09:07:23 +08:00
理论上只要是在虚拟机上运行的就能被 HOOK 掉,想太多有点累,个人 APP 也没必要上企业级加固,及时上了,攻击者也是多花点时间的问题。
|
23
WebKit 2020-08-08 09:12:02 +08:00 via Android
@littlewing 讲真 ios 破解比安卓容易
|
24
BigDogWang 2020-08-08 09:28:43 +08:00
功能写在服务端也一样被搞呀,除非数据是跟用户绑定的,不然搞了你的鉴权后,一样凉凉
|
26
black11black 2020-08-08 09:50:04 +08:00 1
@waruqi 好奇为啥有人能反编译如看明文,比如我前端单纯简单混淆一下我都搞不懂逻辑了,他反编译不会比这更容易啊
|
27
nekobest 2020-08-08 10:11:20 +08:00
@murmur 不过有些应用的付费确实有点不合理 我手机上唯一的盗版软件就是 Sleep as Android 这货 UI 丑也就算了 云备份居然还没兼容 Android 10. 然后卖 9.99 刀,我就不乐意了。
近期换潮汐了,买断制买多了,现在反而又觉得订阅制舒适了.... |
28
nifengwobei 2020-08-08 10:49:27 +08:00 1
讲真你做什么加固 都是防脚本小子不防大佬
只要你程序够垃圾,或者没有破解的价值 那还有什么破解的必要 或者说,让他失去破解的价值 你看 gtaol 就是 没买 gta 或者领 能去线上玩吗? |
29
locoz 2020-08-08 11:03:15 +08:00
@black11black #26 这种小模块看得多了之后确实就如同看明文...什么地方像是什么东西一眼就能看出来,实在看不出来无非就是 hook 一下看看内容而已。
JS 混淆的话一般操作 AST 还原一下,大致逻辑也都还是看得出来的,更何况 JS 还能直接动态调试 hhh 。 |
30
iAcn 2020-08-08 11:37:00 +08:00 via Android
只要功能放在本地,就没有破解不了的,需要取舍的就是时间成本。
如果你反破解做的十分完善,破解工作需要半个月,而购买正版只需要十块钱,那付出十块钱与费心费力破解半个月相比,自然就没人破解了。 |
32
Jooooooooo 2020-08-08 12:24:13 +08:00
报警
啥网站直接举报工信部 |
33
waruqi 2020-08-08 13:22:21 +08:00 via Android
@black11black 如果没上花指令 或者 llvm obfuscator 啥,直接用 ida f5 反编译下 so 可以直接搞成 c 代码 跟看明文也没啥不同
|
34
indev 2020-08-08 13:26:54 +08:00
好想学习下反编译~
|
35
crab 2020-08-08 14:29:42 +08:00
只能用时间对抗破解,要么法律途径。
|
36
TwoDogSon 2020-08-08 14:32:48 +08:00
看了楼上大佬们的建议 感觉加固这事就得道高一尺 魔高一丈事 个人开发者干不过有资本的集体(至少在银子花费上大体如此) 可否考虑个其他的盈利方式 例如广告流量 + 一次买断机制 (大体从流量变相上考虑盈利,或者足够优秀 可以考虑见见天使轮)
|
37
LifStge 2020-08-08 14:56:32 +08:00
@MePride 关键是现在国内的付费习惯问题 各个平台商店也吃相比较难看 其实换个角度想想 用破解的人 就算没有破解 有多大概率会付费呢 = =
该做防护还是要做 但是没必要陷进去 做好体验 多用心服务于真正的付费用户 |
38
ik2h 2020-08-08 16:53:47 +08:00
从安卓 2.1 见识过幸运破解器,钛备份这类软件后,就老老实实不搞个人的小东西了,印象比较深就是 poweramp,每次更新基本都是防破解,没几天又被毛子搞掉了
|
39
imdong 2020-08-08 17:00:47 +08:00
主动发布破解版,让破解者无路可走。
然后破解版里面留后门木马暗坑啥的, 我个人当然是非常不建议的啦。 |
42
MePride OP @LifStge 嗯,平复了一下心情,国内的付费环境确实很差,最近在写新版本,在这次破解事件后我会加入更多防破解的机制,也会更好的服务已经付费的用户。
|
43
justin2018 2020-08-08 17:57:25 +08:00
楼主的 APP 被人破解 说明楼主的 APP 真不错~~
可以把服务和功能做好 ~ 收一波付费用户~ 国内付费 真的有点难~ |
44
touzi1024 2020-08-08 18:19:03 +08:00
是什么软件啊,我看了半天
|
45
xcstream 2020-08-08 18:52:54 +08:00
走服务器登录账号
|
46
paradoxs 2020-08-08 19:00:40 +08:00
安卓是最好办的,把一部分代码放到服务器,软件要启动,拉代码。
|
47
glovebx 2020-08-08 19:42:08 +08:00
加固加密在高手眼里跟透明没区别,把收费用户拉到自己的群里,长期升级+维护,破解版能跟的有限
|
48
swulling 2020-08-08 22:09:43 +08:00 via iPad
|
49
PerFectTime 2020-08-08 23:56:19 +08:00
|
50
HangoX 2020-08-09 00:22:19 +08:00
你要先出 app 定价是多少,然后把破解成本提高到定价成本之上就可以了。
|
51
BakaMikuu 2020-08-09 00:28:23 +08:00 via iPhone
只做 ios app,不做 android
|
53
Roung 2020-08-09 00:35:07 +08:00 via Android
再更一个版本,表明不做该 app 了,向用户道歉。
然后止损换战线,去别的地方玩。 |
55
tankren 2020-08-09 07:54:33 +08:00 via Android
申请知识产权或者出版物 然后报警?
|
56
Alan15469 2020-08-09 10:02:32 +08:00
怪不得很多软件没有安卓版本
|
58
dany813 2020-08-09 11:14:11 +08:00
能值得破解的都是好 APP
|
59
woodnaonly 2020-08-09 12:01:24 +08:00 via Android
啥 app
|
61
alfchin 2020-08-09 12:51:31 +08:00 via iPhone
@BakaMikuu 真要想破解,理论上没有破解不了的,就是破解过程极度繁琐。一般来说把验证分散到各个正常业务中,并且设置各种关联触发,足够让破解的喝一壶了。
|
62
dearmymy 2020-08-09 13:51:30 +08:00
利润够多就上个商业性保护吧,自己查的那点反破解技术都是小儿科。也只能给破解者增加难度。多观察下下载跟付费。发现不对劲,就去找盗版分发源头去解决。这个是没办法的事情。
|
63
blue7wings 2020-08-09 17:24:59 +08:00
搭车问下各位大佬,使用 flutter 开发 APP,因为编译成本地代码,是不是被破解的难度会大大增加。
|
64
MePride OP 最新的情况,我已经向一系侵权的站点发送了邮件,并通过一些方法获取其手机号与其联系,要求删除本程序的“绿色版”无果,按照 @Jooooooooo 老哥说的工信部举报,工信部要求网站类的 110 电话举报,110 后开始踢皮球给地方派出所。
|
65
leaves7i 2020-08-09 21:37:29 +08:00 via Android
如果真的不想和 xposed 共存,建议请直接写明,不要闪退恶心人
|
66
Ainsoph 2020-08-10 14:39:40 +08:00
去破解站要求站长封帖。
|
67
danyue9528 2020-08-11 11:59:42 +08:00
用 Flutter 写,再混淆加加固
|