今天主要想说的是iOS的代码混淆,为什么想做代码混淆?为了APP的安全,为了防止别人破壳轻易破解我们代码;还有就是做马甲包了,我们知道马甲包的市场需求很大,但是不能花费过多的精力在开发上,毕竟只是个马甲,没必要花费太多的成本!
网上搜了一下,开源免费的混淆都在转载念茜大姐大的sh脚本的混淆方法,或者在念茜的脚本基础上二次开发,大家去看过就知道念茜的这篇博客是在14年写的,那时我刚做iOS没多久?,而且那时候中国区审核还没有那么严格,若果你现在还使用那种方法进行混淆,你肯定会收到苹果的2.3.1 大礼包?,所以我们还是探索别的混淆方法吧,不要再挖坟了!
ZFJObsLib主要是通过Python写的混淆工具,具体功能有方法混淆、属性混淆、类名混淆、关键词混淆、添加垃圾代码、自动创建垃圾类、删除注释、修改资源文件Hash值、加密字符串、翻新资源名、模拟人工混淆、混淆文件名、混淆文件目录、混淆词库、混淆日志、映射列表、敏感词过滤、图片压缩、爬虫服务、修改项目名、翻新项目UUID、自动备份混淆项目、自定义忽略属性、自定义忽略函数、自定义忽略类名、界面颜色魔改、APP图片主题色替换、Xib和Storyboard特殊处理、国际化KEY混淆,具体的如下:
软件是采用Python的PyQt5开发的GUI桌面软件,支持的系统是MacOS,主要界面如下:
进行混淆的部分日志,混淆的时候会自动生成混淆日志《ZFJ混淆日志.log》,便于开发者修改部分报错,在混淆界面下方的《打开混淆日志》按钮打开:
我们在混淆的时候,我们可以根据自己的实际情况选择需要忽略混淆的文件或者文件夹,所以我添加了混淆忽略文件和忽略文件功能,如下图:
特别说明:多级目录混淆情况,如果想忽略的目录在多个文件夹中有重名的,比如你想忽略Home下面的Models文件夹,但是在Home文件夹和Mine文件夹都有个Models文件夹,你可以这样设置'Home/Models'就OK了!So Easy!☝️☝️☝️
如果想过滤拥有相同前缀的类,比如ZFJ_TouchClass.h/ZFJ_TouchClass.m/ZFJ_MyButton.h/ZFJ_MyButton.m,可以设置‘ZFJ+’就可以对以‘ZFJ’开头的类进行过滤忽略;
如果想过滤拥有相同后缀的类,比如ZFJName.h/ZFJName.m/ABCName.h/ABCName.h,可以设置‘+Name’就可以对以‘Name’结尾的类进行过滤忽略。
注意:很多人都在问,为什么我明明设置了忽略,为什么右边的日志还会打印被忽略的文件或者文件夹?需要注意的是,忽略只针对属性混淆、函数混淆、类名混淆才有用,忽略是不回去读取混淆原有的属性、函数、类名,但是并不意味着不去跑一边了!
还有就是pod是无法混淆的,因为pod需要管理员权限才能修改,所以软件没有权限修改,如果想混淆,把pod里面的库拖进工程中!
在使用的时候要是有什么问题,可以先看看《ZFJObsLib-iOS代码混淆软件使用问答(Q&A)》
在软件可以在系统栏-帮助-使用问答查看,如下图:
也可以在软件的菜单主界面,在帮助里面找到,如下图:
如果混淆了系统的方法,可以在方法过滤里面手动添加需要过滤的方法,本人也统计了上百个常见的系统方法,但是肯定不能统计全面覆盖,所以如果遇到没有覆盖的用户可以手动添加设置!添加方法过滤在菜单界面-->属性/函数过滤
混淆前 | 混淆后 |
---|---|
如果你的命名和系统属性相同,导致系统属性被混淆,比如属性字段title和系统的一些控件的title一直,所以在混淆的过程中会把系统的属性给混淆了,导致报错,同样你可以再属性过滤中添加属性字段title(我已经添加好title这个字段了🤗),所以你遇到其他的情况你可以自己添加!
混淆前 | 混淆后 |
---|---|
类名混淆也会导致一些和系统重复,比如你的类名命名为‘TabBarController’,但是在系统中有一个UITabBarController,所以在类名混淆的时候就会导致混淆出错,通样你可以使用类名过滤的功能,当然一般类名混淆基本上是没错的!🎉🎉🎉
混淆前 | 混淆后 |
---|---|
在.h文件中暴露垃圾代码 | 垃圾代码的调用与实现 |
---|---|
详细请看:《Python-ZFJObsLib完美生成iOS垃圾代码》
混淆前 | 混淆后 |
---|---|
过滤博彩类敏感词,此功能使用以后要是有敏感词或报错,会把敏感词替换成 《X》,需要你手动修改,就是帮你指出来!
混淆前 | 混淆后 |
---|---|
针对项目中的资源文件,我们可以通过修改Hash的方式来进行混淆,运行如下:
混淆前 | 混淆后 |
---|---|
混淆前 | 混淆后 |
---|---|
我们可以看到再通过Hopper看不到硬编码了。
找到工程中的图片资源并翻新,然后自动替换代码中的引用。
这里如果有图片加载不出来的情况,很大可能是你在代码中引用图片名是采用字符串拼接的方式,导致资源文件被修改了,但是代码中找不到无法修改的情况!🤓
为了保证目录混淆的准确性,建议把项目中空的目录都给删了;还有一种情况就是没有引用的文件夹也要删了,比如本地有这个目录但是项目没有引用!
说明:设置混淆前缀,一定要点击保存哦!!!✌️✌️✌️还有就是可以设置方法混淆的后缀!
属性混淆、类名混淆、方法混淆和资源名混淆支持只加前缀不修改原来名字的功能,只需要在设置的前缀后面加上‘#’就OK了,如下图:
ZFJObsLib自带二十多万的字典词库,所以不用担心代码重复问题;如果你觉得取得词库单词目标性不强或者无意思,你可以自定义词库,自定义词库解学视频如下:
链接:https://pan.baidu.com/s/1iBc1U-riqNEgVqbvCx8O7g 密码:wadz
还可以通过读取混淆词库来读取其他项目的词库来混淆自己的项目,在混淆界面的系统栏-设置-词库选择-读取词库;
注意:该功能已经隐藏入口,需过需要此功能,让作者打开就行!
因为不知道Xcode的UUID详细生成规则,此项功能旨在从其他项目中读取UUID,方便创建垃圾类和修改UUID使用;在混淆的过程中如果使用了创建垃圾类和修改UUID的功能,建议最好使用此功能读取一个其他项目的UUID,以达到更真实的目的;最好的使用方法是用Xcode新建一个iOS项目,然后自己随便创建几个类或者试图,接着再此功能读取该新建项目的Xcodeproj来获取UUID;如果在混淆过程中使用到的UUID数量大于读取的UUID数量,则会先紧着读取的UUID使用,当读取的UUID使用完以后,ZFJObsLib会自动按照自己的规则创建UUID!
但是经过多个版本的验证,很多老铁都是使用软件自己创建的UUID,也是正常过审的,没有任何问题的,所以大家要是可以放心使用软件按照自己的规则生成的UUID!
建议自己用Xcode创建一个项目,多创建几个类或者试图进行读取!
就拿属性混淆为例,在混淆过程成,如果你的属性命名和系统的一些属性命名重复了,导致在混淆的过程中把系统的属性也给混淆了,导致报错不能运行,所以需要把这样的属性给过滤掉,ZFJObsLib也有添加好的一些系统过滤字段,但是考虑的项目的多变性和不可能全部添加,所以除了软件自带的一些过滤字段,用户也可以自己添加过滤字段,你也可以设置添加第三库的属性字段等等;方法和类目意义相同,这里就不做过多赘述了!!!
在审核过程中会审核你界面的UI,如果UI大面积相同肯定也是不行的,这里有个黑科技,是一键修改UI控件的背景颜色或者添加背景颜色,也可以修改字体的颜色!
效果对比如下:
颜色魔改支持魔改类型和参数的自定义(混淆界面-->设置-->界面颜色魔改配置),如下:
经常会有这样的场景,那就是一份代码混淆多次去上架,然后只在原来的代码上开发,然后使用者想让两次混淆的结果是一样的,这样更新上架的时候,不会因为代码变动太大导致的其他问题,软件每次混淆以后都会到处一个映射列表,要是想两次混淆结果一样,那么在第二次混淆的时候把上次混淆的映射列表导入就可以了。
如下图:
ZFJObsLib集成图片压缩工具,支持一键生成iOS开发三套图标,也支持自定义压缩尺寸,还可以移除Alpha通道,转成RGB图片模式;实现逻辑可参考:看《Python-批量压缩处理图片(批量生成@1x, @2x, @3x)》
具体如下图:
在iOS项目开发的过程中,如果版本迭代开发的时间比较长,那么在很多版本开发以后或者说有多人开发参与以后,工程中难免有一些垃圾资源,未被使用却占据着api包的大小!
这里我通过Python脚本来查找项目中未被使用的图片、音频、视频资源,然后删除掉;以达到减小APP包大小的目的!
详细请看:《Python-一键查找iOS项目中未使用的图片、音频、视频资源》
自动翻译关键词和描述,详细请看《ZFJObsLib-iOS马甲包多语言自动翻译软件》
如下图:
可以批量替换项目中的属性前缀、函数前缀、类名前缀,当然前提是你已经设置了前缀!
如下图:
我们在混淆项目的时候想把项目的图片的主题色全部替换了,一般都是找美工重新做一套图,很是不方便,本软件还可以一键替换主题色;或者把所有图片的所有颜色只改为一种颜色!
如下图: