[发明专利]一种基于加密与控制流混淆的代码安全防护能力测评方法

说明书

技术领域

本发明涉及移动App安全防护性能测评领域，特别是涉及一种基于加密与控制流混淆的代码安全防护能力测评方法。

背景技术

标识符重命名混淆功能，不仅实现了对方法和变量的重命名，还支持用户自己设置重命名字母表、新名字的最小长度，以及自定义选择需要进行重命名工作的类或方法。

字符串加密功能实现对字符串常量内容的加密工作，使得攻击者不能直接获得字符串常量内容。DashO还支持用户设置字符串的加密等级、自定义每个类和方法是否需要进行字符串加密工作，还支持用户使用定制的加密算法。

在控制流混淆方面，相较于传统的只是插入错误的多余基本块的方法，DashO提供了更进一步的控制流混淆，即在增加基本块的基础上，摧毁代码的架构，重新构建代码。最终的代码和源代码功能相同，但是在表示上与源代码完全不同。同样，用户可以自定义类和方法是否需要进行控制流混淆工作。

DashO作为一款Java混淆器，可以对Java代码可以进行压缩、优化、混淆的工作。其中混淆功能包括标识符重命名、字符串加密和控制流混淆。

发明内容

为了解决上述存在的问题，本发明提供一种基于加密与控制流混淆的代码安全防护能力测评方法，为了防范恶意主机对合法移动App进行逆向分析和恶意篡改，采用基于Java的混淆器DashO，可以对Java代码可以进行压缩、优化、混淆的工作。从而达到混淆功能包括标识符重命名、字符串加密和控制流混淆的目的，为达此目的，本发明提供一种基于加密与控制流混淆的代码安全防护能力测评方法，具体测评方法,：

基于DashO代码混淆工具对移动App源代码实施混淆，定义源代码文件为DashO.apk，经过混淆后的测试文件为DashO1.apk、DashO2.apk、DashO3.apk，按照如下步骤进行：

1）DashO在应用于Android混淆时，支持Ant、Gradle和图形界面直接对Apk文件操作三种方式，使用图形界面可以发现有诸多操作选项，几个主要类别包括输出、切入口、移除、混淆、优化、输出和结果，我们主要研究其中的输入、混淆、输出和结果，并根据需要选择不同的选项获得不同的结果；

2）勾选标识符重命名功能，利用DashO实现对标识符进行重命名，获得混淆后代码DashO1.apk；

3）勾选字符串加密功能，利用DashO实现对字符串进行加密，获得混淆后代码DashO2.apk；

4）勾选隐藏调用功能，利用DashO实现控制流混淆功能，获得混淆后代码DashO3.apk；

5）根据步骤2）-4）代码混淆执行输出文件，利用反编译软件对混淆后代码开展防护效果评测工作。

作为本发明进一步改进，DashO1.apk具备标识符重命名，DashO2.apk具备字符串加密，DashO2.apk具备控制流混淆，本发明常用具备标识符重命名DashO1.apk、具备字符串加密DashO2.apk、具备控制流混淆DashO3.apk作为混淆后的测试文件。

本发明公开了一种基于加密与控制流混淆的代码安全防护能力测评方法，采用基于Java的混淆器DashO，可以对Java代码可以进行压缩、优化、混淆的工作。从而达到混淆功能包括标识符重命名、字符串加密和控制流混淆的目的，其有益效果如下：

1）本发明方法可以针对利用DashO代码混淆软件对移动App实现代码混淆，使用图形界面可以发现有诸多操作选项，并根据需要选择不同的选项获得不同的结果；

2）本发明方法可以采用反编译软件检验混淆结果，对混淆代码实施全面评估。

附图说明

图1是Dasho混淆前后标识符效果对比图；

图2是Dasho混淆后标识符效果图；

图3是 Dasho混淆后字符串加密效果图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

本发明提供一种基于加密与控制流混淆的代码安全防护能力测评方法，为了防范恶意主机对合法移动App进行逆向分析和恶意篡改，采用基于Java的混淆器DashO，可以对Java代码可以进行压缩、优化、混淆的工作。从而达到混淆功能包括标识符重命名、字符串加密和控制流混淆的目的。