android代碼注入

⑴ 怎樣防止Android apk被反編譯，用什麼加密方法來保護dex源碼文件不被注入惡意代碼杜絕二次打包的出現

防止Android apk被反編譯的方法：

1. 判斷apk簽名是否與原版簽名是否一致

2. 代碼混淆，將混淆的級別設置高點，混淆出來以後代碼全部變亂

3. 使用NDK編程,將核心演算法用c/c++來編寫,打包成so庫供java層調用

⑵ android 模擬器能注入嗎

1. 首先要明白 不要採用IMEI的方式。模擬器的IMEI可以修改的。而且平板是沒有IMEI的，可以檢測設備的MAC地址，模擬器的MAC地址是固定的幾種。
2.通過調用公開或者隱藏的系統API判斷並不靠譜，因為調用結果可以輕易被修改，比如直接修改Android的源代碼或者藉助Xposed Framework進行修改。
3.有基於模擬器特徵和api返回值的檢測方法都可以通過修改安卓源碼的方式輕松繞過。模擬器與真機的本質區別在於運行載體。鑒於大多數的安卓模擬器基於qemu，qemu在執行程序時實際上是將其翻譯成宿主機的指令，比如將安卓的arm指令翻譯成PC的x86指令。為了效率上的考慮，qemu在翻譯執行arm指令時並沒有實時更新模擬的pc寄存器值，只會在一段代碼翻譯執行完之後再更新，而真機中pc寄存器是一直在更新的。基於這一點，可以設計一段CPU任務調度程序來檢測模擬器 。具體的你可以參鑒DexLab上的一篇文章。當然，這個方法也是可以被繞過的，可以在理解qemu源碼的基礎上，修改qemu源碼，但很明顯這個門檻很高 。

⑶ android注入so怎麼使用

dhrurthr64uhtdh

⑷ Android中是怎樣防止SQL注入的

COPY過來有什麼意思。。。。。。。 ----------------------------- 要防止SQL注入其實不難，你知道原理就可以了。 所有的SQL注入都是從用戶的輸入開始的。如果你對所有用戶輸入進行了判定和過濾，就可以防止SQL注入了。用戶輸入有好幾種，我就說說常見的吧。 文本框、地址欄里***.asp?中？號後面的id=1之類的、單選框等等。一般SQL注入都用地址欄里的。。。。如果要說怎麼注入我想我就和上面的這位「仁兄」一樣的了。 你只要知道解決對嗎？ 對於所有從上一頁傳遞過來的參數，包括request.form 、request.qurrystring等等進行過濾和修改。如最常的***.asp?id=123 ，我們的ID只是用來對應從select 里的ID，而這ID一般對應的是一個數據項的唯一值，而且是數字型的。這樣，我們只需把ID的值進行判定，就可以了...

⑸ 5.2.4 如何定位關鍵代碼——六種方法

筆者經過長時間的探索，總結了以下幾種定位代碼的方法。 信息反饋法所謂信息反饋法，是指先運行目標程序，然後根據程序運行時給出的反饋信息作為突破口尋找關鍵代碼。在第 2 章中，我們運行目標程序並輸入錯誤的注冊碼時，會彈出提示無效用戶名或注冊碼，這就是程序反饋給我們的信息。通常情況下，程序中用到的字元串會存儲在String.xml文件或者硬編碼到程序代碼中，如果是前者的話，字元串在程序中會以id 的形式訪問，只需在反匯編代碼中搜索字元串的id 值即可找到調用代碼處；如果是後者的話，在反匯編代碼中直接搜索字元串即可。 特徵函數法這種定位代碼的方法與信息反饋法類似。在信息反饋法中，無論程序給出什麼樣的反饋信息，終究是需要調用Android SDK 中提供的相關API 函數來完成的。比如彈出注冊碼錯誤的提示信息就需要調用Toast.MakeText().Show()方法，在反匯編代碼中直接搜索Toast應該很快就能定位到調用代碼，如果 Toast在程序中有多處的話，可能需要分析人員逐個甄別。 順序查看法順序查看法是指從軟體的啟動代碼開始，逐行的向下分析，掌握軟體的執行流程，這種分析方法在病毒分析時經常用到。 代碼注入法代碼注入法屬於動態調試方法，它的原理是手動修改 apk 文件的反匯編代碼，加入Log 輸出，配合 LogCat查看程序執行到特定點時的狀態數據。這種方法在解密程序數據時經常使用，詳細的內容會在本書的第8 章介紹。 棧跟蹤法棧跟蹤法屬於動態調試方法，它的原理是輸出運行時的棧跟蹤信息，然後查看棧上的函數調用序列來理解方法的執行流程，這種方法的詳細內容會在本書的第8 章介紹。 Method Profiling（方法剖析）屬於動態調試方法，它主要用於熱點分析和性能優化。

⑹ android 資料庫注入漏洞 怎麼解決

public class DatabaseHelper extends SQLiteOpenHelper { /** * 刪除資料庫 * * @param context * @return */ public boolean deleteDatabase(Context context) { return context.deleteDatabase(name); } }

⑺ Android WebView 怎麼注入js文件啊，懇求大神幫忙

第一步：
mainfest.xml中加入網路許可權
<uses-permission android:name="android.permission.INTERNET" />
第二步：
載入本地寫好的html文件（定義好js中提供給android調用的方法 funFromjs(),和android提供給js調用的對象介面fun1FromAndroid(String name)）,放在 assets目錄下。
<body>
<a>js中調用本地方法</a>
<script>

function funFromjs(){
document.getElementById("helloweb").innerHTML="HelloWebView,i'm from js";
}
var aTag = document.getElementsByTagName('a')[0];
aTag.addEventListener('click', function(){
//調用android本地方法
myObj.fun1FromAndroid("調用android本地方法fun1FromAndroid(String name)！！");
return false;
}, false);
</script>
<p></p>
<div id="helloweb">

</div>
</body>
第三步：

實現android工程與js交互的相關代碼
android主題代碼：
public class JavaScriptObject {
Context mContxt;
@JavascriptInterface //sdk17版本以上加上註解
public JavaScriptObject(Context mContxt) {
this.mContxt = mContxt;
}

public void fun1FromAndroid(String name) {
Toast.makeText(mContxt, name, Toast.LENGTH_LONG).show();
}

public void fun2(String name) {
Toast.makeText(mContxt, "調用fun2:" + name, Toast.LENGTH_SHORT).show();
}
}

⑻ 如何注入click事件與Android UiAutomation.injectInputEvent

方法1:使用內部APIs該方法和其他所有內部沒有向外正式公布的APIs一樣存在它自己的風險。原理是通過獲得WindowManager的一個實例來訪問injectKeyEvent/injectPointerEvent這兩個事件注入方法。復制代碼代碼如下:IBinderwmbinder=ServiceManager.getService("window");IWindowManagerm_WndManager=IWindowManager.Stub.asInterface(wmbinder);ServiceManager和Windowsmanager被定義為存根Stubs類。我們根據我們的需要綁定上這些服務並訪問裡面的方法。Tosendakeydothefollowing:通過以下方式發送一個事件：復制代碼代碼如下://keydownm_WndManager.injectKeyEvent(newKeyEvent(KeyEvent.ACTION_DOWN,KeyEvent.KEYCODE_A),true);

⑼ Android 上的漏洞對普通用戶有何影響，如何防範

首先，他們給這個漏洞取名叫寄生獸實在是……簡單來說這其實是一個靜態代碼注入的漏洞，關鍵點在於安卓系統源碼中對odex緩存文件的校驗薄弱，可被繞過，從而實現惡意代碼注入。那麼這個漏洞的首要觸發條件就是攻擊者要能覆蓋目標app的在文件系統中的odex，而每個app的odex都是在其私有目錄裡面，受沙盒機制保護。攻擊者要利用這個漏洞就先得突破沙盒機制，而如果攻擊者都已經有這樣的許可權了，其實能做的事情非常多，這個漏洞只是其中一種。

360列出了4種可能的攻擊場景來突破沙盒機制。首先是三星自帶的輸入法的遠程命令執行漏洞，這個漏洞要利用得劫持網路做中間人攻擊，其實是比較局限的，不談需要在應用插件更新時劫持網路，首先你得有一台三星……然後360列出了真實環境中的3種場景。第一種是解壓目錄遍歷，這個其實是app開發者沒有安全調用安卓原生api導致的漏洞，可讓攻擊者在解壓時以目標app的許可權覆蓋到odex。第二種是備份的漏洞，這種漏洞也是由於安卓開發者沒有安全配置清單文件導致的，可利用修改備份然後恢復的方式覆蓋odex。以上兩種方法都不需要root許可權，這明明就是開發者的鍋！就這兩種場景而言，這個漏洞是有一定影響面的，跟webview那個由來已久的遠程代碼執行漏洞一樣，是安卓本身安全缺陷導致的，但開發者自己應該作出應對。以後大家做安全審計時可以注意一下上面兩種場景現在有新的注入手段了。第三種攻擊場景是危言聳聽，基本可以無視，要求攻擊者具有root許可權，你都有root許可權了為什麼不考慮動態注入呢，目前很多app的動態注入防護是很弱的，實際上大多數根本沒有。

最後表達一下我一直以來的觀點，不要動不動就把鍋推到用戶身上，root手機帶來的安全隱患真的沒有想像的那麼大。為用戶減少安全風險是每個敬業的安全工程師的職責，如果你所謂的安全是放棄功能，那大家還不如換回小靈通，這完全就是沒有責任感的表現。

⑽ AndroidWebView的Js對象注入，使用場景是怎樣的

很多時候要使用WebView來展示一個網頁，現在很多應用為了做到服務端可控，很多結果頁都是網頁的，而不是本地實現，這樣做有很多好處，比如界面的改變不需要重新發布新版本，直接在Server端修改就行了。用網頁來展示界面，通常情況下都或多或少都與Java代碼有交互，比如點擊網頁上面的一個按鈕，需要知道這個按鈕點擊事件，或者要調用某個方法，讓頁面執行某種動作，為了實現這些交互，通常都是使用JS來實現，而WebView已經提供了這樣的方法。