android代码注入

⑴ 怎样防止Android apk被反编译，用什么加密方法来保护dex源码文件不被注入恶意代码杜绝二次打包的出现

防止Android apk被反编译的方法：

1. 判断apk签名是否与原版签名是否一致

2. 代码混淆，将混淆的级别设置高点，混淆出来以后代码全部变乱

3. 使用NDK编程,将核心算法用c/c++来编写,打包成so库供java层调用

⑵ android 模拟器能注入吗

1. 首先要明白 不要采用IMEI的方式。模拟器的IMEI可以修改的。而且平板是没有IMEI的，可以检测设备的MAC地址，模拟器的MAC地址是固定的几种。
2.通过调用公开或者隐藏的系统API判断并不靠谱，因为调用结果可以轻易被修改，比如直接修改Android的源代码或者借助Xposed Framework进行修改。
3.有基于模拟器特征和api返回值的检测方法都可以通过修改安卓源码的方式轻松绕过。模拟器与真机的本质区别在于运行载体。鉴于大多数的安卓模拟器基于qemu，qemu在执行程序时实际上是将其翻译成宿主机的指令，比如将安卓的arm指令翻译成PC的x86指令。为了效率上的考虑，qemu在翻译执行arm指令时并没有实时更新模拟的pc寄存器值，只会在一段代码翻译执行完之后再更新，而真机中pc寄存器是一直在更新的。基于这一点，可以设计一段CPU任务调度程序来检测模拟器 。具体的你可以参鉴DexLab上的一篇文章。当然，这个方法也是可以被绕过的，可以在理解qemu源码的基础上，修改qemu源码，但很明显这个门槛很高 。

⑶ android注入so怎么使用

dhrurthr64uhtdh

⑷ Android中是怎样防止SQL注入的

COPY过来有什么意思。。。。。。。 ----------------------------- 要防止SQL注入其实不难，你知道原理就可以了。 所有的SQL注入都是从用户的输入开始的。如果你对所有用户输入进行了判定和过滤，就可以防止SQL注入了。用户输入有好几种，我就说说常见的吧。 文本框、地址栏里***.asp?中？号后面的id=1之类的、单选框等等。一般SQL注入都用地址栏里的。。。。如果要说怎么注入我想我就和上面的这位“仁兄”一样的了。 你只要知道解决对吗？ 对于所有从上一页传递过来的参数，包括request.form 、request.qurrystring等等进行过滤和修改。如最常的***.asp?id=123 ，我们的ID只是用来对应从select 里的ID，而这ID一般对应的是一个数据项的唯一值，而且是数字型的。这样，我们只需把ID的值进行判定，就可以了...

⑸ 5.2.4 如何定位关键代码——六种方法

笔者经过长时间的探索，总结了以下几种定位代码的方法。 信息反馈法所谓信息反馈法，是指先运行目标程序，然后根据程序运行时给出的反馈信息作为突破口寻找关键代码。在第 2 章中，我们运行目标程序并输入错误的注册码时，会弹出提示无效用户名或注册码，这就是程序反馈给我们的信息。通常情况下，程序中用到的字符串会存储在String.xml文件或者硬编码到程序代码中，如果是前者的话，字符串在程序中会以id 的形式访问，只需在反汇编代码中搜索字符串的id 值即可找到调用代码处；如果是后者的话，在反汇编代码中直接搜索字符串即可。 特征函数法这种定位代码的方法与信息反馈法类似。在信息反馈法中，无论程序给出什么样的反馈信息，终究是需要调用Android SDK 中提供的相关API 函数来完成的。比如弹出注册码错误的提示信息就需要调用Toast.MakeText().Show()方法，在反汇编代码中直接搜索Toast应该很快就能定位到调用代码，如果 Toast在程序中有多处的话，可能需要分析人员逐个甄别。 顺序查看法顺序查看法是指从软件的启动代码开始，逐行的向下分析，掌握软件的执行流程，这种分析方法在病毒分析时经常用到。 代码注入法代码注入法属于动态调试方法，它的原理是手动修改 apk 文件的反汇编代码，加入Log 输出，配合 LogCat查看程序执行到特定点时的状态数据。这种方法在解密程序数据时经常使用，详细的内容会在本书的第8 章介绍。 栈跟踪法栈跟踪法属于动态调试方法，它的原理是输出运行时的栈跟踪信息，然后查看栈上的函数调用序列来理解方法的执行流程，这种方法的详细内容会在本书的第8 章介绍。 Method Profiling（方法剖析）属于动态调试方法，它主要用于热点分析和性能优化。

⑹ android 数据库注入漏洞 怎么解决

public class DatabaseHelper extends SQLiteOpenHelper { /** * 删除数据库 * * @param context * @return */ public boolean deleteDatabase(Context context) { return context.deleteDatabase(name); } }

⑺ Android WebView 怎么注入js文件啊，恳求大神帮忙

第一步：
mainfest.xml中加入网络权限
<uses-permission android:name="android.permission.INTERNET" />
第二步：
加载本地写好的html文件（定义好js中提供给android调用的方法 funFromjs(),和android提供给js调用的对象接口fun1FromAndroid(String name)）,放在 assets目录下。
<body>
<a>js中调用本地方法</a>
<script>

function funFromjs(){
document.getElementById("helloweb").innerHTML="HelloWebView,i'm from js";
}
var aTag = document.getElementsByTagName('a')[0];
aTag.addEventListener('click', function(){
//调用android本地方法
myObj.fun1FromAndroid("调用android本地方法fun1FromAndroid(String name)！！");
return false;
}, false);
</script>
<p></p>
<div id="helloweb">

</div>
</body>
第三步：

实现android工程与js交互的相关代码
android主题代码：
public class JavaScriptObject {
Context mContxt;
@JavascriptInterface //sdk17版本以上加上注解
public JavaScriptObject(Context mContxt) {
this.mContxt = mContxt;
}

public void fun1FromAndroid(String name) {
Toast.makeText(mContxt, name, Toast.LENGTH_LONG).show();
}

public void fun2(String name) {
Toast.makeText(mContxt, "调用fun2:" + name, Toast.LENGTH_SHORT).show();
}
}

⑻ 如何注入click事件与Android UiAutomation.injectInputEvent

方法1:使用内部APIs该方法和其他所有内部没有向外正式公布的APIs一样存在它自己的风险。原理是通过获得WindowManager的一个实例来访问injectKeyEvent/injectPointerEvent这两个事件注入方法。复制代码代码如下:IBinderwmbinder=ServiceManager.getService("window");IWindowManagerm_WndManager=IWindowManager.Stub.asInterface(wmbinder);ServiceManager和Windowsmanager被定义为存根Stubs类。我们根据我们的需要绑定上这些服务并访问里面的方法。Tosendakeydothefollowing:通过以下方式发送一个事件：复制代码代码如下://keydownm_WndManager.injectKeyEvent(newKeyEvent(KeyEvent.ACTION_DOWN,KeyEvent.KEYCODE_A),true);

⑼ Android 上的漏洞对普通用户有何影响，如何防范

首先，他们给这个漏洞取名叫寄生兽实在是……简单来说这其实是一个静态代码注入的漏洞，关键点在于安卓系统源码中对odex缓存文件的校验薄弱，可被绕过，从而实现恶意代码注入。那么这个漏洞的首要触发条件就是攻击者要能覆盖目标app的在文件系统中的odex，而每个app的odex都是在其私有目录里面，受沙盒机制保护。攻击者要利用这个漏洞就先得突破沙盒机制，而如果攻击者都已经有这样的权限了，其实能做的事情非常多，这个漏洞只是其中一种。

360列出了4种可能的攻击场景来突破沙盒机制。首先是三星自带的输入法的远程命令执行漏洞，这个漏洞要利用得劫持网络做中间人攻击，其实是比较局限的，不谈需要在应用插件更新时劫持网络，首先你得有一台三星……然后360列出了真实环境中的3种场景。第一种是解压目录遍历，这个其实是app开发者没有安全调用安卓原生api导致的漏洞，可让攻击者在解压时以目标app的权限覆盖到odex。第二种是备份的漏洞，这种漏洞也是由于安卓开发者没有安全配置清单文件导致的，可利用修改备份然后恢复的方式覆盖odex。以上两种方法都不需要root权限，这明明就是开发者的锅！就这两种场景而言，这个漏洞是有一定影响面的，跟webview那个由来已久的远程代码执行漏洞一样，是安卓本身安全缺陷导致的，但开发者自己应该作出应对。以后大家做安全审计时可以注意一下上面两种场景现在有新的注入手段了。第三种攻击场景是危言耸听，基本可以无视，要求攻击者具有root权限，你都有root权限了为什么不考虑动态注入呢，目前很多app的动态注入防护是很弱的，实际上大多数根本没有。

最后表达一下我一直以来的观点，不要动不动就把锅推到用户身上，root手机带来的安全隐患真的没有想象的那么大。为用户减少安全风险是每个敬业的安全工程师的职责，如果你所谓的安全是放弃功能，那大家还不如换回小灵通，这完全就是没有责任感的表现。

⑽ AndroidWebView的Js对象注入，使用场景是怎样的

很多时候要使用WebView来展示一个网页，现在很多应用为了做到服务端可控，很多结果页都是网页的，而不是本地实现，这样做有很多好处，比如界面的改变不需要重新发布新版本，直接在Server端修改就行了。用网页来展示界面，通常情况下都或多或少都与Java代码有交互，比如点击网页上面的一个按钮，需要知道这个按钮点击事件，或者要调用某个方法，让页面执行某种动作，为了实现这些交互，通常都是使用JS来实现，而WebView已经提供了这样的方法。