使用钩子技术改进Android程序安全性-上说课.docx

使用钩子技术改进Android程序安全性（上篇）一、?简介在Android开发世界中，开发人员通常利用第三方库（例如游戏引擎，数据库引擎或移动支付引擎）来开发他们的应用程序。通常情况下，这些第三方库是闭源代码库，因此开发商不能更改它们。有时，第三方库会给应用程序带来一定的安全问题。例如，用于调试目的内部日志打印可能会在用户登录和付款时泄漏凭据信息，或者是游戏引擎中一些存储在本地的明文形式的资源和脚本有可能轻易为攻击者所获得。在本文中，我想和诸位分享一些近阶段的研究成果；具体地说是，使用钩子技术来提供一种简单有效的保护方案以应对某些针对Android应用的离线攻击。二、?Android应用中普遍存在的安全问题(一)?Android应用打包概述Android应用程序通常是用Java编程语言编写的。当开发人员有高性能需求或低级API访问时，他们可以使用C/C++代码并编译为本机库，然后通过Java本机接口(JNI)调用它们。之后，Android SDK工具就会把所有已编译的代码、数据和资源文件打包到Android包(APK)中。Android应用程序是以APK格式打包和发行的，其实这是一个标准的ZIP文件格式，可以使用任何ZIP工具解压缩。一旦解压缩，APK文件可能包含以下文件夹和文件（参考图1）︰1.META-INF目录MANNIFEST.MF：清单文件CERT.RSA：应用程序证书C