1.初筛
初步选取了市场主流加固方案:腾讯乐固、爱加密、360、梆梆加固、testin云加固、阿里云聚安全、顶象加固、百度加固作为本次评估对象。
阿里云聚安全目前只开放接口调用,尚不清楚联系商务后是否提供免费的在线或PC加固工具,故放弃。
testin云加固、百度加固不提供免费版,故放弃。
顶象加固免费使用有次数限制,并且需要上传营业执照认证后才能试用(经沟通给我开了测试权限)。
腾讯乐固爱加密360梆梆加固顶象加固testin云加固阿里云聚安全百度加固是否免费是是是是否否是否
2.基础测试
随机选用市场上某未加固APK作为原包,评估各服务商免费版的加固能力,例如加固时间、包体大小等。
加固时间
单包的加固总时长。单位:秒
原包腾讯乐固爱加密360梆梆加固顶象加固/1301801408060
包体大小
单位:MB
原包腾讯乐固爱加密360梆梆加固顶象加固39.340.941.341.341.940.4
多平台支持
是否支持Android、iOS双平台:
腾讯乐固爱加密360梆梆加固顶象加固是是是是是
服务商互评
利用各服务商免费提供的检测服务,互相评估加固安全性。星号分数为服务商自评得分,可信度降低。
梆梆安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
360安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
爱加密安全扫描漏洞得分(分越高越不安全) = 100 - 爱加密评估得分
腾讯乐固安全扫描漏洞加权(分越高越不安全) = 10 * 高危漏洞数 + 5 * 中危漏洞数 + 1 * 低危漏洞数
原包腾讯乐固爱加密360梆梆加固顶象加固梆梆安全扫描漏洞加权无法检测无法检测无法检测无法检测无法检测无法检测360安全扫描漏洞加权2046573455192爱加密安全扫描漏洞得分635213534545腾讯乐固安全扫描漏洞加权000000
梆梆和乐固这俩小老弟咋回事呀……
多渠道打包与自动签名
便捷性和功能完整性也需要考量,多渠道打包与自动签名的支持能大大加快出包时间。
腾讯乐固爱加密360梆梆加固顶象加固多渠道打包是是是是否自动签名否否是否否
风险提示
腾讯乐固
去年起下线了PC加固,仅保留线上加固,并且功能完整和便利性上有所退步;乐固安全检测无法检测到任何漏洞。
梆梆加固
官方文档明确某些市场会进行二次打包,如有需要联系客服,因此对梆梆加固的兼容性有一定质疑;梆梆安全检测无法检测任何安装包。
3.深入测试
由基础测试结果,首先排除梆梆加固,接下来将评估启动时长、二次启动时长、人工脱壳测试等。
启动时长
测试安装包在同一台手机安装打开的耗时。单位:ms
原包腾讯乐固爱加密360顶象加固首次启动23010309897731008二次启动213734788733221
内存占用
测试打开首页稳定后的内存占用。由于测试系统为华为鸿蒙系统,测试值的相对值有一定参考意义,但不代表安卓系统最终效果。单位:KB
原包腾讯乐固爱加密360顶象加固11899212713113470512632096555
人工脱壳测试
人工脱壳能否获取到源码。
常规工具破解是指,利用主流破解工具,是否能够较为轻松地获取到全部或部份源码。
常规破解变种是指,猜测加壳的检测方式,修改伪装破解工具后,是否能够获取到全部或部份源码。
二次篡改难度是指,人工评估恶意第三方拿到源码后篡改重新打包的难度。
原包腾讯乐固爱加密360顶象加固常规工具破解是否否否否常规破解变种是是是是是二次篡改难度中等中等大大大
结果可知主流免费版加固对常规破解工具有检测能力,但是特征检测较为死板,通过伪装可以获取到全部或大部分源码细节。
兼容性
使用testin标准兼容测试100台真机上的兼容性。由于testin配额不足没有继续测试,以后再补充吧。
原包腾讯乐固爱加密360顶象加固启动失败数///1/
4.结论
安全性
由于各免费版加固方案均未通过人工脱壳测试,因此可以认为各方案安全性上差距不大,但是相对不加壳具有一定的安全性提升,因为加大难度或避免了二次打包、小白破解。
如需要较高的防护能力,建议使用付费版。
便捷性
360由于提供功能齐全的PC工具,能极大方便出包。另外,腾讯乐固和360由于是应用市场官方方案,可以避免潜在问题。
顶象和梆梆的加固时长相对其他方案有明显优势,方便出包。
性能
各方案的包体大小相对原包变化微小,可以忽略;内存占用上,顶象的内存开销较低,而其他方案相对原包有小幅上升。
版权归原作者 Synaric 所有, 如有侵权,请联系我们删除。