前言

什么！我們的代碼拿去安全掃描啦？什么！還掃描出來問題啦？什么！源碼都別看到啦？

居于上一篇文章iOS簡單逆向之：Class-Dump、Hopper說如何做到把我們的App通過Class-dump導(dǎo)出來我們的頭文件，還有利用Hopper分析我們的代碼邏輯結(jié)果，可知道別人很容易就可以獲取到我們代碼的信息信息！！那么我們?nèi)绾畏乐刮覀兒诵牡拇a被別Hook呢，下面步驟對我們的代碼進行混淆。

一、代碼安全掃描

做安全掃描的同事都應(yīng)該熟練操作class-dump和Hopper這兩款工具了，下面是他們對項目的掃描結(jié)果，心痛自己。

代碼.png

函數(shù).png

每次說要把我們的項目放去掃描，心里都捏了一把汗，每次都能找到一些漏洞，真羞人哈哈哈哈。

二、代碼易讀字符串混淆

混淆分許多思路，比如：
1）花代碼花指令，即隨意往程序中加入迷惑人的代碼指令
2）易讀字符替換

2.1 防止class-dump出可讀信息的有效辦法是易讀字符替換

首先切換到我們的項目目錄下，創(chuàng)建兩個文件：
confuse.sh：存放混淆的腳本
func.list：需要混淆的方法、變量名

創(chuàng)建文件

右鍵項目名稱，把這兩個文件導(dǎo)進來項目中來

添加新建項目到項目中

然后打開 confuse.sh 文件，添加以下腳本：
<pre>

!/usr/bin/env bash

TABLENAME=symbols
SYMBOL_DB_FILE="symbols"
STRING_SYMBOL_FILE="func.list"
HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"
export LC_CTYPE=C

維護數(shù)據(jù)庫方便日后作排重

createTable()
{
echo "create table $TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE
}

insertValue()
{
echo "insert into $TABLENAME values('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE
}

query()
{
echo "select * from $TABLENAME where src='$1';" | sqlite3 $SYMBOL_DB_FILE
}

ramdomString()
{
openssl rand -base64 64 | tr -cd 'a-zA-Z' |head -c 16
}

rm -f $SYMBOL_DB_FILE
rm -f $HEAD_FILE
createTable

touch $HEAD_FILE
echo '#ifndef Demo_codeObfuscation_h

define Demo_codeObfuscation_h' >> $HEAD_FILE

echo "http://confuse string at date" >> $HEAD_FILE
cat "$STRING_SYMBOL_FILE" | while read -ra line; do
if [[ ! -z "$line" ]]; then
ramdom=`ramdomString`
echo $line $ramdom
insertValue $line $ramdom
echo "#define $line $ramdom" >> $HEAD_FILE
fi
done
echo "#endif" >> $HEAD_FILE

sqlite3 $SYMBOL_DB_FILE .dump
</pre>