如何确保Java程序分发后不被篡改?使用JNI对Java程序进行安全校验

前言

众所周知,Java/Kotlin编译后会编译成smali,使用Jadx这类的反编译工具或者Hook工具就能很轻松的把我们的软件安全校验给破解了。

为了防止这种情况发生,我们一般会将核心代码使用C++编写,然后使用JNI技术,使用Java调用C++,因为C++编译后就成为了机器语言,反编译难度提高了可不止一倍两倍,但同时,如果我们的安全校验只在Java层面进行检查就很容易被去除。为此,我们可以使用C++来对Java程序进行安全检查,在发现被修改后就直接退出,因为核心逻辑是C++写的,如果C++的代码没有被

加载那么软件的壳被破解了也就毫无用途。

初步实现

初步实现可以看我之前写的:JNI的入门教程

在so加载时进行检查

cpp 复制代码
JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved) {
    JNIEnv* env;
    if (vm->GetEnv(reinterpret_cast<void**>(&env), JNI_VERSION_1_6) != JNI_OK) {
        return JNI_ERR;
    }

#ifdef _RELEASE
	// 
    if (!xxxx.checkLicenceKey(env)) {
        std::cerr << "Licence key validation failed. Terminating execution." << std::endl;
        return JNI_ERR;  // 验证失败,停止执行
    }
    #endif
    return JNI_VERSION_1_6;  // 验证通过,继续执行
}

其中的ifdef _RELEASE是一个宏,代表被包裹的代码,仅在RELEASE编译模式下才会被执行,如果你没有这个宏可以在CMake中加入

txt 复制代码
# 在 Release 模式下定义 _RELEASE 宏
if(CMAKE_BUILD_TYPE STREQUAL "Release")
    add_definitions(-D_RELEASE)
endif()

它调用了其他C++方法进行内部检查,这块的检查可以根据你的实际情况来操作,我这里是封装了checkLicenceKey方法来检查许可证授权。

比如我是在C++中获取到程序的文件,然后进行签名检查,判断是否与程序正式对外发布的RELEASE签名相同,如果不相同直接在JNI_OnLoad这个方法返回错误就行了,(切记不要在RELEASE中输出任何的调试日志不然很容易被定位破解的)

JNI_OnLoad方法是当System.load()时会被触发的方法

这样,当你程序外发的时候so文件每次加载都会检查文件完整性,并且破解者也不能取消加载这个so,因为一旦取消,程序就完全成了壳了。

这样,如果有人想要破解我们的程序,在加载后就会遇到这个错误:

(同样也是千万别直接说明原因,那样不是给破解者找问题原因的吗,你应该返回一个毫不相干的Exception)

版权所有:XuanRan

相关推荐
Daniel 大东9 分钟前
BugJson因为json格式问题OOM怎么办
java·安全
Theodore_10224 小时前
4 设计模式原则之接口隔离原则
java·开发语言·设计模式·java-ee·接口隔离原则·javaee
EasyNVR5 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
冰帝海岸5 小时前
01-spring security认证笔记
java·笔记·spring
世间万物皆对象6 小时前
Spring Boot核心概念:日志管理
java·spring boot·单元测试
没书读了6 小时前
ssm框架-spring-spring声明式事务
java·数据库·spring
小二·6 小时前
java基础面试题笔记(基础篇)
java·笔记·python
开心工作室_kaic7 小时前
ssm161基于web的资源共享平台的共享与开发+jsp(论文+源码)_kaic
java·开发语言·前端
懒洋洋大魔王7 小时前
RocketMQ的使⽤
java·rocketmq·java-rocketmq
武子康7 小时前
Java-06 深入浅出 MyBatis - 一对一模型 SqlMapConfig 与 Mapper 详细讲解测试
java·开发语言·数据仓库·sql·mybatis·springboot·springcloud