知名手机App软件开发的步骤_励志网

知名手机App软件开发的步骤

2018-04-23 07:42 来源:励志网

为了提高自由技能交易的安全保障,秀才独家研发了个人信用体系。它是一种先进的科学计算机制,通过多元化采集数据,为技能型人才进行立体式画像描述,以一定时间为周期,形成一种动态进化指数,可以综合评定个人信用度。秀才团队为它起了一个通俗易记的名字——靠谱指数。

对于一些无效的字段,我们可以在得到dex文件后将其全部抹除为0,这样便不会影响apktool等工具进行反编译。对于百度所使用的抹除方法指令的手段,可以监控DoInvoke(ART)和dvmMterp_invokeMethod(DVM)方法实时地提取有效指令;也可以修改还原的dex文件,去掉调用百度中抹除指令的JNI方法的指令,这样的话同样可以从内存中获取有效的指令。

一、大数据:购物APP增幅超六成

互联网第一个阶段是信息和数据的连接,互联网门户和搜索引擎主要用来解决信息的聚合和检索;互联网第二个阶段是商品的连接,互联网推动商业化,各大电子商务及O2O平台主要解决寻找商品和促成交易的问题;互联网第三个阶段(即今天)是移动互联网全面推动社会化革命的时代,手机成为人的智能肢体,人和人直接建立连接,人的技能价值成为一种独特的商品进行交易,这是未来的必然趋势。

同时,“互联网+”旅游类APP的增速也达到18.9%,“互联网旅游”在过去一年也获得了快速发展。国内涌现了以小猪短租、蚂蚁短租、大鱼、度假客、自在客等为代表的垂直类非标准住宿平台,同时自由行也滋生了游谱旅行、妙计旅行、世界邦、定制网、跟谁游等行程规划类个性定制平台。

这些产品都具备反调试的能力,也就是说通过使用ptrace或JWDP等调试接口动态附加调试比较困难。

我们主要研究了6种主流的AndroidAPP保护厂商的产品:梆梆、腾讯、爱加密、360、阿里和百度(截止2015年9月)。通过相关的一些分析,下面来看一看这些厂商是如何来实现APP的保护的。

其次,秀才在古代是一种荐举人才的科目,也是对有学问人的称呼。之所以取名秀才,而没有用“举人和进士”,秀才团队就是想让普通人都能玩,各种职业都能玩,而且通过“才能秀”,让每个人可以拓展人脉圈,提升技能,成为高于目前秀才现状的“举人”或“进士”。

而秀才则是身处互联网第二阶段,却前瞻性地引领了未来互联网第三阶段的商业模式。

四、未来:全面提升我国网络基础设施建设能力

阿里:将原有的dex文件拆分为两部分,一部分主体保存为libmobisecy.so,另一部分包含了一部分class_data_item和code_item。在运行的时候将两部分释放在内存中,并修复相关的指针,恢复数据之间的连接关系。同时一些annotation_off被设置为无效的值。

爱加密:同样是加密原有的dex文件,在运行时整体释放并解密,只不过其释放的处于固定路径下的临时文件的名字是随机的。

在个人征信体系尚不完善的今天,单就靠谱指数这项科学信用计算机制,秀才就可堪称未来技术产业新秀。

早就有行业学者提出,未来时代是人才的时代,最难求的将是具备优秀技能的人才。在未来,将是人人以“输出自己技能为己任,向社会展现价值为使命”的时代,将是“技能云时代”。社会化网络的发展会促使人和人的连接呈现爆炸式效益增长。如果把人的相互连接看作一个人的“技能”云,每个人其实都可以向这个云输出技能,也可以向它索取技能。

通过一年的发展,“互联网+”遍地开花,硕果累累。截至2015年底,腾讯微信的城市服务项目已上线16个省78个城市,共提供包括公安、交管、社保、医疗等在内的2611项服务,平均每座城市提供33项服务,累计服务人次达6881万;腾讯旗下战略级产品应用宝在2015年推出了“应用+”战略,不用下载各种APP,用户只需在应用宝一键输入想要的内容与服务,就能直接体验到O2O服务。

比较著名的反编译工具有backsmali/smali,Apktool,IDAPro等,但是无法克服APP加固的保护。

据悉,这款秀才APP之所以取名秀才,有着两种含义,可谓一语双关。

三、大佬:全方位助力“互联网+”落地实践

AndroidAPP保护技术也是一把双刃剑,黑客也广泛使用它来保护恶意和重打包的APP,使得难以被分析和判定,在一定程度上提高了传播的范围。所以对于恶意程序分析人员来说,甚至对于软件相似性检测、代码抄袭等相关电子取证技术,破除APP的保护也是必不可少的第一步。

“互联网+”在2015年虽然获得高速发展,但进一步落地仍面临一些难题。例如,我国网络基础设施建设能力还需全面提升;“互联网+”创新业态的监管理念需要逐步转变;“互联网+”落地的配套政策还要持续落地发挥实效;同时,互联网+”时代还面临更多信息安全问题挑战。

#p#分页标题#e#ZjDroid[16]是基于Xposed的脱壳工具。它hook了BaseDexClassLoader对象来获取包含dex文件的目标内存,它只支持DVM并且需要root权限。对于阿里等将原始dex文件拆分的做法,它也无法克服。Park在[17]提出了一种方法:对apk进行重新打包,并插入一个调用了waitfor-debug功能的方法,使得APP在启动后会暂停并等待用户利用JWDP调试协议进行连接。这样可以调试目标APP并读取其内存。但此方法很容易被检测绕过且无法克服反调试的限制。

针对各行业配套政策落地,马化腾建议在政策不断加力下,重点落实各个细分行业领域的配套政策。对于信息安全挑战,他也建议:研究制定“互联网+”网络信息安全战略和规划,开展相应等级的安全建设和管理;完善国家网络与信息安全基础设施,提高风险隐患发现、监测预警和突发事件处置能力;加快发展“互联网+”信息安全产业,大力发展服务于各领域的网络与信息安全产品与服务产业,提升信息安全服务保障能力,促进安全、自主、可控信息技术产业体系的建设。

▲图:首页界面与引导页

淘宝是商品和交易的平台,属于互联网第二阶段,早在2003年马云创立之时,马云就说过淘宝即使今天不被看好,也将是未来商业发展模式,今天淘宝和天猫的电商大佬地位有力地印证了他当年的理论。

秀才APP的创立绝不是立足现状,在现有APP市场凑个热闹,它是基于未来互联网时代发展及人性需求阶梯发展的未来化产品。

纵观国内汽车出行市场,涌现了神州专车、一嗨租车、e代驾、嗒嗒巴士等各类出行APP。汽车出行后端服务市场(洗车、保养、维修等)也日渐活跃。“互联网+”不仅让创业者专注于提高用户使用交通工具的便利性,也为创业者解决地图导航、安全出行、高效物流等方面提供新机遇。

#p#分页标题#e#在今年的全国两会上,全国人大代表、腾讯公司董事会主席兼首席执行官马化腾就围绕“互联网+”行动计划落地实施的难点提出建议。马化腾指出,在基础设施建设方面,建议推动电信运营企业加大互联网接入网宽带化、骨干网高速化建设力度,优化网络结构,提高网络性能,改善互联网间互联互通的质量。面对当前监管环境,建议放宽“互联网+”等新兴行业的市场准入管制,研究制定针对新业态进入传统行业领域的“规范进入”准则。

二、行业:“互联网+”融入各行业出行餐饮最活跃

破除APP的保护,主要的手段就是从内存中拿到有效的执行数据,这样关键点就在于时机的选择或主动触发,从而保证内存中存在有效的数据。所以APP保护技术一个重要的关注点也就在于如何打乱时机,使破解者无法找到一个关键点来获取到有效的dex文件。下一步的发展趋势是可能使用虚拟机壳的技术。虽然实现上并没有太多障碍,但是由于效率原因,距离实用还是有一些距离的。

一件物品被埋没若干年,再被发现将是文物,价值连城;然而于人而言,一旦被埋没,将是永远被埋没。在社会划时代之前,被埋没的人才可谓不计其数,这是个人的不得志,也是社会的损失;如今及未来,是社会化大交流时代,靠本事吃饭的时代,为什么要让自己埋没?秀才希望能让每个人都展示自己,秀出自己,实现其社会潜能价值,这于个人、于社会都是一种正能量。

所以智能并不是遥控,而是便捷。而对于这个概念,其最终状态的便捷,霍金曾经在一次访谈中谈到,“即使是Siri、GoogleNow、以及Cortana都仅仅是智能的一个开端”,由此论之,一个专属App也只能是这个开端中的一种工具而已。

技能云时代,挖掘人性价值

未来是技能时代,是社会化推动商业变革的时代,是敢于秀出自我的时代。纵观引领社会发展的互联网大佬们,哪一个不是敢秀敢说的“人前精英”,连张朝阳都决定不再默默做管理,而从低调转向高调,从后台走至前台了,就足以说明这种时代变革正在趋势化、明确化。

事实上,“智能化”绝不仅仅是这些国际大品牌的研发趋势,在今天这个“中国制造”走向“中国智造”的时代,很多本土企业也开始发力,他们并不拘泥于自身产品的App,而是将重心放在“手势控制”或“语音控制”上。而在这些产品品类中,尤以自2015年开始便持续升温的智能音响产品最为抢眼。

那么到底什么才是真正的智能呢?援引媒体的一篇报道中指出,“智能就是具备自我学习的能力”。如何让家居设备具备这种能力呢?显而易见的就是让其具备“看得见、听得见”的能力;意思就是给设备搭载各种传感器,或者用一个老气一些的词说就是“人机交互”,再通俗一点就是“手势控制”以及“语音控制”。

在中国,出现了相当数量的一批AndroidAPP保护的厂商。它们通常采用多种手段来保护和隐藏原有的可执行文件(即dex文件),并使用反调试技术在运行的时候阻止对相关内存区域进行读取而得到有效的dex文件。同时也使用混淆技术如ProGuard、DexGuard等工具增加反编译后的代码的分析难度。

根据此思路设计了DexHunter[19,20],它整合进了DVM和ART两个运行时。通过由用户指定一个特征字符串来定位到包含dex主体部分的内存区域。这个特征字符串主要用来匹配运行时当前使用的dex文件是否是我们需要的dex文件。一旦获取了dex的主体部分,接下来便主动加载并初始化dex文件中的所有class,尽力使其恢复到正常运行的状态。接下来我们将整个区域分为三部分,重点处理包含class数据的第二部分。我们对于每一个class进行解析,并观察其中是否有数据位于主体dex范围之外,及相关的信息是否与Android运行时所维护的数据一致,如果有所出入,则修改dex文件中的相关数据,并将外部的数据收集在一起重新存储在尾部,并修正相关的指针,这样我们便能够得到一个完整的dex文件。整体的思路如图1所示。

百度:将一些class_data_item存储在dex文件的外部,在运行时恢复与主体的dex的连接关系。在dex文件加载后,其头部的魔数,校验和以及签名值会被擦除。同时某些方法被改写,使得其在执行前相关的指令才会被恢复,在执行之后便立即擦除。

何谓真正的智能

而今年两会,互联网大佬围绕“互联网+”又带来了各自的提案。马化腾提出了关于进一步推进“互联网+”行动计划落地实施的四点建议。李彦宏则指出互联网提速降费还不够,应营造公平开放的竞争环境,积极引导三大电信运营商向专网开放互联接口,实现跨网互联互通。雷军则在两会表示看好“互联网+”农村,建议政府提供更完善的创业创新土壤,改善创业环境,助力新经济转型。

APP加固作为一项技术热点,之前的研究主要处于工业界,学术界对其关注不多。

据了解,将目标瞄准智能家居的果壳电子,除了已经获得大量的音乐内容提供商的支持外,仍在积极寻求包括硬件、软件、数据在内的合作伙伴;而其产品“果壳智能音响”在设计伊始,便已经为“传感器”预留了空间。

“互联网+”加速移动互联网的发展,让各个领域的APP呈现爆炸式增长。来自腾讯应用宝大数据显示,自2015年3月“互联网+”被纳入国家战略至今年3月,一年时间内,应用宝中相关APP的数量整体提升了22.49%,其中购物类APP的数量增幅高到61.17%。“互联网+”的出现有效推动了O2O电商行业的发展,海淘、母婴、生鲜等电商细分领域在过去一年涌现出很多APP,也带动网民在移动端购物的比例大幅提升。

之前对于各种APP保护的破解方法,主要还是处于和APP自身同样的运行级别,所以很容易被检测到并且绕过,所以我们的思路是直接提高脱壳模块的等级,将其整合到Android的运行时中,并使得内存中的dex文件得到最大程度的恢复,这样被运行时解释和执行的APP便很难绕过了,而且也轻易解决了反调试技术的限制。

1月13日,首款面向自由职业技能交易的P2P应用——“秀才”()正式上线。这是一款人与人直线对接的技能自由交易软件。每个人都可以在这个平台上秀出自己的技能,自由进行技能交易。可以说,这款产品是未来P2P“去中心化”的一种全新应用,融合了社交、移动互联网、大数据等未来高科技手段的首款自由技能交易APP。

去年两会,互联网行业的大佬提出了很多关于互联网的发言和提案。马化腾建议政府部门应当加快移动互联网在民生领域的普及和应用;李彦宏提出借助网络力量优化医疗资源配置,提升医疗服务的质量和效率;雷军针对互联网创业建议应该大力破除对个体和企业创新创业的种种束缚。

而在餐饮行业,“互联网+”改变了传统餐饮食材供给、餐饮供应、点餐、支付等模式,甚至解放商家对店铺的依赖,“互联网餐饮”也改变了用户就餐习惯,美团外卖、饿了么、百度外卖、爱大厨等APP在2015年快速兴起,餐饮团购、美食外卖、厨师上门等成为新的餐饮消费行为。

以2015年极为火热的音响产品为例,它不仅可以给人们的生活带来不可或缺的音乐歌曲,而它本身就是一个绝佳的智能设备语音控制的接口。据报道,诸如新兴品牌果壳电子、科大讯飞这样的企业,都凭借其先天的语音技术优势寻找着智能家居市场未来的蓝海。

互联网演变已经历经两个阶段——信息阶段和商品阶段,今天互联网第三阶段虽已成雏形,但产业效应和商业模式仍处于待开发阶段。毋庸置疑的是,未来产业必然围绕互联网第三阶段辐射化发展。

如果说过去很多人的才能,因为“无展示”而被埋没,那么秀才就是要利用社交网络和大数据分析发现这些人,挖掘他们的潜能,并激发其展现意识,帮助提升其社会价值。这里的发现不是表面层次的“find”,而是更深层次的“discover”。

破解思路及实现

360:将原有的dex文件加密后存储在libjiagu.so/libjiagu_art.so,在运行时动态释放并解密。

如前文所述,智能设备要具备自我学习的能力,而要做到这一点,除了硬件传感器之外,它还需要大数据和平台的支持,才可以最终分析出使用场景或使用条件的变化,进而“学习到”使用者的习惯和需求。对此,果壳电子CEO顾晓斌认为,“开放共享是智能产品必须要做到的一点,虽然果壳电子正在积极的寻求更多的合作伙伴,建立自己的大数据网络,但要做到以音响为智能家居设备的控制接入口,仍有很长的路要走。”

“互联网+”也带动了传统健康、医疗领域与互联网全面融合,应用宝大数据显示,在这一年时间内健康领域的APP的数量增速仅次于购物行业,达到了50.33%,很多移动互联网创业者在过去一年加入了互联网健康的创业中,催生出了以快方送药、药给力为代表的送药上门APP以及众多移动医疗平台型APP,让用户更便捷的体验掌上医疗服务。

首先,秀才即“秀出才能”,核心slogan是“来秀来玩来赚钱”。隐忍低调的年代已经成为历史,不论你是摄影师,大学生,还是一个电焊工,亦或是蓝翔挖掘机手,都应该勇敢地光明正大地“秀”出自己的才能,这才是正能量。正是基于这种理念,秀才团队研发了这款可以让各种人才“秀技能、玩推荐、能赚钱”的APP软件。

#p#分页标题#e#打开秀才首页界面后,注册会员既可以展示自己的技术技能,也可以根据生活需要发布技能需求,如请家教、请翻译等;技能展示可以获得其他人推荐,并实现服务价值;技能需求也会得到其他自由技能展示者的响应;技能置换交易则可以根据30字微简历、推荐指数及秀才APP独有的“人才信用体系”——靠谱指数,来判断人才的可信度及专业度,选定某位人才后,可在线进行沟通交流,双方满意后,即可成交,继而线上支付,线下技能服务。

Jung在[18]提出了一个叫做DABiD的调试器。它可以获取到内存中有效的dex文件。它通过将自己的模块注入到目标APP的进程中,监视内存中的动态修改包括代码自修改和动态类加载,并将相关信息反映到调试器中。同样地,它不支持ART环境。并且由于它只监视了dex文件的内存区域,所以针对于修改Android运行时所维护的对象的行为无法进行监视和捕获。

秀出技能,谢绝隐忍

Apvrille[1]较早地提出了利用加密方法如异或操作、DES或AES算法来隐藏原始的指令。Strazzere在[2]提出利用反射方法来调用一些关键的函数,并将真正地dex文件保存在资源中以及使用一些反调试的技术。Schulz在[3,4]讨论了利用变量名和字符串混淆,代码动态加载,插入垃圾指令以及利用JNI来实现dalvik代码自修改[5],这些技术现在仍在被广泛使用。Apvrille[6]通过修改encoded_method的数据实现了对相关方法的保护。Martin在[7]描述了一种新的保护方法。从Android4.0起提供了一个新的接口,可以将一块内存作为dex文件打开,利用此特性可以进一步保护dex文件的指令并实现动态指令修改。Nigam在[8]分析了当时的一些加固产品及其工作原理。Strazzere在[9]介绍并分析了一些混淆工具如ProGuard,DexGuard和ALLATORI和梆梆的加固产品。Apvrille在[10]中将dex文件利用AngeCryption[11]处理为一个resource文件从而进行隐藏,而且这个被加密的dex文件可以被静态打开显示为一个图片,同时在运行的时候可以进行解密并得到执行。Apvrille在[12,13]也讨论了一些混淆工具和加固产品的原理,并分析了一些可以用于干扰静态和动态分析的方法。YU[14]分析了一些Android加固产品的原理,并基于LiME[15]构建了一个工具用于获取目标内存区域的内容。

Android平台自发布以来受到了广大消费者的欢迎,已经占到81%的市场份额,也吸引了大量的开发者,带来了巨大的收益。然而巨大的成功也使得Android系统成为了黑客的一大战场。由于AndroidAPP自身的机制,使得其很容易遭到破解。通过使用简单的反编译工具,基本上能够达到阅读源代码的程度,进而再进行二次修改、重新打包并发布。由此可见,恶意软件可以很容易地附加在正常的APP中伪装自己,竞争对手间可以很容易地获得对方APP中的技术信息,这种严峻的形势催生了AndroidAPP保护技术的出现并不断地提高完善。

全国两会3月3日正式拉开帷幕,在去年被纳入国家战略的“互联网+”今年依然备受关注。经过2015一整年的发展,“互联网+”带动了传统行业与互联网深度融合,进一步创造出新产品、新技术、新模式,给创业者带来新发展机遇,也对人们的生活方式带来了极大的改变。

图:“互联网”各领域APP年度增幅

秀才引领未来第三阶段互联网商业模式

腾讯:提供选项可以指定需要保护的方法。如果某个方法被保护,则在dex文件中的相关class_data_item中无法看到其数据,即为一个假的class_data_item;在运行时释放真正的class_data_item并连接到dex文件上,但是其code_item却一直存在于原有的dex文件中。同样地,一些annotation_off和debug_info_off被填充为无效值来阻止静态反编译。只支持在DVM环境下运行。

“秀才”APP由社会化人才挖掘公司“人人聘”开发,该团队由来自一线互联网公司资深数据挖掘和社交分析大牛组成,使命聚焦于:Discovereveryone(发现每一个人)。该创始团队认为,在人和人连接的时代,人的价值挖掘将是未来最大诉求,未来,每个人都有自己的才能,都会向社会输出自己的价值,一个人的困难可能对另一个人来说是举手之劳,这就是一种通过人与人之间的技能转换来解决问题的方式。秀才就是要打造这样一个技能展示和自由置换平台,让每个人通过社交,通过人脉,就能实现自己的价值,同时相互置换,解决彼此的问题。

说了这么多,秀才APP到底怎么玩?

如果说马云的淘宝是淘物的平台,那秀才就是淘人的平台,是集合了各种技能人才的未来式人才淘宝。

靠谱指数,保障秀技无顾虑

梆梆:提前准备了一个odex或oat文件,并加密保存为外部的jar文件,运行时解密;同时hook了libc.so中的一些函数,如read,write,mmap等,监视其操作区域是否包含了dex的头部,保证无法使用这些函数对于dex文件进行操作。

“互联网+”的精髓是融合,而具体到实践中,越来越多的传统行业的企业开始通过移动互联网为用户提供内容和服务,这也推动了移动互联网的创业潮,并集中在互联网金融、健康、教育、出行、娱乐、餐饮等各行各业,各类O2O应用如雨后春笋版层出不穷,而其中以出行与餐饮行业最为活跃。

秀才APP是P2P理念首次在技能领域的应用。P2P(peertopeer)是一种描述对等计算的词汇,大多应用在对等网络中,核心理念是强调一种去中心化的对等关系。随着P2P概念逐渐从国外向国内渗透,多个领域都在向“去中心化”方向发展,强调“无中心的对等关系”。而秀才APP首次将其应用到一种自由交易技能的全新领域。

责编: