上传第三方市场的时候,经常会碰到一些手机App市场会对一些代码进行扫描,比如广告、"PM"命令等,如果出现此类代码,会要求提供功能描述,看是否是合理功能,否者不予上架。本片就"PM"如何规避第三方市场来做一个简单的分析。
概述
前几天在工作中碰到过类似的问题,细节不方便说太多。在提交App的时候,被第三发市场以内部包含"pm install"代码的理由,要求提供代码相关功能描述,或者删除此代码。
"pm install"的作用相信应该都了解,不需要在这里重复讲解。但是本着一个有职业操守的程序员,有"pm install"的代码也只是本着让用户更方便的使用App,而非使用用一些不合规的手段谋利。
那么如何规避这样的问题,把"pm install"能够"合规"的放在项目中,而不让软件市场扫描到。
分析问题
第三方市场能准确的找到是那个文件中,出现了违规的代码块。肯定是将其解包之后,做了一个全路径扫描,做字符串的匹配,有不合规的字符串就提示警告出来。
那么唯一要做的,就是对关键字符串的代码进行编码,让手机市场扫描不到。例如把"pm install"这个字符串用Base64编码就是一个不错的手段,然后在需要使用的时候,再将编码后的字符串进行解码,就是一个不错的方式。
实施方案
pm install
首先用工具把字符串转换成Base64编码。
得到一个字符串,然后在代码中将其解码即可。
private String getCommand0(){
return new String(Base64.decode("cG0gaW5zdGFsbA==", Base64.DEFAULT));
}
其实做到这一步,应该就可以很简单规避市场上架的问题(当然我没有试过)。
但是做事情要往深一步想想,如果只是一个简单的一次Base64编码,再解码就可以解决问题了。那一定是因为三方市场没有对这个地方做太严格的保护,说白了,就是对其进行放水了,增加一点门槛,又不让门槛太高导致一部分App进不来。那这个规则,市场如果想严格一点监管,只需要把关键代码串的一些常用编码串,也加入到匹配列表中就可以了。如果规则改了,最后麻烦的还是我们。
所以再深一步,如果是我来写这个全路径文件内容匹配的话,我会在apk解包之后,对所有的文件,进行一行行的扫描,然后比对铭感代码串。那么如果这个代码串,不是一个连贯的,而是一个拼接的方式,又如何呢?所以我想到了一个解决方案,对getCommand0()进行了改进,当然是很简单的改进,把他们拆分成多个字符串,拼接起来。
private String getCommand1(){
return new String(Base64.decode("cG0gaW5zdGFsbA"+"==", Base64.DEFAULT));
}
虽然从代码上看,这样是将字符串拆分开了。但是其实这样是不生效的,因为在打包的过程中,编译器会对代码进行优化(当然优化的手段有很多),把一些不不要的代码剔除,或者改进现有的代码块的代码,让其运行的更加高效。
如getCommand1(),在打包之后,反编译出来看看。
从图上可以看出来,编译器会在变异的时候,自动帮我们把一个拼接的字符串变成一个完整的字符串进行赋值。
那么,如何预防这样的问题呢?让编译器按照我们预想的,输出两个单独的字符串,进行拼接。这个时候,可以使用StringBuilder来处理字符串,就有了如下代码。
private String getCommand() {
// pm install
return new String(Base64.decode(new StringBuilder("cG0gaW5zdGFsbA").append("==").toString(), Base64.DEFAULT));
}
然后我们再打包验证一下结果,发现确实是如我们预期的去做的。
总结
其实这种方案是一种比较简单的方法,如果有心去预防,还是可以预防的,不过这种问题也没必要做的太复杂。核心思想就是不要让关键代码完整的出现在一个地方。让其有断裂的,这样机器很难通过静态分析的方式去捕获到此代码。
