VALIDATION

App 加固后如何验收

加固后的验收不能停在“能安装、能打开”。真正有价值的验收需要覆盖静态分析、动态运行、重打包、注入 Hook、调试跟踪、敏感面、日志形态和兼容性回归。

适合搜索 App 加固验收、PoC 测试、二次打包测试、反注入测试和移动安全验收清单的读者。

核心能力

静态分析

检查 Manifest、入口链、DEX、SO、资源、签名和敏感明文暴露面。

动态运行

检查安装、启动、关键业务路径、异常闭合、日志和崩溃。

二次打包

验证重签名、资源替换、代码裁剪和完整性策略。

注入 Hook

观察常见 Hook/注入框架下的风险信号和服务端回执。

兼容性

覆盖不同系统版本、架构、渠道包和发布环境。

验收流程

先定义目标资产和攻击假设,再进行静态分析;静态结果只作为第一轮观察,随后必须通过动态运行、重打包、注入或危险环境复核关键结论。每一步都应记录“观察到了什么、如何复核、支持什么判断、哪些内容不公开”。

工具矩阵

常见工具链包括反编译、smali、Native 静态分析、动态观测、调试跟踪、重签名和兼容性回归工具。工具越多,越需要把结果收敛成证据矩阵,而不是堆砌截图。

结果判断

优秀的验收报告应明确已验证能力、未验证能力、适用边界和下一步样本计划。公开文章只能写已验证的正向结果,未通过或敏感细节应保留在私有证据包。

常见问题

御盾 App 加固支持哪些平台?

御盾支持 Android 和 iOS 双端加固。Android 侧覆盖 DEX 保护、VMP、Java2C、SO 加固、资源保护、反调试、反注入、二次打包治理和发布门禁;iOS 侧覆盖 Mach-O 保护、反调试、反注入、重签名风险识别、完整性校验和运行环境观察。

青春版、专业版和企业版怎么区分?

青春版用于单端轻量正式接入,以基础混淆、基础 DEX 保护、基础完整性和轻量发布门禁为主。专业版是单端高强度 SaaS 自动化版本,适合完整 VMP、Java2C、SO 高级保护和强运行期对抗。企业版面向强对抗和规模化业务,强调专属策略、服务端闭环、SLA、功能定制和私有定制交付。

Android 和 iOS 是否都包含在同一个套餐里?

默认情况下 Android 与 iOS 分开购买。企业版在内测活动期可包含 Android + iOS 双端权益;活动结束后企业版也会恢复双端分开计费。

守界设备指纹是否必须和御盾一起购买?

不必须。守界设备指纹独立定价,最低 6800 元/年,价格会根据日活规模上浮。御盾负责客户端代码与运行时防护,守界负责设备指纹、风险信号和服务端风控证据,两者配合可以形成更完整的安全闭环。

相关入口