最近研究了下  app逆向安全，感觉客户端还是不安全，android和ios都可以破解，重要的东西还是放服务器，因为服务器相对安全一些。本文只供爱好研究以及安全测试用，如果用于非法，后果自负。

ios的破解我没试过，但是提供一篇文章：

https://www.cnblogs.com/xin-lang/p/8098142.html

android的破解，我也只讲思路，不提供工具，感谢各位破解大神提供的博客和思路。我最后会把我反混淆的思路也写出来。

一、首先是 没加固没混淆的apk。直接用apktools和dex2jar以及jd-gui就可以破解。

二、加固过的apk，首先要进行破壳处理。

破壳的思路很多，其中一种是，虽然加固了，给apk加了一层壳，但程序最终是要把真dex文件写入内存中，在写的时候dump一份内存，就好了。

提供几篇破壳博客。

破解360加固的

https://blog.csdn.net/jiangwei0910410003/article/details/78548069

破解棒棒加固的

https://blog.csdn.net/jiangwei0910410003/article/details/54409957

三、 反混淆

关于反混淆这个，android至少3到 5年工作经验才能挑战，因为这个太考验个人能力了，包括思维以及解决问题的能力。

先说思路。首先是还原项目，虽然代码混淆了，面目全非，但是代码还是可以运行的。所以我们需要先还原android项目，工具就是androidstudio编辑器。挑拣破解后的代码（为啥是挑拣呢，因为破解后好多第三方的代码都会先显示，在项目中加入过多第三方的代码，徒增破解难度，还是得凭借经验去挑拣代码），放入项目工程中，该引用的添加第三方库的引用，android项目环境配置，保证不报错。然后在模拟器或者手机上一点一点调试 代码，然后做注释，用快捷键修改变量名，类名以及方法名。最终代码就变成易读的android工程了。 然后就可以自己增删改了。