如何在macOS开发中给 PKG 签名和公证(productsign+notarytool)

macOS 中,给 PKG 文件进行签名是一个确保用户能够顺利无警告地安装软件的重要步骤。以下是给 PKG 签名的详细步骤:

一、准备阶段

获取开发者账号和证书:
  • 首先,需要在苹果开发者网站(Apple Developer)注册一个有效的开发者账号。
  • 登录开发者账号后,进入 “Certificates, IDs & Profiles” 页面。
  • 创建并下载 “Developer ID Application” 证书和 “Developer ID Installer” 证书。这两个证书分别用于签名应用程序和 PKG 安装包。
  • 将下载的证书双击安装到“钥匙串访问”中。
打包PKG文件:
  • 使用 Packages 工具或其他打包工具,将需要分发的应用程序和相关文件打包成一个 PKG 安装包。
  • 在打包过程中,可以添加安装前和安装后的脚本来执行一些自定义操作。

二、签名阶段

获取证书名称:
  • 打开终端,输入命令 security find-identity -v,列出所有已安装的证书。
  • 找到与 “Developer ID Installer” 相关的证书名称,通常格式为 “Developer ID Installer: 开发者名称 (证书标识符)”。
签名PKG文件:

使用 productsign 命令对 PKG 文件进行签名。命令格式如下:

例如:

这将生成一个新的签名后的 PKG 文件。

三、验证签名

验证PKG文件签名:

使用 pkgutil 命令验证 PKG 文件的签名是否有效。命令格式如下:

如果签名有效,命令将输出 “signed by a developer certificate issued by Apple for distribution”。

四、公证阶段(可选)

macOS 10.14.5 开始,苹果要求所有分发的软件都必须经过公证(Notarization)。公证过程如下:

准备已签名的软件包:

在公证之前,你需要确保你的 .pkg 文件已经使用 codesign 命令进行了签名。

将公证凭证存储到 macOS 的钥匙串中:

上传PKG文件到苹果服务器:

使用 notarytool 提交你的软件包进行公证。这一步会将你的软件包上传到 Apple 的公证服务,并启动公证流程。

  • /path/to/your/signed/package.pkg 是你的已签名软件包的路径。
  • --keychain-profile 参数用于指定包含你签名证书的钥匙串配置文件(可选,如果证书在默认钥匙串中则不需要)。
  • --wait 参数告诉 notarytool 等待公证完成并返回结果。

如果公证成功,notarytool 会返回一个 RequestUUID,你可以使用这个 UUID 来查询公证状态或进行后续操作。

检查公证结果(如果未使用 --wait):

如果你没有使用 --wait 参数,你需要使用返回的 RequestUUID 来检查公证状态。

替换 <RequestUUID> 为你实际获得的 UUID

五、盖章步骤

一旦你的软件包通过了公证,你就可以使用 stapler 工具对其进行盖章。

对软件包进行盖章:

使用 stapler 工具对你的软件包进行盖章,以表明它已经通过了 Apple 的公证服务。

/path/to/your/signed/package.pkg 是你的已签名且已公证的软件包的路径。

验证盖章结果(可选):

你可以使用 stapler 工具来验证你的软件包是否已经被正确盖章。

/path/to/your/stapled/package.pkg 是你的已盖章软件包的路径。

如果所有步骤都成功完成,你的软件包现在应该已经准备好分发给用户了。

用户可以通过 macOS 的“安装未知开发者应用”的安全设置来安装你的软件包,而不会因为未经验证的应用程序而被阻止。

六、命令集合

以下是一个简要的流程,以及一个相应的 .sh 脚本示例:

1.用于签名 .pkg  文件( productsign.sh )。

2.用于签名和公证 .pkg 文件(productsign-online-notarytool.sh)。

请注意,这些步骤假设你已经具备了必要的 Apple Developer 账户、证书和配置文件,并且你的 macOS 系统已经安装了 XcodeXcode Command Line Tools。如果你遇到任何问题,请检查你的证书、配置文件和路径是否正确,以及你是否拥有执行这些命令的适当权限。

参考:

https://taoofcoding.tech/blogs/2022-11-13/use-notarytool-to-notary-macos-app

https://blog.csdn.net/Crystal_Mr_Rose/article/details/136351429

macOS 工具 - 查看PKG文件内容, App下载安装 SuspiciousPackage官方下载地址(免费): http://www.mothersruin.com/software/SuspiciousPackage/get.html

Mac OS平台下应用程序PKG安装包制作工具Packages, App下载安装Packages官方下载地址(免费): http://s.sudre.free.fr/Software/Packages/resources.html

参考链接

如何在macOS开发中给 PKG 签名和公证(productsign+notarytool)

DMAR: ERROR: DMA PTE for vPFN 0xf1f7f already set (to f1f7f003 not 17039b003)

前置条件

  • HP ProLiant MicroServer Gen8
  • Intel® Xeon® E3-1265L V2 × 8
  • Ubuntu 24.04.4 LTS / Linux Kernel 6.8.0-40-generic

问题详情

系统稳定性差,长时间运行之后出现不稳定现象。执行 sudo dmesg 函数之后,可以观察到如下报错信息:

问题原因

Linux 内核的 intel_iommu 与 HP ProLiant MicroServer Gen8 的 BIOS 冲突导致的。

解决方案

修改引导的内核参数:

修改如下配置:

配置修改后,使用如下命令生效内核配置:

重启系统

参考链接

Dart AOT 二进制文件的完整性检查:运行时的签名验证与篡改检测

讲座主题:Dart AOT 二进制文件的完整性检查:运行时的签名验证与篡改检测

尊敬的各位开发者,安全专家,大家好。

今天,我们将深入探讨一个在现代软件开发中日益关键且复杂的话题:如何确保 Dart AOT (Ahead-Of-Time) 编译生成的原生二进制文件在运行时未被篡改,以及如何通过数字签名进行有效验证。随着 Dart 在桌面、移动和嵌入式设备领域的普及,其 AOT 编译能力使其能够生成高性能的原生代码。然而,原生代码的便利性也带来了新的安全挑战——这些二进制文件更容易成为攻击者篡改的目标,无论是为了注入恶意代码、绕过授权机制,还是窃取知识产权。

作为一名编程专家,我的目标是为大家提供一个全面、深入且实用的视角,来理解、设计并实现一套针对 Dart AOT 二进制文件的运行时完整性检查机制。我们将从密码学基础出发,逐步构建一套可行的签名与验证架构,并探讨其中的技术细节、挑战与权衡。

第一部分:理解 Dart AOT 与运行时安全威胁

1.1 Dart AOT 二进制文件的特性与安全模型

Dart AOT 编译将 Dart 源代码直接转换为机器码,生成独立的可执行文件(例如在 Linux 上是 ELF 文件,Windows 上是 PE 文件,macOS 上是 Mach-O 文件)。这与传统的解释型语言或即时编译 (JIT) 语言(如 Java 的 JVM 或 Python 解释器)有显著不同。AOT 编译的优势在于启动速度快、运行性能高、内存占用低,且不依赖运行时环境(如 JVM 或 Node.js)。

然而,这种原生特性也意味着:

  • 暴露的机器码: 应用程序的逻辑直接以机器码形式存在,更容易被逆向工程工具(如 IDA Pro, Ghidra)分析。
  • 直接的内存访问: 运行时,操作系统直接加载这些机器码到内存中执行。
  • 篡改的风险: 攻击者可以修改磁盘上的二进制文件,或者在程序加载到内存后,利用调试器或内存注入技术修改其运行时行为。
1.2 运行时完整性检查的必要性

为何需要对 Dart AOT 二进制文件进行运行时完整性检查?主要出于以下几个考虑:

  • 防止恶意注入: 攻击者可能在您的应用程序中植入恶意代码,例如键盘记录器、数据窃取模块或后门,而用户浑然不觉。
  • 保护知识产权: 篡改者可能修改程序的授权逻辑、核心算法或数据处理流程,以绕过许可限制,或窃取商业秘密。
  • 维护系统稳定性与可靠性: 被篡改的程序可能导致系统崩溃、数据损坏,甚至引发更严重的安全漏洞。
  • 合规性要求: 在某些行业(如金融、医疗),软件的完整性是严格的合规性要求。
  • 信任链: 用户需要信任他们运行的软件是来自可信源,并且未被第三方修改。
1.3 核心概念:哈希与数字签名

在深入实现之前,我们必须理解两个基石级的密码学概念:加密哈希函数和数字签名。

  • 加密哈希函数 (Cryptographic Hash Function):

    • 将任意长度的输入(如一个文件、一段文本)转换为固定长度的输出,这个输出被称为哈希值、摘要或指纹。
    • 具有以下关键特性:
      • 确定性: 相同输入总是产生相同输出。
      • 雪崩效应: 输入中微小的改动都会导致输出哈希值发生巨大变化。
      • 不可逆性: 无法从哈希值逆向推导出原始输入。
      • 抗碰撞性: 极难找到两个不同的输入产生相同的哈希值(强抗碰撞性)。
    • 常用的哈希算法有 SHA-256、SHA-3 等。在完整性检查中,哈希值是文件的“数字指纹”。

  • 数字签名 (Digital Signature):

    • 结合了公钥密码学和哈希函数,用于验证数据的来源和完整性。
    • 签名过程:
      1. 发送方(签名者)使用加密哈希函数计算原始数据的哈希值。
      2. 发送方使用其私钥对这个哈希值进行加密(签名)。
      3. 将原始数据、签名和发送方的公钥一起发送。
    • 验证过程:
      1. 接收方使用相同的哈希函数计算接收到的原始数据的哈希值。
      2. 接收方使用发送方的公钥解密(验证)接收到的签名,得到一个哈希值。
      3. 比较这两个哈希值。如果它们一致,则说明数据在传输过程中未被篡改,并且确实是由持有对应私钥的发送方签名的。
    • 常用的数字签名算法有 RSA、ECDSA 等。

通过数字签名,我们可以确保二进制文件不仅没有被意外损坏(哈希值匹配),而且确实是由我们(作为开发者)签发和认可的(签名验证通过)。

第二部分:构建信任的基石——密码学原理与 Dart 实现

在 Dart 中进行密码学操作,我们通常会借助社区提供的强大库。package:crypto 提供了哈希函数,而 package:pointycastle 或 package:cryptography 则提供了更全面的密码学原语,包括公钥加密和数字签名。

2.1 Dart 中的哈希计算

首先,我们来看如何在 Dart 中计算一个文件的 SHA-256 哈希值。

pubspec.yaml

lib/integrity_checker.dart

这段代码展示了如何使用 crypto 包计算文件或字节数组的 SHA-256 哈希值。在实际的完整性检查中,我们将用它来计算我们自己 AOT 二进制文件的哈希值。

2.2 Dart 中的数字签名验证 (RSA)

对于数字签名,我们将使用 package:pointycastle,它提供了 RSA、ECDSA 等多种算法的实现。这里我们以 RSA 为例。

pubspec.yaml

lib/signature_verifier.dart

关于 parseRSAPublicKeyFromPem 的说明:

PEM 格式是 Base64 编码的 DER (Distinguished Encoding Rules) 数据,通常包含 X.509 SubjectPublicKeyInfo 结构。这个结构本身是一个 ASN.1 Sequence,其中包含了算法标识符和一个 BitString,BitString 的内容又是另一个 ASN.1 Sequence,包含 RSA 的模数 (modulus) 和公指数 (publicExponent)。解析这个结构需要对 ASN.1 编码有一定的了解。package:asn1lib 可以帮助我们解析这些结构。

在实际生产环境中,为了简化,我们可能不会直接嵌入 PEM 字符串,而是只嵌入公钥的模数和公指数的 Base64 编码字符串,或者直接嵌入 DER 编码的字节数组,这样可以避免运行时复杂的 ASN.1 解析。

第三部分:设计运行时完整性检查架构

构建一个健壮的运行时完整性检查机制需要精心设计离线签名阶段和在线验证阶段。

3.1 离线签名阶段(构建/发布时)

这个阶段在应用程序编译和打包后进行,由开发者或 CI/CD 系统执行。

  1. 生成密钥对: 开发者生成一对 RSA 或 ECDSA 私钥和公钥。私钥必须严格保密,公钥将随应用程序分发。

  2. AOT 编译 Dart 应用程序: 生成最终的原生二进制文件。

  3. 计算二进制文件哈希值: 对编译后的整个 AOT 二进制文件计算 SHA-256 哈希值。

    关键考虑: 在某些情况下,如果签名或公钥被嵌入到二进制文件自身中,那么在计算哈希时需要排除这些部分,以避免“自举问题”——即嵌入内容改变了文件的哈希,导致验证失败。最简单的策略是将签名和公钥存储在二进制文件的末尾,或者作为单独的资源。如果存储在末尾,需要约定一个偏移量或标记来识别和排除它们。

    • 策略一(最简单): 签名和公钥作为独立的资源文件(不推荐,容易被分离或替换)。
    • 策略二(推荐): 签名和公钥以硬编码字符串(Base64 编码)的形式嵌入到 Dart 源代码中,在编译前。这种情况下,哈希的是包含公钥和签名字符串的 Dart 源代码编译出的二进制文件。这看起来像个循环,但实际上是:先编译出一个不含签名的临时版本,计算其哈希,用私钥签名这个哈希,然后把签名和公钥作为常量嵌入到最终的 Dart 源代码中,再进行最终编译。 这种方法虽然安全,但比较繁琐,且签名值每次变动都需要重新编译。
    • 策略三(更灵活): 签名和公钥以特定格式(如 JSON、自定义二进制格式)附加在二进制文件的末尾。在运行时,程序需要知道如何解析这些附加数据,并在计算哈希时排除它们。这需要对二进制文件格式有一定了解,或者约定一个简单的分隔符。

    我们主要关注策略二和三的结合:将公钥和签名以硬编码字符串形式嵌入,但签名是针对不包含签名和公钥本身的二进制文件的哈希。

    重新思考策略二的实现:

    1. AOT 编译 main.dart 到 my_app_unsigned
    2. 计算 my_app_unsigned 的哈希值 hash_of_unsigned_app
    3. 用私钥签名 hash_of_unsigned_app 得到 signature_value
    4. 将 public_key_pem_string 和 signature_value_base64_string 作为 Dart 常量写入一个新文件,例如 lib/app_integrity_constants.dart
    5. 修改 main.dart 导入 app_integrity_constants.dart
    6. 重新 AOT 编译 main.dart 到 my_app_final
    7. 在运行时,my_app_final 会读取 public_key_pem_string 和 signature_value_base64_string。它会尝试计算当前运行的 my_app_final 的哈希,然后用读取到的公钥和签名去验证。

    问题: my_app_final 的哈希会包含 public_key_pem_string 和 signature_value_base64_string,而 signature_value 是基于 my_app_unsigned 计算的。这两者不匹配。

    正确的策略(策略三的变种):将签名和公钥作为外部数据或者以一种可预测的方式附加到二进制文件尾部。

    我们选择一种相对简单且通用的方法:将签名和公钥作为硬编码字符串嵌入到 Dart 代码中,但哈希计算的目标是整个二进制文件。这意味着签名所覆盖的内容,也包括了它自身以及公钥。这并非完美,但对于大多数应用场景,它的简单性和有效性可以接受。如果攻击者修改了二进制文件,那么哈希值会改变,签名验证就会失败。如果攻击者同时修改了嵌入的签名或公钥,那么要么哈希值不匹配,要么公钥不对,签名验证依然失败。攻击者唯一能成功的方式是:修改了二进制文件,并用他们自己的私钥重新签名,然后将新的签名和对应的公钥嵌入到程序中。这时,我们需要确保我们的验证逻辑足够健壮,不被轻易替换。

    因此,我们采用如下流程:

    1. AOT 编译 bin/main.dart 到 my_app
    2. 计算 my_app 的完整哈希 H_app
    3. 使用私钥对 H_app 进行签名,得到 S_app
    4. 将 public_key_pem_string 和 S_app 的 Base64 编码字符串作为 Dart 常量嵌入到 lib/app_integrity_constants.dart
    5. 注意: 这一步需要循环。因为嵌入 public_key_pem_string 和 S_app 会改变 my_app 的内容,从而改变 H_app。理想情况下,我们需要一个固定的位置来存储这些,或者使用一个“两阶段”签名法:
      • a. 编译一个占位符版本。
      • b. 计算占位符版本的哈希。
      • c. 签名哈希。
      • d. 将签名和公钥嵌入到指定位置。
      • e. 重新编译,确保这些嵌入操作不会改变二进制文件的其他部分,或者只改变这些部分,而我们计算哈希时可以排除它们。

    更实际的流程:
    为了避免复杂的二进制文件解析和循环编译问题,我们采用一个更直接的方法:

    1. 最终编译前: 在 Dart 代码中预留好 const String _kEmbeddedPublicKey = '...'; 和 const String _kEmbeddedSignature = '...'; 的位置。
    2. 首次编译: 编译一个“占位符”版本,例如 dart compile exe bin/main.dart -o my_app_placeholder
    3. 计算哈希: 计算 my_app_placeholder 的完整 SHA-256 哈希 H_placeholder
    4. 签名: 使用私钥对 H_placeholder 进行签名,得到 S_placeholder
    5. 更新常量: 将你的公钥 PEM 字符串和 S_placeholder 的 Base64 编码填入 _kEmbeddedPublicKey 和 _kEmbeddedSignature
    6. 最终编译: 重新编译一次,得到 my_app_final注意: 此时 my_app_final 的哈希值已经与 H_placeholder 不同,因为它包含了 _kEmbeddedPublicKey 和 _kEmbeddedSignature
    7. 运行时验证: 在运行时,程序会计算 my_app_final 的哈希 H_runtime。然后尝试用 _kEmbeddedPublicKey 验证 _kEmbeddedSignature 是否是 H_runtime 的签名。
      问题: 这种方法依然存在哈希不匹配的问题,因为签名是针对 my_app_placeholder 的,而不是 my_app_final 的。

    解决哈希不匹配的通用方案:将签名和公钥附加到文件末尾。
    这需要一个额外的工具来处理。

    1. AOT 编译 bin/main.dart 到 my_app_executable
    2. 计算 my_app_executable 的 SHA-256 哈希 H_app
    3. 使用私钥对 H_app 进行签名,得到 S_app
    4. 将 S_app 和 public_key_pem_string 编码成一个结构(例如 JSON 或自定义格式),并将其附加到 my_app_executable 文件的末尾。
      • 例如:my_app_executable + 'START_SIGNATURE_BLOCK' + {signature_data_json} + 'END_SIGNATURE_BLOCK'
    5. 在运行时:
      • 程序读取自己 (my_app_executable) 的内容。
      • 找到并解析末尾的签名块。
      • 在计算哈希时,只计算签名块之前的部分
      • 使用解析出的公钥和签名验证这个哈希。

    这种方法要求程序能够精确地识别和排除签名块。这通常通过在签名块前添加一个已知魔术字符串 (magic string) 和签名块的长度来实现。

3.2 运行时验证阶段(应用程序启动时)

这个阶段在应用程序启动时,由应用程序自身执行。

  1. 获取自身路径: 应用程序需要知道自己作为可执行文件的路径。
  2. 读取自身内容: 应用程序以二进制流的形式读取自己文件的内容。
  3. 排除签名块(如果适用): 如果签名块被附加在文件末尾,应用程序需要计算一个排除这些部分的哈希值。
  4. 计算运行时哈希: 对程序文件(或其相关部分)计算 SHA-256 哈希值。
  5. 加载公钥与签名: 从嵌入的常量或外部资源中加载公钥和预存的数字签名。
  6. 验证签名: 使用公钥验证运行时哈希值与预存签名的匹配性。
  7. 处理验证结果:
    • 成功: 应用程序正常启动。
    • 失败: 应用程序应立即终止、记录错误、提示用户,甚至可以尝试报告(如果安全通道可用)。
3.3 关键挑战与解决方案
  • 自举问题: 应用程序如何验证自身?如果验证逻辑本身被篡改怎么办?
    • 解决方案: 将核心验证逻辑放置在二进制文件中难以篡改的区域,或者通过多层、分散的验证点来增加攻击难度。虽然无法100%防止最顶级的攻击者,但可以显著提高攻击门槛。
  • 跨平台兼容性: 获取自身路径、文件 I/O 在不同操作系统上有所不同。
    • 解决方案: Dart 的 dart:io 提供了跨平台的文件操作。对于获取可执行文件路径,Platform.executable 通常可用。对于更底层的操作,可能需要使用 dart:ffi 调用操作系统原生 API。
  • 性能开销: 对大型二进制文件进行哈希计算可能耗时,影响启动速度。
    • 解决方案:
      • 在开发阶段进行性能测试。
      • 考虑使用更快的哈希算法(如果安全性允许)。
      • 哈希关键代码段而非整个文件(复杂)。
      • 首次启动时进行完整检查,后续启动时可以考虑缓存哈希结果(但缓存本身需要保护)。
  • 攻击者如何绕过: 攻击者可能尝试修改验证逻辑本身、替换嵌入的公钥、或者简单地 Hook exit() 函数。
    • 解决方案:
      • 代码混淆: Dart AOT 支持一定程度的混淆,使得逆向工程更困难。
      • 反调试/反篡改技术: 利用 dart:ffi 调用 OS API 检测调试器、检测内存修改等(高级且复杂)。
      • 分散验证点: 在程序的不同模块和生命周期阶段进行多次验证。
      • 安全退出: 在验证失败时,确保程序以一种难以被 Hook 或绕过的方式安全终止。

第四部分:详细实现:从构建到运行

我们将重点实现上述将签名和公钥附加到文件末尾的策略。这需要一个外部工具来执行附加操作,以及 Dart 应用程序内部的解析和验证逻辑。

4.1 预编译与签名流程(外部脚本与工具)

1. 生成密钥对 (如果尚未生成):

2. Dart AOT 编译应用程序:
假设你的主 Dart 文件是 bin/main.dart

3. 创建一个 Python 脚本来附加签名和公钥:
这个脚本将执行哈希、签名和附加操作。

sign_and_attach.py

运行签名脚本:

现在 my_app 文件末尾将包含一个 JSON 格式的签名块。

4.2 运行时验证流程(Dart 应用程序内部)

Dart 应用程序需要实现以下功能:

  1. 获取自身路径。
  2. 以二进制模式读取自身文件内容。
  3. 解析文件末尾的签名块: 查找魔术字符串,提取 JSON 数据。
  4. 计算“干净”的哈希: 只对签名块之前的文件内容计算哈希。
  5. 验证签名。
  6. 根据结果采取行动。

lib/integrity_checker.dart (更新)

bin/main.dart

4.3 深入探讨:要哈希什么?

正如我们前面讨论的,选择要哈希的文件区域是关键。

  • 哈希整个文件: 最简单,但如果签名和公钥嵌入在文件中,会导致循环依赖。
  • 哈希文件特定部分(排除签名块): 这是我们目前采用的策略。通过在文件末尾附加一个可识别的签名块,并在计算哈希时将其排除,解决了循环依赖问题。这种方法相对健壮,因为它确保了应用程序的核心逻辑未被修改。
  • 哈希关键代码/数据段: 最复杂,需要深入了解操作系统加载器如何处理 ELF/PE/Mach-O 文件,以及哪些内存区域包含可执行代码和只读数据。这通常需要使用 dart:ffi 调用 mmap 或 VirtualQuery 等 OS API 来精确识别和读取这些段。对于跨平台 Dart 应用程序来说,实现难度极高,且维护成本大。一般不推荐在应用层直接实现。

表格:不同哈希策略的对比

策略 优点 缺点 适用场景
整个文件哈希 实现最简单,无需特殊文件解析 如果签名/公钥嵌入,会造成循环依赖;无法区分核心代码与附加数据 签名/公钥在外部存储或硬编码(但哈希包含自身)
排除签名块哈希 解决循环依赖;相对简单易实现;保护核心代码 需要约定签名块格式和位置;需要文件解析逻辑 大多数需要运行时完整性检查的 Dart AOT 应用
哈希特定代码/数据段 精确保护核心逻辑;对文件格式变化更具弹性 实现极其复杂,依赖 OS 和文件格式细节;跨平台困难 对安全性要求极高,且有足够资源投入的特定平台应用

我们选择的“排除签名块哈希”策略在实现复杂度和安全性之间取得了良好的平衡,适合大多数 Dart AOT 应用程序。

第五部分:增强韧性与对抗篡改

仅仅进行一次启动时的完整性检查是不够的。高级攻击者可能会尝试绕过这些检查。

  1. 代码混淆:
    Dart AOT 编译器在发布模式下会自动进行符号混淆,使得逆向工程更困难。但是,这通常不包括字符串字面量和反射信息。可以考虑使用第三方混淆工具。

  2. 反调试与反篡改技术 (FFI):

    • 检测调试器: 利用 dart:ffi 调用操作系统原生 API。
      • Windows: IsDebuggerPresent 或 CheckRemoteDebuggerPresent
      • Linux: 检查 /proc/self/status 中的 TracerPid 字段。
      • macOS: 调用 sysctl 或 ptrace
    • 内存完整性检查: 定期对关键代码段在内存中的哈希进行验证。这比文件哈希更复杂,因为代码段在内存中是可执行的,可能被动态链接器修改。
    • 代码自校验: 在程序运行时,关键函数可以在执行前计算自身的哈希并与预存值比较。

    示例 (Linux 反调试简略 FFI):

    lib/native_antidebug.dart

    在 main.dart 中调用 AntiTamper.runAntiTamperChecks() 即可。

  3. 多点检查与冗余:
    不要只在启动时检查一次。在应用程序的关键操作之前、定期(例如每隔几分钟)或在访问敏感数据时,都可以重新触发完整性检查。如果每次都进行完整的哈希计算,性能会是问题,可以考虑哈希更小的关键模块。

  4. 安全退出机制:
    当检测到篡改时,程序应该以一种难以被攻击者拦截或绕过的方式终止。例如,不直接调用 exit(0) 或 exit(1),而是触发一个硬件级别的重启,或者通过注入一个非法指令来导致程序崩溃(但这可能导致不友好的用户体验)。

  5. 密钥保护:
    公钥虽然公开,但如果攻击者能够替换应用程序中的公钥,并用自己的私钥重新签名,那么整个机制就失效了。因此,公钥的存储和加载过程也需要尽可能地安全。

    • 硬编码: 简单但容易被替换。
    • 加密存储: 在运行时解密公钥,但密钥管理又成为新问题。
    • 远程获取: 从受信任的服务器获取公钥,但需要安全通信通道。
    • 硬件安全模块 (HSM) 或可信平台模块 (TPM): 在嵌入式设备或某些服务器环境中,可以利用这些硬件来安全存储和使用密钥。

第六部分:限制、权衡与未来方向

6.1 固有局限性
  • 没有绝对安全: 任何客户端侧的保护措施都可能被足够专业的攻击者绕过。攻击者拥有对执行环境的完全控制权,可以修改内存、替换文件、绕过 API 调用。
  • 性能开销: 运行时哈希计算和签名验证会引入启动延迟。对于大型应用程序,这可能是一个显著的考虑因素。
  • 复杂性: 跨平台实现文件解析、FFI 调用、反调试等技术会大大增加开发和维护的复杂性。
  • 误报风险: 某些系统工具(如防病毒软件、系统更新)可能在不改变应用程序恶意性的情况下修改二进制文件,导致误报。
6.2 权衡与选择

在实际项目中,我们需要根据应用程序的敏感程度、目标用户群体、开发资源和性能要求来权衡这些因素。

  • 对于大多数通用应用程序,我们实现的这种“排除签名块哈希”的启动时检查,结合 Dart 自身的混淆,已经能够提供一个不错的安全基线。
  • 对于金融、游戏等高价值目标应用程序,可能需要投入更多资源,探索更深层次的反调试、内存保护和多点检查策略。
6.3 未来方向与高级安全机制
  1. 远程认证 (Remote Attestation): 应用程序在启动时向远程服务器证明其自身的完整性。服务器验证成功后,才允许应用程序继续执行核心功能或提供敏感数据。这依赖于可信计算基 (TCB) 和安全通信。
  2. 可信平台模块 (TPM) / 安全启动 (Secure Boot): 在硬件层面,TPM 和 UEFI Secure Boot 可以在操作系统启动前验证整个软件栈的完整性,从而为应用程序提供一个更可信的执行环境。
  3. 硬件安全模块 (HSM): 对于私钥的存储和签名操作,HSM 提供了最高级别的物理和逻辑保护,防止私钥泄露。

结语

Dart AOT 二进制文件的运行时完整性检查是一项多层次、持续演进的工作。通过深入理解密码学原理,精心设计签名与验证架构,并结合适当的反篡改技术,我们能够显著提升 Dart 应用程序的安全性。但这并非一劳永逸,我们需要时刻警惕新的攻击手段,并不断迭代和完善我们的安全防御策略,以应对日益复杂的网络威胁。安全性始终是一个动态平衡的过程,需要开发者社区的共同努力和持续投入。

参考链接

Dart AOT 二进制文件的完整性检查:运行时的签名验证与篡改检测

逆向工程框架——Ghidra的简单使用

背景

Ghidra是由NSA开发的软件逆向工程(SRE)框架。 它有助于分析恶意代码和病毒等恶意软件,并可以让网络安全专业人员更好地了解其网络和系统中的潜在漏洞。

美国国家安全局在2019年3月举行的2019年RSA会议上首次公开演示时,将Ghidra作为开放源代码发布给公众。

GitHub地址:

https://github.com/NationalSecurityAgency/ghidra.git

前置环境

宣称可以在以下三个环境运行(暂时支持64位的系统)

  • Microsoft Windows 7 or 10 (64-bit)
  • Linux(64-bit, CentOS 7 is preferred)
  • macOS (OS X) 10.8.3+ (Mountain Lion or later)

使用

创建项目

windows直接双击ghidraRun.bat打开(linux和mac可以执行ghidraRun脚本)

首先我们创建一个project(上图我是已经新建了一个叫做test的项目)

选择Non-Shared Project (另一个选择Shared Project是会在本地监听一个端口,方便分享)

接下来填好路径和项目名就可以了

反编译程序

导入要分析的二进制文件,都选择默认选项就行

之后你导入的二进制文件就会出现在project下面(我的项目名是test)

双击对应的文件即可开始分析该文件,下面以Reverse-org.exe为例,双击后选择分析

然后选择分析选项

那怎么找到main函数呢 我们可以找到左边的functions,找到entry(当然有些程序直接有main,或者_start等关键字)

通过Filter搜索可以更快一点,双击即可再右边看到entry代码

查看反编译,对逆向熟悉的就知道下面这个就是main函数了

双击即可跳到面函数处,反编译窗口下拉即可看到main的代码

看函数的流程图可以点这个

最后说说现在想到的一些快捷键

  • g 跳到对应的地址
  • f 创建函数
  • ; 添加注释
  • L 重命名变量名,函数名

总结

试了下,发现几点

  • 可以对mips架构的程序进行反编译,这个比ida要好(官方说支持各种处理器指令集,试了下SPARC架构也可以,真牛逼!!!)
  • 反编译的c++代码好像更加简洁
  • 支持多平台,这个不错
  • 更重要的,开源,免费

缺点:不熟悉操作,暂时感觉没有ida方便,没发现有调试功能

参考链接

ubuntu 22.04.3 执行更新报错 Segmentation fault (core dumped)

最近有台设备意外关机重启,经过磁盘文件损坏修复,可以成功进入系统。但是执行更新命令的时候报错 Segmentation fault (core dumped),如下:

观察输出日志,锁定文件 /usr/lib/cnf-update-db,于是查看文件内容,发现是个 Python3 的脚本,里面的内容如下:

于是逐行执行脚本,发现执行到 from CommandNotFound.db.creator import DbCreator 出现闪退。

观察系统日志:

从系统日志上可以看到 libsqlite3 调用的数据库出现异常了,要么是数据库出问题,要么安装包出问题。更高概率是某个数据库文件出现问题了,那到底是哪个数据库文件呢?

我们不妨卸载重装一下 command-not-found,如下:

结果问题依旧,那么是不是 /var/lib/command-not-found 这个目录下的数据库导致的呢?我们观察数据库文件:

可以看到,这个目录下恰好有 libsqlite3 调用的数据库文件,我们删除这个目录,然后重启系统。

结果出乎意外的修复了这个问题。

参考链接

Ubuntu镜像源cn.arichinve.ubuntu.com自动跳转到清华镜像

Ubuntu 更新系统

在执行后,发现输出如下信息:

我明明记得源配置的是 cn.archive.ubuntu.com ,但是发现,系统更新时,自动去找了清华大学的Ubuntu源。

查看系统的 /etc/apt/sources.list 里面配置的也是 cn.archive.ubuntu.com

带着很多问号,在浏览器打开 https://cn.archive.ubuntu.com,发现网站已经自动跳转到清华镜像站了。

如果配置了防火墙过滤的场景需要特别注意这种情况。

参考链接

Ubuntu镜像源cn.arichinve.ubuntu.com不可用原因分析和解决

利用Flutter构建无界面交互的后台服务应用,涵盖Isolate并发编程、平台通道进阶使用、后台任务调度

1. 当Flutter遇见无界面服务

"那个开发跨平台UI的神器,居然能用来写后台服务?"这是我在2023年GitHub Trending上看到Flutter新增的后台执行功能时发出的惊叹。传统的Flutter开发总是与Material Design、Widget树等可视化元素紧密相连,但今天我们要探讨的是一个完全不同的维度——利用Flutter构建不需要任何用户界面的后台服务应用。

这种模式特别适合需要长期驻留的任务处理场景,比如数据同步、定时巡检、消息队列消费等。想象一下,你的手机应用在后台默默完成照片云端备份,或者智能家居网关持续处理传感器数据,这些都是无界面服务的典型应用场景。

2. 技术实现基础架构

2.1 Isolate的深度应用

这个示例展示了如何创建独立的Isolate进行后台数据处理。通过ReceivePort/SendPort实现进程间通信,主Isolate可以灵活控制后台任务。注意这里使用了Dart 3.0的增强型模式匹配语法,使得消息处理更加优雅。

2.2 后台服务生命周期管理

这个管理器类实现了服务的单例管理、健康检查等核心功能。通过隔离的构造函数参数控制,确保后台服务的稳定运行。特别要注意Isolate的异常捕获机制,建议在实战中增加错误处理回调。

3. 关键技术深度解析

3.1 平台通道的进阶使用

在Android端需要实现Foreground Service时,可以通过平台通道调用原生API。这里演示了如何启动前台服务并传递通知参数,注意不同Android版本的后台限制差异,建议结合WorkManager实现兼容方案。

3.2 后台任务调度策略

这个任务调度器实现了优先级队列管理和智能延迟执行,通过Isolate.run简化了并发任务处理。在真实场景中,需要结合设备状态(网络、电量等)动态调整执行策略。

4. 典型应用场景剖析

某电商应用的实践案例:他们的价格监控服务需要每小时抓取30个竞品网站的价格数据。传统方案使用服务器端执行,但遇到动态反爬机制时效果不佳。改用Flutter无界面服务后:

  1. 利用设备分散执行降低IP封锁风险
  2. 客户端直接处理数据减少服务器压力
  3. 离线时自动缓存任务,网络恢复后批量提交
  4. 用户隐私数据全程不离开设备

实测结果显示数据采集成功率从68%提升至92%,服务器成本降低40%。这个案例充分体现了客户端计算的优势。

5. 技术方案优劣评估

优势维度:

  • 开发效率:复用现有Flutter代码库
  • 跨平台一致性:一套代码覆盖Android/iOS
  • 资源利用:客户端计算减轻服务器负担
  • 隐私安全:敏感数据无需离开用户设备

挑战要点:

  • 后台执行时间限制(iOS严格限制30秒)
  • 设备资源的不确定性(电量、网络波动)
  • 调试复杂度高于传统服务端开发
  • 平台政策风险(后台服务滥用可能导致应用下架)

某金融App的教训:他们在Android端过度使用后台定位服务,导致应用被Google Play临时下架。这提示我们需要合理设计后台服务的触发频率和资源占用。

6. 开发注意事项清单

  1. 电量优化策略:使用Android的JobScheduler或iOS的BGTaskScheduler
  2. 内存警戒线:Android后台进程建议不超过40MB内存占用
  3. 平台政策红线:仔细阅读Apple的《App Store审核指南》第4章
  4. 异常熔断机制:连续失败3次的任务应进入休眠状态
  5. 本地化存储规范:使用Isolate的专用存储空间避免并发冲突
  6. 跨版本兼容方案:为Android 12+的精确闹钟权限准备降级方案

某智能家居App的实践:他们为后台服务设计了三级降级策略(立即执行->等待充电->WiFi环境),使设备指令送达率从79%提升至98%。

7. 未来演进方向

Google正在推进的Flutter Background Isolate框架值得关注,该方案将提供:

  • 统一的任务队列管理
  • 跨平台的后台唤醒机制
  • 智能资源调度接口
  • 增强型调试工具链

早期测试显示,新框架可使后台服务的启动时间缩短60%,内存占用降低35%。建议保持对Flutter Dev Channel更新的关注,及时获取最新特性。

参考链接

利用Flutter构建无界面交互的后台服务应用,涵盖Isolate并发编程、平台通道进阶使用、后台任务调度

鸿蒙Flutter开发中集成Webview

主要有两种方案

使用第三方库

使用 flutter_inappwebview 插件,在 pubspec.yaml 文件中配置:

或者使用 fluttertpc_flutter_webview_plugin 插件,在 pubspec.yaml 文件中配置:

编写原生 ArkTS 代码实现 PlatformView
创建 entryablitiy

src/main/module.json5 中配置 ablitiy

cat src/main/entryablity/CustomFactory.ets

cat src/main/entryablity/CustomPlugin.ets

cat src/main/entryablity/CustomView.ets

cat src/main/entryablity/EntryAbility.ets

创建 pages

cat src/main/ets/pages/index.ets

src/main/resources/base/profile/main_page.json 中配置路由

在 Dart 侧调用该 PlatformView

参考链接

鸿蒙Flutter实战:03-鸿蒙Flutter开发中集成Webview

当笔记本电脑盖子关闭时如何禁用指纹认证(ubuntu 24.04)?

To disable fingerprint authentication when the laptop lid is closed, and re-enable when it is reopened, we will use acpid to bind to the button/lid.* event to a custom script that will stop and mask the fprintd service on lid close, and unmask and start the fprintd service on lid open.

We also check that the HDMI cable is connected by testing the contents of /sys/class/drm/card1-HDMI-A-1/status.

Follow the steps below: (ThinkPad T440 ubunu 24.04)

  1. Create file /etc/acpi/laptop-lid.sh with the following contents:

  2. Make the file executable with

  3. Create file /etc/acpi/events/laptop-lid with the following contents:

  4. Restart the acpid service with:

Now the fingerprint will be used only when the lid is open.

In order to restore the correct state of the fprintd service if you disconnect/reconnect while the laptop is off, you may call the above script from a systemd init file. The steps to do this are the following:

  1. Create a file named /etc/systemd/system/laptop-lid.service with the following contents:

  2. Reload the systemd config files with

  3. Start the service with

  4. Enable the service so that it starts automatically on boot

    Now the status should be correct even after connecting/disconnecting when the computer is off.

    References used for creating the code in the answer:

参考链接