之前一直觉得 IPA 只要编译成二进制了就不容易被看穿直到有次把自己打的包拖进 Class-dump 看了一眼——所有的类名、方法名都原样暴露业务模块的分层逻辑顺着命名一目了然。从那之后每次发版前都会把代码混淆加进流程里。代码保护主要防什么iOS 应用面临的安全风险主要有几类逆向工程通过 Class-dump、Hopper 等工具分析二进制、资源盗用图片、配置被直接解包拿走、调试注入运行时附加调试器或篡改进程。对应到保护手段比较有效的是代码混淆、资源文件保护和调试信息清理三者覆盖了不同层面。代码混淆 类和方法的处理方式IpaGuard 的代码混淆模块界面分为 OC 和 Swift 两类。操作流程在代码模块里选择可执行二进制文件工具会自动扫描出所有类和方法的列表并按风险等级标注。配置时几个关键选项需要注意风险等级供参考但最终是否混淆还是要结合实际测试判断。对于动态调用或反射调用的类混淆后可能会运行时出错建议先在小范围测试。模式分为白名单和黑名单白名单只混淆勾选的项黑名单跳过勾选的项、其余全混淆——第一次用建议白名单模式从低风险类开始逐步扩大范围。处理强度控制混淆后字符串的可读性强度越高越不可读但也要测试是否影响正常运行。资源文件保护 不只是改名字资源文件也是容易被忽略的安全缺口。IpaGuard 对图片、JS、MP3、XIB、SB、JSON、HTML 等文件进行名称混淆使文件名称失去语义。同时还支持修改文件的 MD5 和 UDID 值降低同一框架被判定为抄袭的风险。图片可以添加不可见水印不影响显示效果但能标记来源。HTML、JS 和 CSS 文件还会做压缩处理减少尺寸的同时降低可读性。调试信息清理与重签名验证开发完成后 IPA 里可能残留调试符号和日志输出IpaGuard 可以清理这些调试信息。开始处理后生成的混淆包用开发证书重签名就能装到设备上测试验证功能是否正常。配置完成后可以保存配置下次发版直接加载不用重复设置。保护层次的选择不同项目对安全的需求不一样。小规模应用做代码混淆和资源文件改名基本够用涉及支付或用户数据的应用建议叠加调试信息清理和签名校验。