【iOS-iap防护】验证用户付费收据!拒绝iap Cracker!拒绝iap Free!让iphone越狱用户无从下手!(作者新浪微博: @李华明Himi )

本文详细介绍如何防止iOS应用内的付费产品被越狱用户利用iapCracker破解,通过与Apple服务器验证购买收据确保交易真实有效。

对于iOS的应用安全这块主要有两块是我们开发者可以避免的,一个是存储数据加密,这个在上一篇文章Himi介绍了base64加密算法;另外一个就是付费产品防护!那么本篇Himi来分享如何防护越狱用户的iap Cracker!

对于iap Cracker这个插件,Himi简单介绍下!

iap Cracker可以说是iOS越狱用户的终极利器阿,当今app Store的所有内置收费的游戏,基本使用此插件进行秒购买无压力!(对于那些收费下载的游戏,对于越狱用户来说,安装个XX助手<你懂得~>就可以免费体验app store的所有游戏,不管你下载收费还是内置收费!)

iap Cracker能绕过appstore的付费流程,其方式是当用户点击付费产品进行购买后,iap Cracker模拟返回一个购买成功的消息(无需联网,说白了,连post 数据给App store都没有!),然后我们应用中收到这个“假的”交易成功的消息直接给用户加钱,加装备,加各种….

OK,对于iap Cracker就不再多介绍了,下面Himi来分享如何防护iap Cracker吧;

对于越狱用户使用付费破解插件进行付费这个问题,其实Apple并没有不管,而是已经在文档中清晰的说明,只是很多童鞋并没有发现,如下截图:

apple提示开发者付费要进行验证付费收据! 原文apple dev官方文档连接:

https://developer.apple.com/library/ios/#documentation/NetworkingInternet/Conceptual/StoreKitGuide…

  下面Himi就详细讲解如何在我们付费流程中加入iap防护,步骤如下:

1. 首先将 json类库和NSData+Base64类导入你的项目中,下载:

    “json_base.zip” 下载地址:  http://vdisk.weibo.com/s/hq1Qk

2. 然后将Himi封装的如下函数拷贝到你付费代码所在的类中:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
.h中:
-( BOOL )putStringToItunes:(NSData*)iapData;
 
.m中:
 
#import "NSData+Base64.h"
#import "NSString+SBJSON.h"
#import "JSON.h"
 
-( BOOL )putStringToItunes:(NSData*)iapData{ //用户购成功的transactionReceipt
 
     NSString*encodingStr = [iapData base64EncodedString];
 
     NSString *URL=@ "https://sandbox.itunes.apple.com/verifyReceipt" ;
     NSMutableURLRequest *request = [[NSMutableURLRequest alloc] init]; // autorelease];
     [request setURL:[NSURL URLWithString:URL]];
     [request setHTTPMethod:@ "POST" ];
     //设置contentType
     [request addValue:@ "application/json" forHTTPHeaderField:@ "Content-Type" ];
     //设置Content-Length
     [request setValue:[NSString stringWithFormat:@ "%d" , [encodingStr length]] forHTTPHeaderField:@ "Content-Length" ]; 
 
     NSDictionary* body = [NSDictionary dictionaryWithObjectsAndKeys:encodingStr, @ "receipt-data" , nil];
     SBJsonWriter *writer = [SBJsonWriter new ];
     [request setHTTPBody:[[writer stringWithObject:body] dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES]];
     NSHTTPURLResponse *urlResponse=nil;
     NSError *errorr=nil;
     NSData *receivedData = [NSURLConnection sendSynchronousRequest:request
                                                  returningResponse:&urlResponse
                                                              error:&errorr];
 
     //解析
     NSString *results=[[NSString alloc]initWithBytes:[receivedData bytes] length:[receivedData length] encoding:NSUTF8StringEncoding];
     CCLOG(@ "-Himi-  %@" ,results);
     NSDictionary*dic = [results JSONValue];
     if ([[dic objectForKey:@ "status" ] intValue]==0){ //注意,status=@"0" 是验证收据成功
         return true ;
     }
     return false ;
}

接着说下此方法的使用,一般付费代码中,童鞋们肯定会有如下函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
- ( void )paymentQueue:(SKPaymentQueue *)queue updatedTransactions:(NSArray *)transactions //交易结果
{
     for (SKPaymentTransaction *transaction in transactions)
     {
         switch (transaction.transactionState)
         {
             case SKPaymentTransactionStatePurchased: //交易完成
                  if ([self putStringToItunes:transaction.transactionReceipt]){
                      //这里给用户添加钱阿,装备阿什么的
                  }
                    break ;
              ......代码省略
          }
      }
}

上面这个函数当获取交易成功的消息都会进入到SKPaymentTransactionStatePurchased这个case中(不管是iap cracker模拟的还是appstore真的反馈的消息), 那么我们一般不做iap防护情况下,会直接在此case中给用户添加金币阿,什么的! 但是如上所说因为iap cracker也会模拟返回交易成功的消息,也会进入到这个case中,因此我们在此与appstore再次进行一次收据验证!

另外说一点当交易完成时appstore传回来的transaction(SKPaymentTransaction)类中的transactionReceipt属性里包含AppStore返回经过签名的收据信息!OK,我们要的就是这个收据并将此收据post给appstore 的server进行收据验证,所以在SKPaymentTransactionStatePurchased这个交易成功的case中再调用Himi封装的函数if([self putStringToItunes:transaction.transactionReceipt]){} 进行再次确认下购买是否付费流程正确!

那么下面详细说下Himi封装的这个putStringToItunes函数:

此函数中,首先我们将传入的收据data类型变量进行base64转换成string类型,然后将此收据以json的形式发送给appstore进行验证!这里注意!一定要以json形式发送,否则appstore server端不识别!

最后再次利用json对appstore server返回的字段(json数据)进行解析,我们只需要解析出 status 这个key的value即可!

当appstore验证收据正确时我们解析出来的 status 这个key的value值为0(零)!

下面是appstore返回json数据的两种形式:

1. 收据无效的情况:

1
{ "status" :21002, "exception" : "java.lang.NullPointerException" }

2.收据正确的情况,如下图(点击放大):


最后大家需要注意的一点是,Himi封装的函数中post的地址这里要记得发布的时候修改!

      因为当你沙盒测试的时候地址是:https://sandbox.itunes.apple.com/verifyReceipt

      但是正式发布后post的地址应该是:  https://buy.itunes.apple.com/verifyReceipt

千万不要发布应用的时候别忘记修改这里!

OK,本篇就介绍到这里,希望对还没有做iap防护的童鞋有所帮助!

 

—————2012年5月2日更新:

对于iap 的防护,现在除了iap cracker之外,那么最主要的就是国人的iap free这个插件了,那么对于iap free的防护,如果我们仅仅只是跟apple的服务器进行验证收据,那么iap free照样能破解我们的游戏/软件!

我这里先大概说下iap free

iap free的功能与iap cracker功能类似,只是更加强大的iap free能在你与apple服务器进行验证收据的步骤中进行截取,并返回一个模仿apple返回的假收据!这么一说大家就很清楚了,我们上面说的iap 验证收据变得毫无意义,但是不要着急,这里Himi将iap free的假收据形式打印了出来,大家对比看下就知道该如何来做iap free的防护了:

上图就是iap free制作的假收据啦,那么至于如何继续做防护,我想这里不需要再多解释了,毕竟有政策就有对策;大家发挥吧~

另外说一点,当用户在无网的情况下购买任何产品,肯定只有两种情况,1.越狱机器想破解。2.忘记;

那么我们可以使用下面这段代码判断当前ios设备是否联网了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
-( BOOL )isNetworkOK{
     struct sockaddr_in zeroAddress;
     bzero(&zeroAddress, sizeof (zeroAddress));
     zeroAddress.sin_len = sizeof (zeroAddress);
     zeroAddress.sin_family = AF_INET;
     SCNetworkReachabilityRef defaultRouteReachability = SCNetworkReachabilityCreateWithAddress(NULL, ( struct sockaddr *)&zeroAddress);
     SCNetworkReachabilityFlags flags; 
 
     BOOL didRetrieveFlags = SCNetworkReachabilityGetFlags(defaultRouteReachability, &flags);
     CFRelease(defaultRouteReachability); 
 
     if (!didRetrieveFlags)
     {
         NSLog(@ "Error. Could not recover network reachability flags" );
         return NO;
    
 
     BOOL isReachable = flags & kSCNetworkFlagsReachable;
     BOOL needsConnection = flags & kSCNetworkFlagsConnectionRequired;
     return (isReachable && !needsConnection) ? YES : NO;
}

项目中添加    SystemConfiguration.framework

然后在导入 :

  #import <SystemConfiguration/SCNetworkReachability.h>

      #import <netinet/in.h>

内容概要:本文围绕“考虑电能交互的冷热电区域多微网系统双层多场景协同优化配置”的Matlab代码实现展开,提出一种结合电能交互机制的双层优化模型,用于解决冷、热、电多能耦合背景下多微网系统的协同规划与运行问题。研究采用多场景分析方法应对可再生能源出力与负荷需求的不确定性,通过上层规划设备容量配置与下层优化多时段运行策略的联动,提升系统在复杂环境下的经济性、鲁棒性与能源利用效率。所提供的Matlab代码集成了建模、求解(如YALMIP+CPLEX)与结果可视化全流程,涵盖场景生成与削减、双层优化结构设计及多能流协同调度等关键技术环节,为综合能源系统优化提供了完整的算法实现与技术参考。; 适合人群:具备电力系统、综合能源系统或优化建模背景,熟悉Matlab编程与数学规划方法,正在从事相关领域科研或工程设计工作的研究生、高校研究人员及能源行业技术人员。; 使用场景及目标:①开展冷热电联供(CCHP)多微网系统的容量规划与运行优化研究;②支撑含分布式能源、储能及多能转换设备的综合能源系统多目标、多场景优化建模;③学习与复现双层优化、分布鲁棒优化及场景分析等先进优化方法在能源系统中的实际应用。; 阅读建议:建议结合配套文献与代码同步研读,重点理解双层模型的构建逻辑、变量耦合关系与求解技巧,关注场景生成方法与YALMIP调用细节,通过调整参数、修改目标函数等方式进行仿真实验,以深化对系统优化机理的掌握。
内容概要:本文系统研究了单相逆变器闭环控制下的PWM调制模型,基于Simulink平台构建完整的逆变电路仿真系统,涵盖主电路拓扑、闭环控制器设计、脉宽调制信号生成及输出滤波等关键环节。通过引入比例积分(PI)反馈控制策略,实现对输出电压幅值与波形的精确调节,有效抑制负载扰动带来的影响,提升系统的动态响应能力与稳态精度。仿真过程详细展示了系统建模、参数整定及性能验证的全流程,重点分析了闭环控制在改善输出正弦波质量、降低谐波畸变率方面的优势,为电力电子逆变装置的研发与优化提供了可靠的理论支撑与实践参考。; 适合人群:具备电力电子技术、自动控制原理基础知识及相关仿真经验的高校研究生、科研人员,以及从事新能源发电、不间断电源(UPS)、微电网、电动汽车等领域的工程技术人员。; 使用场景及目标:①掌握单相逆变器闭环控制系统的设计与建模方法;②深入理解PWM技术与反馈控制在逆变系统中的协同工作机制;③通过Simulink仿真平台完成系统搭建与参数调试,服务于课程设计、毕业课题、科研项目或工业产品开发中的逆变器控制算法验证。; 阅读建议:建议结合经典控制理论与电力电子变换技术同步学习,动手复现仿真模型并尝试调整PI控制器参数、载波频率等关键变量,观察其对系统稳定性与输出性能的影响,从而深化对控制机理的理解,并为进一步研究并网逆变、多电平逆变等复杂系统打下坚实基础。
代码转载自:https://pan.quark.cn/s/36f2a379e44e 所讨论的核心内容涉及运用Keras所训练的`.h5`模型对实例进行检测,此任务在深度学习领域内十分普遍。`.h5`作为Keras库保存模型构造与权重的文件类型,使得训练后的模型能够被储存,并在必要时被载入以执行预测操作。在开始前,务必确认已配置好Python 3.6的环境,并安装了opencv及Keras相关库。本案例中选用的数据集是MNIST,它是一个常用于手写数字识别的标准数据集。MNIST中的图像均为28x28像素的灰度图,因此在测试个人图像时,也需将其调整为相同的图像规格。若手写数字的背景并非黑色,比如呈现白底黑字的情况,可能会对模型的识别能力产生影响,因为模型在训练阶段所适应的是黑底白字的图像。因此,在测试阶段,必须保证图像被转换为黑底白字的格式。测试代码的主要步骤包括:首先,运用`load_model`函数载入`.h5`模型文件,例如使用`model = load_model(fm_cnn_BN.h5)`进行操作。其次,通过`cv2.imread`函数读取图像,再借助`cv2.cvtColor`函数将图像从RGB色彩空间转换为灰度色彩空间。同时,要确保图像的尺寸与训练模型时的输入尺寸相匹配,一般设定为28x28像素。接着,利用`reshape`方法将图像数据调整至模型所要求的维度。对于MNIST数据集而言,这通常意味着将图像转化为一个一维数组,其形状为`(1, 1, 28, 28)`,其中1代表批次大小,其余部分则分别表示图像的通道数、宽度和高度。然后,对数据进行标准化处理,将像素值缩放到0到1的范围内,这通常通过除以255来实现。最后,运用`predict_cl...
内容概要:本文系统阐述了基于数据驱动的模型预测控制(MPC)方法在电力系统机组组合优化中的应用,并以IEEE24节点系统为案例进行了Matlab代码实现。该方法融合实际运行数据,充分发挥MPC滚动优化与反馈校正的优势,对发电机组的启停计划与出力进行多时段动态优化,旨在实现电力系统运行的经济性、安全性与可靠性的协同提升。研究内容涵盖优化模型的数学构建、系统约束(如功率平衡、机组爬坡率、最小启停时间等)的处理、多目标函数(如燃料成本、启停成本)的设计,以及在MPC框架下的高效求解流程,充分体现了数据驱动方法与先进控制理论在复杂电力系统调度决策中的深度集成与优越性。; 适合人群:具备电力系统分析、优化理论基础及一定Matlab编程能力的研究生、高校科研人员以及从事电力系统调度、能源管理等领域的工程技术人员。; 使用场景及目标:①应用于电力系统日前或实时调度中的机组组合问题,为调度员提供科学决策支持;②研究在风电、光伏等新能源出力具有强不确定性的背景下,数据驱动的MPC策略如何提升调度方案的适应性与鲁棒性;③为电力系统优化算法的研究、开发与仿真验证提供一个结构清晰、可复现的技术范例和代码参考。; 阅读建议:建议读者结合所提供的完整Matlab代码与IEEE24节点标准系统的详细参数,分模块调试与运行程序,深入理解从数据预处理、模型构建到MPC滚动求解的全过程。在掌握核心逻辑后,可进一步尝试引入更复杂的实际约束条件,或将其拓展应用至其他节点系统或不同的不确定性建模场景中,以深化对方法的理解与创新能力。
内容概要:本文提出了一种考虑阶梯式碳交易与供需灵活双响应的综合能源系统优化调度模型,并通过Matlab代码实现。该模型深度融合了阶梯式碳交易机制与电力系统中需求侧及供给侧的灵活响应能力,构建了一个涵盖电、热、气等多种能源形式耦合的综合能源系统框架。通过引入阶梯碳价机制,有效激励系统低碳运行,同时结合需求响应与供给调整的协同优化策略,显著提升了系统运行的经济性与环保性。研究采用先进的数学优化方法对模型进行求解,实现了对系统内各能源单元出力、储能设备调度、负荷转移等关键变量的全局最优配置,为实现能源高效利用与碳排放最小化的双重目标提供了科学支撑。; 适合人群:具备电力系统、能源系统建模或优化调度等相关背景的科研人员与工程技术人员,特别适合从事综合能源系统规划、低碳调度策略、碳交易机制设计等方向研究的研究生及高校教师。; 使用场景及目标:①深入研究阶梯式碳交易机制在综合能源系统中的建模方法与应用效果;②实现供需双侧灵活互动下的系统经济性与低碳化协同优化调度;③为区域能源系统的低碳转型提供量化分析工具与决策支持依据;④作为Matlab平台下能源系统优化建模的教学案例或科研复现参考。; 阅读建议:建议读者结合提供的Matlab代码逐行解析模型构建过程,重点掌握目标函数与约束条件的数学建模逻辑及其程序实现方式。在学习过程中应积极尝试调整碳价阶梯参数、改变负荷响应场景以观察系统优化结果的变化,从而深化对模型机理的理解。同时,可将本模型与单一碳价或其他需求响应模型进行对比分析,进一步拓展研究视野与创新思路。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值