2. 程式人生 > >Android 混淆 (不定期完善第三方混淆規則)

Android 混淆 (不定期完善第三方混淆規則)

阿新 發佈:2019-01-31

開啟混淆

在AS中,藉助於SDK中自帶的Proguard工具,開啟混淆只需要在release閉包中新增如下兩行程式碼:

        release {
            minifyEnabled true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }

其中minifyEnabled表示是否開啟混淆,開啟後打包出的apk就是混淆過的了。

有些程式碼如果被混淆了就會報錯,因此需要混淆規則來定義那些不能混淆的程式碼。

proguard-android.txt是預設的混淆規則,該檔案位於fake-path—sdk\tools\proguard目錄下,它對本機上所有專案的混淆都生效,所以一般不改動這個檔案。

proguard-rules.pro預設在每個專案的app模組中,我們可以在這個檔案中編寫適用於當前專案的混淆規則。

預設情況下,這樣的寫法會使兩個檔案中的混淆規則同時生效。

混淆語法

keep關鍵字

proguard中一共有三組六個keep關鍵字,區別如下:

關鍵字 描述
keep 保留類和類中的成員,防止它們被混淆或移除。
keepnames 保留類和類中的成員,防止它們被混淆,但當成員沒有被引用時會被移除。
keepclassmembers 只保留類中的成員,防止它們被混淆或移除。
keepclassmembernames 只保留類中的成員,防止它們被混淆,但當成員沒有被引用時會被移除。
keepclasseswithmembers 保留類和類中的成員,防止它們被混淆或移除,前提是指名的類中的成員必須存在,如果不存在則還是會混淆。
keepclasseswithmembernames 保留類和類中的成員,防止它們被混淆,但當成員沒有被引用時會被移除,前提是指名的類中的成員必須存在,如果不存在則還是會混淆。

萬用字元

萬用字元 描述
<field> 匹配類中的所有欄位
<method> 匹配類中的所有方法
<init> 匹配類中的所有建構函式
* 匹配任意長度字元,但不含包名分隔符(.)。但如果你不寫任何其它內容,只有一個*,那就表示匹配所有的東西。
** 匹配任意長度字元,並且包含包名分隔符(.),包括任意長度的子包。
*** 匹配任意引數型別。比如void set*()就能匹配任意傳入的引數型別, get*()就能匹配任意返回值的型別。
匹配任意長度的任意型別引數。比如void test(…)就能匹配任意void test(String a)或者是void test(int a, String b)這些方法。

預設混淆規則

下面是proguard-android.txt檔案中的內容(手動加了註釋):

# This is a configuration file for ProGuard.
# http://proguard.sourceforge.net/index.html#manual/usage.html

#混淆時不使用大小寫混合類名。 
-dontusemixedcaseclassnames

#不跳過library中的非public的類。 
-dontskipnonpubliclibraryclasses

#混淆後產生對映檔案
#包含有類名->混淆後類名的對映關係
-verbose

# Optimization is turned off by default. Dex does not like code run
# through the ProGuard optimize and preverify steps (and performs some
# of these optimizations on its own).

#不進行優化,建議使用此選項,因為根據proguard-android-optimize.txt中的描述,優化可能會造成一些潛在風險,不能保證在所有版本的Dalvik上都正常執行。 
-dontoptimize

#不進行預校驗。這個預校驗是作用在Java平臺上的,Android平臺上不需要這項功能,去掉之後還可以加快混淆速度。
-dontpreverify

# Note that if you want to enable optimization, you cannot just
# include optimization flags in your own project configuration file;
# instead you will need to point to the
# "proguard-android-optimize.txt" file instead of this one from your
# project.properties file.

#對註解中的引數進行保留。
-keepattributes *Annotation*

#不混淆宣告的這兩個類,這兩個類我們基本也用不上,是接入Google原生的一些服務時使用的。
-keep public class com.google.vending.licensing.ILicensingService
-keep public class com.android.vending.licensing.ILicensingService

# For native methods, see http://proguard.sourceforge.net/manual/examples.html#native

#不混淆任何包含native方法的類的類名以及native方法名,但當成員沒有被引用時會被移除
-keepclasseswithmembernames class * {
    native <methods>;
}

# keep setters in Views so that animations can still work.
# see http://proguard.sourceforge.net/manual/examples.html#beans

#不混淆任何一個View中的setXxx()和getXxx()方法,因為屬性動畫需要有相應的setter和getter的方法實現,混淆了就無法工作了。
-keepclassmembers public class * extends android.view.View {
   void set*(***);
   *** get*();
}

# We want to keep methods in Activity that could be used in the XML attribute onClick

#不混淆Activity中引數是View的方法,因為有這樣一種用法,在XML中配置android:onClick=”buttonClick”屬性,當用戶點選該按鈕時就會呼叫Activity中的buttonClick(View view)方法,如果這個方法被混淆的話就找不到了。
-keepclassmembers class * extends android.app.Activity {
   public void *(android.view.View);
}

# For enumeration classes, see http://proguard.sourceforge.net/manual/examples.html#enumerations

#不混淆列舉中的values()和valueOf()方法
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

#不混淆Parcelable實現類中的CREATOR欄位,毫無疑問,CREATOR欄位是絕對不能改變的,包括大小寫都不能變,不然整個Parcelable工作機制都會失敗。
-keepclassmembers class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator CREATOR;
}

#不混淆R檔案中的所有靜態欄位,我們都知道R檔案是通過欄位來記錄每個資源的id的,欄位名要是被混淆了,id也就找不著了。 
-keepclassmembers class **.R$* {
    public static <fields>;
}

# The support library contains references to newer platform versions.
# Don't warn about those in case this app is linking against an older
# platform version.  We know about them, and they are safe.

#對android.support包下的程式碼不警告,因為相容庫的中程式碼是安全的
-dontwarn android.support.**

# Understand the @Keep support annotation.

#不混淆keep註解
-keep class android.support.annotation.Keep

-keep @android.support.annotation.Keep class * {*;}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <methods>;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <fields>;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <init>(...);
}

自定義混淆規則

我們可以在當前專案的proguard-rules.pro中定義如下混淆規則,其中第三方混淆規則將不定期更新、完善:

##---------------Begin: proguard configuration common for all Android apps ----------
#程式碼混淆壓縮比,在0~7之間,預設為5,一般不做修改
-optimizationpasses 5
-dontusemixedcaseclassnames
-dontskipnonpubliclibraryclasses
-dontskipnonpubliclibraryclassmembers
-dontpreverify
-verbose
-dump class_files.txt
-printseeds seeds.txt
-printusage unused.txt
-printmapping mapping.txt
#指定混淆採用的演算法,後面的引數是一個過濾器
#這個過濾器是谷歌推薦的演算法,一般不做更改
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*


-allowaccessmodification
-keepattributes *Annotation*
-renamesourcefileattribute SourceFile
#丟擲異常時保留程式碼行號
-keepattributes SourceFile,LineNumberTable
-repackageclasses ''

#保留我們使用的四大元件,自定義的Application等這些子類不被混淆
#因為這些子類都有可能被外部呼叫
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class com.android.vending.licensing.ILicensingService
-dontnote com.android.vending.licensing.ILicensingService


# Explicitly preserve all serialization members. The Serializable interface
# is only a marker interface, so it wouldn't save them.
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}


# Preserve all native method names and the names of their classes.
-keepclasseswithmembernames class * {
    native <methods>;
}


-keepclasseswithmembernames class * {
    public <init>(android.content.Context, android.util.AttributeSet);
}


-keepclasseswithmembernames class * {
    public <init>(android.content.Context, android.util.AttributeSet, int);
}


# Preserve static fields of inner classes of R classes that might be accessed
# through introspection.
-keepclassmembers class **.R$* {
  public static <fields>;
}


# Preserve the special static methods that are required in all enumeration classes.
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}


-keep public class * {
    public protected *;
}


-keep class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator *;
}

#實體類
-keep class com.bean.** { *; }
##---------------End: proguard configuration common for all Android apps ----------

#Gson
# Gson uses generic type information stored in a class file when working with fields. Proguard
# removes such information by default, so configure it to keep all of it.
#避免混淆泛型
-keepattributes Signature
# Gson specific classes
-keep class sun.misc.Unsafe { *; }
#-keep class com.google.gson.stream.** { *; }
-keep class sun.misc.Unsafe.** { *; }
-keep class sun.misc.Unsafe.**
-keep class com.google.** { *; }

#org apache
-keep class org.apache.** { *; }
#baidumap
-keep class com.baidu.** { *; }
-keep class com.baidu.**
-keep class  vi.com.gdi.bgl.android.**{*;}
-keep class  vi.com.gdi.bgl.android.**
-keep class com.baidu.** {*;}
-keep class vi.com.** {*;}
-dontwarn com.baidu.**
#chartengine
-keep class org.achartengine.** { *; }
-keep class org.achartengine.**
#youmeng
-keep class com.umeng.analytics.**{*;}
-keep class com.umeng.analytics.**
-keep class u.aly.** {*;}
-keep class u.aly.**
#alipay
-keep class com.alipay.** { *; }
-keep class com.alipay.**
-keep class com.ta.utdid2.** { *; }
-keep class com.ta.utdid2.**
-keep class com.ut.device.** { *; }
-keep class com.ut.device.**
-keep class org.json.alipay.** { *; }
-keep class org.json.alipay.**
#pinyin4j
-keep class com.hp.hpl.sparta..** { *; }
-keep class com.hp.hpl.sparta..**
-keep class demo..** { *; }
-keep class demo..**
-keep class net.sourceforge.pinyin4j..** { *; }
-keep class net.sourceforge.pinyin4j..**
#http legacy
#webkit
-keepclassmembers class * extends android.webkit.WebChromeClient{
    public void openFileChooser(...);
}
#open-sdk mta-sdk libammsdk
-keep class com.tencent..** { *; }
-keep class com.tencent..**
#zxing
-keep class com.google.zxing.** { *; }
-keep class com.google.zxing.**

-dontwarn java.lang.invoke**
-dontwarn org.apache.lang.**
-dontwarn org.apache.commons.**
-dontwarn com.com.nostra13.**
-dontwarn com.github.**
-dontwarn com.squareup.**

#retrofit
# Platform calls Class.forName on types which do not exist on Android to determine platform.
-dontnote retrofit2.Platform
# Platform used when running on RoboVM on iOS. Will not be used at runtime.
-dontnote retrofit2.Platform$IOS$MainThreadExecutor
# Platform used when running on Java 8 VMs. Will not be used at runtime.
-dontwarn retrofit2.Platform$Java8
# Retain generic type information for use by reflection by converters and adapters.
-keepattributes Signature
# Retain declared checked exceptions for use by a Proxy instance.
-keepattributes Exceptions
-keep class com.life.me.entity.postentity{*;}
-keep class com.life.me.entity.resultentity{*;}
-dontwarn retrofit.
-keep class retrofit. { *; }
-dontwarn retrofit2.**
-keep class retrofit2.** { *; }

#butterknife
-keep class butterknife.** { *; }
-dontwarn butterknife.internal.**
-keep class **$$ViewBinder { *; }
-keepclasseswithmembernames class * {
    @butterknife.* <fields>;
}
-keepclasseswithmembernames class * {
    @butterknife.* <methods>;
}

#阿里百川hotfix
-keep class * extends java.lang.annotation.Annotation
-keepclasseswithmembernames class * {
    native <methods>;
}
-keep class com.alipay.euler.andfix.**{
    *;
}
-keep class com.taobao.hotfix.aidl.**{*;}
-keep class com.ta.utdid2.device.**{*;}
-keep class com.taobao.hotfix.HotFixManager{
    public *;
}
#如果是打修復包,需要在當前模組中放有對應版本的mapping.txt檔案
#再新增下面一行配置,保證修復前後兩個APK的混淆結果一致
-applymapping mapping.txt

#rx
-dontwarn sun.misc.**
-keepclassmembers class rx.internal.util.unsafe.*ArrayQueue*Field* {
 long producerIndex;
 long consumerIndex;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueProducerNodeRef {
 rx.internal.util.atomic.LinkedQueueNode producerNode;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueConsumerNodeRef {
 rx.internal.util.atomic.LinkedQueueNode consumerNode;
}

#okhttp
-dontwarn com.squareup.okhttp3.**
-keep class com.squareup.okhttp3.** { *;}
-dontwarn okhttp3.logging.**
-keep class okhttp3.internal.**{*;}
-dontwarn okio.**

#極光推送
-dontoptimize
-dontpreverify

-dontwarn cn.jpush.**
-keep class cn.jpush.** { *; }

-dontwarn cn.jiguang.**
-keep class cn.jiguang.** { *; }
#LitePal
-keep class org.litepal.** {
    *;
}
-keep class * extends org.litepal.crud.DataSupport {
    *;
}

#掃碼
-keepclassmembers class net.sourceforge.zbar.ImageScanner { *; }
-keepclassmembers class net.sourceforge.zbar.Image { *; }
-keepclassmembers class net.sourceforge.zbar.Symbol { *; }
-keepclassmembers class net.sourceforge.zbar.SymbolSet { *; }

#聯迪pos
-dontwarn com.landicorp.**

#新大陸pos
-dontwarn com.newland.**
-keep class com.newland.payment.trans.bean.** { *; }

#畫板
-dontwarn  me.panavtec.drawableview.**

DexGuard

對於更高的安全需求,Proguard可能有些力不從心了。而DexGuard就能提供更安全的保護,關於它的資料可以點這裡

相關推薦

Android 混淆 (定期完善第三方混淆規則)

開啟混淆 在AS中,藉助於SDK中自帶的Proguard工具,開啟混淆只需要在release閉包中新增如下兩行程式碼: release { minifyEnabled true progua

Android Studio混淆模板及常用第三方混淆(看了都說好)

首先要在build.gradle中開啟混淆,也就是minifyEnabled true,我用的build.gradle具體如下所示: def releaseTime() { return new Date().format("yyyy.MM.dd", TimeZone.getTimeZ

Android Studio 混淆打包及常見第三方依賴的混淆配置

首先要在build.gradle中開啟混淆,也就是minifyEnabled true,我用的build.gradle具體如下所示:def releaseTime() { return new Date().format("yyyy.MM.dd", TimeZone.

Android專案:第三方Jar包proguard混淆之常見開源專案混淆配置

9、pinyin4j -dontwarn net.soureceforge.pinyin4j.** -dontwarn demo.** -libraryjars libs/pinyin4j-2.5.0.jar -keep class net.sourceforge.piny

Android 多個第三方混淆過的jar 類名衝突

背景:目前大多數第三方的jar都是混淆過了的,多個jar組合使用則可能會出現類重複問題。 那友盟統計的jar來說: 第一行是原始jar的路徑,第二行是修改完jar輸出路徑 先建立個txt,寫混淆規則。 1.下面的keep class 就根據jar裡面沒有混淆的,進行配置,

Android 5.0及以上WebView能使用第三方Cookies解決方案

最近在做老專案SDK的升級,突然發現以前能用的功能,現在不能使用了。除錯的時候發現返回了錯誤401.需要認證。奇怪以前都是正常的。所以就去看看webView是否有過變動 解決方法 if (Build.VERSION.SDK_INT >= Build.VERSION_CODE

android 開發中遇到的坑(定期新增)

學了android好久還是小白的傻孩子,遇到了各種奇奇怪怪的坑,記錄一下以防忘記。 8.0坑: 坑1:傳送Intent訊息開啟apk安裝程式,6.0的手機用的好好的,到8.0手機安裝頁面就一閃而過了 原因:8.0移除了“允許未知來源”的檢查框,它關掉了!!!!所以我這個未知來源的安裝就被

Android應用程式簽名打包,混淆程式碼時報錯的處理方法

看了很多關於如何解決android應用程式打包出錯的帖子,試用之後,發現並不能完全解決我所遇到的問題。糾結了幾天,終於解決了我所遇到的問題,現將處理方法寫出來以備自己日後查閱,也為遇到相同問題的朋友提供一點思路。 在我的程式中使用到了ksoap2.jar,關於這個Jar包

Android Studio多渠道打包和程式碼混淆教程

http://coolshell.info/blog/2015/03/android-studio-prefrence.html 什麼是Gradle Gradle是一種依賴管理工具,基於Groovy語言,面向Java應用為主,它拋棄了基於XML的各種繁瑣配置,取而

Android O 裝置允許安裝第三方APP

遮蔽手動安裝APK vendor/mediatek/proprietary/packages/apps/PackageInstaller/src/com/android/packageinstaller/InstallStart.java public class Inst

Android安全之NDK的程式碼混淆 -- Ollvm

安卓開發者交流群歡迎您加入 418263790 關鍵程式碼放JNI (C/C++)裡真的很安全嗎? 很多Android開發者都認為 把關鍵程式碼放到C/C++裡 然後打包靜態庫 然後破解者就無法破解 我想說 你太嫩了 不信? 舉個例子:

Android Studio匯出Jar包並混淆

在Android Studio中,自帶反編譯檢視class檔案,如果沒有混淆的話,class檔案跟java檔案基本沒有區別了,為了保護,還是混淆的好。 網上看了不少資料,都是直接下載proguard額外jar,直接生成,覺得不方便,既然apk都能混淆,為什麼不直接通過Android Studio來混淆jar

Android 生成Release版本時,混淆問題的解決

今天在生成release版本的apk時,出現了編譯失敗,百度以後,發現是混淆配置出現錯誤 Warning:com.squareup.picasso.OkHttpDownloader: can't find referenced class Warning:c

Android studio 使用心得(五)---程式碼混淆和破解apk

    這篇文章等是跟大家分享一在Android studio 進行程式碼混淆配置。之前大家在eclipse上也弄過程式碼混淆配置,其實一樣,大家可以把之前在eclipse上的配置檔案直接拿過來用。不管是.cfg檔案還是proguard-rules.pro檔案都一

Android studio aar 生成 和程式碼混淆

本文主要講解如何將一個app模組改造生成一個帶介面資源的庫,也就是aar。 接著還講到,如何修改混淆配置,生成混淆後的aar。 1. aar 生成 1.1 build.gradle 檔案 模組是library不是 application

Android學習筆記——webview 適配相關(定期更貼填坑)

業務需要,會用到android webview相關跳轉H5頁面,開發中發現坑不少,很多東西之前都不知道,想立個彙總帖,之後遇到坑了就來更新一下。     1.webview 自適應手機螢幕大小

Android studio開發的常用知識(定期更新)

最近正在學習利用android studio3.0開發簡單的Android應用,有很多瑣碎的知識點和要記的東西,想要做一個筆記,方便以後的複習回顧。 就從這篇文章為開篇吧。 1.線性佈局LinearLa

Android sdk開發,程式碼的混淆

我們在開發安卓sdk的時候,通常開發完之後是匯出jar包提供其他接入的開發者使用。這就涉及一個安全問題,如果赤裸裸把jar包發出去有可能會被反編譯和修改。所以我們需要 程式碼混淆。所以我們需要proguard工具。我們可以在adt裡面找到他,也可以自己去下載一個自己想要的版

在Excel中,利用任何第三方工具,生成二維碼

pdf ng- ref mac 源碼 generated code 而是 git 有同事提需求,要批量生成二維碼。談了之後,我覺得可以做個excel文件,把要打印的內容放進去,然後給每行數據生成一個二維碼。下一步就要在Excel裏面生成二維碼。問了一下度娘,貌似都得利用一些

Linux Shell 腳本的小技巧——定期更新

小技巧 linux shell 本文旨在積累平時寫 shell 腳本是遇到的小問題的解決方法。在這裏不定期的更新,以便以後查閱、沿用。 一,在shell 腳本中定義默認值 1. 對默認變量直接賦值 read -p "input>>:" nub nub=