2. 程式人生 > >Android APP程式碼混淆proguard和加固

Android APP程式碼混淆proguard和加固

阿新 發佈:2019-01-31

    proguard官方網址:http://proguard.sourceforge.net/index.html#/manual/examples.html

 一、在gradle中開啟:

Gradle專案(以及Android Studio)

在build.gradle中進行配置

android {
    buildTypes {
        release {  

           minifyEnabled true
            proguardFiles getDefaultProguardFile('proguard-android.txt'),'proguard-rules.pro'
            //proguardFile 'some-other-rules.txt'  配置單個檔案這樣
        }
    }
}

如上面程式碼所示,我們可以使用rminifyEnabled true開啟,並且對其配置混淆配置,可以配置多個檔案或單個檔案。

android的sdk中已經為我們提供了兩個預設的配置檔案,我們可以拿過來進行使用,proguard-android.txt和proguard-android-optimize.txt。

二、proguard主要三部分功能

   縮減程式碼、優化程式碼、混淆程式碼。三部分功能都可以在配置檔案裡配置不啟用此功能(其實還有預校驗的功能不過android官方不建議開啟)。

#Shrink Options

#不縮減程式碼
-dontshrink

#Optimization Options

#不優化程式碼
-dontoptimize

#Obfuscate Options 
#-不混淆輸入的類檔案 
-dontobfuscate 

三、用法

1.保留選項(配置不進行處理的內容)

-keep {Modifier} {class_specification} 保護指定的類檔案和類的成員
-keepclassmembers {modifier} {class_specification} 保護指定類的成員(類的屬性),如果此類名受到保護他們會保護的更好
-keepclasseswithmembers {class_specification} 保護指定的類和類的成員。
-keepnames {class_specification} 保護指定的類和類的成員的名稱(如果他們不會壓縮步驟中刪除)
-keepclassmembernames {class_specification} 保護指定的類的成員的名稱(如果他們沒在壓縮步驟中刪除)
-keepclasseswithmembernames {class_specification} 保護指定的類和類的成員的名稱,如果所有指定的類成員出席(在壓縮步驟之後)
-printseeds {filename} 列出類和類的成員-keep選項的清單,標準輸出到給定的檔案

-keep用法區別

1)保留某個類名不被混淆

-keep public classcom.ebt.app.common.bean.Customer

2)保留類及其所有成員不被混淆

-keep public classcom.ebt.app.common.bean.Customer { *;}

或者
-keepclasseswithmembers class com.ebt.app.common.bean.Customer {

    <init>;#匹配所有建構函式

    <fields>;#匹配所有成員
    <methods>;#匹配所有方法
}

3)只保留類名及其部分成員不被混淆

-keep public classcom.ebt.app.common.bean.Customer { 

    static final<fields>;

    private void get*();

}

4)#保留包路徑下所有的類及其屬性和方法
-keep class com.ebt.app.sync.** { *;}

2.壓縮

-dontshrink 不壓縮輸入的類檔案
-printusage {filename}
-whyareyoukeeping {class_specification}

3.優化

-dontoptimize 不優化輸入的類檔案
-assumenosideeffects {class_specification} 優化時假設指定的方法,沒有任何副作用
-allowaccessmodification 優化時允許訪問並修改有修飾符的類和類的成員

4.混淆

-dontobfuscate 不混淆輸入的類檔案
-obfuscationdictionary {filename} 使用給定檔案中的關鍵字作為要混淆方法的名稱
-overloadaggressively 混淆時應用侵入式過載
-useuniqueclassmembernames 確定統一的混淆類的成員名稱來增加混淆
-flattenpackagehierarchy {package_name} 重新包裝所有重新命名的包並放在給定的單一包中
-repackageclass {package_name} 重新包裝所有重新命名的類檔案中放在給定的單一包中
-dontusemixedcaseclassnames 混淆時不會產生形形色色的類名
-keepattributes {attribute_name,...} 保護給定的可選屬性,例如LineNumberTable,LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, andInnerClasses.
-renamesourcefileattribute {string} 設定原始檔中給定的字串常量

後面的檔名,類名,或者包名等可以使用佔位符代替
?表示一個字元
可以匹配多個字元,但是如果是一個類,不會匹配其前面的包名
* 可以匹配多個字元,會匹配前面的包名。

在android中在android Manifest檔案中的activity,service,provider, receviter,等都不能進行混淆。一些在xml中配置的view也不能進行混淆,android提供的預設配置中都有。

5..預設情況下,proguard 會混淆所有程式碼,但是下面幾種情況不能改變類名和方法名。
a.我們用到反射的地方。

b.我們程式碼依賴於系統的介面,比如被系統程式碼呼叫的回撥方法,這種情況最複雜。
c.在配置檔案manifest中配置的。

6.對出現問題的類的處理。遇見一個及新增。

7.常見*的用法區別(一般情況下用不到,非必須瞭解)

修飾類、介面、列舉等時

*       matchesany part of a class name not containing the package separator. For example,"mypackage.*Test*" matches "mypackage.Test" and"mypackage.YourTestApplication", but not"mypackage.mysubpackage.MyTest". Or, more generally, "mypackage.*"matches all classes in "mypackage", but not in its subpackages.

**     matchesany part of a class name, possibly containing any number of package separators.For example, "**.Test" matches all Test classes in all packagesexcept the root package. Or, "mypackage.**" matches all classes in"mypackage" and in its subpackages.

   修飾建構函式、成員變數、方法

Fields and methods are specified much likein Java, except that method argument lists don't contain argument names (justlike in other tools like javadoc and javap). The specifications can alsocontain the following catch-all wildcards:

<init>        matches any constructor.

<fields>    matches any field.

<methods>       matches any method.

*       matchesany field or method.

Note that the above wildcards don't havereturn types. Only the <init> wildcard has an argument list.

Fields and methods may also be specifiedusing regular expressions. Names can contain the following wildcards:

?       matchesany single character in a method name.

*       matchesany part of a method name.

Types in descriptors can contain thefollowing wildcards:

%      matchesany primitive type ("boolean", "int", etc, but not"void").

?       matchesany single character in a class name.

*       matchesany part of a class name not containing the package separator.

**     matchesany part of a class name, possibly containing any number of package separators.

***  matchesany type (primitive or non-primitive, array or non-array).

...     matchesany number of arguments of any type.

Note that the ?, *, and ** wildcards willnever match primitive types. Furthermore, only the *** wildcards will matcharray types of any dimension. For example, "** get*()" matches"java.lang.Object getObject()", but not "float getFloat()",nor "java.lang.Object[] getObjects()".

Constructors can also be specified usingtheir short class names (without package) or using their full class names. Asin the Java language, the constructor specification has an argument list, butno return type.

The class access modifiers and class memberaccess modifiers are typically used to restrict wildcarded classes and classmembers. They specify that the corresponding access flags have to be set forthe member to match. A preceding ! specifies that the corresponding access flagshould be unset.

Combining multiple flags is allowed (e.g.public static). It means that both access flags have to be set (e.g. public andstatic), except when they are conflicting, in which case at least one of themhas to be set (e.g. at least public or protected).

ProGuard supports the additional modifierssynthetic, bridge, and varargs, which may be set by compilers.

四、Proguard的輸出檔案及reTrace跟蹤

 混淆之後,會給我們輸出一些檔案,在gradle方式下是在<project_dir>/build/proguard/目錄下,ant是在<project_dir>/bin/proguard目錄,eclipse構建在<project_dir>/proguard目錄像。
分別有以下檔案:
+ dump.txt 描述apk檔案中所有類檔案間的內部結構。
+ mapping.txt 列出了原始的類,方法,和欄位名與混淆後代碼之間的對映。
+ seeds.txt 列出了未被混淆的類和成員
+ usage.txt 列出了從apk中刪除的程式碼

當我們釋出的release版本的程式出現bug時,可以通過以上檔案(特別時mapping.txt)檔案找到錯誤原始的位置,進行bug修改。同時,可能一開始的proguard配置有錯誤,也可以通過錯誤日誌,根據這些檔案,找到哪些檔案不應該混淆,從而修改proguard的配置。

    注意:重新release編譯後,這些檔案會被覆蓋,所以沒吃釋出程式,最好都儲存一份配置檔案。

除錯Proguard混淆後的程式

上面說了輸出的幾個檔案,我們在改bug時可以使用,通過mapping.txt,通過對映關係找到對應的類,方法,欄位等。

ProGuard 提供了命令列和 GUI 工具來還原混淆後的程式碼,可以將一個被混淆過的堆疊跟蹤資訊還原成一個可讀的資訊。
該工具位於  <android-sdk>/tools/proguard/bin/ 目錄下。
裡面的 proguardgui.bat 為 GUI 工具,

1) 執行 proguardgui.bat
2) 從左邊的選單選擇  “ReTrace”
3) 在上面的 mapping 檔案中選擇你的 mapping 檔案 ,在下面輸入框輸入要還原的程式碼
4) 點選 “ReTrace!” 按鈕

命令列:window下時retrace.bat,linux和mac是retrace.sh,在<sdk_root>/tools/proguard/資料夾下。語法為:

    retrace.bat|retrace.sh [-verbose] mapping.txt [<stacktrace_file>]

例如:

retrace.bat -verbose mapping.txt obfuscated_trace.txt

如果你沒有指定<stacktrace_file>,retrace工具會從標準輸入讀取。

五、其他關於Proguard的問題

1.開啟optimization導致的問題。有時候為了在release版本中去除log列印,配置
-assumenosideeffects class android.util.Log {
public static boolean isLoggable(java.lang.String, int);
public static int v(...);
public static int i(...);
public static int w(...);
public static int d(...);
public static int e(...);
}
此時必須開啟優化,但是這樣可能會引入更大的問題:http://www.itnose.net/detail/6043297.html而在我的專案中則打包都成功不了,提示說Tencent微博SDK引用的httpclient出問題,找不到父類。結論是:要是你不是proguard高手,就關閉優化吧。
2proguarnd後反編譯程式碼,使用一些工具還能看到真身的影子,如:http://www.tuicool.com/articles/vUB3EnM
-keepattributes SourceFile,LineNumberTable
表示的是java檔案的各種檔案屬性,如果這個被keep了,果斷去掉。
3.中文的各個引數的解釋,準確性本人不能把握http://www.2cto.com/kf/201604/497739.html

六、美團Android資源混淆保護實踐

七、第三方加固

大家請百度

相關推薦

Android APP程式碼混淆proguard加固

    proguard官方網址:http://proguard.sourceforge.net/index.html#/manual/examples.html  一、在gradle中開啟: Gradle專案(以及Android Studio) 在build.gradle中進行配置 android {

Android 打包 + 程式碼混淆

一:打包生成一個 Apk            生成一個 Apk 是比較簡單的,直接使用 Android Stuido 的打包工具就可以快速的生成一個 Apk 檔案,在這裡多插一句題外話吧,嘿嘿,就是關於使用多渠道打包和一套程式碼打

Android App相容8.09.0

Android在8.0限制了後臺服務這些,啟動後臺服務需要設定通知欄,使服務變成前臺服務。但是在9.0上,就會出現Permission Denial: startForeground requires android.permission.FOREGROUND_SERVICE。 解決辦法

Android Studio 程式碼混淆注意問題

Java 是一種跨平臺的、解釋型語言,Java 原始碼編譯成中間”位元組碼”儲存於 class 檔案中。由於跨平臺的需要,Java 位元組碼中包括了很多原始碼資訊,如變數名、方法名,並且通過這些名稱來訪問變數和方法,這些符號帶有許多語義資訊,很容易被反編譯成 Java 原始碼。

Android Apk 程式碼混淆與資原始檔混淆實戰

Android專案在完工釋出時,需要對程式碼和資原始檔進行混淆,目的有兩個: 1⃣️減小壓縮包的體積 2⃣️防止程式碼被反編譯後惡意利用 Android Apk混淆分兩步走: 1⃣️混淆程式碼 2⃣️混淆資原始檔 本人的開發環境為: Oper

android studio 程式碼混淆

原文連結   http://blog.csdn.net/ttccaaa/article/details/47687241  侵刪 關於程式碼混淆的作用,就不多解釋了,整個過程大致如下: 在app下的build.gradle檔案中新增如下程式碼(minifyEna

Android app實現自更新安裝,許可權檢測適配Android6.0以下Android6.0Android7.0Android8.0總結篇

首先下載問檔案需要在AndroidManifest.xml裡新增SD卡讀寫許可權,下面兩個許可權:<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> <us

eclipse Android開發程式碼混淆

  程式碼混淆對於一個完善的app 必不可少的    1、新建一個Android 專案時,會自動生成兩個檔案proguard-project.txt ,  project.properties   只需要將project.properties

[Android]檢視程式碼混淆後的日誌

APP混淆已經是APP釋出時的標配技術了,但是我們經常需要去看使用者使用APP時的崩潰日誌,這個時候,看到的日誌確是被混淆了,比如a.b.c.c()!就要狂了。所以,Google當然會為我們考慮到這種情況。下面對具體的使用進行說明。 程式碼混淆生成apk之後,

獲取android APP 簽名的MD5SHA1

private void getSign(Context ctx){try {         PackageInfo packageInfo = getPackageManager().getPackageInfo("***.***.**", PackageManager

JAVA之程式碼混淆proguard基礎(一)

講解的比較全面的一篇文章http://blog.csdn.net/glony/article/details/8852245 一官方網站用法               http://proguard.sourceforge.net/index.html#/manual/

android開發-----程式碼混淆

為了防止自己的勞動成果被別人竊取,混淆程式碼能有效防止被反編譯,下面來總結以下混淆程式碼的步驟: 1. 大家也許都注意到新建一個工程會看到專案下邊有這樣proguard-project.txt一個檔案,這個對混淆程式碼很重要,如果你不小心刪掉了,沒關係,從其他地方拷貝一

Android Studio 程式碼混淆配置大全

proguard 配置 -keepclasseswithmembers 指定的類和類成員被保留,假如指定的類成員存在的話。 -dontwarn 預設proguard 會檢查每一個引用是否正確,但是第三方庫裡面往往有些不會用到的類,沒有正確引用。如果不配置的話,系統就會

Android Stuido程式碼混淆以及打包

當代碼書寫完成之後,我們需要將程式碼打包,傳送到各個app市場,在這之前,我們通常需要將程式碼進行程式碼混淆,此文章將介紹程式碼混淆,並且給大家提供一個比較完成的混淆文件,可以直接拿來即用。 程式碼混淆部分 1.修改app/ build.gr

關於Android Stuido 程式碼混淆打包簽名後,高德地圖定位出不來

使用的是Android Stuido 來開發安卓。專案需要接入了高德定位的sdk,在高德開放平臺上申請了key,程式碼直接執行在手機上,和直接拿build下面的apk定位都是可以使用。在程式碼混淆簽名生成的apk定位就是出不來,一直以為是將高德的sdk也給混淆後才不能用,在

程式碼混淆———Proguard使用最新,最全教程,親自試驗

最近公司有一個專案,是外包專案,由於對方也有技術人員,出於技術上的保密,需要對class檔案進行二次處理,於是網上找了好久,只發現Proguard是用的最廣泛而且網上資料最多的。由於不是純JAVA專案,而是WEB專案,涉及到大量的配置檔案,所以用這個工具稍顯吃力,於是開始

Android 進階」Android 專案程式碼混淆,防反編譯

前言 安全意思比較薄弱,參與負責專案工程程式碼無混淆程式碼,究其原因 混淆會導致 App 執行可能出錯,不願深入研究; 測試與產品經理規劃中無此需求; 在圖形化反編譯工具 jadx 面前,工程核心程式碼一覽無餘, 新工作中測試人員提出,專案 app 必須

Android Studio多渠道打包程式碼混淆教程

http://coolshell.info/blog/2015/03/android-studio-prefrence.html 什麼是Gradle Gradle是一種依賴管理工具,基於Groovy語言,面向Java應用為主,它拋棄了基於XML的各種繁瑣配置,取而

簡單教你怎麼混淆Android程式碼,讓你看到混淆沒有混淆的區別。

一、咱們先看看沒有混淆的程式碼反編譯後什麼樣子反編譯過程1、把.apk重新命名成.zip(因為apk包和zip的演算法一樣)classes.dex就是程式碼存放的位置,下一步我們把dex轉成jar2、dex檔案轉成jar檔案把工具解壓到資料夾,為了方便省去輸入路徑,我們把上一

Android apk 簽名及程式碼混淆、資原始檔混淆加固整套流程

準備:*.ks  proguard-android.txt', 'proguard-rules.pro(取一) 上述是簽名檔案及混淆檔案 通過AS進行混淆簽名打包apk 將該apk進行解壓可看出只是程式碼進行了混淆但是資原始檔沒有進行混淆 下面進行資原始檔進行混淆,也是通