android程式碼混淆以及如何判斷一個apk程式碼是否被混淆過
(一)
java程式碼編譯成二進位制class檔案,這個class檔案也可以反編譯成原始碼,除了註釋外,其他的code基本都可以看到。為了防止重要code被洩露,我們往往需要混淆,即把方法名,變數名,類名,包名等這些java元素的名稱改成讓人意想不到的名稱,這樣程式碼結構就沒有變化,還可以執行,但是想弄懂程式碼的架構卻很難。proguard就起到了這樣的作用:
一、它可以分析一組class的結構,根據使用者的配置,然後把這些class檔案中可以混淆的java元素進行混淆
二、刪除無效的程式碼
三、對程式碼進行優化(使用adt外掛匯出的apk,還進行zipalign優化)
(二)
廢話不多說:混淆檔案模版基本上差不多拿過來可以直接用,android studio在專案的app目錄下proguard-rules.pro檔案模版如下:記得把自己的包名改一下,沒用的的庫刪掉,自己需要的一些第三方SDK或gradle引用庫的混淆規則也要加上
# Add project specific ProGuard rules here. # By default, the flags in this file are appended to flags specified # in /Users/speakJ/Documents/sdk/android-sdk-macosx/tools/proguard/proguard-android.txt # You can edit the include path and order by changing the proguardFiles # directive in build.gradle. # # For more details, see #http://developer.android.com/guide/developing/tools/proguard.html # Add any project specific keep options here: # If your project uses WebView with JS, uncomment the following # and specify the fully qualified class name to the JavaScript interface # class: -keepclassmembers class fqcn.of.javascript.interface.for.webview { public *; } #指定程式碼的壓縮級別 -optimizationpasses 5 #包明不混合大小寫 -dontusemixedcaseclassnames #不去忽略非公共的庫類 -dontskipnonpubliclibraryclasses #優化不優化輸入的類檔案 -dontoptimize #預校驗 -dontpreverify #混淆時是否記錄日誌 -verbose # 混淆時所採用的演算法 -optimizations !code/simplification/arithmetic,!field/*,!class/merging/* #保護註解 -keepattributes *Annotation* # 保持哪些類不被混淆 -keep public class * extends android.app.Fragment -keep public class * extends android.app.Activity -keep public class * extends android.app.Application -keep public class * extends android.app.Service -keep public class * extends android.content.BroadcastReceiver -keep public class * extends android.content.ContentProvider -keep public class * extends android.app.backup.BackupAgentHelper -keep public class * extends android.preference.Preference -keep public class com.android.vending.licensing.ILicensingService #如果有引用v4包可以新增下面這行 -keep public class * extends android.support.v4.app.Fragment #忽略警告 -ignorewarning #####################記錄生成的日誌資料,gradle build時在本專案根目錄輸出################ #apk 包內所有 class 的內部結構 -dump class_files.txt #未混淆的類和成員 -printseeds seeds.txt #列出從 apk 中刪除的程式碼 -printusage unused.txt #混淆前後的對映 -printmapping mapping.txt #####################記錄生成的日誌資料,gradle build時 在本專案根目錄輸出-end################ ################混淆保護自己專案的部分程式碼以及引用的第三方jar包library######################### -keep public class com.ctcf.originsign.R$*{ public static final int *; } #########tinker#########tinkerEnabled = true 自動keep #-keepattributes *Annotation* #-dontwarn com.tencent.tinker.anno.AnnotationProcessor #-dontwarn tInKEr.pReVEnT.PrEVErIfIEd.STuBCLaSS #-keep @com.tencent.tinker.anno.DefaultLifeCycle public class * #-keep public class * extends android.app.Application { #*; #} # #-keep public class com.tencent.tinker.loader.app.ApplicationLifeCycle { #*; #} #-keep public class * implements com.tencent.tinker.loader.app.ApplicationLifeCycle { #*; #} # #-keep public class com.tencent.tinker.loader.TinkerLoader { #*; #} #-keep public class * extends com.tencent.tinker.loader.TinkerLoader { #*; #} #-keep public class com.tencent.tinker.loader.TinkerTestDexLoad { #*; #} # ##your dex.loader patterns here #-keep class com.tencent.tinker.loader.** #-keep class com.shudu.anteater.MyApplication #########tinker######### -keepclasseswithmembernames class com.rey.material.widget.** { *; } #Glide -keep public class * implements com.bumptech.glide.module.GlideModule -keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** { **[] $VALUES; public *; } #rx -keep class rx.android.** { *;} -keep class rx.** { *;} -keep class com.jakewharton.rxbinding.** { *;} -keep class com.trello.rxlifecycle.** { *;} -keep class io.reactivex.** { *;} -keep class cn.sharesdk.** { *;} #==================gson========================== -dontwarn com.google.** -keep class com.google.gson.** {*;} #==================protobuf====================== -dontwarn com.google.** -keep class com.google.protobuf.** {*;} #jpush end #自己專案特殊處理程式碼 -keep class com.yshr.model.** { *; } #如果引用了v4或者v7包 -dontwarn android.support.** ############混淆保護自己專案的部分程式碼以及引用的第三方jar包library-end################## -keep public class * extends android.view.View { public <init>(android.content.Context); public <init>(android.content.Context, android.util.AttributeSet); public <init>(android.content.Context, android.util.AttributeSet, int); public void set*(...); } #保持 native 方法不被混淆 -keepclasseswithmembernames class * { native <methods>; } #保持自定義控制元件類不被混淆 -keepclasseswithmembers class * { public <init>(android.content.Context, android.util.AttributeSet); } #保持自定義控制元件類不被混淆 -keepclasseswithmembers class * { public <init>(android.content.Context, android.util.AttributeSet, int); } #保持自定義控制元件類不被混淆 -keepclassmembers class * extends android.app.Activity { public void *(android.view.View); } #保持 Parcelable 不被混淆 -keep class * implements android.os.Parcelable { public static final android.os.Parcelable$Creator *; } #保持 Serializable 不被混淆 -keepnames class * implements java.io.Serializable #保持 Serializable 不被混淆並且enum 類也不被混淆 -keepclassmembers class * implements java.io.Serializable { static final long serialVersionUID; private static final java.io.ObjectStreamField[] serialPersistentFields; !static !transient <fields>; !private <fields>; !private <methods>; private void writeObject(java.io.ObjectOutputStream); private void readObject(java.io.ObjectInputStream); java.lang.Object writeReplace(); java.lang.Object readResolve(); } #保持列舉 enum 類不被混淆 如果混淆報錯,建議直接使用上面的 -keepclassmembers class * implements java.io.Serializable即可 -keepclassmembers enum * { public static **[] values(); public static ** valueOf(java.lang.String); } -keepclassmembers class * { public void *ButtonClicked(android.view.View); } #不混淆資源類 -keepclassmembers class **.R$* { public static <fields>; } #高德地圖 -keep class com.amap.api.location.**{*;} -keep class com.amap.api.fence.**{*;} -keep class com.autonavi.aps.amapapi.model.**{*;} # AgentWeb -keep class com.just.library.** { *; } -dontwarn com.just.library.** # kotlin 反射 -keep class kotlin.** { *; } -keep class org.jetbrains.kotlin.** { *; } -keepclassmembers,allowoptimization enum * { public static **[] values(); public static ** valueOf(java.lang.String); **[] $VALUES; public *; } -keep class com.chad.library.adapter.** { *; } -keep public class * extends com.chad.library.adapter.base.BaseQuickAdapter -keep public class * extends com.chad.library.adapter.base.BaseViewHolder -keepclassmembers public class * extends com.chad.library.adapter.base.BaseViewHolder { <init>(android.view.View); } -keepattributes InnerClasses #AgentWeb -keep class com.just.library.** { *; } -dontwarn com.just.library.** -keepclassmembers class com.just.library.agentweb.AndroidInterface{ *; } -keepnames class * extends android.view.View -keep class * extends android.app.Fragment { public void setUserVisibleHint(boolean); public void onHiddenChanged(boolean); public void onResume(); public void onPause(); } -keep class android.support.v4.app.Fragment { public void setUserVisibleHint(boolean); public void onHiddenChanged(boolean); public void onResume(); public void onPause(); } -keep class * extends android.support.v4.app.Fragment { public void setUserVisibleHint(boolean); public void onHiddenChanged(boolean); public void onResume(); public void onPause(); }
(三)如何測試一個apk的程式碼是否被混淆過
方案一:
一、 下載dex2jar包,解壓
二、把apk包的字尾名改為.zip
三、把apk壓解壓拿到classes.dex檔案,並放到dex2jar所在的目錄下
四、執行命令dex2jar.execlasses.dex
五、下載jd-gui
六、把jar包載入到jd.gui,檢視原始碼,原始碼中的類名,方法名,變數名是否已經改變
(四)
作為一個測試不僅檢測自己的apk是否被混淆過,而且要測試是否混淆成功,且混淆正確
1、安裝被混淆過的apk,進行功能測試
2、檢視混淆好的系統,是否仍保留:Android系統元件,自定義View,Android Parcelable,Android R檔案等不能被混淆的檔案
mac環境混淆apk、dex2jar、jd-dui下載和詳細使用方法https://download.csdn.net/download/yshr1991/10656497