前言:该方法只能针对有.m.h的类进行混淆，静态库等只有.h文件的没法进行混淆

正文:

代码混淆，刚刚看到是不是有点懵逼，反正我是最近才接触到这么个东西，因为之前对于代码和APP，只需要实现功能就好了，根本没有考虑什么安全问题。

而这一次应用交付时，客户进行安全评估提出一个问题：

使用classdump对原程序进行dump，可以dump出所有源程序的函数所有信息：源程序所有函数类型，变量全部泄露。这样的话，让攻击者，也就是黑客们了解了程序结构方便逆向。

因为在工程中，我们这些变量或函数命名都是有一定可读性的，例如跟用户名相关的，那一般里面会有 userName，跟密码相关的一般会有 passWord，这样定义也是为了我们自己代码可读性更强，我们修改的时候才更加的方便。但是我们相信，这么个定义法，我们只是希望方便我们自己，我们可不希望方便黑客们去破解我们的APP。

那我们先来看看用这个所谓的classdump 对原程序进行 dump，究竟用 dump 出些什么东西来：

dump

哇~所有的 .h 文件

.h文件全暴露了，那点开的话，你里面的函数名，属性名也一样清清楚楚：

.h文件

属性、函数

惊了个呆，那为了防止这样全裸，这时候我们就需要用到代码混淆了。

大概什么个意思呢？简单点讲，就是把你的这些个用户名和函数名弄得没有可读性，比如你的用户名的变量名定义为 userName，那你自己用肯定是正常的，如果黑客们 dump 出来的这个变量名会变成 abcd 或 1234 ，这样他也就不清楚你这是用来干吗的了。

第一、在工程项目路径中建立一个confuse.sh、一个func.list文件

先打开终端，然后 cd 到你的项目工程路径下：

工程路径

创建两个文件

这时候我们打开这个工程文件夹，可以看到，这两个文件已经创建好了

创建

我们创建的两个文件

打开工程，把刚才创建的两个文件加进去，右键你的项目蓝色标志，然后选择 Add Files to...：

添加到工程中

添加进去了：

添加进入了

成功添加

点击 confuse.sh ，发现还是空白的，什么都没有，现在要在这上面加上代码了：

粘贴

需要添加的源代码见附录1,(无须修改，直接粘贴)

第二、在 .pch 文件中添加代码

不要跟我说你的工程没有 .pch 文件，如果真没有，自行百度，这应该算是标配，常识来的。

#ifdef __OBJC__

//添加混淆作用的头文件（这个文件名是脚本confuse.sh中定义的，不要去修改）

#import"codeObfuscation.h"

#endif

写到这里，编译的时候是不是发现报错啦？刚才的 .pch 文件里面的添加的代码居然报错了：

wrong

报错了！

不要慌，先把那句报错的先给注释掉：

先注释掉报错的这一行代码

然后我们继续往下走！

第三、配置Build Phase

1:添加

Run Script

加好

添加Run Script

2:配置好 Run Script，添加命令：$PROJECT_DIR/confuse.sh

confuse.sh

配置好Run Script

然后再回到终端，同样先 cd 到工程目录下，接着我们要打开刚才 .sh 这个脚本文件的运行权限，因为默认是没有这个权限的，在终端输入以下指令：chmod 755 confuse.sh

终端

打开运行权限

回车，搞定，回到我们的工程，先 command + b 编译一下工程，然后再把我们刚刚注释掉的那句代码解开：

解开

打开刚刚被我们注释掉的代码

再次 command + b 编译，现在是不是编译通过啦？刚刚报错的，现在解决了！

基本上就搞定了，剩下的就是添加上我们想要混淆的变量名或函数名

第四、在  func.list 文件里，写入待混淆的函数名

如果像下面这几个属性跟函数：

he 

需要混淆的属性跟函数名

那么就这在 fun.list 就这么列出来就好了：

混淆

列出需要混淆的

大功告成！现在 command + b 运行一下，然后在哪里看结果呢，请看这里：

结果

运行结果

可能这么看有点麻烦，那来个简单一点的：

简单

查看

哈哈，你会发现，多了好多宏定义，其实就是我们刚才的字段来的：

哟西

到这一步，你的简单代码混淆就算成功了。下图分别是没有混淆和混淆之后的代码效果。

dump混淆

坏事

最后需要说明,出现下图所示的这里并不一定说明代码混淆成功,只能说明你的脚本运行成功,.pch文件中一定要导入#import "codeObfuscation.h"最好对自己混淆的代码 打包成ipa进行dump,查看你混淆的头文件的函数名是不是随机的字符串了.

【参考文章】

作者：wg689

链接：http://www.jianshu.com/p/e3c408df3603

來源：简书

附录1：

#!/usr/bin/env bash TABLENAME=symbolsSYMBOL_DB_FILE="symbols"STRING_SYMBOL_FILE="func.list"HEAD_FILE="$PROJECT_DIR/$PROJECT_NAME/codeObfuscation.h"export LC_CTYPE=C #维护数据库方便日后作排重createTable(){echo "create table$TABLENAME(src text, des text);" | sqlite3 $SYMBOL_DB_FILE} insertValue(){echo "insert into $TABLENAMEvalues('$1' ,'$2');" | sqlite3 $SYMBOL_DB_FILE} query(){echo "select * from $TABLENAMEwhere src='$1';" | sqlite3 $SYMBOL_DB_FILE} ramdomString(){openssl rand -base64 64 | tr -cd'a-zA-Z' |head -c 16}                             rm -f $SYMBOL_DB_FILErm -f $HEAD_FILEcreateTable touch $HEAD_FILEecho '#ifndef Demo_codeObfuscation_h#define Demo_codeObfuscation_h'>> $HEAD_FILEecho "//confuse string at`date`" >> $HEAD_FILEcat "$STRING_SYMBOL_FILE"| while read -ra line; doif [[ ! -z "$line" ]];thenramdom=`ramdomString`echo $line $ramdominsertValue $line $ramdomecho "#define $line$ramdom" >> $HEAD_FILEfidoneecho "#endif" >>$HEAD_FILEsqlite3 $SYMBOL_DB_FILE .dump