Android 混淆代码实践

一、先来认识混淆

  1. 混淆的目的就是加大别人破解你的app的难度,从而减少被反编译、修改的可能。
  2. 混淆的过程就是将代码中的各种元素,如变量,函数,类的名字改写成无意义的名字。比如改写成单个字母,或是简短的无意义字母组合,甚至改写成“__”这样的符号,使得阅读的人无法根据名字猜测其用途。

  3. 下面这个就是反编译了混淆后的apk,里面的类名基本上都换成了abcd这种没有可读性的名字,类中的变量名也被替换掉。如果想直接阅读这些代码,难度会提升很多。


    反编译混淆后的代码
  4. 开启混淆编译后,编译的时间会更长,而且混淆后的apk,需要重新测试。

二、开启混淆的方法

  1. 在Android Studio下,你只需要在module下的build.gradle中android下的buildTypes中的minifyEnabled设为true,并且指定混淆配置文件就可以了。这样,在编译生成apk的时候,就会


    AndroidStudio下开启混淆
  2. Eclipse下,将project.properties的11行前面的#号去掉,将改行替换成proguard.config=proguard-android.txt。然后去sdk\tools\proguard目录下复制proguard-android.txt文件当eclipse项目的根目录中。如果没有proguard-android.txt,那么就去下载一个别人的放到根目录下。
  3. 最关键的一步,配置混淆规则。在混淆的时候,有些代码可以被混淆,有些代码不能被混淆。比如说通过反射来查找的方法,如果混淆了方法名,那么APP运行的时候就找不到这个方法了。

三、混淆的规则

  • 反射用到的类不混淆
  • JNI方法不混淆
  • AndroidMainfest中的类不混淆,
  • 四大组件和Application的子类
  • Framework层下所有的类默认不会进行混淆
  • Parcelable的子类和Creator静态成员变量不混淆,否则会产生android.os.BadParcelableException异常
  • 使用GSON、fastjson等框架时,所写的JSON对象类不混淆,否则无法将JSON解析成对应的对象
  • 使用第三方开源库或者引用其他第三方的SDK包时,需要在混淆文件中加入对应的混淆规则
  • 有用到WEBView的JS调用也需要保证写的接口方法不混淆

四、实际混淆操作方法

  1. 上面的规则有点乱,实际操作的时候要记住这些肯定有些枯燥。这里有位大神已经这里好了,我们完全可以借助他写的模板来,非常方便,《5分钟搞定android混淆》。模板大致将混淆根据特点分为两类:
  • Android中固定不混淆内容
  • 项目中需要特定不混淆内容
  1. Android中固定不混淆内容。
#---------------------------------基本指令区----------------------------------
-optimizationpasses 5
-dontskipnonpubliclibraryclassmembers
-printmapping proguardMapping.txt
-optimizations !code/simplification/cast,!field/*,!class/merging/*
-keepattributes *Annotation*,InnerClasses
-keepattributes Signature
-keepattributes SourceFile,LineNumberTable
#----------------------------------------------------------------------------
#---------------------------------默认保留区---------------------------------
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService
-keep class android.support.** {*;}
-keep public class * extends android.view.View{
    *** get*();
    void set*(***);
    public <init>(android.content.Context);
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}
-keep class **.R$* {
 *;
}
-keepclassmembers class * {
    void *(**On*Event);
}
#----------------------------------------------------------------------------
#---------------------------------webview------------------------------------
-keepclassmembers class fqcn.of.javascript.interface.for.Webview {
   public *;
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, jav.lang.String);
}
#----------------------------------------------------------------------------

上面的这些代码基本不用动直接copy进proguard-rules.pro中就可以了。

  1. 项目中定制的不混淆内容
#---------------------------------实体类---------------------------------
#---------------------------------第三方包------------------------------
#---------------------------------与js互相调用的类-------------------
#---------------------------------反射相关的类和方法-----------------------
  • 实体类由于涉及到与服务端的交互,各种gson的交互如此等等,是要保留的。一般的格式是-keep class 你的实体类所在的包.** { *; }。如果你的实体类都在一个包下,那么直接加上
-keep class com.demo.login.bean.** { *; }
  • 第三方jar包,包括依赖的一些类。这部分,就根据第三方官网提供的混淆代码来就可以了。
  • 与js互调的类,工程中没有直接跳过。
-keep class 你的类所在的包.** { *; }

如果是内部类的话,你可以这样

-keepclasseswithmembers class 你的类所在的包.父类$子类 { <methods>; }
  • 与反射有关的类,工程中没有直接跳过。类的话直接这样
-keep class 你的类所在的包.** { *; }
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • Android - 收藏集
    Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 176,008评论 25 709
  • 关于AndroidStudio混淆配置
    1.首先需要在app下的build.gradle下配置,true表示编译时会混淆代码\ 2.在proguard-r...
    Thomas_yy阅读 11,670评论 0 6
  • Android 混淆代码总结
    在离职之际,也没有啥事可以做,就自己捣腾下代码混淆,言归正传。 为了防止自己的劳动成果被别人窃取,混淆代码能有效防...
    Orz013阅读 4,647评论 0 0
  • 混淆(转)
    5分钟搞定android混淆 前言 混淆是上线前挺重要的一个环节。android使用的ProGuard,可以起到压...
    garyhu1阅读 4,166评论 0 1
  • 2016互联网大会看未来趋势
    互联网从下到上可以分为几层,底层是晶体管,第二层是处理器,第三层是操作系统,第四层是基于操作系统的软件,还可...
    独小孤阅读 7,168评论 41 46

友情链接更多精彩内容