Python实践之Android多渠道打包(七)

这里主要说一下同时使用 微信资源混淆以及同时使用 walle 打多渠道包 遇到的坑,以及如何解决这个问题的。如果只需要知道如何通过向 META-INF 目录下写入代表空文件方式打多渠道包的方式可以直接看最后的脚本代码部分。

之前在项目中进行 apk 瘦身时,接触到使用 微信资源混淆可以有效较小 apk 的大小,于是项目中在打包时使用了微信资源混淆结合 7zip 对 apk 进行极度压缩,得出的 apk 文件确实变小了很多。

后来在发版时需要打渠道包,用到的一直是 walle 打包。美团第二代多渠道打包方式,适应了 Android 7.0 新签名特性,所以仅针对能进行 V2 签名的 apk 文件才能打多渠道包。

为什么说微信资源混淆和walle打多渠道包会遇到一些坑呢?这里会涉及到Android 打包签名的一些问题,先简单提一下微信资源混淆流程、walle 打多渠道包流程以及Android签名机制。

微信资源混淆AndResGuard

思路:主要修改 resource.arsc,将长路径改为短路径,然后重新打包 apk。
作用:

  • 混淆资源 ID 长度(res/drawable/icon -> r/s/a.png),使apktool反编译更难;
  • 减少 apk 大小,可以减少 resources.arsc 和 package 大小;
  • 支持 7zip 重新打包,开启7z深度压缩能很大程度减少安装包体积。

参考:
https://github.com/shwenzhang/AndResGuard http://dev.qq.com/topic/59152309ca95d00d727ba756

在项目中如何使用 AndResGuard 呢?github 上提供了两种方式:

  • 使用 AndResGuard plugin,在 gradle 文件中配置资源混淆参数;执行命令:./gradlew resguardRelease ,最终得到的包是进行资源混淆后的包。
  • 使用提供的 resourceproguard.jar 在命令行下打包,也即是对 assembleRelease 得到的apk文件在命令行下执行:java -jar resourceproguard.jar input.apk 等命令得到混淆后的包。

Tips:github 文档写得比较详细; issues 中有很多问题值得一看。

美团第二代多渠道打包Walle

walle主要针对新的签名方案而出的一种新多渠道打包方式。

首先对比下两种签名方案:


V1签名 vs V2签名.png

功能描述:

  • 对V2签名包中的 ID-value 进行扩展,提供自定义 ID-value(渠道信息),保存在 apk包中;
  • apk 安装过程进行的签名校验,会忽略 V2Block 中的其他 ID-value,如此就能正常安装;
  • 在运行阶段,通过读取 ZIP 等结构的信息找到自定义的 ID-value,便可以获取渠道信息。

每到一个渠道包,只需要向 APK 中添加一个 ID-value 即可,速度很快。

参考:
https://tech.meituan.com/android-apk-v2-signature-scheme.html

针对V2签名方式第一代多渠道打包方式存在的问题如下:

  1. 新的签名方案 签名信息会保存在区块2(APK Signing Block)中,其他三块区域是受保护的,在签名后任何对这三块的修改都无法越过新应用签名方案的检查;

  2. 第一代渠道包生成方案是在 META-INF 目录下添加空文件,用空文件作为渠道的唯一标识。在新的签名方案下,META-INF 目录是在保护区内,添加空文件对区块1, 3, 4均有影响,也即是对 V2 包进行了修改,V2签名无效,安装会出错。

Android 7.0 新签名机制

APK V1 签名

  1. 签名工具
    两种:jarsigner 或 signapk,Android Studio 默认 signapk。
    区别:主要是证书和密钥存储格式不同,前者通过 Java KeyStore (.jks / .keystore 文件)格式,后者分别用 .pem 和 .pk8 格式存储证书和密钥。

注:无论哪种签名工具,最终在 META-INF 目录下生成三个文件:MANIFEST.MF, CERT.SF, CERT.RSA (若 jarsigner 签名,则 .sf 和 .rsa 文件名会根据 alias 来定)。

APK V2 签名:

  1. 签名工具
    apksigner, Android 7.0之后出现的签名工具,可以使用 apksigner.jar 工具对对齐后的包进行 V2签名。
    (仅在高于 25 版本的 SDK\build-tools\中才能找到 apksigner.jar)
    注:经过 apksigner 签名的apk同时支持 v1 和 v2签名。

  2. V2 签名作用
    一种对全文件进行签名的方案 ,能提供更快的应用安装时间,对未授权 APK 文件的更改提供更多保护。
    默认情况下,Gradle Plugin 2.2.0 会使用 V2 签名和传统 V1签名来签署应用。

新应用签名机制方案验证流程如下图所示:


新签名机制验证流程.png
Walle 和 微信资源混淆冲突

问题描述:

  1. Gradle Plugin 2.2 以上打包默认使用 V1和V2签名打包兼容版本;
  2. 使用 AndResGuard 工具对上述安装包进行资源混淆,因为该工具中仅集成了 jarsigner 没有集成 apksigner,所以最终重签的包只是 V1 签名包;
  3. Walle 打多渠道包,首先要校验签名包中是否进行过 V2签名,没有则直接编译失败。

问题定位:
Walle 打多渠道包仅支持含有V2签名的包,但 AndResGuard 没有集成新的签名工具 apksigner,只能得到 V1 签名的混淆包,如此两者不能同时执行。

问题解决:
1. 得到资源混淆后的包后,使用美团第一代打包方式向 META-INF 中写入空文件的方式打多渠道包,这种方式得到的包是 V1 签名;
2. 对混淆后的V1包 使用 apksigner 重新签名,重签主要要先对齐后签名。

为了练一下 Python 脚本,使用第一种方式,改为第一代多渠道打包方式进行打包。具体打包脚本是配合 assembleRelease Task 执行的,这里会用到 groovy 脚本和 python 脚本。

groovy 脚本时配合assembleRelease任务在该任务执行完成后开启另一个 task 对得到的 release 包进行资源混淆;python 脚本主要是用来进行多渠道打包,对资源混淆后的 apk 解压缩后向其 META-INF 目录下写入一个以渠道名命名的空文件。

andResGuard.gradle 完整脚本代码如下:

// 美团多渠道混淆方案V1签名实现:
// 原理:向apk文件的 META-INF 目录下写一个空文件,可以不用重新签名应用;
//      通过为不同的渠道应用添加不同的空文件,可以标识一个渠道;
// 好处:因为不用重新签名,所以节省了解压重签名的时间;另外不同于原始的多渠道打包方案,build每次只打一个渠道包,构建时间很长
// 坏处:对于使用V2签名得到的apk进行修改,v2签名就会失效,此时安装到 7.0手机,会直接提示:检测使用V2签名,但是没有这样的签名;6.0手机安装时OK的。
// 解决方式:改成 V1 签名。
def rootDir = "${project.projectDir}"
def channelFile = "${rootDir}/doc/channel"
def outputDir = "${project.projectDir}/pkg/channel_release_apks"
def emptyFile = "${rootDir}/doc/temp"

def buildChannelApkTask = {
    def variantName ->
        println '---begin to build channels---'
        // 闭包调用
        def applicationId = android.defaultConfig.applicationId
        def versionCode = android.defaultConfig.versionCode
        def inputApk = "${project.projectDir}/build/outputs/apk/app-${variantName}.apk"
        project.exec {
            workingDir "${project.projectDir}"
            commandLine "python", "${rootDir}/pkg/build_channels_apk.py", "$channelFile", "$inputApk", "$outputDir", "$emptyFile", "$applicationId", "$versionCode"
        }
}

afterEvaluate {
    tasks.withType(Task).each { task ->
        task.doLast {
            // 执行 assembleRelease 打多渠道资源混淆包
            if (task.name.equals("assembleRelease")) {
                // 这两句执行的都是使用通过命令行执行脚本代码
                resourceProguardTask("release")
                buildChannelApkTask("release")
            }
        }
    }
}

// test task
task test1 {
    doLast {
        buildChannelApkTask("release")
    }
}

buildChannel.python 完整脚本代码如下:

import os
import zipfile
import shutil
import sys

# only for V1 signing apk -> resource proguard apk -> get channel resource proguard apk
channelFile = sys.argv[1]
inputApk = sys.argv[2]
outputDir = sys.argv[3]
emptyFile = sys.argv[4]
applicationId = sys.argv[5]
versionCode = sys.argv[6]

def deleteDir(sourceDir):
    for file in os.listdir(sourceDir):
        targetFile = os.path.join(sourceDir, file)
        if os.path.isfile(targetFile):
            os.remove(targetFile)

def buildChannelApk(apkFile, channelFile, outputDir, emptyFile, applicationId, versionCode):
    print('---begin to write empty file into META-INF---')
    f = open(emptyFile, 'w')
    f.close()
    print('---write empty file into META-INF end---')

    if (os.path.exists(outputDir)):
        deleteDir(outputDir)
    else:
        os.mkdir(outputDir)

    # read channel info from channel file
    print('---begin to add channel info---')
    with open(channelFile, 'r') as f:
        channels = f.readlines()
        for c in channels:

            destApkFile = '%s/%s-%s-release-%s.apk' % (outputDir, applicationId, c.strip(), versionCode)
            shutil.copy(apkFile, destApkFile) # copy the original apk to destApkFile

            zipped = zipfile.ZipFile(destApkFile, 'a')
            empty_channel_file = "META-INF/ycchannel_{channel}".format(channel=c.strip())
            zipped.write(emptyFile, empty_channel_file)
            zipped.close()
    print('---add channel info end---')

buildChannelApk(inputApk, channelFile, outputDir, emptyFile, applicationId, versionCode)

在命令行直接执行"gradle assembleRelease" ,查看 build 日志就会看到先会得到初始的 release 包,然后调用 resourceProguardTask("release") 执行对原始包进行资源混淆,这里也可以看到混淆时的日志,执行完毕后,脚本会执行 buildChannelApkTask("release") 对混淆后的包开始打多渠道包,也即是按照第一代V1签名方式,向 META_INF 目录下写入空文件方式。

Tips
  • 这里的方案只是暂时的,V2签名是趋势,这种放弃 V2 签名的方式并不建议,可以等到微信资源混淆提供集成了新一代签名工具的 打包工具,或者自己直接对混淆后的文件再使用 新一代签名工具重签名和打包得到 V2 再使用 walle 打多渠道包。
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容