Android代码混淆配置:ProGuard

前言

对于一个应用release包来说,存在混淆效果是十分正常的。添加混淆不仅能够使用无意义的命名去重新命名类、方法及变量,使得应用代码被混淆难以反编译及进行逆向工程,同时在一定程度上还能够减小包的大小。

在Android里面,由于我们常用的IDE:Android Studio集成了ProGuard,因此我们最常用,最简单的混淆是ProGuard混淆。ProGuard混淆主要包括有四个功能:

  1. 压缩(Shrink):用于检测和删除没有使用的类、字段、方法和属性。
  2. 优化(Optimize):对于字节码进行优化,并且移除无用指令。
  3. 混淆(Obfuscate):使用a,b,c等名称对类,字段和方法进行重命名。
  4. 预检(Preverify):主要是在Java平台上对处理后的代码进行预检。

使用

Android Studio中集成了ProGuard,因此在项目中默认配置了proguard-rules.pro文件,我们可以直接修改此文件。

Android Studio使用ProGuard主要包括如下几个步骤:

  1. 配置文件中打开混淆。
  2. 配置混淆文件。
  3. 检查日志文件,apk文件以及apk运行状况,查询是否有错误出现。

一. 配置文件中打开混淆

在build.gradle文件中配置如下代码:

android {
    buildTypes {
    debug {
            ...
        }
        release {
            //混淆开关
            minifyEnabled true
            // 是否zip对齐
            zipAlignEnabled true
            // 移除无用的resource文件
            shrinkResources false
            // 是否打开debuggable开关
            debuggable false
            // 是否打开jniDebuggable开关
            jniDebuggable false
            proguardFiles 'proguard-rules.pro'
            signingConfig signingConfigs.release
        }
    }
}

从上述代码中可以看到配置混淆开关的是minifyEnabled,设置为true可以打开混淆。

混淆一般是配置在release包中,原因是因为debug包一般来说是开发者在开发需要时运行调试的,混淆会减慢打包速度,对于开发程序效率有所影响。但是这不表示我们在开发程序时不注重混淆设置,在混淆设置不正确的情况下可能会发生查找不到某个类的异常,因此如果项目中有打开混淆,在需求完成后添加混淆并自测是必要步骤。

二. 配置混淆文件

ProGuard在AS中默认的配置文件是proguard-rules.pro,因此我们只需要配置此文件即可。

ProGuard配置比较繁琐,但是其核心内容主要包括下面几个部分:

  1. 基本配置,如混淆算法,压缩等级,混淆的范围等等。
  2. 需要keep不能混淆的项,warning处理。

ProGuard文件的语法是比较多的,具体内容可以参考ProGuard的官方文档,本文在此不再赘述,仅举例说明常见的apk混淆文件配置。

我们常见的ProGuard文件主要包含如下几个部分:

  1. 基本配置,设定混淆的规则等,基本配置是每个混淆文件必须存在的,并且此块内容大部分通用,可以直接copy。
  2. 基本的keep项,多数Android工程都需要非混淆的内容,包括有四大组件等内容,此项内容也大部分通用,也可以直接copy。
  3. 三方引入的lib包混淆,这个内容需要去各自的官网去查找对应的混淆添加代码。
  4. 其他需要不混淆的内容,包括:实体类,json解析类,WebView及js的调用模块,与反射相关的类和方法。

下面将会对上述的几项内容分别示例说明:

1. 基本配置

基本配置基本上变化不大,一般的项目可以直接copy,示例如下:

#指定压缩级别
-optimizationpasses 5

#不跳过非公共的库的类成员
-dontskipnonpubliclibraryclassmembers

#混淆时采用的算法
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*

#把混淆类中的方法名也混淆了
-useuniqueclassmembernames

#指定不去忽略非公共的库的类
-dontskipnonpubliclibraryclasses

#不做预检验,preverify是proguard的四大步骤之一,可以加快混淆速度
#-dontpreverify

# 忽略警告(?)
#-ignorewarnings

#混淆时不使用大小写混合,混淆后的类名为小写(大小写混淆容易导致class文件相互覆盖)
-dontusemixedcaseclassnames

#优化时允许访问并修改有修饰符的类和类的成员
-allowaccessmodification

#将文件来源重命名为“SourceFile”字符串
#-renamesourcefileattribute SourceFile
#保留行号
-keepattributes SourceFile,LineNumberTable
#保持泛型
-keepattributes Signature
# 保持注解
-keepattributes *Annotation*,InnerClasses

# 保持测试相关的代码
-dontnote junit.framework.**
-dontnote junit.runner.**
-dontwarn android.test.**
-dontwarn android.support.test.**
-dontwarn org.junit.**

2. 基本的项目配置

多数是包括序列化,Android四大组件等基本内容的混淆keep,对于常规的项目而言区别不大,也可以进行copy。示例如下:

# Parcelable
-keep class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator *;
}
# Serializable
-keepnames class * implements java.io.Serializable
-keepclassmembers class * implements java.io.Serializable {
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

# 保留R下面的资源
-keep class **.R$* {*;}

# 保留四大组件,自定义的Application,Fragment等这些类不被混淆
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Fragment
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference

## support
-dontwarn android.support.**
-keep class android.support.v4.app.** { *; }
-keep interface android.support.v4.app.** { *;}
-keep public class * extends android.support.v7.**
-keep public class * extends android.support.annotation.**

-keep public class * extends android.support.v4.view.ActionProvider {
    public <init>(android.content.Context);
}

# 保留枚举类不被混淆
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

# 保留本地native方法不被混淆
-keepclasseswithmembers class * {
    native <methods>;
}

# 对于带有回调函数的onXXEvent、**On*Listener的,不能被混淆
-keepclassmembers class * {
    void *(**On*Event);
    void *(**On*Listener);
}

-keepclassmembers public class * extends android.view.View {
   void set*(***);
   *** get*();
}

#保留在Activity中的方法参数是view的方法,
-keepclassmembers class * extends android.app.Activity {
   public void *(android.view.View);
}

# For XML inflating, keep views' constructoricon.png    自定义view
-keep public class * extends android.view.View {
    public <init>(android.content.Context);
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
    public void set*(...);
}

现在Android中使用Androidx是比较常见的,还可以包括Androidx的混淆:

# androidx 混淆
-keep class com.google.android.material.** {*;}
-keep class androidx.** {*;}
-keep public class * extends androidx.**
-keep interface androidx.** {*;}
-dontwarn com.google.android.material.**
-dontnote com.google.android.material.**
-dontwarn androidx.**
-printconfiguration
-keep,allowobfuscation @interface androidx.annotation.Keep

-keep @androidx.annotation.Keep class *
-keepclassmembers class * {
    @androidx.annotation.Keep *;
}
3. 三方SDK的混淆

三方SDK的混淆代码需要去各自的SDK官网上去查找,在此仅以OKHTTPgson作为示例:

# google gson
-keep class org.json { *; }
-keep class com.google.gson.** { *; }
-keep class sun.misc.Unsafe { *; }
-keep class com.google.** { *;}

# OkHttp3
-dontwarn com.squareup.okhttp3.**
-keep class com.squareup.okhttp3.** { *;}
-keep interface com.squareup.okhttp3.** { *;}
-dontwarn okio.**
-keep class okio.**{*;}
-keep interface okio.**{*;}
4. 其他混淆内容

其他混淆内容比较杂,包括:实体类,json解析类,WebView及js的调用模块,与反射相关的类和方法。

对于上述的这些内容在项目中的一定要查询清楚并添加到配置文件中,否则可能在程序运行时出现异常,WebView示例代码如下:

# WebView
-dontwarn android.webkit.WebView
-dontwarn android.net.http.SslError
-dontwarn android.webkit.WebViewClient
-keep public class android.webkit.WebView
-keep public class android.net.http.SslError
-keep public class android.webkit.WebViewClient

其他内容可以按照下面的格式进行粗暴的设置keep效果:

-keep class 类所在的包.** { *; }
5. log过滤

混淆文件中还可以配置log过滤效果,示例代码如下:

-assumenosideeffects class android.util.Log {
    public static *** d(...);
    public static *** v(...);
}

三. 混淆结果

在添加混淆之后,在排查时我们可以对混淆和未混淆的类名进行记录和打印,在混淆文件中添加如下代码可以查看混淆编译的类及文件结构:

# 混淆映射,生成映射文件
-verbose
-printmapping proguardMapping.txt
#输出apk包内所有的class的内部结构
-dump dump.txt
#未混淆的类和成员
-printseeds seeds.txt
#列出从apk中删除的代码
-printusage unused.txt

添加上述代码之后,会在生成release包时也同时生成三个日志文件,我们在排查混淆问题时可以以上述三个文件作为参考,快速排查。

在完成了上述工作之后,必须要彻底的测试你当前的项目,很难保证在你添加的keep选项是否完整,因此必须要对所有的项目内容及类进行排查,确保没有问题之后才能提交。

Proguard和R8

Android Gradle插件升级至3.4.0版本之后,带来一个新特性-新一代的混淆工具R8,作为D8的混淆工具升级替代Progurad,在应用压缩、应用优化方面做出了更好的体验优化。

在Gradle 插件3.4.0之后,R8默认处于启用状态,R8将脱糖、压缩、混淆、优化和dex处理整合到了一个步骤中,相对于Proguard而言,一定程度上提升了构建性能。

在引入R8之前的编译 流程如下:

R8之前的编译流程.png

在引入R8之后,可以在一个步骤中完成脱糖、压缩、混淆、优化和dex处理(D8),流程如下:

R8之后的编译流程.png

需要注意的是R8虽然能够与现有的ProGrard规则配合使用,因此我们从ProGuard升级到R8不需要进行修改。但是也不能排除由于R8的特殊压缩和优化导致移除了ProGuard中的代码,因此在升级之后还是需要进行完整的工程测试。

如果对R8的使用存在问题,导致需要停用R8,则需要在gradle.properties文件中添加如下内容:

android.enableR8.libraries = false
android.enableR8 = false

总结

本片文章主要论述了常规的proguard混淆及对应文件配置,各个项目中的代码多种多样,因此混淆文件的添加内容不能一概而论,除了公共部分之外,多数配置都有所不同,需要大家灵活的去添加。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,657评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,662评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,143评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,732评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,837评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,036评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,126评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,868评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,315评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,641评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,773评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,859评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,584评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,676评论 2 351

推荐阅读更多精彩内容