摘要:因为同包名的情况下,混淆器是无法一个一个的进行混淆。所以最终的解决方案是,面对这种项目,还是在主中进行混淆吧。类似的处理库,等都是有反射代码的。最后,需要注意的是网上也会有大量现成的第三方类库的混淆规则。
文章转自我个人博客
Android 代码混淆(一) 中已经记录并走了混淆的整个流程,用命令行进行混淆的操作,并验证了三个过程,这篇文章会记录一下在 Android Studio 下混淆的操作,以及具体需要的注意的一些事项。
基本操作及整体的流程1.修改build.gradle脚本
buildTypes {
release {
minifyEnabled true//开启混淆
proguardFiles getDefaultProguardFile("proguard-android.txt"), "proguard-rules.pro"//配置内容
}
debug {
minifyEnabled true//开启混淆
proguardFiles getDefaultProguardFile("proguard-android.txt"), "proguard-rules.pro"//配置内容
}
}
2.修改proguard-rules.pro文件,写入基础的几个混淆规则,避开Android自带的一些类
# 四大组件及基本类
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class com.android.vending.licensing.ILicensingService
-keep public class * extends android.app.Fragment
-keep public class * extends android.support.v4.**
-keep public class * extends android.support.annotation.**
-keep public class * extends android.support.v7.**
-keep public class android.app.Notification
-keep public class android.webkit.**
#保护WebView对HTML页面的API不被混淆
-keep class **.Webview2JsInterface {*; }
-keep public class * extends android.app.Dialog
-keep public class * extends android.view
# 所有枚举类型不要混淆
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
# 保持 native 方法不被混淆
-keepclasseswithmembernames class * {
native ;
}
#保持R文件不被混淆,否则,你的反射是获取不到资源id的
-keep class **.R*{*;}
# parcelable 不被混淆
-keep class * implements android.os.Parcelable {
public static finalandroid.os.ParcelableCreator *;
}
#保持实现"Serializable"接口的类不被混淆
-keepnames class * implements java.io.Serializable
#保护实现接口Serializable的类中,指定规则的类成员不被混淆
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
!static !transient ;
!private ;
!private ;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
3.直接跑一个debug版的进行测试,把打包好的APK修改成.zip文件,解压,取出文件中dex包。

把解压获取的dex文件,通过 dex2jar工具 (一个把dex包转换成jar包的工具),把dex转换成jar包。其具体使用不在此详细讲。
下图中我没有把d2j-dex2jar配置进环境变量,所以进入对应目录跑的脚本。

运行完后可以看到,当前目录下多了一个classes-dex2jar.jar的文件,该文件就是decode出来的jar包,注意名字可能不一样

接下来就是和前一篇文章一样,直接用Intelij导入,看class文件,包内类名字已有变化,部分类已被移除,同时部分类也被改成final类型。具体就不上图了。主要看下面的注意事项。
注意事项上述流程在如果是项目一开始就进行混淆,大部分情况下是能够成功混淆,并且不会出现很大问题,只需要在项目进行过程中注意,新加的第三方类库,反射代码。但是,如果你面对的是一个沉积已久,并且项目庞大,而又从未写过混淆的项目,那你可能会在混淆开启时,面临几千个混淆时的warning和note,最终无法编译通过。这中间主要是大量第三方库的报错。下面记录一下我在处理这种情况时,遇到的问题以及解决方案
写了个脚本,过滤出大部分错误,生成proguard文件,然后继续处理剩下的个别遗留问题,脚本写的比较菜,轻喷。
写几个典型的例子:
1.情况一:
Note: xxxxxx calls "Class.getEnclosingMethod"
#这种情况就是调用了反射,找到xxxxx对应调用的类,并且设为入口点
2.情况二:
Warning: AAAAAAA: can"t find superclass or interface BBBBBBB
Warning: AAAAAAA: can"t find referenced class BBBBBBB
#这两种种情况就是找不到BBBBBB了,直接把BBBBB设为入口点,同时给AAAAA打上-dontwarn既可以,如下
-keep class BBBBBB
-dontwarn AAAAAA
3.情况三:
Note:AAAAA accesses a declared field BBBBB dynamically
Maybe this is program field "CCCCC"
Maybe .....
#这种情况下,需要处理CCCC,把它设为入口点,同样设置对AAAAA设置-dontwarn
-keep class CCCCC
#不一定是-keep,也有可能其他的,例如 -keepattribute 更为合适
-dontwarn AAAAA
有时候会碰到多个module混淆的情况,多数情况下,为了清晰处理会给每个module都写上对应的混淆规则,同时需要修改build.gradle的配置,而不是之前的写法,具体可以参考so上的解释
这种方案,需要module之间的依赖清晰,最底层的module会被最先混淆,然后一步一步倒推上去,直到主module,多为app module。
buildTypes {
release {
consumerProguardFiles "proguard-project.txt"
}
}
然而,我碰到的情况则是,多个module中有相同的包名,这时候视图去每个module自顾自混淆的情况下是不可能。因为同包名的情况下,混淆器是无法一个一个module的进行混淆。
所以最终的解决方案是,面对这种项目,还是在主module中进行混淆吧。
反射举个例子:
Class a = Class.forName("com.dove.xu.a");
-keep class com.dove.xu.a{*;}
不过,此处在考虑到自己代码的同时,需要注意第三方类库。类似的json处理库,retrofit等都是有反射代码的。
下面这个github库收藏了大量第三方库的混淆规则,可以去看一下
snippets
基本的系统混淆规则,在一开始则整体流程中也已记录,就不重复了。
最后,需要注意的是网上也会有大量现成的第三方类库的混淆规则。但是在抄的时候也需要注意,不同的版本混淆规则不一定相同,所以一定要注意,在拷贝完以后,看一下规则,是否符合自己的版本,包名是否正确。
举个自己碰到的例子:
Butterknife 8.2.1 混淆规则,摘自官方github
# Retain generated class which implement ViewBinder.
-keep public class * implements butterknife.internal.ViewBinder { public (); }
# Prevent obfuscation of types which use ButterKnife annotations since the simple name
# is used to reflectively look up the generated ViewBinder.
-keep class butterknife.*
-keepclasseswithmembernames class * { @butterknife.* ; }
-keepclasseswithmembernames class * { @butterknife.* ; }
Butterknife 5.2.1 混淆规则,摘自官方github
-dontwarn butterknife.internal.**
-keep class **$$ViewInjector { *; }
-keepnames class * { @butterknife.InjectView *;}
以上就是我在Android混淆时,学到的知识以及碰到的问题。特此记录
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/13111.html
摘要:主要通过工具来提供代码混淆是什么是一个工具,用来混淆和优化代码。工作方式移除无效的代码,将代码中的类名函数名替换为晦涩难懂的名字。注意它只能混淆代码,工程中代码,资源文件图片,它是无法混淆的。 Android ADT主要通过ProGuard工具来提供代码混淆. 1. ProGuard是什么 ProGuard是一个工具,用来混淆和优化Java代码。 工作方式:移除无效的代码,...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:应用程序响应速度最糟糕的是应用程序无响应对话框。然而,不幸的是,并不能获取所要的结果,宽高值均为。提供侧滑操作的控件这是一款提供侧滑功能的,可以设置它的滑动方向左右上下。 写给 Android 开发者的混淆使用手册 点击打开链接 毫无疑问,混淆是打包过程中最重要的流程之一,在没有特殊原因的情况下,所有 app 都应该开启混淆。 首先,这里说的的混淆其实是包括了代码压缩、代码混淆以及资源...
摘要:腾讯特约作者微信客户端高级工程师微信中的资源混淆工具主要为了混淆资源长度例如将混淆为,同时利用深度压缩,大大减少了安装包体积,同时也增加了逼格,提升了反破解难度。写在前言资源混淆工具大约是在年月实现,并在微信中使用,减少了大约的空间。 腾讯Bugly特约作者: 微信客户端高级工程师 shwen 微信中的资源混淆工具主要为了混淆资源ID长度(例如将res/drawable/welcome...
阅读 691·2021-11-24 09:38
阅读 651·2021-11-23 09:51
阅读 2716·2021-11-16 11:44
阅读 1491·2021-09-22 15:52
阅读 1354·2021-09-10 11:20
阅读 3338·2021-09-09 09:33
阅读 1249·2019-08-30 13:47
阅读 1148·2019-08-29 12:36
