Android代码混淆配置说明
1.为什么需要代码混淆
Proguard混淆用于保护APP不被破解和逆向分析,Proguard通过移除没有用到的代码以及通过特定规则重命名类、变量、方法来压缩、优化、混淆你的代码。这样可以让你APK更小,更难被逆向分析。由于可以提高被逆向分析的难度,对相关功能安全敏感的应用使用它是十分必要的。混淆的本质是不能阻止反编译,只能增加反编译以后阅读理解的难度罢了。
2.Proguard如何工作的呢?
我们通常说的Proguard包含四个功能,shrinker(压缩),optimizer(优化),obfuscator(混淆),preverifier(预校验)
Shrink:检测并移除没用到的类,变量,方法和属性;
Optimize:优化代码,非入口节点类加上private/static/final,没有用到的参数会被删除,一些方法可能会变成内联代码;
obfuscate:使用短又没有语义的名字重命名非入口类的雷鸣,变量名,方法名。入口类的名字保持不变;
preverify:预校验代码是否符合Java1.6或者更高的规范(唯一一个与入口类不相关的步骤;
官网介绍为了能够确定哪些代码必须被保留以及哪些代码可以丢弃或者模糊处理,就必须指定一个或者多个代码入口。
这个入口点就是Entry Point,Entry Point是在Proguard过程中不会被处理的类或者方法,在压缩的步骤中,Proguard会从上述的Entry Point开始遍历,搜索哪些类和类成员在使用。对于没有被使用的类和类的成员,就会在压缩阶段丢弃。在优化阶段,哪些非Entry Point的类、方法都会被设置为private、static或者final,不使用的参数会被移除。在混淆的阶段,Proguard会对非Entry Point的类和方法进行重命名。
3.哪些代码不能混淆
(1)Proguard混淆为什么需要保留类名和方法名
a.如何是NDK开发,需要让C/C++可以通过JNI使用调用对应的Java方法;
b.四大组件由于在清单文件中已经声明注册,不可以改变所以需要可以保留;
c.R文件混淆会导致引用错误;
简单总结就是需要用到确定名称的地方不能混淆;
1.使用了自定义控件那么要保证他们不参与混淆;(混淆以后会导致xml布局文件无法找到自定义控件);2.使用了枚举要保证枚举不被混淆;3.对第三方库中的类不进行混淆(按照第三方库给定规则配置);4.运用了反射的类不能进行混淆(Class.forName("...")需要明确知道类的名称,混淆以后导致无法加载对应的类);5.使用了Gson之类的工具要使JavaBean类即实体类不会混淆(混淆以后导致无法找到对应的属性)6.在引用第三方库的时候,一般会标明库的混淆规则,建议在使用的时候就把混淆规则添加上去,免得到最后才去找;7.有用到WebView的JS调用也需要保证写的接口方法不混淆(混淆以后导致JS调用的方法在Java中找不到映射方法)8.Parcelable的子类和Creator静态成员变量不混淆,否则会产生Android.os.BadParcelableException异常;
4.基础代码混淆配置
4.1在app模块下build.gradle添加
buildTypes {release {signingConfig signingConfigs.releaseshrinkResources true // 移出无用的res文件minifyEnabled true // 是否需要使用下面的混淆文件进行代码混淆zipAlignEnabled true // Zipalign优化proguardFiles getDefaultProguardFile('proguard-android.txt'),'proguard-rules.pro'}
}
注意:工程中出现多个module时,只需要修改app底下build.gradle中的minifyEnabled true即可;
4.2在proguard-rules.pro中加入混淆规则-基本混淆
基本混淆是指任何APP都会使用,可以直接拿来做模板使用;
4.2.1基本指令
# 代码混淆压缩比,在0和7之间,默认为5,一般不需要改
-optimizationpasses 5# 混淆时不使用大小写混合,混淆后的类名为小写,Windows用户必须指定,否则当你的项目中有超过26个类的
#话,ProGuard就会默认混用大小写文件名,而导致class文件相互覆盖。
-dontusemixedcaseclassnames# 指定不去忽略非公共的库和类,不要跳过对非公开类的处理,默认情况下是跳过的
-dontskipnonpubliclibraryclasses# 指定不去忽略非公共的库的类的成员
-dontskipnonpubliclibraryclassmembers# 不做预校验,preverify是proguard的4个步骤之一
# Android不需要preverify,去掉这一步可加快混淆速度
-dontpreverify# 有了verbose这句话,混淆后就会生成映射文件
# 包含有类名->混淆后类名的映射关系
# 然后使用printmapping指定映射文件的名称
-verbose
-printmapping proguardMapping.txt# 指定混淆时采用的算法,后面的参数是一个过滤器
# 这个过滤器是谷歌推荐的算法,一般不改变
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*# 保护代码中的Annotation不被混淆,这在JSON实体映射时非常重要,比如fastJson
-keepattributes *Annotation*,InnerClasses# 避免混淆泛型,这在JSON实体映射时非常重要,比如fastJson
-keepattributes Signature//抛出异常时保留代码行号,在异常分析中可以方便定位
-keepattributes SourceFile,LineNumberTable
4.2.2需要保留的东西
# 保留所有的本地native方法不被混淆
-keepclasseswithmembernames class * {native <methods>;
}# 保留了继承自Activity、Application这些类的子类
# 因为这些子类,都有可能被外部调用
# 比如说,第一行就保证了所有Activity的子类不要被混淆
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService# 如果有引用android-support-v4.jar包,可以添加下面这行
-keep public class com.xxxx.app.ui.fragment.** {*;}# 保留在Activity中的方法参数是view的方法,
# 从而我们在layout里面编写onClick就不会被影响
-keepclassmembers class * extends android.app.Activity {public void *(android.view.View);
}# 枚举类不能被混淆
-keepclassmembers enum * {public static **[] values();public static ** valueOf(java.lang.String);
}# 保留自定义控件(继承自View)不被混淆
-keep public class * extends android.view.View {*** get*();void set*(***);public <init>(android.content.Context);public <init>(android.content.Context, android.util.AttributeSet);public <init>(android.content.Context, android.util.AttributeSet, int);
}# 保留Parcelable序列化的类不被混淆
-keep class * implements android.os.Parcelable {public static final android.os.Parcelable$Creator *;
}# 保留Serializable序列化的类不被混淆
-keepclassmembers class * implements java.io.Serializable {static final long serialVersionUID;private static final java.io.ObjectStreamField[] serialPersistentFields;private void writeObject(java.io.ObjectOutputStream);private void readObject(java.io.ObjectInputStream);java.lang.Object writeReplace();java.lang.Object readResolve();
}
对于R(资源)下的所有类及其方法,都不能被混淆
-keep class **.R$* {*;
}
对于带有回调函数onXXEvent的,不能被混淆
-keepclassmembers class * {void *(**On*Event);
}
4.3在proguard-rules.pro中加入混淆规则-APP量身定制
4.3.1保留类和成员不被混淆
实体类要保留set和get方法,boolean类型的get方法,有的是isXXX方法,不要遗漏了
-keep public class com.**bean.** {public void set*(***);public *** get*();public *** is*();
}
注意:最好把多个实体都放在一个包下进行管理,这样只写一次混淆就可以了,避免在别的包中新增的实体而忘记保留,如果忘记保留就会因找不到相应的实体类而奔溃;涉及多module开发时要求按照相应包规则命名;
4.3.2内嵌类
内嵌类经常被混淆,结果在调用的时候为空就奔溃了。最好把这个内嵌类拿出来,单独成一个类。
如果一定要内置,那么这类就必须在混小时进行保留,比如com.gome.xxx包下的MainActivity,它有一些内嵌类,以下指令保留MainActivity的所有内嵌类:
-keep class com.gome.xxx.MainActivity$* { *; }
$符号是用来分割内嵌类与其母体的标志。
4.3.3对WebView的处理
# 对WebView的处理
-keepclassmembers class * extends android.webkit.webViewClient {public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);public boolean *(android.webkit.WebView, java.lang.String)
}
-keepclassmembers class * extends android.webkit.webViewClient {public void *(android.webkit.webView, java.lang.String)
}
4.3.4对JavaScript的处理
-keepclassmembers class com.gome.xxx.MainActivity$JSInterface {<methods>;
}
其中JSInterface是MainActivity内嵌的js方法类;
4.3.5处理反射
在程序中使用SomeClass.class.method这样的静态方法,SomeClass会在压缩过程中被保留。对于Class.forName(“SomeClass”) ,SomeClass不会在压缩过程中被移除,ProGuard会检查程序中使用的Class.forName方法,对参数SomeClass这样的字符串不会移除。但是在混淆阶段,无论是Class.forName(“SomeClass”),还是SomeClass.class,就都不能蒙混过关了。因此要在ProGuard.cfg文件中保留这个类名称。
Class.forName("SomeClass")SomeClass.classSomeClass.class.getField("someField")SomeClass.class.getDeclaredField("someField")SomeClass.class.getMethod("someMethod", new Class[] {})SomeClass.class.getMethod("someMethod", new Class[] { A.class })SomeClass.class.getMethod("someMethod", new Class[] { A.class, B.class })SomeClass.class.getDeclaredMethod("someMethod", new Class[] {})SomeClass.class.getDeclaredMethod("someMethod", new Class[] { A.class })SomeClass.class.getDeclaredMethod("someMethod", new Class[] { A.class, B.class })AtomicIntegerFieldUpdater.newUpdater(SomeClass.class, "someField")AtomicLongFieldUpdater.newUpdater(SomeClass.class, "someField")AtomicReferenceFieldUpdater.newUpdater(SomeClass.class, SomeType.class, "someField")
在混淆的时候,将项目中一下相应的类或方法的名称进行保留而不被混淆;
4.3.6自定义View
对于在layout目录下的xml布局文件中配置的自定义View,都不能进行混淆,遍历layout下所有的xml布局文件,找到自定义View,然后确认是否在proguard文件中保留了。
keep class cn.gome.**widget.** { *; } #自定义控件不参与混淆
4.4第三方包混淆配置
GSON
-dontwarn com.google.**
-keep class com.google.gson.** {*;
}
-keep class com.google.gson.stream.** {*;
}
-keep class com.google.protobuf.** {*;
}
OkHttp
-dontwarn okio.**
-dontwarn okhttp3.logging.**
-keep class okhttp3.internal.** {*;
}
-dontwarn javax.annotation.**
-dontwarn javax.annotation.Nullable
-dontwarn javax.annotation.ParametersAreNonnullByDefault
Retrofit
-dontwarn retrofit2.**
-keep class retrofit2.** {*;
}
RXJava,RXAndroid
-dontwarn sun.misc.**
-keepclassmembers class rx.internal.util.unsafe.*ArrayQueue*Field* {long producerIndex;long consumerIndex;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueProducerNodeRef {rx.internal.util.atomic.LinkedQueueNode producerNode;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueConsumerNodeRef {rx.internal.util.atomic.LinkedQueueNode consumerNode;
}
为防止第三方引用库混淆有遗漏,一般引入第三方库直接去第三方库的官网查询混淆配置并加入到proguard-rule.pro里;不是每一个第三方库都需要-dontwarn指令,这取决于混淆时第三方SDK是否会出现警告,需要的时候再加上
4.5混淆其他注意事项
4.5.1 如何确保混淆不会对项目产生影响
如果在项目的一开始就进行了混淆工作,那么
(1)测试工作要基于混淆包进行,才能尽早发现问题
(2)每天开发团队的冒烟测试,也要基于混淆包
(3)发布前,重点的功能和模块要额外的测试,包括推送,分享,打赏
4.5.2 打包时忽略警告
当在导出时,发现很多could not reference class之类的warning信息,如果确认APP在运行中和那些引用没有什么关系的话,可以添加-dontwarn标签,就不会再提示这些warning信息了。如-dontwarn org.apache.**,不要使用-ignorewarnings语句,它会忽略所有警告,这会有很大的潜在风险。
4.5.3 对于自定义类库的混淆处理
我们需要对自定义的类库进行混淆,然后在主项目的混淆文件中保留自定义类库中的类和类的成员
4.5.4 使用annotation避免混淆
另一种避免类或者属性被混淆的方式是使用annotation,在需要保留的类上加如下语法:
@keep
@keepPublicGetterSetters
public class Bean{}
这种方式多出现在fastJSON的使用上。
4.5.5 在项目中指定混淆文件
在项目中有一个project.properties文件,其中有写下面一句话,就可以确保每次手动打包生成的apk是混淆过的:proguard.config = proguard.cfg,其中proguard.cfg是混淆文件的名称
6.混淆配置参数说明(Proguard常用规则)
参考:Proguard 常用规则
7.如何反编译校验是否混淆成功
下载反编译工具
点击下载dex2jar
点击下载jd-gui-windows
1.解压后将你的apk后缀改为zip格式。
如:sample-app.apk改为sample-app.zip
2.将sample-app.zip进行解压。得到classes.dex文件,将classes.dex复制到与dex2jar解压后同目录下
调用Dos命令,输入如下命令进行转换,(AndroidTools为我自己常用工具目录下,可根据自己的目录地址调用)
Dex2jar是将Android的.dex文件转换成Java的.class格式的文件,这仅是将一种二进制格式转换成另外一种二进制格式,并不是转换Java源代码。
dex2jar.bat classes.dex
命令执行成功后会生成一个对应的classes_dex2jar.jar文件,用jd-gui-windows打开classes_dex2jar.jar文件便可看到包名和类型都变成了小写abcd……等就代表着要混淆的文件已经混淆成功。
8.总结
本文介绍了Proguard的工作原理,基本设置及其他情况下设置,最近在整理相关学习内容,多指教,谢谢;
9.混淆后加壳和托壳
待整理
10.混淆配置常见问题
待整理
参考:
Android ProGuard技术详解
https://blog.csdn.net/chennai1101/article/details/106664836
Proguard官网
https://www.guardsquare.com/manual/configuration/examples
Android代码混淆与反编译
https://blog.csdn.net/mjb00000/article/details/79259017
文章来源
https://blog.csdn.net/ahou2468/article/details/119087553
Android代码混淆配置说明相关推荐
- android aidl混淆代码,Android代码混淆
什么是代码混淆 代码混淆就是将代码中的各种元素,如变量,方法,类和包的名字改写成无意义的名字,增加项目反编译后被读懂的难度. Android代码混淆使用ProGuard工具,ProGuard是一个压缩 ...
- android代码混淆个人总结及踩坑
android代码混淆个人总结及踩坑 前言 公司项目使用组件化开发的形式,需要对自己负责的模块进行一些混淆配置,关于混淆相信做android开发的都或多或少有过一些接触,通过对混淆文件的配置从而将代码 ...
- android 混淆后的机制,Android 代码混淆机制
Android 代码混淆机制 由于Android项目是基于java语言的,而java属于高层抽象语言,易于反编译,其编译后的程序包包含了大量的源代码变量.函数名.数据结构等信息,根据其编译打包后的AP ...
- android加密墙,Android代码混淆加密配置(Proguard文件解析)
Android代码混淆加密配置(Proguard文件解析) Android代码混淆加密配置(Proguard文件解析) 为了防止自己的APP被轻易反编译,我们需要对APK进行混淆,或者特殊加密处理.可 ...
- android混淆语法(android代码混淆工具)
android 代码混淆算法有哪些 根据SDK的版本不同有2中不同的代码混淆方式,以上的proguard.cfg参数详解中所涉及到的信息是在较低版本SDK下的混淆脚本,事实上在高版本的SDK下混淆的原 ...
- Android 代码混淆语法讲解及常用模板(转)
转载请注明原博客地址 Android 代码混淆语法讲解及常用模板 前言 混淆对于每一个开发者来说都不陌生,对于大多数 APP 而言,在上线之前,通常会进行代码混淆,加固,防止自己的 APP 被别人轻 ...
- Android代码混淆官方实现方法
首先查看一下 "project.properties" 这个文件: # This file is automatically generated by Android Tools. ...
- 使用ProGuard进行Android代码混淆(保姆级教程)
使用ProGuard进行Android代码混淆(保姆级教程) 一.ProGuard的功能 ProGuard是一个混淆代码的开源项目,主要是用来对java代码进行混淆,当然也就可以对java代码进行混淆 ...
- Android代码混淆后的定位
Android代码混淆后的定位 什么是代码混淆 如何开启Android Studio的代码混淆 如何在程序奔溃后定位到奔溃的代码行 mapping.txt 分析流程 什么是代码混淆 在java写的.j ...
最新文章
- 以下构成python循环结构的方法中_超星尔雅初级英语口语(持续更新中)选修课答案...
- latex sr 中一些对齐和表格问题及总结
- CBitMap的用法 from http://www.cnblogs.com/toconnection/archive/2012/08/04/mfc.html
- 程序员的六种境界(摘抄)
- spark学习:ContextCleaner清理器
- VR究竟多奇幻?eSmart邀你共赴一场VR奇幻之旅!
- 微信公众开放平台开发06---复习一下servlet
- 控制台应用程序中Main函数的args参数
- 决胜未来,2019年前端开发十大战略性技术布局
- 静态方法与实例方法的区别
- 推免生是否抢了考研生的“奶酪”
- win10解决IE浏览器安装不上的问题
- php中大于等于的表示方法,php大于等于符号
- 一般来说仿制一个网站大概需要多少钱呢
- 行远自迩,乘势前行 | 菊风再中标中原银行远程银行项目
- ESP32 通过NVS存储WiFi账号和密码至Flash
- 数字图像和数字图像处理
- 访问修饰符有哪些?及作用范围
- Python 一个快速视频剪辑编辑神器 — Moviepy
- kubernetes基础之docker file文件详解(百分之百空手接白刃篇)