android混淆

在这之前，看了下proguard官网介绍，并搜了下相关资料。 ProGuard简介 ProGuard是一个SourceForge上非常知名的开源项目。官网网址是：http://proguard.sourceforge.net/。 Java的字节码一般是非常容易反编译的。为了很好的保护Java源代码，我们往往会对编译好的class文件进行混淆处理。ProGuard的主要作用就是混淆。当然它还能对字节码进行缩减体积、优化等，但那些对于我们来说都算是次要的功能。 引用ProGuard官方的一段话来介绍就是： ProGuard is a free Java class file shrinker, optimizer, obfuscator, and preverifier. It detects and removes unused classes, fields, methods, and attributes. It optimizes bytecode and removes unused instructions. It renames the remaining classes, fields, and methods using short meaningless names. Finally, it preverifies the processed code for

-optimizationpasses 5 //代码混淆压缩比 默认为5 一般不需要改 -dontusemixedcaseclassnames //混淆后的类名为小写 如public class a -dontskipnonpubliclibraryclasses //混淆第三方 库 加上此句后 可再后面配置某些库不混淆 -dontpreverify // 混淆前认证，可去掉加快混淆速度 -verbose //混淆的log 帮助排错 -optimizations !code/simplification/arithmetic,!field/*,!class/merging/* //代码混淆采用的算法，一般不改变，用谷歌推荐算即可 -keepattributes *Annotation* 假如项目中有用到注解 应用加入 引用外部的jar包 如果不是自己写的 最好不混淆它们,因为外部jar包有可能已经混淆过，根据实际情况来 不混淆某些外部jar 保持外部jar包不变的方法-dontwarn android.support.v4.** //执行下面一行代码如果有警告也不用中止，因为此jar不是我们自己写的，有警告也不处理，故dontwarn-keep class android.support.v4.** //项目中用到此jar包，在打包时必须不混淆

一、为什么要混淆 为了避免apk在发布后被用户通过反编译拿到源代码和资源文件，然后修改资源和代码之后就变成一个新的apk。而经过混淆后的APK，即使被反编译，也难以阅读，注意混淆不是让apk不能阅读，而是加大阅读的难度，为了避免劳动成果被窃取，也避免出现安全漏洞和隐患，所以在apk发布之前一定要进行混淆。 二、混淆的原理 Java是一种跨平台、解释型语言，Java源代码编译成的class文件中有大量包含语义的变量名、方法名的信息，很容易被反编译为Java源代码。为了防止这种现象，我们可以对Java字节码进行混淆。混淆不仅能将代码中的类名、字段、方法名变为无意义的名称，保护代码，也由于移除无用的类、方法，并使用简短名称对类、字段、方法进行重命名缩小了程序的大小。 ProGuard由shrink、optimize、obfuscate和preverify四个步骤组成，每个步骤都是可选的，需要哪些步骤都可以在脚本中配置。参见ProGuard官方介绍。 　　压缩（Shrink）：默认开启，侦测并移除代码中无用的类、字段、方法和特性，减少应用体积，并且会在优化动作执行之后再次执行（因为优化后可能会再次暴露一些未使用的类和成员）。 　　　　-dontshrink 关闭混淆 　　优化（Optimize）：默认开启，分析和优化字节码，让应用运行的更快。 　　　　-dontoptimize 关闭优化

在阿里云云栖社区举办的在线培训中，来自阿里移动安全部的陵轩带来了题为《 APP加固新方向——混淆和瘦身》的精彩分享。本次分享的主要内容包括 APP 加固的发展历程以及阿里内部对移动安全加固最新的研究——混淆和 APK 优化瘦身。 直播回顾视频： https://yq.aliyun.com/edu/lesson/play/393 以下内容是根据直播和PPT整理。 加固的意义 从安卓2.x版本起，加固技术就逐渐火了起来。最初，只有一些创业型公司涉及加固领域；随着安卓应用的逐渐升温，诸如阿里、腾讯、百度等大型互联网公司逐渐涉及该领域。 那么为什么要对APP进行加固呢？主要原因有三点：首先安卓的APP应用通常采用Java语言编写的，开发门槛低，容易被反编译（解释性语言的弊端）；其次安卓市场比较混乱且可自签名，进而导致大量应用被二次打包，植入广告、木马；同时，手机Root后，黑客可利用Hook等技术手段可对应用进行动态攻击，获取应用的核心逻辑。综合这三点来看，安卓应用的安全系数是非常低的，因此APP加固就有了意义：应用加固之后可以有效减少反编译、二次打包、植入广告木马等操作。 传统加固 第一代加固技术采用的是Dex加密存储，解密时落地；落地之后通过自定义的DexClassLoader将解密出的Dex加载到内存中，然后程序运行该文件（Dex是APK的Java代码经过编译后生成的文件

最近在打包混淆时，遇到一个问题，混淆编译都不出错，运行出错，一般遇到这种问题，肯定是在运行的地方有代码被混淆了，经过错误排查，发现是程序中用到第三方的jar包的方法出现问题了，原来android studio混淆打包时把第三方的jar包给混淆了。 于是想这个问题很简单，保持jar包不混淆就好，于是直接在app目录下的proguard-rules.pro(或者proguard-rules.txt)混淆规则文件直接-libraryjars libs/xx.jar避免混淆。但是却引出了另一个错误： Error:Execution failed for task ‘:app:proguardRelease’. java.io.IOException: The same input jar [E:myprojectapplibsXX.jar] is specifi 大专栏 android studio 代码混淆如何忽略第三方jar包 ed twice. 也就是说混淆规则文件中，我们指定了2次 解决方法: 打开app目录下的libs文件夹，将各第三方jar下的包名在proguard-rules.pro 文件中过滤。 code： -keep class audio.cutter.lib. {*;} -keep class universal.initlibs. {*;} 上面的代码以-keep

什么是代码混淆 Java 是一种跨平台的、解释型语言，Java 源代码编译成中间”字节码”存储于 class 文件中。由于跨平台的需要，Java 字节码中包括了很多源代码信息，如变量名、方法名，并且通过这些名称来访问变量和方法，这些符号带有许多语义信息，很容易被反编译成 Java 源代码。为了防止这种现象，我们可以使用 Java 混淆器对 Java 字节码进行混淆。 混淆就是对发布出去的程序进行重新组织和处理，使得处理后的代码与处理前代码完成相同的功能，而混淆后的代码很难被反编译，即使反编译成功也很难得出程序的真正语义。被混淆过的程序代码，仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样，只是混淆器将代码中的所有变量、函数、类的名称变为简短的英文字母代号，在缺乏相应的函数名和程序注释的况下，即使被反编译，也将难以阅读。同时混淆是不可逆的，在混淆的过程中一些不影响正常运行的信息将永久丢失，这些信息的丢失使程序变得更加难以理解。 混淆器的作用不仅仅是保护代码，它也有精简编译后程序大小的作用。由于以上介绍的缩短变量和函数名以及丢失部分信息的原因， 编译后 jar 文件体积大约能减少25% ，这对当前费用较贵的无线网络传输是有一定意义的。 混淆文件 proguard.cfg 参数详解 -optimizationpasses 5 # 指定代码的压缩级别