Android 代码混淆 混淆方案
本篇文章:本身在混淆的时候整理出比较全面的混淆方法,比较实用,本身走过的坑,淌出来的路。请你们不要再走回头路,可能只要咱们代码加混淆,一点不对就会致使项目运行崩溃等后果,有许多人发现没有打包运行好好地,打包完成之后而又不不能够了,致使了许多困惑,本片文章来问你们解决困惑,但愿对你们有帮助。html
Android混淆最佳实践
1. 混淆配置
android{
buildTypes {
release {
buildConfigField "boolean", "LOG_DEBUG", "false" //不显示log
minifyEnabled true
shrinkResources true
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
signingConfig signingConfigs.config
}
}
}
由于开启混淆会使编译时间变长,因此debug模式下不开启。咱们须要作的是:
1.将release下minifyEnabled的值改成true,打开混淆;
2.加上shrinkResources true,打开资源压缩。
3.buildConfigField 不显示log日志
4.signingConfig signingConfigs.config 配置签名文件文件java
自定义混淆规则
自定义混淆方案适用于大部分的项目android
#指定压缩级别
-optimizationpasses 5
#不跳过非公共的库的类成员
-dontskipnonpubliclibraryclassmembers
#混淆时采用的算法
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*
#把混淆类中的方法名也混淆了
-useuniqueclassmembernames
#优化时容许访问并修改有修饰符的类和类的成员
-allowaccessmodification
#将文件来源重命名为“SourceFile”字符串
-renamesourcefileattribute SourceFile
#保留行号
-keepattributes SourceFile,LineNumberTable
#保持泛型
-keepattributes Signature
#保持全部实现 Serializable 接口的类成员
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
#Fragment不须要在AndroidManifest.xml中注册,须要额外保护下
-keep public class * extends android.support.v4.app.Fragment
-keep public class * extends android.app.Fragment
# 保持测试相关的代码
-dontnote junit.framework.**
-dontnote junit.runner.**
-dontwarn android.test.**
-dontwarn android.support.test.**
-dontwarn org.junit.**
真正通用的、须要添加的就是上面这些,除此以外,须要每一个项目根据自身的需求添加一些混淆规则:算法
第三方库所需的混淆规则。正规的第三方库通常都会在接入文档中写好所需混淆规则,使用时注意添加。json
在运行时动态改变的代码,例如反射。比较典型的例子就是会与 json 相互转换的实体类。假如项目命名规范要求实体类都要放在model包下的话,能够添加相似这样的代码把全部实体类都保持住:-keep public class **.*Model*.** {*;}
JNI中调用的类。
WebView中JavaScript调用的方法
Layout布局使用的View构造函数、android:onClick等。
检查混淆结果
混淆过的包必须进行检查,避免因混淆引入的bug。
一方面,须要从代码层面检查。使用上文的配置进行混淆打包后在 <module-name>/build/outputs/mapping/release/ 目录下会输出如下文件:
dump.txt
描述APK文件中全部类的内部结构
mapping.txt
提供混淆先后类、方法、类成员等的对照表
seeds.txt
列出没有被混淆的类和成员
usage.txt
列出被移除的代码
咱们能够根据 seeds.txt 文件检查未被混淆的类和成员中是否已包含全部指望保留的,再根据 usage.txt 文件查看是否有被误移除的代码。
另外一方面,须要从测试方面检查。将混淆过的包进行全方面测试,检查是否有 bug 产生。
解出混淆栈
混淆后的类、方法名等等难以阅读,这当然会增长逆向工程的难度,但对追踪线上 crash 也形成了阻碍。咱们拿到 crash 的堆栈信息后会发现很难定位,这时须要将混淆反解。
在 <sdk-root>/tools/proguard/ 路径下有附带的的反解工具(Window 系统为 proguardgui.bat,Mac 或 Linux 系统为 proguardgui.sh)。
这里以 Window 平台为例。双击运行 proguardgui.bat 后,能够看到左侧的一行菜单。点击 ReTrace,选择该混淆包对应的 mapping 文件(混淆后在 <module-name>/build/outputs/mapping/release/ 路径下会生成 mapping.txt 文件,它的做用是提供混淆先后类、方法、类成员等的对照表),再将 crash 的 stack trace 黏贴进输入框中,点击右下角的 ReTrace ,混淆后的堆栈信息就显示出来了。
以上使用 GUI 程序进行操做,另外一种方式是利用该路径下的 retrace 工具经过命令行进行反解,命令是
retrace.bat|retrace.sh [-verbose] mapping.txt [<stacktrace_file>]
例如:api
retrace.bat -verbose mapping.txt obfuscated_trace.txt
注意事项:
全部在 AndroidManifest.xml 涉及到的类已经自动被保持,所以不用特地去添加这块混淆规则。(不少老的混淆文件里会加,如今已经不必)
proguard-android.txt 已经存在一些默认混淆规则,不必在 proguard-rules.pro 重复添加
混淆简介
Android中的“混淆”能够分为两部分,一部分是 Java 代码的优化与混淆,依靠 proguard 混淆器来实现;另外一部分是资源压缩,将移除项目及依赖的库中未被使用的资源(资源压缩严格意义上跟混淆没啥关系,但通常咱们都会放一块儿用)。安全
代码压缩
代码混淆是包含了代码压缩、优化、混淆等一系列行为的过程。如上图所示,混淆过程会有以下几个功能:app
压缩。移除无效的类、类成员、方法、属性等;
优化。分析和优化方法的二进制代码;根据proguard-android-optimize.txt中的描述,优化可能会形成一些潜在风险,不能保证在全部版本的Dalvik上都正常运行。
混淆。把类名、属性名、方法名替换为简短且无心义的名称;
预校验。添加预校验信息。这个预校验是做用在Java平台上的,Android平台上不须要这项功能,去掉以后还能够加快混淆速度。
这四个流程默认开启。ide
在 Android 项目中咱们能够选择将“优化”和“预校验”关闭,对应命令是-dontoptimize、-dontpreverify(固然,默认的 proguard-android.txt 文件已包含这两条混淆命令,不须要开发者额外配置)。函数
资源压缩
资源压缩将移除项目及依赖的库中未被使用的资源,这在减小 apk 包体积上会有不错的效果,通常建议开启。具体作法是在 build.grade 文件中,将 shrinkResources 属性设置为 true。须要注意的是,只有在用minifyEnabled true开启了代码压缩后,资源压缩才会生效。
资源压缩包含了“合并资源”和“移除资源”两个流程。
“合并资源”流程中,名称相同的资源被视为重复资源会被合并。须要注意的是,这一流程不受shrinkResources属性控制,也没法被禁止, gradle 必然会作这项工做,由于假如不一样项目中存在相同名称的资源将致使错误。gradle 在四处地方寻找重复资源:
src/main/res/ 路径
不一样的构建类型(debug、release等等)
不一样的构建渠道
项目依赖的第三方库
合并资源时按照以下优先级顺序
依赖 -> main -> 渠道 -> 构建类型
假如重复资源同时存在于main文件夹和不一样渠道中,gradle 会选择保留渠道中的资源。
同时,若是重复资源在同一层次出现,好比src/main/res/ 和 src/main/res2/,则 gradle 没法完成资源合并,这时会报资源合并错误。
“移除资源”流程则见名知意,须要注意的是,相似代码,混淆资源移除也能够定义哪些资源须要被保留,这点在下文给出。
自定义混淆规则
在上文“混淆配置”中有这样一行代码
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
这行代码定义了混淆规则由两部分构成:位于 SDK 的 tools/proguard/ 文件夹中的 proguard-android.txt 的内容以及默认放置于模块根目录的 proguard-rules.pro 的内容。前者是 SDK 提供的默认混淆文件,后者是开发者自定义混淆规则的地方。
常见的混淆指令
- optimizationpasses
- dontoptimize
- dontusemixedcaseclassnames
- dontskipnonpubliclibraryclasses
- dontpreverify
- dontwarn
- verbose
- optimizations
- keep
- keepnames
- keepclassmembers
- keepclassmembernames
- keepclasseswithmembers
- keepclasseswithmembernames
更多详细的请到官网
须要特别介绍的是与保持相关元素不参与混淆的规则相关的几种命令:
| 命令 | 做用 | |
|---|---|---|
| -keep | 防止类和成员被移除或者被重命名 | |
| -keepnames | 防止类和成员被重命名 | |
| -keepclassmembers | 防止成员被移除或者被重命名 | |
| -keepnames | 防止成员被重命名 | |
| -keepclasseswithmembers | 防止拥有该成员的类和成员被移除或者被重命名 | |
| -keepclasseswithmembernames | 防止拥有该成员的类和成员被重命名 |
保持元素不参与混淆的规则
[保持命令] [类] {
[成员]
}
“类”表明类相关的限定条件,它将最终定位到某些符合该限定条件的类。它的内容可使用:
- 具体的类
- 访问修饰符(public、protected、private)
- 通配符*,匹配任意长度字符,但不含包名分隔符(.)
- 通配符**,匹配任意长度字符,而且包含包名分隔符(.)
- extends,便可以指定类的基类
- implement,匹配实现了某接口的类
- $,内部类
“成员”表明类成员相关的限定条件,它将最终定位到某些符合该限定条件的类成员。它的内容可使用:
- <init> 匹配全部构造器
- <fields> 匹配全部域
- <methods> 匹配全部方法
- 通配符*,匹配任意长度字符,但不含包名分隔符(.)
- 通配符**,匹配任意长度字符,而且包含包名分隔符(.)
- 通配符*,匹配任意参数类型
- …,匹配任意长度的任意类型参数。好比void test(…)就能匹配任意 void test(String a) 或者是 void test(int a, String b) 这些方法。
- 访问修饰符(public、protected、private)
举个例子,假如须要将com.biaobiao.test包下全部继承Activity的public类及其构造函数都保持住,能够这样写:
-keep public class com.biaobiao.test.** extends Android.app.Activity {
<init>
}
经常使用自定义混淆规则
- 不混淆某个类
-keep public class com.biaobiao.example.Test { *; }
不混淆某个包全部的类
-keep class com.biaobiao.test.** { *; }
}
不混淆某个类的子类
-keep public class * extends com.biaobiao.example.Test { *; }
不混淆全部类名中包含了“model”的类及其成员
-keep public class * extends com.biaobiao.example.Test { *; }
不混淆某个接口的实现
-keep class * implements com.biaobiao.example.TestInterface { *; }
不混淆某个类的构造方法
-keepclassmembers class com.biaobiao.example.Test {
public <init>();
}
不混淆某个类的特定的方法
-keepclassmembers class com.biaobiao.example.Test {
public void test(java.lang.String);
}
}
不混淆某个类的内部类
-keep class com.biaobiao.example.Test$* {
*;
}
自定义资源保持规则
1. keep.xml
用shrinkResources true开启资源压缩后,全部未被使用的资源默认被移除。假如你须要定义哪些资源必须被保留,在 res/raw/ 路径下建立一个 xml 文件,例如keep.xml 。
经过一些属性的设置能够实现定义资源保持的需求,可配置的属性有:
-
keep定义哪些资源须要被保留(资源之间用“,”隔开) -
discard定义哪些资源须要被移除(资源之间用“,”隔开) -
shrinkMode开启严格模式 - 当代码中经过
Resources.getIdentifier()用动态的字符串来获取并使用资源时,普通的资源引用检查就可能会有问题。例如,以下代码会致使全部以“img_”开头的资源都被标记为已使用。
当代码中经过 Resources.getIdentifier() 用动态的字符串来获取并使用资源时,普通的资源引用检查就可能会有问题。例如,以下代码会致使全部以“img_”开头的资源都被标记为已使用。
String name = String.format("img_%1d", angle + 1);
res = getResources().getIdentifier(name, "drawable", getPackageName());
咱们能够设置 tools:shrinkMode 为 strict 来开启严格模式,使只有确实被使用的资源被保留。
以上就是自定义资源保持规则相关的配置,举个例子:
<?xml version="1.0" encoding="utf-8"?>
<resources xmlns:tools="http://schemas.android.com/tools"
tools:keep="@layout/l_used*_c,@layout/l_used_a,@layout/l_used_b*"
tools:discard="@layout/unused2"
tools:shrinkMode="strict"/>
移除替代资源
一些替代资源,例如多语言支持的 strings.xml,多分辨率支持的 layout.xml 等,在咱们不须要使用又不想删除掉时,可使用资源压缩将它们移除。
咱们使用 resConfig 属性来指定须要支持的属性,例如
一些替代资源,例如多语言支持的 strings.xml,多分辨率支持的 layout.xml 等,在咱们不须要使用又不想删除掉时,可使用资源压缩将它们移除。
咱们使用 resConfig 属性来指定须要支持的属性,例如
android {
defaultConfig {
...
resConfigs "en", "fr"
}
}
其余未显式声明的语言资源将被移除。
最后附上一个我在实际项目中的混淆方案
proguard-android.txt 文件内容
# 代码混淆压缩比,在0~7之间
-optimizationpasses 5
# 混合时不使用大小写混合,混合后的类名为小写
-dontusemixedcaseclassnames
# 指定不去忽略非公共库的类
-dontskipnonpubliclibraryclasses
# 不作预校验,preverify是proguard的四个步骤之一,Android不须要preverify,去掉这一步可以加快混淆速度。
-dontpreverify
-verbose
# 避免混淆泛型
-keepattributes Signature
# 保留Annotation不混淆
-keepattributes *Annotation*,InnerClasses
#google推荐算法
-optimizations !code/simplification/arithmetic,!code/simplification/cast,!field/*,!class/merging/*
# 避免混淆Annotation、内部类、泛型、匿名类
-keepattributes *Annotation*,InnerClasses,Signature,EnclosingMethod
# 重命名抛出异常时的文件名称
-renamesourcefileattribute SourceFile
# 抛出异常时保留代码行号
-keepattributes SourceFile,LineNumberTable
# 处理support包
-dontnote android.support.**
-dontwarn android.support.**
# 保留继承的
-keep public class * extends android.support.v4.**
-keep public class * extends android.support.v7.**
-keep public class * extends android.support.annotation.**
# 保留R下面的资源
-keep class **.R$* {*;}
# 保留四大组件,自定义的Application等这些类不被混淆
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Appliction
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.preference.Preference
-keep public class com.android.vending.licensing.ILicensingService
# 保留在Activity中的方法参数是view的方法,
# 这样以来咱们在layout中写的onClick就不会被影响
-keepclassmembers class * extends android.app.Activity{
public void *(android.view.View);
}
# 对于带有回调函数的onXXEvent、**On*Listener的,不能被混淆
-keepclassmembers class * {
void *(**On*Event);
void *(**On*Listener);
}
# 保留本地native方法不被混淆
-keepclasseswithmembernames class * {
native <methods>;
}
# 保留枚举类不被混淆
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
# 保留Parcelable序列化类不被混淆
-keep class * implements android.os.Parcelable {
public static final android.os.Parcelable$Creator *;
}
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
#assume no side effects:删除android.util.Log输出的日志
-assumenosideeffects class android.util.Log {
public static *** v(...);
public static *** d(...);
public static *** i(...);
public static *** w(...);
public static *** e(...);
}
#保留Keep注解的类名和方法
-keep,allowobfuscation @interface android.support.annotation.Keep
-keep @android.support.annotation.Keep class *
-keepclassmembers class * {
@android.support.annotation.Keep *;
}
#3D 地图 V5.0.0以前:
-dontwarn com.amap.api.**
-dontwarn com.autonavi.**
-keep class com.amap.api.**{*;}
-keep class com.autonavi.**{*;}
-keep class com.amap.api.maps.**{*;}
-keep class com.autonavi.amap.mapcore.*{*;}
-keep class com.amap.api.trace.**{*;}
#3D 地图 V5.0.0以后:
-keep class com.amap.api.maps.**{*;}
-keep class com.autonavi.**{*;}
-keep class com.amap.api.trace.**{*;}
#定位
-keep class com.amap.api.location.**{*;}
-keep class com.amap.api.fence.**{*;}
-keep class com.autonavi.aps.amapapi.model.**{*;}
#搜索
-keep class com.amap.api.services.**{*;}
#2D地图
-keep class com.amap.api.maps2d.**{*;}
-keep class com.amap.api.mapcore2d.**{*;}
#导航
-keep class com.amap.api.navi.**{*;}
-keep class com.autonavi.**{*;}
# Retain generic type information for use by reflection by converters and adapters.
-keepattributes Signature
# Retain service method parameters when optimizing.
-keepclassmembers,allowshrinking,allowobfuscation interface * {
@retrofit2.http.* <methods>;
}
# Ignore annotation used for build tooling.
-dontwarn org.codehaus.mojo.animal_sniffer.IgnoreJRERequirement
# Ignore JSR 305 annotations for embedding nullability information.
-dontwarn javax.annotation.**
# JSR 305 annotations are for embedding nullability information.
-dontwarn javax.annotation.**
# A resource is loaded with a relative path so the package of this class must be preserved.
-keepnames class okhttp3.internal.publicsuffix.PublicSuffixDatabase
# Animal Sniffer compileOnly dependency to ensure APIs are compatible with older versions of Java.
-dontwarn org.codehaus.mojo.animal_sniffer.*
# OkHttp platform used only on JVM and when Conscrypt dependency is available.
-dontwarn okhttp3.internal.platform.ConscryptPlatform
#fastjson混淆
-keepattributes Signature
-dontwarn com.alibaba.fastjson.**
-keep class com.alibaba.**{*;}
-keep class com.alibaba.fastjson.**{*; }
-keep public class com.ninstarscf.ld.model.entity.**{*;}
全部文章参考
相关文章
- 1. Android:代码混淆反混淆
- 2. Android代码混淆之混淆规则
- 3. android 代码混淆(jar包混淆)
- 4. Android 代码混淆
- 5. Android混淆代码
- 6. Android代码混淆
- 7. android 代码混淆
- 8. 代码混淆
- 9. Springboot 代码混淆
- 10. Android 混淆打包方案
- 更多相关文章...
- • XSD 混合内容 - XML Schema 教程
- • Markdown 代码 - Markdown 教程
- • IntelliJ IDEA代码格式化设置
- • PHP Ajax 跨域问题最佳解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Android:代码混淆反混淆
- 2. Android代码混淆之混淆规则
- 3. android 代码混淆(jar包混淆)
- 4. Android 代码混淆
- 5. Android混淆代码
- 6. Android代码混淆
- 7. android 代码混淆
- 8. 代码混淆
- 9. Springboot 代码混淆
- 10. Android 混淆打包方案