Android~apk的混淆和加固(1)

-keep public class **.R$*{

public static final int *;

}

1.2 混淆为什么需要保留类名和方法名

原因有下面几种

1. 如果是NDK开发，需要让C/C++可以通过JNI使用对应的java方法；

2. 四大组件由于在清单文件中已经声明注册，不可以改变所以需要可以保留；

3. R文件混淆会导致引用错误。

1.3 如何去除日志信息：

打开优化开关，使用proguard-android-optimize.txt。然后通过配置proguard将android.util.log类方法设置为无效代码，从而去除apk中打印日志的代码。

1.4 什么是加固

针对apk，加固是多维度的安全防护方案，包括反破解、反逆向、防篡改等，可以防止应用被各类常见破解工具逆向，安全性要远大于单纯的代码混淆。操作的对象是项目打包成的apk文件。

1.5 如何加固

• 对抗反编译工具，通过让apk或dex文件无法正常通过反编译工具编译，导致编译工具异常或奔溃。如Apktool、baksmali、dex2jar、JEB等。通过考虑分析反编译工具源码原理，让反编译工具对我们的apk无效。

• 对抗安卓模拟器，一般运行在安卓模拟器中的程序是处于逆向分析状态，我们可以在我们的代码中通过检测当前运行环境是否和安卓虚拟机类似，从而直接退出我们的程序。

检测安卓模拟器的方式有下属几种：

1. 检测模拟器上面特有的几个文件；

2. 检测模拟器默认的电话号码；

3. 检测设备IDS是不是"0000000000"；

4. 检测imsi是不是"310260000000000"；

5. 检测手机上的一些硬件信息；

6. 检测手机运营商等。

• 对抗apk重打包。apk重打包是指先使用反编译工具得到smali代码，然后再由smali代码重新打包生成apk，最后重新签名才能运行。我们可以通过对签名的校验来放置apk被重新签名打包分析。

• 如何对抗IDA Native层调试？ 如果进程被IDA调试，/proc/pid/status文件中TracePid不等于0，可以利用这个条件检查我们的程序是否被IDA调试。

总结

为什么我们需要混淆？因为java字节码特性很容易反编译。对于加固，上架应用市场一般提供相关文档指导我们进行apk的渠道打包发布，这里不做展开我们先大概知道加固的一些原理。混淆的步骤：

1. 修改gradle

release {

minifyEnabled true

shrinkResources true

proguardFiles getDefaultProguardFile(‘proguard-android.txt’), ‘proguard-rules.pro’

}

2. 参考需要保留的类及方法，确定项目中哪些不能混淆的类

3. 参考混淆模板，编写我们的混淆文件。

2. 加固

这里学习一下享学课堂的加固方案，属于学习笔记。可以参考这一篇文章比较详细：Android应用加固的简单实现方案。他在此基础上，使用Gradle集成到了项目中。

2.1 加固方案

APK逆向的一般流程：apk ->zip -> dex -> jar 源码

问题

• dex文件可以随便拼凑吗？

• 壳dex怎么来的?

• 如何进行二次签名？（代码调用sdk中签名工具签名）

• 如何运行新的apk（如何脱壳）？

壳dex作用，（lib模块生成aar文件 类似于 apk文件）

1.迷惑别人，暴露出去

2.壳用于加载加密的dex

粗粒度：dex文件的加密

细粒度：dex文件的里面的具体类加载

2.2 apk的打包流程

加壳是在原来APK基础上加一层保护壳，Dex文件修改了就需要重新打包，否则apk安装不了。所以我们需要知道apk的打包流程。

dex文件按照一定规则来拼凑的，他的文件结构如下。

{

header

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注：Android）

如何做好面试突击，规划学习方向？

面试题集可以帮助你查漏补缺，有方向有针对性的学习，为之后进大厂做准备。但是如果你仅仅是看一遍，而不去学习和深究。那么这份面试题对你的帮助会很有限。最终还是要靠资深技术水平说话。

网上学习 Android的资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。建议先制定学习计划，根据学习计划把知识点关联起来，形成一个系统化的知识体系。

学习方向很容易规划，但是如果只通过碎片化的学习，对自己的提升是很慢的。

同时我还搜集整理2020年字节跳动，以及腾讯，阿里，华为，小米等公司的面试题，把面试的要求和技术点梳理成一份大而全的“ Android架构师”面试 Xmind（实际上比预期多花了不少精力），包含知识脉络 + 分支细节。

在搭建这些技术框架的时候，还整理了系统的高级进阶教程，会比自己碎片化学习效果强太多。

网上学习 Android的资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！

g-LgVWdegu-1712207535454)]

网上学习 Android的资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！