Android~apk的混淆和加固(2)

2. 保留方法名

3. 保留类名和方法名

-dontwarn retrofit2.**

-keep class retrofit2.** { *; }

-keepattributes Signature

-keepattributes Exceptions

-keep public class **.R$*{

public static final int *;

}

1.2 混淆为什么需要保留类名和方法名

原因有下面几种

1. 如果是NDK开发，需要让C/C++可以通过JNI使用对应的java方法；

2. 四大组件由于在清单文件中已经声明注册，不可以改变所以需要可以保留；

3. R文件混淆会导致引用错误。

1.3 如何去除日志信息：

打开优化开关，使用proguard-android-optimize.txt。然后通过配置proguard将android.util.log类方法设置为无效代码，从而去除apk中打印日志的代码。

1.4 什么是加固

针对apk，加固是多维度的安全防护方案，包括反破解、反逆向、防篡改等，可以防止应用被各类常见破解工具逆向，安全性要远大于单纯的代码混淆。操作的对象是项目打包成的apk文件。

1.5 如何加固

• 对抗反编译工具，通过让apk或dex文件无法正常通过反编译工具编译，导致编译工具异常或奔溃。如Apktool、baksmali、dex2jar、JEB等。通过考虑分析反编译工具源码原理，让反编译工具对我们的apk无效。

• 对抗安卓模拟器，一般运行在安卓模拟器中的程序是处于逆向分析状态，我们可以在我们的代码中通过检测当前运行环境是否和安卓虚拟机类似，从而直接退出我们的程序。

检测安卓模拟器的方式有下属几种：

1. 检测模拟器上面特有的几个文件；

2. 检测模拟器默认的电话号码；

3. 检测设备IDS是不是"0000000000"；

4. 检测imsi是不是"310260000000000"；

5. 检测手机上的一些硬件信息；

6. 检测手机运营商等。

• 对抗apk重打包。apk重打包是指先使用反编译工具得到smali代码，然后再由smali代码重新打包生成apk，最后重新签名才能运行。我们可以通过对签名的校验来放置apk被重新签名打包分析。

• 如何对抗IDA Native层调试？ 如果进程被IDA调试，/proc/pid/status文件中TracePid不等于0，可以利用这个条件检查我们的程序是否被IDA调试。

总结

为什么我们需要混淆？因为java字节码特性很容易反编译。对于加固，上架应用市场一般提供相关文档指导我们进行apk的渠道打包发布，这里不做展开我们先大概知道加固的一些原理。混淆的步骤：

1. 修改gradle

release {

minifyEnabled true

shrinkResources true

proguardFiles getDefaultProguardFile(‘proguard-android.txt’), ‘proguard-rules.pro’

}

2. 参考需要保留的类及方法，确定项目中哪些不能混淆的类

3. 参考混淆模板，编写我们的混淆文件。

2. 加固

这里学习一下享学课堂的加固方案，属于学习笔记。可以参考这一篇文章比较详细：Android应用加固的简单实现方案。他在此基础上，使用Gradle集成到了项目中。

2.1 加固方案

APK逆向的一般流程：apk ->zip -> dex -> jar 源码

问题

• dex文件可以随便拼凑吗？

• 壳dex怎么来的?

• 如何进行二次签名？（代码调用sdk中签名工具签名）

• 如何运行新的apk（如何脱壳）？

壳dex作用，（lib模块生成aar文件 类似于 apk文件）

1.迷惑别人，暴露出去

2.壳用于加载加密的dex

粗粒度：dex文件的加密

细粒度：dex文件的里面的具体类加载

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注：Android）

《设计思想解读开源框架》

第一章、 热修复设计

• 第一节、 AOT/JIT & dexopt 与 dex2oat

• 第二节、 热修复设计之 CLASS_ISPREVERIFIED 问题

• 第三节、热修复设计之热修复原理

• 第四节、Tinker 的集成与使用（自动补丁包生成）

  

  第二章、 插件化框架设计

• 第一节、 Class 文件与 Dex 文件的结构解读

• 第二节、 Android 资源加载机制详解

• 第三节、 四大组件调用原理

• 第四节、 so 文件加载机制

• 第五节、 Android 系统服务实现原理

  

  第三章、 组件化框架设计

• 第一节、阿里巴巴开源路由框——ARouter 原理分析

• 第二节、APT 编译时期自动生成代码&动态类加载

• 第三节、 Java SPI 机制

• 第四节、 AOP&IOC

• 第五节、 手写组件化架构

  

  第四章、图片加载框架

• 第一节、图片加载框架选型

• 第二节、Glide 原理分析

• 第三节、手写图片加载框架实战

  

  第五章、网络访问框架设计

• 第一节、网络通信必备基础

• 第二节、OkHttp 源码解读

• 第三节、Retrofit 源码解析

  

  第六章、 RXJava 响应式编程框架设计

• 第一节、链式调用

• 第二节、 扩展的观察者模式

• 第三节、事件变换设计

• 第四节、Scheduler 线程控制

  

  第七章、 IOC 架构设计

• 第一节、 依赖注入与控制反转

• 第二节、ButterKnife 原理上篇、中篇、下篇

• 第三节、Dagger 架构设计核心解密

  

  第八章、 Android 架构组件 Jetpack

• 第一节、 LiveData 原理

• 第二节、 Navigation 如何解决 tabLayout 问题

• 第三节、 ViewModel 如何感知 View 生命周期及内核原理

• 第四节、 Room 架构方式方法

• 第五节、 dataBinding 为什么能够支持 MVVM

• 第六节、 WorkManager 内核揭秘

• 第七节、 Lifecycles 生命周期

  
  本文包含不同方向的自学编程路线、面试题集合/面经、及系列技术文章等，资源持续更新中…
  

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！

rkManager 内核揭秘**

• 第七节、 Lifecycles 生命周期

  [外链图片转存中…(img-ktjB1nlJ-1712543628017)]
  本文包含不同方向的自学编程路线、面试题集合/面经、及系列技术文章等，资源持续更新中…
  [外链图片转存中…(img-vVBRPLEZ-1712543628018)]

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取！