2024年最全你发布的Android 应用安全吗？，2024年最新这可能是目前最全的-CSDN博客

本文链接：https://blog.csdn.net/2401_84520332/article/details/138693639

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

Proguard 基础

Proguard 是一个混淆代码的开源项目，Proguard主要的作用是混淆，当然他还有着对字节码进行缩减体积、优化等功能，我主要关注的是混淆。

概念

下面两张图片分别是混淆了和没有混淆的图片（网上找的图）：

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

这样可以看出来，假如混淆和没有假如混淆的区别之大。使用混淆之后的类名就完全变了，自然假如混淆后，针对反编译还是有效果。

基本语法：

-include {filename} 从给定的文件中读取配置参数
-basedirectory {directoryname} 指定基础目录为以后相对的档案名称
-injars {class_path} 指定要处理的应用程序jar,war,ear和目录
-outjars {class_path} 指定处理完后要输出的jar,war,ear和目录的名称
-libraryjars {classpath} 指定要处理的应用程序jar,war,ear和目录所需要的程序库文件
-dontskipnonpubliclibraryclasses 指定不去忽略非公共的库类。
-dontskipnonpubliclibraryclassmembers 指定不去忽略包可见的库类的成员。

保留选项
-keep {Modifier} {class_specification} 保护指定的类文件和类的成员
-keepclassmembers {modifier} {class_specification} 保护指定类的成员，如果此类受到保护他们会保护的更好
-keepclasseswithmembers {class_specification} 保护指定的类和类的成员，但条件是所有指定的类和类成员是要存在。
-keepnames {class_specification} 保护指定的类和类的成员的名称（如果他们不会压缩步骤中删除）
-keepclassmembernames {class_specification} 保护指定的类的成员的名称（如果他们不会压缩步骤中删除）
-keepclasseswithmembernames {class_specification} 保护指定的类和类的成员的名称，如果所有指定的类成员出席（在压缩步骤之后）
-printseeds {filename} 列出类和类的成员-keep选项的清单，标准输出到给定的文件

压缩
-dontshrink 不压缩输入的类文件
-printusage {filename}
-whyareyoukeeping {class_specification}

优化
-dontoptimize 不优化输入的类文件
-assumenosideeffects {class_specification} 优化时假设指定的方法，没有任何副作用
-allowaccessmodification 优化时允许访问并修改有修饰符的类和类的成员

混淆
-dontobfuscate 不混淆输入的类文件
-printmapping {filename}
-applymapping {filename} 重用映射增加混淆
-obfuscationdictionary {filename} 使用给定文件中的关键字作为要混淆方法的名称
-overloadaggressively 混淆时应用侵入式重载
-useuniqueclassmembernames 确定统一的混淆类的成员名称来增加混淆
-flattenpackagehierarchy {package_name} 重新包装所有重命名的包并放在给定的单一包中
-repackageclass {package_name} 重新包装所有重命名的类文件中放在给定的单一包中
-dontusemixedcaseclassnames 混淆时不会产生形形色色的类名
-keepattributes {attribute_name,…} 保护给定的可选属性，例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and

InnerClasses.
-renamesourcefileattribute {string} 设置源文件中给定的字符串常量

实际代码：

-ignorewarnings # 忽略警告，避免打包时某些警告出现
-optimizationpasses 5 # 指定代码的压缩级别
-dontusemixedcaseclassnames # 是否使用大小写混合
-dontskipnonpubliclibraryclasses # 是否混淆第三方jar
-dontpreverify # 混淆时是否做预校验
-verbose # 混淆时是否记录日志
-optimizations !code/simplification/arithmetic,!field/,!class/merging/ # 混淆时所采用的算法

-libraryjars libs/treecore.jar

-dontwarn android.support.v4.** #缺省proguard 会检查每一个引用是否正确，但是第三方库里面往往有些不会用到的类，没有正确引用。如果不配置的话，系统就会报错。
-dontwarn android.os.**
-keep class android.support.v4.** { ; } # 保持哪些类不被混淆
-keep class com.baidu.* { ; }
-keep class vi.com.gdi.bgl.android.**{;}
-keep class android.os.**{*;}

-keep interface android.support.v4.app.** { ; }
-keep public class * extends android.support.v4.*
-keep public class * extends android.app.Fragment

-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.support.v4.widget
-keep public class * extends com.sqlcrypt.database
-keep public class * extends com.sqlcrypt.database.sqlite
-keep public class * extends com.treecore.**
-keep public class * extends de.greenrobot.dao.**

-keepclasseswithmembernames class * { # 保持 native 方法不被混淆
native ;
}

-keepclasseswithmembers class * { # 保持自定义控件类不被混淆
public (android.content.Context, android.util.AttributeSet);
}

-keepclasseswithmembers class * { # 保持自定义控件类不被混淆
public (android.content.Context, android.util.AttributeSet, int);
}

-keepclassmembers class * extends android.app.Activity { //保持类成员
public void *(android.view.View);
}

-keepclassmembers enum * { # 保持枚举 enum 类不被混淆
public static **[] values();
public static ** valueOf(java.lang.String);
}

-keep class * implements android.os.Parcelable { # 保持 Parcelable 不被混淆
public static final android.os.Parcelable$Creator *;
}

-keep class MyClass; # 保持自己定义的类不被混淆

**注意： ** 在Android中有一部分是不能够被混淆的，混淆了之后就会出现异常：

四大组件由于在Mainfest中注册了，所以不能被混淆
jin调用的Java的接口方法
系统接口方法
R文件的混淆可能会导致引用错误（如果有地方使用反射机制，R文件被混淆之后就会找不到资源）

防止反编译

防止反编译方法

1 . Proguard混淆不仅仅可以混淆代码，还能反编译工具失效或者奔溃

2 . 使用现在国内的APK加固方法，就我所知目前你想要在360市场和腾讯的市场上发布应用，都要必须要使用他们对应的市场的加固方式：360加固和乐固加固

我们常用的反编译工具有哪些呢?

apkTool
baksmali
dex2.jar
JEB

我们通过上面的两种方法可以让这些反编译工具反编译出来不易阅读甚至让反编译工具失效或者。

由于前面已经提到过混淆的方法就不在赘述，使用国内的APK加固方法就更加的简单了，到指定的官网下载工具加固即可，文档描述很详细。

防止模拟器

防止模拟器逆向分析

原因：一般被处于逆向分析状态是在Android模拟器中运行的，所以我们只需要在代码中判断我们当前的APK是否运行在模拟器中即可。

检测是否是模拟器一般有一下几种方式：

检测模拟器上的几个特殊文件
检测模拟器上的特殊号码
检测设备IDS是不是“000000000000000”
检测是否还有传感器、蓝牙
检测手机上才有的硬件信息
检测手机的运营商

下面我用代码来演示一下：

检查IDS

/**

检查IDS
@param context
@return
*/
public static boolean chechDeviceIDS(Context context) {
@SuppressLint(“ServiceCast”)
TelephonyManager telecomManager = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
@SuppressLint(“MissingPermission”)
String deviceId = telecomManager.getDeviceId();
if (deviceId.equalsIgnoreCase(DEVICE_ID)) {
Log.e(TAG, “chechDeviceIDS==” + DEVICE_ID);
return true;
}
return false;
}

检查模拟器特有文件

/**

检查模拟器特有的文件
@param context
@return
*/
public static boolean chechDeviceFile(Context context) {
for (int i = 0; i < DEVICE_FILE.length; i++) {
String file_name = DEVICE_FILE[i];
File qemu_file = new File(file_name);
if (qemu_file.exists()) {
Log.e(TAG, “chechDeviceFile==” + true);
return true;
}
}
return false;
}

检查模拟器特有号码

/**

检查特有电话号码
@param context
@return
*/
public static boolean chechDevicePhone(Context context) {
@SuppressLint(“ServiceCast”)
TelephonyManager telecomManager = (TelephonyManager) context.getSystemService(Context.TELEPHONY_SERVICE);
@SuppressLint(“MissingPermission”)