上一篇签名说到,签名只是确保应用在传递过程不被篡改,这是一致性原则。但是,可以被剽窃啊,所以还需要一层防护:加密!这就是加固的初衷。
安卓的混淆,某种意义上讲也是一种“加密”,所以在生产包上尽量要启用混淆。但是混淆毕竟不是真正意义的加密(即别人完全无法破解),混淆只是一种乱编码而已,花点时间仍然可以把逻辑破解出来,所以需要真正的加密。
一、保护对象
那么加密对象是谁?跟签名那样是整个应用包加密吗?当然不能,因为加密后要解密啊,整个应用包都加密了,谁来解密?操作系统吗?操作系统没有你的解密逻辑和密钥,如何解密?这点跟签名不同,签名可以由操作系统来校验,是因为签名算法公开、密钥也可以公开(公钥),操作系统能有足够信息进行签名校验。如果加密也要做到如此,除非操作系统自己搞一套,而且要跟每个应用相关(不能大统一),这还是有难度的,所以安卓应用只提供签名机制,未提供加密机制(混淆算半加密,但是混淆规则是应用告诉操作系统的,不是操作系统自己的规则)。
所以,不能对整个应用进行加密。那对谁加密呢?加密的目的是什么?是为了防止剽窃代码,也就是说,我们对代码进行加密就可以了。在应用包内(内容见截图),代码对应的是dex文件,所以,加密的对象就是dex文件。