Android代码混淆

一、前言

毫无疑问，混淆是打包过程中最重要的流程之一，在没有特殊原因的情况下，所有 app 都应该开启混淆。

首先，这里说的混淆其实是包括了代码压缩、代码混淆以及资源压缩等的优化过程。

二、ProGuard

Android Studio自身集成Java语言的ProGuard作为压缩，优化和混淆工具。

作用：

• 压缩（Shrinking）：默认开启，用以减小应用体积，移除未被使用的类和成员，这有助于规避64K方法数的瓶颈，并且会在优化动作执行之后再次执行（因为优化后可能会再次暴露一些未被使用的类和成员）。
• 优化（Optimization）：默认开启，在字节码级别执行优化，让应用运行的更快。
• 混淆（Obfuscation）：默认开启，增大反编译难度，类和类成员会被随机命名，除非用keep保护。

三、混淆实战

1、混淆配置

打开app/build.gradle，因为开启混淆会使编译时间变长，所以debug模式下不应该开启，进行如下修改：

android {
    buildTypes {
        release {
            //开启混淆
            minifyEnabled true
            //开启资源压缩
            shrinkResources true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }
}

2.自定义混淆规则

在上面的设置中有这样一行代码：

proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'

这行代码定义了混淆规则由两部分构成：位于 SDK 的 tools/proguard/ 文件夹中的 proguard-android.txt 的内容以及默认放置于模块根目录的 proguard-rules.pro 的内容。前者是 SDK 提供的默认混淆文件，内容如下：

#包名不混合大小写
-dontusemixedcaseclassnames

#不跳过非公共的库的类
-dontskipnonpubliclibraryclasses

#混淆时记录日志
-verbose

#关闭预校验
-dontpreverify

#不优化输入的类文件
-dontoptimize

#保护注解
-keepattributes *Annotation*

#保持所有拥有本地方法的类名及本地方法名
-keepclasseswithmembernames class * {
    native <methods>;
}

#保持自定义View的get和set相关方法
-keepclassmembers public class * extends android.view.View {
   void set*(***);
   *** get*();
}

#保持Activity中View及其子类入参的方法
-keepclassmembers class * extends android.app.Activity {
   public void *(android.view.View);
}

#枚举
-keepclassmembers enum * {
    **[] $VALUES;
    public *;
}

#Parcelable
-keepclassmembers class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator CREATOR;
}

#R文件的静态成员
-keepclassmembers class **.R$* {
    public static <fields>;
}

-dontwarn android.support.**

#keep相关注解
-keep class android.support.annotation.Keep

-keep @android.support.annotation.Keep class * {*;}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <methods>;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <fields>;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep <init>(...);
}

后者proguard-rules.pro是开发者自定义混淆规则的地方，多方调研后，一份适用于大部分项目的混淆规则最佳实践如下：

#指定压缩级别
-optimizationpasses 5

#不跳过非公共的库的类成员
-dontskipnonpubliclibraryclassmembers

#混淆时采用的算法
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*

#把混淆类中的方法名也混淆了
-useuniqueclassmembernames

#优化时允许访问并修改有修饰符的类和类的成员 
-allowaccessmodification

#将文件来源重命名为“SourceFile”字符串
-renamesourcefileattribute SourceFile
#保留行号
-keepattributes SourceFile,LineNumberTable

#保持所有实现 Serializable 接口的类成员
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

#Fragment不需要在AndroidManifest.xml中注册，需要额外保护下
-keep public class * extends android.support.v4.app.Fragment
-keep public class * extends android.app.Fragment

# 保持测试相关的代码
-dontnote junit.framework.**
-dontnote junit.runner.**
-dontwarn android.test.**
-dontwarn android.support.test.**
-dontwarn org.junit.**

真正通用的、需要添加的就是上面这些，除此之外，需要每个项目根据自身的需求添加一些混淆规则

3、常用混淆命令：

 keep：用来保留Java的元素不进行混淆. keep有很多变种,他们一般都是：

-keep 防止类和成员被移除或者被重命名

-keepnames 防止类和成员被重命名

-keepclassmembers 防止成员被移除或者被重命名

-keepclasseswithmembers 防止拥有该成员的类和成员被移除或者被重命名

-keepclasseswithmembernames 防止拥有该成员名的类和成员被重命名

   常用的几个：

#不混淆某个类
-keep public class com.cx.example.Test { *; }
#不混淆某个包所有的类，包括子包下的
-keep class com.cx.test.** { *; }
#不混淆某个类的子类
-keep public class * extends com.cx.example.Test { *; }
#不混淆所有类名中包含了“model”的类及其成员
-keep public class **.*model*.** {*;}
#不混淆某个接口的实现
-keep class * implements com.cx.example.TestInterface { *; }
#不混淆某个类的构造方法
-keepclassmembers class com.cx.example.Test { 
  public <init>(); 
}
#不混淆某个类的特定的方法
-keepclassmembers class com.cx.example.Test { 
  public void test(java.lang.String); 
}

dontwarn：是一个和keep可以说是形影不离,尤其是处理引入的library时.

引入的library可能存在一些无法找到的引用和其他问题,在build时可能会发出警告,如果我们不进行处理,通常会导致build中止.因此为了保证build继续,我们需要使用dontwarn处理这些我们无法解决的library的警告.

比如关闭Twitter sdk的警告,我们可以这样做:

-dontwarn com.twitter.sdk.**

4、哪些不应该被混淆：

a：jni方法不可混淆，因为这个方法需要和native方法保持一致；

b: 在运行时动态改变的代码，例如反射。比较典型的例子就是与服务端交互时，使用GSON、fastjson等框架解析服务端数据时，会与 json 相互转换实体类。假如项目命名规范要求实体类都要放在model包下的话，可以添加类似这样的代码把所有实体类都保持住：-keep public class **.*Model*.** {*;} ；

c：第三方库所需的混淆规则。正规的第三方库一般都会在接入文档中写好所需混淆规则，使用时注意添加。例如过滤掉v4包，添加如下代码：

-keep class android.support.v4.** { *; } 

d：有用到WebView的JS调用也需要保证写的接口方法不混淆，原因和第一条一样；

-keepclassmembers class fqcn.of.javascript.interface.for.webview {
   public *;
}
-keepclassmembers class * extends android.webkit.webViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.webViewClient {
    public void *(android.webkit.webView, jav.lang.String);
}

e：四大组件不建议混淆

Android中四大组件我们都很常用,这些组件不能被混淆的原因为四大组件声明必须在manifest中注册,如果混淆后类名更改,而混淆后的类名没有在manifest注册,是不符合Android组件注册机制的.

外部程序可能使用组件的字符串类名,如果类名混淆,可能导致出现异常

f：注解不能混淆
注解在Android平台中使用的越来越多,常用的有ButterKnife和Otto.很多场景下注解被用作在运行时反射确定一些元素的特征，为了保证注解正常工作,我们不应该对注解进行混淆.Android工程默认的混淆配置已经包含了下面保留注解的配置：

-keepattributes *Annotation*