一,为什么要对字符串进行加密
android应用的安全一直以来都是热点问题,很多市面上流传的破解版app,都是通过逆向对代码进行分析,而分析代码就需要反编译apk包,反编译过后得到的jar包,首先就是会从查找jar包中的字符串开始,字符串标识了对应业务的关键词,再通过查看代码工具,基本可以梳理出整个业务的流程图,从而达到可以破解的目的。我们在打包apk包的时候,之所以会使用混淆、加固,也只是为了增加反编译难度,而字符串加密是必要又关键的一环。
二,对字符串进行加密的原理是什么
如果我们要自己写一个字符串加密类,思路一般就是遍历指定目录下的所有文件,找到文件中所有字符串的地方(通过定义匹配的规则查找),并通过加密后的字符串,替换掉原有的字符串,这个过程可以发生在java文件中,也可以发生在class文件中,主要看解决方案的执行难度,而替换掉原有字符串的位置应该如下所示的过程:
//替换字符串之前
String a = "888";
String b = a + "ddd";
//替换加密字符串之后
String a = StringUtil.decryt("UDIFD8I");
String b = a + StringUtil.decryt("uDIS76");
那我们接下来使用的StringFog库的原理是什么呢?主要是修改编译后的字节码,动态植入加密后的字符串并替换成调用解密方法的语句。加密的方式也有很多种,基于性能考虑,它使用的是对称加密,通过base64和xor算法进行加密处理。可以去看一下stringFog的源码,地址如下:
https://github.com/MegatronKing/StringFog 可以按照示例中sample一步一步进行操作即可。
官方说明如下:
三,怎么使用该库进行加密?
其实,整个配置过程在github也有说明,这里记录一遍是为了适配自己的项目情况进行说明。
第1步,在根目录的builde.gradle中设置依赖库配置
buildscript {
repositories {
google()
mavenCentral()
}
dependencies {
classpath "com.android.tools.build:gradle:4.2.1"
//字符串加密
classpath 'com.github.megatronking.stringfog:gradle-plugin:2.2.1'
classpath 'com.github.megatronking.stringfog:xor:1.1.0'
}
}
第2步,在使用到字符串加密中的app或lib 的module中的build.gradle中设置xor库依赖
dependencies {
// 字符串加密:xor加解密库,stringfog中的implementation需依赖此库
implementation 'com.github.megatronking.stringfog:xor:1.1.0'
}
第3步,在使用到字符串加密中的app或lib 的module中的build.gradle中配置加密的key、开关和包名等
//字符串加密start
apply plugin: 'stringfog'
stringfog {
key 'xxxxxx'
enable true
debug false
//指定加解密的具体实现类,可以用默认实现的xor库或者aes-cbc库,也可以自己定制实现,记得配置
// dependencies
implementation 'com.github.megatronking.stringfog.xor.StringFogImpl'
// 指定需加密的代码包路径,可配置多个,未指定将默认全部加密
fogPackages = ["com.zz.test"]
}
第4步,通过gradle命令去打包,输出的apk或aar包的jar文件中的字符串就会显示成加密后的了。
示例如下:
public static String getName() {
if (TextUtils.isEmpty(g) && TextUtils.isEmpty(g = getSystemProperties
//加密后的字符串
(com.zz.test.bs.a.a("QV1LCyAgV0oWXl0BFzk=")))) {
g = Build.MODEL;
}
return g;
}
至此,字符串加密操作就完成了。
四,如果你不想通过库依赖,如何整?
1,直接将StringFog的源码移植到自己的项目中。
2,每一个依赖的库都是可以从AS工具的external libraries中查到对应的依赖库,找到StringFog的库的包名 com.github.megatronking.stringfog ,然后将两个依赖库中的jar包拷贝出来,放到自己项目的app或library的module中,然后配置第三步中的第3点就可以了正常使用了。如果library是多层引用的,则可以通过混淆配置字典的设置来解决冲突问题。当然,更好的应该是只加入一次且各层级的library module都可以使用,这个就需要自己花点时间去配置和验证了。