Android代码混淆与反编译

最新推荐文章于 2022-02-09 00:29:13 发布
最新推荐文章于 2022-02-09 00:29:13 发布
阅读量911 收藏
点赞数 1
分类专栏: Android 文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mjb00000/article/details/79259017
版权

1.混淆的目的

用于保护APP不被破解和逆向分析。

2.混淆的意义

proguard通过移除没有用到的代码以及通过特定规则重命名类、变量、方法来压缩、优化、混淆你的代码。这样做可以让你的apk更小,更难被逆向分析。由于可以提高被逆向分析的难度,对相关功能安全敏感的应用使用它是十分必要的。混淆本质上是不能阻止反编译的,只能增加反编译以后阅读理解的难度罢了。

3.混淆在代码优化方面

1.删除冗余代码,记录代码和元数据,未使用的资源和本机库
2.Dex文件的自动分割超过Dex格式强加的大小限制
3.资源和代码优化

4.在build.grandle添加

buildTypes {
    release {
        signingConfig signingConfigs.release
        shrinkResources true // 移出无用的res文件
        minifyEnabled true // 是否需要使用下面的混淆文件进行代码混淆
        zipAlignEnabled true // Zipalign优化
        proguardFiles getDefaultProguardFile('proguard-android.txt'),'proguard-rules.pro'
    }
}

注意:工程中出现多个module时,只需要修改app底下build.gradle中的minifyEnabled true即可。

5.在proguard-rules.pro中加入混淆规则

# ============================================= 基础规则 =============================================
# 指定代码的压缩级别
-optimizationpasses 5
# 混淆后类名都为小写
 -dontusemixedcaseclassnames
# 指定不去忽略非公共的库的类
-dontskipnonpubliclibraryclasses
# 指定不去忽略非公共的库的类的成员
-dontskipnonpubliclibraryclassmembers
# 不做预校验的操作
-dontpreverify
# 混淆时是否记录日志
-verbose
# 混淆时所采用的算法
-optimizations !code/simplification/cast,!field/*,!class/merging/*
# 不混淆Annotation
-keepattributes *Annotation*,InnerClasses
# 不混淆泛型
-keepattributes Signature
# 抛出异常时保留代码行号
-keepattributes SourceFile,LineNumberTable
# 列出没有被混淆的类
-printseeds seeds.txt
# 列出从APK中移除的代码
-printusage unused.txt
# 混淆前后命名的变化
-printmapping mapping.text
# 这些资源为api资源,保持不被混淆
-dontwarn android.support.**
-keep public class * extends android.support.v4.**
-keep public class * extends android.support.v7.**
-keep public class * extends android.support.annotation.**
-keep public class * extends android.app.Application
-keep public class * extends android.view.View
-keep public class * extends android.app.Service
-keep public class * extends android.app.Fragment
-keep public class * extends android.app.Activity
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.preference.Preference
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class com.android.vending.licensing.ILicensingService
-keep class android.support.** {
    *;
}
-keep class android.support.v4.** {
    <fields>;
    <methods>;
}
-keep interface android.support.v4.app.** {
    <fields>;
    <methods>;
}
-keepclasseswithmembernames class * {
    native <methods>;
}
-keepclassmembers public class * extends android.view.View {
    void set*(***);
    *** get*();
}
-keepclassmembers class * extends android.app.Activity {
    public void *(android.view.View);
}

-keep class * implements android.os.Parcelable {
    public static final android.os.Parcelable$Creator *;
}
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}
# R文件 
-keep class **.R$* {
    *;
}
#  WebView
-keepclassmembers class fqcn.of.javascript.interface.for.Webview {
    public *;
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, jav.lang.String);
}
# ============================================= 自定义混淆 =============================================
# ......

6.jar混淆

默认已经将lib目录中的 jar 都已经添加到打包脚本中,所以不需要再次手动添加,否则会出现“java.io.IOException: The same input jar is specified twice” 错误。

7.常见的第三方库混淆代码

友盟
-dontwarn com.google.android.maps.**
-dontwarn android.webkit.WebView
-dontwarn com.umeng.**
-dontwarn com.tencent.weibo.sdk.**
-dontwarn com.facebook.**
-keep public class javax.**
-keep public class android.webkit.**
-keep enum com.facebook.**
-keepattributes Exceptions,InnerClasses,Signature
-keep public interface com.facebook.**
-keep public interface com.tencent.**
-keep public interface com.umeng.socialize.**
-keep public interface com.umeng.socialize.sensor.**
-keep public interface com.umeng.scrshot.**
-keep class com.android.dingtalk.share.ddsharemodule.** {
    *;
}
-keep public class com.umeng.socialize.* {
    *;
}
-keep class com.facebook.**
-keep class com.facebook.** {
    *;
}
-keep class com.umeng.scrshot.**
-keep public class com.tencent.** {
    *;
}
-keep class com.umeng.socialize.sensor.**
-keep class com.umeng.socialize.handler.**
-keep class com.umeng.socialize.handler.*
-keep class com.umeng.weixin.handler.**
-keep class com.umeng.weixin.handler.*
-keep class com.umeng.qq.handler.**
-keep class com.umeng.qq.handler.*
-keep class UMMoreHandler{
    *;
}
-keep class com.tencent.mm.sdk.modelmsg.WXMediaMessage {
    *;
}
-keep class com.tencent.mm.sdk.modelmsg.** implements com.tencent.mm.sdk.modelmsg.WXMediaMessage$IMediaObject {
    *;
}
-keep class im.yixin.sdk.api.YXMessage {
    *;
}
-keep class im.yixin.sdk.api.** implements im.yixin.sdk.api.YXMessage$YXMessageData{
    *;
}
-keep class com.tencent.mm.sdk.** {
    *;
}
-keep class com.tencent.mm.opensdk.** {
    *;
}
-dontwarn twitter4j.**
-keep class twitter4j.** {
    *;
}
-keep class com.tencent.** {
    *;
}
-dontwarn com.tencent.**
-keep public class com.umeng.com.umeng.soexample.R$*{
    public static final int *;
}
-keep public class com.linkedin.android.mobilesdk.R$*{
    public static final int *;
}
-keep class com.tencent.open.TDialog$*
-keep class com.tencent.open.TDialog$* {
    *;
}
-keep class com.tencent.open.PKDialog
-keep class com.tencent.open.PKDialog {
    *;
}
-keep class com.tencent.open.PKDialog$*
-keep class com.tencent.open.PKDialog$* {
    *;
}
-keep class com.sina.** {
    *;
}
-dontwarn com.sina.**
-keep class  com.alipay.share.sdk.** {
    *;
}
-keepnames class * implements android.os.Parcelable {
    public static final ** CREATOR;
}
-keep class com.linkedin.** {
    *;
}
极光推送
-dontwarn cn.jpush.**
-keep class cn.jpush.** {
    *;
}
-keep class * extends cn.jpush.android.helpers.JPushMessageReceiver {
    *;
}
-dontwarn cn.jiguang.**
-keep class cn.jiguang.** {
    *;
}
OkHttp
-dontwarn okio.**
-dontwarn okhttp3.logging.**
-keep class okhttp3.internal.** {
    *;
}
-dontwarn javax.annotation.**
-dontwarn javax.annotation.Nullable
-dontwarn javax.annotation.ParametersAreNonnullByDefault
Retrofit
-dontwarn retrofit2.**
-keep class retrofit2.** {
    *;
}
RxJava,RxAndroid
-dontwarn sun.misc.**
-keepclassmembers class rx.internal.util.unsafe.*ArrayQueue*Field* {
   long producerIndex;
   long consumerIndex;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueProducerNodeRef {
    rx.internal.util.atomic.LinkedQueueNode producerNode;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueConsumerNodeRef {
    rx.internal.util.atomic.LinkedQueueNode consumerNode;
}
Gson
-dontwarn com.google.**
-keep class com.google.gson.** {
    *;
}
-keep class com.google.gson.stream.** {
    *;
}
-keep class com.google.protobuf.** {
    *;
}
Glide
-keep public class * implements com.bumptech.glide.module.GlideModule
-keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** { 
  **[] $VALUES;
  public *;
}
# Glide自定义(ImageLoaderModule)缓存时添加如下混淆
-keepnames class com.common.imageloader.ImageLoaderModule
Glide v4.0
-keep public class * implements com.bumptech.glide.module.GlideModule
-keep public class * extends com.bumptech.glide.AppGlideModule
-keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** {
  **[] $VALUES;
  public *;
}
# for DexGuard only
-keepresourcexmlelements manifest/application/meta-data@value=GlideModule
# Glide自定义(ImageLoaderModule)缓存时添加如下混淆
-keepnames class com.common.imageloader.ImageLoaderModule

8.通过反编译检测混淆是否成功

注:反编译是不道德的行为,可根据需求反编译自己的工程即可。切勿编译他人工程。
反编译有多种方式,这里使用dex2jar进行反编译。

  • 下载反编译工具
点击下载dex2jar
点击下载jd-gui-windows


  • 解压后将你的apk后缀改为zip格式。
    如:sample-app.apk改为sample-app.zip
  • 将sample-app.zip进行解压。得到classes.dex文件,将classes.dex复制到与dex2jar解压后同目录下。
    classes.dex
  • 调用Dos命令,输入如下命令进行转换,(AndroidTools为我自己常用工具目录下,可根据自己的目录地址调用)

Dex2jar是将Android的.dex文件转换成Java的.class格式的文件,这仅是将一种二进制格式转换成另外一种二进制格式,并不是转换Java源代码。 

    dex2jar.bat classes.dex
  • 命令执行成功后会生成一个对应的classes_dex2jar.jar文件,用jd-gui-windows打开classes_dex2jar.jar文件便可看到包名和类型都变成了小写abcd…..等就代表着要混淆的文件已经混淆成功。
    混淆成功示例
蒙同學
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Android反编译代码与真实源代码对比(2)
04-25
Android反编译代码与真实源代码对比(2)
详解Android反编译代码混淆
01-21
前言 包括以下内容 要反编译apk需要下面3个工具 反编译资源文件 反编译类文件 代码混淆反编译apk需要下面3个工具 1、apktool(资源文件获取) 作用:资源文件获取,可以提取图片文件和布局文件进行使用查看 2、dex2jar(源文件获取) 作用:将APK反编译成java源码(classes.dex转化成jar文件) 3、jd-gui 作用:查看APK中classes.dex转化成的jar文件,即源码文件 下面进行反编译资源文件和类文件: 反编译资源文件 资源文件:包括图片资源、布局资源、动画、样式等其他资源       这样资源文件都可以看得到了。 反编译
Android代码混淆前后分析
java开发指南博客 【转载】
08-13 124
为了方便站在巨人臂膀上研读源码,特地将自己写的源码进行混淆之后与源码进行比较。 使用混淆的方法在project.properties文件上加入 proguard.config=proguard.cfg这一条代码。关于如何反编译源码,请看之前的一篇博客如何反编绎APK文件。 一、代码结构 1、源码 2、未带混淆机制代码 3、混淆后的代码 从图中可以看出未带混淆机制的...
visual studio 2015 比较代码差异的几种方法
dongmie1999的博客
02-09 7776
linux 命令行中的 diff 不太好看,加了 -y 并排看也不方便,希望在两个并排窗口里看看本地文件差异 1、如果是看本地文件修改后与git 的 HEAD 差异,文件上 右键 -> 与未修改的版本比较 1、如果是看本地文件修改后与git 的 HEAD 差异,文件上 右键 -> 与未修改的版本比较 devenv /diff file1.cs file2.cs 或 Tools.DiffFiles "file1.cs" "file2.cs" 这两个命令在VS下方输入显示找不
Android反编译代码与真实源代码对比
04-18
通过对反编译代码与真实源代码对比,进行反编译代码的修改和学习,将持续更新。
含泪总结:Android反编译
昆虫
09-06 414
Android代码反编译在上一面帖子中已经说了如何对代码混淆。接下来我们开始学习代码反编译 * 我们还是跟着大神的脚步前进 ——郭林 Android安全攻防战,反编译混淆技术完全解析(上) 1.什么是反编译: * Android程序打完包之后得到的是一个APK文件,这个文件是可以直接安装到任何Android手机上的,我们反编译其实也就是对这个APK文件进行反编译。Andr
反编译+混淆的攻守战
weifeng的博客
05-13 1106
准备一个APK用于反编译混淆的APK来自于《即拿即用-横向滚动+转场动画+GridView和RecyclerView动态添加》的Demo,地址:https://github.com/mocn26169/MultiViewpager首先我我们将apk签名并打包:密码都是123456789反编译代码1、下载工具dex2jar 这个工具用于将dex文件转换成jar文件 下载地址:http://sou
android混淆编译代码 防止反编译
02-26
Android如何防止apk程序被反编译 亲自测试 完美混淆
Android 反编译代码混淆
10-21
因此,了解并掌握Android反编译代码混淆技术对于保护应用的知识产权和用户数据至关重要。 **一、Android反编译** 1. ** Dex2Jar 和 JD-GUI**: Dex2Jar是一个将.dex文件转换为.jar文件的工具,而JD-GUI则是一个...
反编译后直接修改java源码-OCD:OCD框架:代码相似性分析器的比较
06-06
反编译后直接修改java源码, , , 伦敦大学学院计算机科学系 附加材料: , , : 代码相似性分析器的比较。 经验软件工程,23, 2464–2519 (2018)。 内政部: 作为对以下内容的扩展: Chaiyong Ragkhitwetsagul、Jens Krinke、David Clark:存在普遍修改时源代码相似性。 第 16 届源代码分析和操作 (SCAM) 国际工作会议,美国北卡罗来纳州罗利,2016 年 10 月。 抽象的 用于检测代码克隆、代码抄袭和代码重用的源代码分析存在代码修改问题。 在本研究中,我们对两种类型的代码修改感兴趣:普遍修改,即可能具有全局影响的转换,以及局部修改,即包含在单个方法或代码块中的代码更改。 我们使用 Java 源代码的五个实验场景评估了 30 种相似性检测技术和工具。 它们是 (1) 普遍修改的代码,使用源代码和字节码混淆工具创建,以及样板代码,(2) 通过使用不同反编译器编译和反编译的源代码规范化,(3) 在不同数据集上重用最佳配置, (4) 使用基于排名的度量的工具评估,以及 (5) 本地+全局代码修改。 我们的实验结果表明,
Android代码混淆的写法总结
08-27
Android 代码混淆是指在 Android 应用程序中对代码进行混淆处理,以保护代码的安全和 prevents 反编译混淆可以将代码压缩,混淆文件,预检,优化等多种作用。 使用混淆的方式是通过在 Gradle 文件中设置 `...
android 代码混淆 反编译,Android反编译代码混淆
weixin_39608394的博客
05-25 543
前言包括以下内容要反编译apk需要下面3个工具反编译资源文件反编译类文件代码混淆反编译apk需要下面3个工具apktool(资源文件获取)作用:资源文件获取,可以提取图片文件和布局文件进行使用查看dex2jar(源文件获取)作用:将APK反编译成java源码(classes.dex转化成jar文件)jd-gui作用:查看APK中classes.dex转化成的jar文件,即源码文件下面进行反编译资...
Android代码混淆反编译
weixin_30396699的博客
05-22 132
概述: 如果你目前还是一名学生或是没有在应用商店中上传过应用,恐怕对此的感受不深。而在企业中对Java代码混淆却是一步很重要的步骤,从安全的角度来说,代码混淆,防止居心不良的人对代码进行恶意篡改非常重要。下面就是对Android项目进行的代码混淆和加密签名过程。 步骤: 1.在项目的要目录中添加文件proguard.cfg 2.在项目中的project.propert...
Android 代码混淆 以及 反编译 的实现
weixin_33733810的博客
04-19 89
首先示例一个Android项目 , 里面包含所需要的混淆脚本以及 一些经常使用的第三方Jar包 问题1 : 如果你创建的项目里没有自带proguard.cfg这个混淆脚本,那么说明你的SDK 小于2.3 或者 你的SDK信息不完整 解决的办法: 1) 更新SDK版本 2)在你的项目里自己建一个proguard.cfg脚本,当然你的proguard.cfg脚本里需要依据你的项目的...
Android代码混淆反编译apk
测试路上的二酸酸
01-21 1115
序言: 经常听开发提起代码混淆引起的BUG,混淆后在测试一下有没有问题,那问题来了什么是代码混淆,怎么确认代码混淆成功了,带着问题读下文吧~~ 一、代码混淆的原理 代码混淆是将程序中的代码,等价转换为难以阅读理解的行为,提高攻击者阅读理解代码的难度,提高安全性,可以有效的提高应用被逆向破解的难度 二、代码混淆的方法 1.字符串加密:对应用程序中使用的字符串进行加密,防止获取关键词定位核心业务代码 2.类名、方法名混淆:讲代码中类名,方法名,属性名替换成无意义的符号,增加代码逆向难度,这种方式也是在jav
安卓proguard代码混淆以及反编译工具
热爱技术
01-04 1197
混淆以及反编译那些事儿 含义解释: - 压缩(Shrink): 检测并删除未使用的类,字段,方法和属性。 - 优化(Optimize): 分析并优化方法的字节码。 - 混淆(Obfuscate): 使用简短的无意义名称例如a,b,c等,重命名类,字段和方法。 - 预检(Preveirfy): 主要是在Java平台上对处理后的代码进行预检。 #### 输入/输出配置项 ```groovy @filename ```
代码混淆android反编译的两种解决方案
热门推荐
online1989的专栏
12-10 1万+
最近在做一些android的项目,对apk文件能够被反编译这一情况有点头大,就花了点时间,研究了下关于apk被反编译的一些解决方法。        Java的字节码一般是非常容易反编译的,而android采用java编写,生成的apk安装文件实际上就是一个压缩格式,后缀改为.zip,解压缩,再借用其他工具就能被反编译出来,目前android程序所谓的去广告版、汉化版都是通过反编译修改源码
android代码怎么防止反编译
最新发布
08-12
总结起来,通过代码混淆、数据加密、动态加载、使用JNI和数字签名等方式可以有效地提高Android代码的安全性,减少反编译的可能性。但需要注意,这些方法并不能完全防止反编译,只能增加攻击者的难度。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蒙同學

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值