王学岗性能优化10——APK加固(一)

最新推荐文章于 2023-04-06 19:31:02 发布
最新推荐文章于 2023-04-06 19:31:02 发布
阅读量248 收藏
点赞数 1
分类专栏: 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qczg_wxg/article/details/90547391
版权

所有的dex文件都加密,使用的时候通过代理解密,用户拿到以后是无法解读源代码的。加密算法可以自由选择,
第一:反编译工具
在这里插入图片描述
第二:Proguard的使用与配置
Proguard是一个代码优化和混淆工具。能够提供对Java类文件的压缩、优化、混淆,和预校验。压缩的步骤是检测并移除未使用的类、字段、方法和属性。优化的步骤是分析和优化方法的字节码。混淆的步骤是使用短的毫无意义的名称重命名剩余的类、字段和方法。压缩、优化、混淆使得代码更小,更高效。
比如整个APK中有一些没有用过的东西。在导包的时候可以把那些不需要的全去掉。
开启proguard

buildTypes {
        release {
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
        debug {
            minifyEnabled true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }

minifyEnabled false:混淆功能默认是关闭的。改为true就是开启混淆功能
点击运行在gradle里面默认生成proguard-android,按照文件提供的规则,进行混淆。

 #不做优化
-dontoptimize
#不适用大小写
-dontusemixedcaseclassnames 
#不跳过公共库的class
-dontskipnonpubliclibraryclasses

-keep 指定类和类成员(变量和方法)不被混淆。
	-keep class com.dongnao.proxy.guard.test.Bug
	(保护了类名)
	-keep class com.dongnao.proxy.guard.test.Bug{
   		public static void *();
	}
	(保护了 public static void的没有参数的函数)
	-keep class com.dongnao.proxy.guard.test.Bug{
   		*;
	}
	(保护所有)
-keepclassmembers 指定类成员不被混淆(就是-keep的缩小版,不管类名了)。
	-keepclassmembers
	class com.dongnao.proxy.guard.test.Bug
	(都被混淆了)
-keepclasseswithmembers 指定类和类成员不被混淆,前提是指定的类成员存在。
	-keepclasseswithmembers class 	com.dongnao.proxy.guard.test.Bug
	(保护类名,但是没指定成员,所以函数名被混淆)
	-keepclasseswithmembers class   	com.dongnao.proxy.guard.test.Bug{
		native <methods>;
	}

proguard-rules.pro文件中的一些配置
1,指定类不被混淆的方法;
类前加注释@Keep
在proguard-rules.pro中添加代码

-keep class com.example.administrator.lsn_8_demo.User

如果user类需要反射,就不能混淆了。
3,

# We want to keep methods in Activity that could be used in the XML attribute onClick.
-keepclassmembers class * extends android.app.Activity {
    public void *(android.view.View);
}

保证所有继承Activity类,方法参数名是View的方法不被混淆
4,View 类的set get方法不被混淆

# Keep setters in Views so that animations can still work.
-keepclassmembers public class * extends android.view.View {
    void set*(***);
    *** get*();
}

5,静态内部类里的静态属性不做混淆

-keepclassmembers class **.R$* {
    public static <fields>;
}

6.native 方法是不能参与混淆的。如果混淆了,就无法使用JNI了。

	-keepclasseswithmembers class   	com.dongnao.proxy.guard.test.Bug{
		native <methods>;
	}

7,#只让一个类中的某个成员或某个方法不加参。

 -keep class com.example.administrator.lsn_8_demo.User{
   		public static void *();
 		java.lang.String *;
 }

该类String类型的成员变量不参与混淆,static void方法不被混淆。注意这样写类名也不会别混淆。我们看下下面这种写法

-keepclassmembers class com.example.administrator.lsn_8_demo.User{
                     		public static void *();
                     		java.lang.String *;
                  	}

这种写法和上面的区别是,类名也会被混淆

8,注意:混淆后的代码不能直接在android studio中运行,要在真机上运行。
9,如果运行出错,而又因为混淆无法定位到错误地方
,可以添加这句代码

-keepattributes SourceFile,LineNumberTable

在app build outputs mapping debug 路径下有mapping.txt文件,在这个文件中有混淆后的对应关系。
如何恢复呢?分两步
第一步:.把错误信息保存到文件
第二步:.使用工具 sdk/tools/groguard/bin/retrace.bat
先配置 -keepattributes SourceFile,LineNumberTable
再执行 retrace.bat -verbose mappint文件 bug文件
bug文件就是我们把错误的日志内容复制粘贴到这个文件里;
第三:加密技术
这里有两个加密需要用到的jar包sun.misc.BASE64Decoder.jar和commons-codec-1.11.jar
1,单项加密
使用加密算法生成一个密码,向服务器发送的数据包含明文和密码,服务器收到数据后,使用相同的算法对明文进行加密,得到的密码与收到的密码相同,这说明数据发送过程是安全的,没有问题的。

package com.example.administrator.lsn_10_demo;

import org.apache.commons.codec.digest.Sha2Crypt;
import org.junit.Test;

public class SHA {
    @Test
    public void test(){
		//对jett进行加密,得到加密的密码
        String result=Sha2Crypt.sha256Crypt("jett".getBytes());
        System.out.println(result);
    }
}

2,对称加密
一个密码对应着一个解密的秘钥,加密和解密是一对一的关系。比如AEA(https链接支付宝就是用的这种算法)加密算法,

package com.example.administrator.lsn_10_demo;

import org.junit.Test;

import java.security.SecureRandom;

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;

public class AES {
	//算法的名称
    public static String ALGORITHM="AES";
    //1,得到加密后的数据
	//2,content:加密的内容、
	//3,password:加密的密码
    public static byte[] encrypt(String content,String password) throws Exception{
		//根据AES算法生成键值,用来生成aes秘钥
        KeyGenerator kgen = KeyGenerator.getInstance(ALGORITHM);
        //1,用用户密码作为随机数初始化
		//2,大小128位
        kgen.init(128,new SecureRandom(password.getBytes()));
        //得到一个密钥,注意输入的密码和秘钥是不一样的。
        SecretKey secretKey=kgen.generateKey();
        //对钥密进行基本的编码
        byte[] enCodeFormat = secretKey.getEncoded();
        //转换成AES专用的密钥
        SecretKeySpec key=new SecretKeySpec(enCodeFormat,ALGORITHM);
        //创建一个密码器
        Cipher cipher=Cipher.getInstance(ALGORITHM);

        //加密的时候需要把数据填到一个byte数组
        byte[] byteContent=content.getBytes();
        //开始加密了
        cipher.init(Cipher.ENCRYPT_MODE,key);
		//加密后的结果就在resul里面
        byte[] result=cipher.doFinal(byteContent);

        return result;

    }
//解密
    public static byte[] decrypt(byte[] content,String password) throws Exception{
        //创建AES的key生产者
        KeyGenerator kgen=KeyGenerator.getInstance(ALGORITHM);
        //利用用户密码作为随机数初始化
        kgen.init(128,new SecureRandom(password.getBytes()));
        //根据用户密码,生成一个密钥  (所有对称算法通用的)
        SecretKey secretKey=kgen.generateKey();
        //对密钥进行基本的编码
        byte[] enCodeFormat=secretKey.getEncoded();
        //转换成AES专用的密钥 RoundKey
        SecretKeySpec key=new SecretKeySpec(enCodeFormat,ALGORITHM);
        //创建一个密码器
        Cipher cipher=Cipher.getInstance(ALGORITHM);

        //解密
        cipher.init(Cipher.DECRYPT_MODE,key);
        byte[] result=cipher.doFinal(content);
        return result;
    }
	//测试代码
    @Test
    public void test() throws Exception{
        String content="jett53425234523452345234523452345234";
        String password="123";
        //加密
        byte[] encryptByte=encrypt(content,password);
        System.out.println("加密的数据:"+new String(encryptByte));//打印内容显示,content已经面目全非了。
        //解密,要用同样的密码
        byte[] decrypt=decrypt(encryptByte,password);
        System.out.println("解密后的效果:"+new String(decrypt));//打印输出的内容就是content的内容

    }

}

3,rsa公钥私钥加密算法
假设有一万人注册了银行卡,如果是以前我们需要这么做,我给你一份密码,我银行这里还需要一个存根。如果是两个人,就需要两套。如果是一万人,那么银行就要有一万个存根。这样管理起来很不方便。
公钥私钥的好处在哪里呢?
在这里插入图片描述
公钥加密,私钥解密

package com.example.administrator.lsn_10_demo;

import org.junit.Test;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.OutputStream;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.SecureRandom;

import javax.crypto.Cipher;

import Decoder.BASE64Decoder;
import Decoder.BASE64Encoder;

public class RSA {
	//算法名称
    public static String ALGORITHM="RSA";

    //指定key的位数,数字比较大生成钥匙对会需要很长时间。我们这里使用1024位
    public static int KEYSIZE=1024;//65536
	//公钥和私钥是分开存放的,一个存放在服务器,一个存放在客户端。

    //指定公钥存放的文件
    public static String PUBLIC_KEY_FILE="public_key.dat";

    //指定私钥存放的文件
    public static String PRIVATE_KEY_FILE="private_key.dat";

//公钥和私钥是成对出现的。本方法就是生成钥匙对
//执行这两个方法会生成两个文件
    public static void generateKeyPair() throws Exception{
        SecureRandom sr=new SecureRandom();
        //需要一个KeyPairGenerator来生成钥对
        KeyPairGenerator keyPairGenerator=KeyPairGenerator.getInstance(ALGORITHM);
        keyPairGenerator.initialize(KEYSIZE,sr);
        //生成钥匙
        KeyPair keyPair=keyPairGenerator.generateKeyPair();

        Key publicKey=keyPair.getPublic();
        Key privateKey=keyPair.getPrivate();
        //把公钥私钥存放到文件里面
        ObjectOutputStream objectOutputStream1 = new ObjectOutputStream(new FileOutputStream(PUBLIC_KEY_FILE));
        ObjectOutputStream objectOutputStream2 = new ObjectOutputStream(new FileOutputStream(PRIVATE_KEY_FILE));

        objectOutputStream1.writeObject(publicKey);
        objectOutputStream2.writeObject(privateKey);
        objectOutputStream2.close();
        objectOutputStream1.close();

    }

    /**
     * 加密
     */
    public static String encrypt(String source) throws Exception{
		//生成钥匙对
        generateKeyPair();
        //取出公钥
        ObjectInputStream ois=new ObjectInputStream(new FileInputStream(PUBLIC_KEY_FILE));
        Key key=(Key)ois.readObject();
        ois.close();
        //开始使用,拿到钥匙加密
        Cipher cipher=Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE,key);
		//把你输入的内容source,加密以后放到另外一个数组b1
        byte[] b=source.getBytes();
        byte[] b1=cipher.doFinal(b);
        //转一下base64,字符和二进制之间的转换
        BASE64Encoder encoder=new BASE64Encoder();
        return encoder.encode(b1);

    }
    /**
     * 解密
     */
    public static String decrypt(String source) throws Exception{

        //取出公钥
        ObjectInputStream ois=new ObjectInputStream(new FileInputStream(PRIVATE_KEY_FILE));
        Key key=(Key)ois.readObject();
        ois.close();
        //开始使用
        Cipher cipher=Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE,key);
        BASE64Decoder decoder=new BASE64Decoder();
		//source是要解码的文字,把内容解码到b数组
        byte[] b=decoder.decodeBuffer(source);
		//密码器解码,把数组b中的内容解密出来,放到数组b1
        byte[] b1=cipher.doFinal(b);

        return new String(b1);

    }
    @Test
    public void test() throws Exception{
		//
        String content="jett12121212121212121";
		//对content进行加密
        String password=encrypt(content);
		//打印输出几十个字母,反正看不懂
        System.out.println("密文"+password);

        //到了服务器以后,对密文进行解密
        String target=decrypt(password);
		//打印输出content
        System.out.println("明文"+target);
    }
}

https传输原理,首先把数据使用AES加密,然发送数据的时候是带着公钥一起发送的。

qczg_wxg
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
王学左派的兴起及其对文学创作的推动.pdf
11-19
王学左派的兴起及其对文学创作的推动.pdf
Android~apk的混淆和加固
Hynson的学习笔记
02-26 3217
ProGuard介绍 ProGuard是混淆代码的开源项目,主要作用是混淆代码还能对字节码缩减体积、优化等。混淆前我们需要知道哪些东西不能混淆,参考如下,当然大佬们已经给我提供proguard-rules.pro的模板。 使用了自定义控件那么要保证它们不参与混淆 使用了枚举要保证枚举不被混淆 对第三方库中的类不进行混淆 运用了反射的类也不进行混淆 使用了 Gson 之类的工具要使 JavaBean 类即实体类不被混淆 在引用第三方库的时候,一般会标明库的混淆规则的,建议在使用的时候就把混淆规则添加上去,
安卓逆向笔记--apk加固
qq_43593334的博客
04-06 1825
安卓逆向笔记–apk加固 资料来源: 浅谈安卓apk加固原理和实现 Android中的Apk加固(加壳)原理解析和实现 一、apk常见加固方法 (1)代码层级加密–代码混淆         代码混淆是一种常见的加密方式。本质是把工程中原来具有含义的类名、变量名、方法名,修改成让人看不懂的名字。常见的代码混淆工具pro...
一文读懂加固apk的开发者是怎么想的
IT安全单身狗的博客
07-04 304
有人说加固会明显拖慢启动速度,同时造成运行卡顿,严重降低用户体验,而且加固是完全可以脱壳的,只需要pc配合进行断点调试就能抓到解密后的dex文件,加固并没有所说的那么安全。 但是为什么还有一大批开发者喜欢加固apk呢?   因为工信部对移动App应用安全过检要求日益增多,不加固大都达不到工信部的要求,同时开发者加固App大都是为了防止以下10个检测项出现问题,影响App上架。   1.程序...
Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆
Engineer-Jsp的专栏
03-27 4717
Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆
Android APP代码混淆proguard和加固
superbigcupid的专栏
06-30 3772
Android APP代码混淆proguard和加固     proguard官方网址:http://proguard.sourceforge.net/index.html#/manual/examples.html  一、在gradle中开启: Gradle项目(以及Android Studio) 在build.gradle中进行配置 android {
函数式编程语言发展及应用_王学瑞.pdf
09-16
函数式编程语言发展及应用_王学瑞.pdf
Lucene+Nutch搜索引擎开发.王学松源代码
08-23
licene 实例代码 nutch实例代码 lucene+nutch搜索引擎开发实例代码(王学松版)
《大学》古本是王学背离朱学的理论起点.docx
11-30
《大学》古本是王学背离朱学的理论起点.docx
达梦数据库单机(麒麟v10+鲲鹏版).docx
最新发布
04-09
达梦数据库单机(麒麟v10 + 鲲鹏).docx
王学岗性能优化11——APK加固(二)
qczg_wxg的博客
06-01 326
android 5.0之前打包的apk只有一个dex文件,android5.0之后打包的apk有多个dex文件。我们现在要为dex文件加密。
破解混淆加固apk
BingHongChaZuoAn的专栏
11-20 3656
最近研究了下 app逆向安全,感觉客户端还是不安全,android和ios都可以破解,重要的东西还是放服务器,因为服务器相对安全一些。本文只供爱好研究以及安全测试用,如果用于非法,后果自负。 ios的破解我没试过,但是提供一篇文章: https://www.cnblogs.com/xin-lang/p/8098142.html android的破解,我也只讲思路,不提供工具,感谢各位破解大...
性能优化 (八) APK 加固之动态替换 Application
weixin_34391854的博客
06-04 600
上一篇讲了 dex 加密解密 还没有看过的可以先去了解下 dex 怎么加解密,这篇就来带大家完成剩下的工作,dex 解密完成之后需要把代理 ProxyApplication 给删除掉,然后把我们自己的 Application 给添加到我们程序中。想要替换 ProxyApplication 可不是一件简单的事儿,首先必须的对 Application 启动源码很熟悉才能对它进行操作,下面由我来带着大...
关于手游APP加固引发的一点思考。
Zee7的博客
12-03 1224
App加固服务,自从App这个产品形态诞生以来,就伴随之而产生。 其主要作用,用一句话来讲,就是对APP的静态代码和运行时数据进行保护和加密。这一句话说起来简单,但是真的进行落地实现,就变得复杂很多,需要包含App方方面面的防护。当前业内主流的技术:本地化加密、内存加载防护,类抽取、VMP等等。 很多第三方平台均提供相应的服务,有免费的有付费的。当然也是各有千秋,侧重点也会有些许不同。有的号称能力...
Android APK加固(加壳)工具
热门推荐
Watson的博客
12-06 3万+
之前一篇文章Android proguard代码混淆,我们讲解了如何实现APK的代码混淆,让反编译者不那么容易阅读我们的源代码。虽然我们混淆,做到native层,但是这都是治标不治本的。反编译的技术在更新,那么保护Apk的技术就不能停止。现在有很多Apk加固的第三方平台,譬如爱加密,360加固,梆梆加密等,但是这些平台都是收费的。今天我们给大家介绍一个免费的APK加固工具APK Protect。测试
王学岗性能优化(12)——7z压缩
qczg_wxg的博客
06-03 1872
1, (1)7Z是什么: 一种文件压缩格式,具有高压缩比率,进行数据压缩有多种压缩算法可以选择。与其它压缩格式相比,得到的压缩文档较小,即压缩率最高 (2)7-Zip: 完全免费而且开源的压缩软件,相比其他软件有更高的压缩比但同时耗费的资源也相对更多。支持压缩/ 解压缩:7z, XZ, BZIP2, GZIP, TAR, ZIP,WIM (3)7z的好处: 节省磁盘的空间,节省上传下载的流量 (4...
王学岗性能优化(13)——Protobuf
qczg_wxg的博客
06-04 821
** (上) **
王学岗性能优化————内存优化(二)内存抖动与优化内存的良好编码习惯
qczg_wxg的博客
05-04 758
第一:内存抖动 1,内存抖动的原因:内存频繁的分配与回收,(分配速度大于回收速度时)最终会产生OOM。 (1)我们看一段内存抖动的代码,开辟一个二维数组,频繁的拼接字符串。 public void imPrettySureSortingIsFree() { int dimension = 300; int[][] lotsOfInts = new int[dime...
王学岗性能优化————UI绘制优化(CPU与GPU原理,过度绘制优化,布局优化)
qczg_wxg的博客
05-01 720
第一:GPU与CPU的工作流程 我们看到一个界面,界面上所有画出来的东西都是由GPU完成,但是怎么去画是由cpu来完成。说白了,CPU是计算画图的方法,GPU是怎么画到屏幕,CPU会把结果交给GPU。 我们的优化也分为两点:(1)cpu:减少xml转换成对象的时间;(2)GPU:减少重复绘制的时间; 什么是过度绘制? GPU的绘制过程,就跟刷墙一样,一层一层的进行,16ms刷一次。这样就会造成图像...
严重性 代码 说明 项目 文件 行 禁止显示状态 错误 LNK2019 无法解析的外部符号 main,函数 "int __cdecl invoke_main(void)" (?invoke_main@@YAHXZ) 中引用了该符号 Project518 C:\Users\Lenovo\Desktop\gittee\text.c\Project518\Project518\MSVCRTD.lib(exe_main.obj) 1
07-23
3. 如果你在项目中使用了多个源文件,请确保每个源文件都有自己的main函数,并且只有一个源文件的main函数是可执行的入口点。 4. 检查你是否正确链接了所需的库文件。LNK2019错误有时也可能是由于缺少必要的库文件或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值