androidsdk混淆,代码混淆工具

文章从我的个人博客转载

Android代码混淆(1)记录了整个混淆过程。 在命令行上执行了模糊操作，并验证了三个过程。 本文记录了Android Studio中的模糊化操作和具体需要注意的事项。

基本操作和整体流程

修改build.gradle脚本

buildTypes {

释放{

启用混淆真//混淆

proguardfilesgetdefaultproguardfile ' proguard-Android.txt '，' proguard-rules.pro'//配置内容

}

调试{

启用混淆真//混淆

proguardfilesgetdefaultproguardfile ' proguard-Android.txt '，' proguard-rules.pro'//配置内容

}

}

修改proguard-rules.pro文件，写入一些基础模糊规则，并避免Android附带的一些类

#4个组件和基类

- keep public class * extends Android.app.activity

- keep public class * extends Android.app.application

- keep public class * extends Android.app.service

- keep public class * extends Android.content.broadcast receiver

- keep public class * extends Android.content.content provider

- keep public class * extends Android.app.backup.backupagenthelper

- keep public class * extends Android.preference.preference

- keeppublicclasscom.Android.vending.licensing.ilicensingservice

- keep public class * extends Android.app.fragment

- keep public class * extends Android.support.v4.* *

- keep public class * extends Android.support.annotation.* *

- keep public class * extends Android.support.V7.* *

- keeppublicclassandroid.app.notification

- keeppublicclassandroid.WebKit.* *

保护WebView对HTML页面的API不要混淆

- keep class *.webview 2js界面{ *； }

- keep public class * extends Android.app.dialog

- keep public class * extends Android.view

#请不要混淆所有枚举类型

-keepclassmembers enum * {

public static **[] values (；

public static * * value of (Java.lang.string )；

}

保持native方法不混淆

- keepclasseswithmembernamesclass * {

空；

}

请不要混淆#r文件。 否则，你的反射将无法获得资源id

-keep class **.R*{*； }

# parcelable不会被混淆

- keep class * implements Android.OS.parcelable {

publicstaticfinalandroid.OS.parcelablecreator *；

}

避免混淆实现可串行化'接口的类

- keepnamesclass * implements Java.io.serializable

#保护实现接口可串行化的类中指定规则的类成员不混淆

- keepclassmembersclass * implements Java.io.serializable {

静态fi

nal long serialVersionUID;

private static final java.io.ObjectStreamField[] serialPersistentFields;

!static !transient ;

!private ;

!private ;

private void writeObject(java.io.ObjectOutputStream);

private void readObject(java.io.ObjectInputStream);

java.lang.Object writeReplace();

java.lang.Object readResolve();

}

3.直接跑一个debug版的进行测试，把打包好的APK修改成.zip文件，解压，取出文件中dex包。



把解压获取的dex文件，通过 dex2jar工具 (一个把dex包转换成jar包的工具)，把dex转换成jar包。其具体使用不在此详细讲。

下图中我没有把d2j-dex2jar配置进环境变量，所以进入对应目录跑的脚本。



运行完后可以看到，当前目录下多了一个classes-dex2jar.jar的文件，该文件就是decode出来的jar包，注意名字可能不一样



接下来就是和前一篇文章一样，直接用Intelij导入，看class文件，包内类名字已有变化，部分类已被移除，同时部分类也被改成final类型。具体就不上图了。主要看下面的注意事项。

注意事项

上述流程在如果是项目一开始就进行混淆，大部分情况下是能够成功混淆，并且不会出现很大问题，只需要在项目进行过程中注意，新加的第三方类库，反射代码。但是，如果你面对的是一个沉积已久，并且项目庞大，而又从未写过混淆的项目，那你可能会在混淆开启时，面临几千个混淆时的warning和note，最终无法编译通过。这中间主要是大量第三方库的报错。下面记录一下我在处理这种情况时，遇到的问题以及解决方案

warning 处理

写了个脚本，过滤出大部分错误，生成proguard文件，然后继续处理剩下的个别遗留问题，脚本写的比较菜，轻喷。

写几个典型的例子：

1.情况一:

Note: xxxxxx calls 'Class.getEnclosingMethod'

#这种情况就是调用了反射，找到xxxxx对应调用的类，并且设为入口点

2.情况二:

Warning: AAAAAAA: can't find superclass or interface BBBBBBB

Warning: AAAAAAA: can't find referenced class BBBBBBB

#这两种种情况就是找不到BBBBBB了，直接把BBBBB设为入口点，同时给AAAAA打上-dontwarn既可以,如下

-keep class BBBBBB

-dontwarn AAAAAA

3.情况三:

Note:AAAAA accesses a declared field BBBBB dynamically

Maybe this is program field 'CCCCC'

Maybe .....

#这种情况下，需要处理CCCC,把它设为入口点，同样设置对AAAAA设置-dontwarn

-keep class CCCCC

#不一定是-keep，也有可能其他的，例如 -keepattribute 更为合适

-dontwarn AAAAA

多个 module 的混淆

有时候会碰到多个module混淆的情况,多数情况下，为了清晰处理会给每个module都写上对应的混淆规则，同时需要修改build.gradle的配置，而不是之前的写法，具体可以参考so上的解释

这种方案，需要module之间的依赖清晰，最底层的module会被最先混淆，然后一步一步倒推上去，直到主module,多为app module。

buildTypes {

release {

consumerProguardFiles 'proguard-project.txt'

}

}

然而，我碰到的情况则是，多个module中有相同的包名，这时候视图去每个module自顾自混淆的情况下是不可能。因为同包名的情况下，混淆器是无法一个一个module的进行混淆。

所以最终的解决方案是，面对这种项目，还是在主module中进行混淆吧。

反射的处理

反射举个例子：

Class> a = Class.forName("com.dove.xu.a");

-keep class com.dove.xu.a{*;}

不过，此处在考虑到自己代码的同时，需要注意第三方类库。类似的json处理库，retrofit等都是有反射代码的。

常用系统和第三方库的混淆规则

下面这个github库收藏了大量第三方库的混淆规则，可以去看一下

snippets

基本的系统混淆规则，在一开始则整体流程中也已记录，就不重复了。

最后，需要注意的是网上也会有大量现成的第三方类库的混淆规则。但是在抄的时候也需要注意，不同的版本混淆规则不一定相同，所以一定要注意，在拷贝完以后，看一下规则，是否符合自己的版本，包名是否正确。

举个自己碰到的例子：

Butterknife 8.2.1 混淆规则,摘自官方github

# Retain generated class which implement ViewBinder.

-keep public class * implements butterknife.internal.ViewBinder { public (); }

# Prevent obfuscation of types which use ButterKnife annotations since the simple name

# is used to reflectively look up the generated ViewBinder.

-keep class butterknife.*

-keepclasseswithmembernames class * { @butterknife.* ; }

-keepclasseswithmembernames class * { @butterknife.* ; }

-dontwarn butterknife.internal.**

-keep class **$$ViewInjector { *; }

-keepnames class * { @butterknife.InjectView *;}

以上就是我在Android混淆时，学到的知识以及碰到的问题。特此记录