文章从我的个人博客转载
Android代码混淆(1)记录了整个混淆过程。 在命令行上执行了模糊操作,并验证了三个过程。 本文记录了Android Studio中的模糊化操作和具体需要注意的事项。
基本操作和整体流程
修改build.gradle脚本
buildTypes {
释放{
启用混淆真//混淆
proguardfilesgetdefaultproguardfile ' proguard-Android.txt ',' proguard-rules.pro'//配置内容
}
调试{
启用混淆真//混淆
proguardfilesgetdefaultproguardfile ' proguard-Android.txt ',' proguard-rules.pro'//配置内容
}
}
修改proguard-rules.pro文件,写入一些基础模糊规则,并避免Android附带的一些类
#4个组件和基类
- keep public class * extends Android.app.activity
- keep public class * extends Android.app.application
- keep public class * extends Android.app.service
- keep public class * extends Android.content.broadcast receiver
- keep public class * extends Android.content.content provider
- keep public class * extends Android.app.backup.backupagenthelper
- keep public class * extends Android.preference.preference
- keeppublicclasscom.Android.vending.licensing.ilicensingservice
- keep public class * extends Android.app.fragment
- keep public class * extends Android.support.v4.* *
- keep public class * extends Android.support.annotation.* *
- keep public class * extends Android.support.V7.* *
- keeppublicclassandroid.app.notification
- keeppublicclassandroid.WebKit.* *
保护WebView对HTML页面的API不要混淆
- keep class *.webview 2js界面{ *; }
- keep public class * extends Android.app.dialog
- keep public class * extends Android.view
#请不要混淆所有枚举类型
-keepclassmembers enum * {
public static **[] values (;
public static * * value of (Java.lang.string );
}
保持native方法不混淆
- keepclasseswithmembernamesclass * {
空;
}
请不要混淆#r文件。 否则,你的反射将无法获得资源id
-keep class **.R*{*; }
# parcelable不会被混淆
- keep class * implements Android.OS.parcelable {
publicstaticfinalandroid.OS.parcelablecreator *;
}
避免混淆实现可串行化'接口的类
- keepnamesclass * implements Java.io.serializable
#保护实现接口可串行化的类中指定规则的类成员不混淆
- keepclassmembersclass * implements Java.io.serializable {
静态fi
nal long serialVersionUID;private static final java.io.ObjectStreamField[] serialPersistentFields;
!static !transient ;
!private ;
!private ;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
3.直接跑一个debug版的进行测试,把打包好的APK修改成.zip文件,解压,取出文件中dex包。

把解压获取的dex文件,通过 dex2jar工具 (一个把dex包转换成jar包的工具),把dex转换成jar包。其具体使用不在此详细讲。
下图中我没有把d2j-dex2jar配置进环境变量,所以进入对应目录跑的脚本。

运行完后可以看到,当前目录下多了一个classes-dex2jar.jar的文件,该文件就是decode出来的jar包,注意名字可能不一样

接下来就是和前一篇文章一样,直接用Intelij导入,看class文件,包内类名字已有变化,部分类已被移除,同时部分类也被改成final类型。具体就不上图了。主要看下面的注意事项。
注意事项
上述流程在如果是项目一开始就进行混淆,大部分情况下是能够成功混淆,并且不会出现很大问题,只需要在项目进行过程中注意,新加的第三方类库,反射代码。但是,如果你面对的是一个沉积已久,并且项目庞大,而又从未写过混淆的项目,那你可能会在混淆开启时,面临几千个混淆时的warning和note,最终无法编译通过。这中间主要是大量第三方库的报错。下面记录一下我在处理这种情况时,遇到的问题以及解决方案
warning 处理
写了个脚本,过滤出大部分错误,生成proguard文件,然后继续处理剩下的个别遗留问题,脚本写的比较菜,轻喷。
写几个典型的例子:
1.情况一:
Note: xxxxxx calls 'Class.getEnclosingMethod'
#这种情况就是调用了反射,找到xxxxx对应调用的类,并且设为入口点
2.情况二:
Warning: AAAAAAA: can't find superclass or interface BBBBBBB
Warning: AAAAAAA: can't find referenced class BBBBBBB
#这两种种情况就是找不到BBBBBB了,直接把BBBBB设为入口点,同时给AAAAA打上-dontwarn既可以,如下
-keep class BBBBBB
-dontwarn AAAAAA
3.情况三:
Note:AAAAA accesses a declared field BBBBB dynamically
Maybe this is program field 'CCCCC'
Maybe .....
#这种情况下,需要处理CCCC,把它设为入口点,同样设置对AAAAA设置-dontwarn
-keep class CCCCC
#不一定是-keep,也有可能其他的,例如 -keepattribute 更为合适
-dontwarn AAAAA
多个 module 的混淆
有时候会碰到多个module混淆的情况,多数情况下,为了清晰处理会给每个module都写上对应的混淆规则,同时需要修改build.gradle的配置,而不是之前的写法,具体可以参考so上的解释
这种方案,需要module之间的依赖清晰,最底层的module会被最先混淆,然后一步一步倒推上去,直到主module,多为app module。
buildTypes {
release {
consumerProguardFiles 'proguard-project.txt'
}
}
然而,我碰到的情况则是,多个module中有相同的包名,这时候视图去每个module自顾自混淆的情况下是不可能。因为同包名的情况下,混淆器是无法一个一个module的进行混淆。
所以最终的解决方案是,面对这种项目,还是在主module中进行混淆吧。
反射的处理
反射举个例子:
Class> a = Class.forName("com.dove.xu.a");
-keep class com.dove.xu.a{*;}
不过,此处在考虑到自己代码的同时,需要注意第三方类库。类似的json处理库,retrofit等都是有反射代码的。
常用系统和第三方库的混淆规则
下面这个github库收藏了大量第三方库的混淆规则,可以去看一下
snippets
基本的系统混淆规则,在一开始则整体流程中也已记录,就不重复了。
最后,需要注意的是网上也会有大量现成的第三方类库的混淆规则。但是在抄的时候也需要注意,不同的版本混淆规则不一定相同,所以一定要注意,在拷贝完以后,看一下规则,是否符合自己的版本,包名是否正确。
举个自己碰到的例子:
Butterknife 8.2.1 混淆规则,摘自官方github
# Retain generated class which implement ViewBinder.
-keep public class * implements butterknife.internal.ViewBinder { public (); }
# Prevent obfuscation of types which use ButterKnife annotations since the simple name
# is used to reflectively look up the generated ViewBinder.
-keep class butterknife.*
-keepclasseswithmembernames class * { @butterknife.* ; }
-keepclasseswithmembernames class * { @butterknife.* ; }
-dontwarn butterknife.internal.**
-keep class **$$ViewInjector { *; }
-keepnames class * { @butterknife.InjectView *;}
以上就是我在Android混淆时,学到的知识以及碰到的问题。特此记录