Android代码混淆&组件化和SDK混淆方案

9,216 阅读6分钟

前言

最近在整理项目中的混淆,踩了很多坑,如果不打开混淆,项目上线了等于裸奔,风险很大,混淆如果打开了处理不好,会出现很多莫名其妙的问题,所以我整理了比较全面的代码混淆方法,包括组件化和sdk的代码混淆方案,比较实用,希望对大家有帮助。

开启混淆

打开app模块下的build.gradle文件,把minifyEnabled设置为true,代码如下

minifyEnabled true
proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'

proguard-android.txt是Android提供的默认混淆配置文件,在配置的Android sdk /tools/proguard目录下,感兴趣的可以打开看下,proguard-rules.pro是我们自定义的混淆配置文件,我们可以将我们自定义的混淆规则放在里面。

自定义混淆规则

混淆常见命令

命令简介
dontwarndontwarn基本会和keep同时出现,尤其是在引入library的时候,是为了忽略library的警告,保证build的正常进行
keep保留类和类中的成员,防止被重命名或移除
keepnames保留类和类中的成员,防止被重命名,成员没有被引用会被移除
keepclassmembers只保留类中的成员,防止被重命名或移除
keepclassmembernames只保留类中的成员,防止被重命名,成员没有引用会被移除
keepclasseswithmembers保留拥有该成员的类和成员,防止被重命名或移除
keepclasseswithmembernames保留拥有该成员的类和成员,防止被重命名

keep的规则

[keep命令] [类] {
		[成员]
}
  • “类”代表类相关的限定条件,它将最终定位到某些符合该限定条件的类。它的内容可以使用:
    • 具体的类
    • 访问修饰符(public、protected、private)
    • 通配符*,匹配任意长度字符,但不含包名分隔符(.)
    • 通配符**,匹配任意长度字符,并且包含包名分隔符(.)
    • extends,即可以指定类的基类
    • implement,匹配实现了某接口的类
    • $,内部类
  • “成员”代表类成员相关的限定条件,它将最终定位到某些符合该限定条件的类成员。它的内容可以使用:
    • 匹配所有构造器
    • 匹配所有域
    • 匹配所有方法
    • 通配符*,匹配任意长度字符,但不含包名分隔符(.)
    • 通配符**,匹配任意长度字符,并且包含包名分隔符(.)
    • 通配符***,匹配任意参数类型
    • …,匹配任意长度的任意类型参数。比如void test(…)就能匹配任意 void test(String a) 或者是 void test(int a, String b) 这些方法。
    • 访问修饰符(public、protected、private)

常用混淆规则

#关闭bugly sdk的警告
-dontwarn com.tencent.bugly.**

#不混淆某个类
-keep public class com.jesse.example.Test { *; }

#不混淆某个类的子类
-keep public class * extends com.jesse.example.Test { *; }

#不混淆某个包所有的类
-keep class com.jesse.example.bean.** { *; }

#不混淆所有类名中包含了“model”的类及其成员
-keep public class **.*model*.** {*;}

#不混淆某个接口的实现
-keep class * implements com.jesse.example.TestInterface { *; }

#不混淆某个类的构造方法
-keepclassmembers class com.jesse.example.Test {
    public <init>();
}
#不混淆某个类的特定的方法
-keepclassmembers class com.jesse.example.Test {
    public void test(java.lang.String);
}
#不混淆某个类的内部类
-keep class com.jesse.example.Test$* {
        *;
}

更多proguard规则,可以去官网查看

组件化代码混淆方案

首先我们在创建一个Android Module的时候,在Module的build.gradle中都会自动生成两个proguard的配置,如下:

defaultConfig {
    ...
    consumerProguardFiles 'consumer-rules.pro'
}

buildTypes {
    release {
        minifyEnabled false
        proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
    }
}

关于consumerProguardFilesproguardFiles的区别,网上查了下,没有一个说的清楚点的,求人不如求己,在经过我的实践之后,我总结了有以下几个区别,感兴趣的也可以自己实践下,看看我说的对不对:

  • consumerProguardFiles配置的proguard会被打进aar包中,而proguardFiles配置的proguard不会被打进aar中
  • proguardFiles配置的proguard文件只作用于库文件代码,只在编译发布aar的时候有效,在你将库文件作为一个模块添加到App模块中后,库文件中consumerProguardFiles配置的proguard文件则会追加到app模块的Proguard配置文件中,作用于整个app代码。

了解了他们的区别后,我们来看组件化代码混淆方案。

方案一:在app模块中管理所有的混淆规则

优点:所有混淆规则在app模块的proguard-rule.pro文件中统一管理

缺点:移除某些模块后,需手动移除app模块中的混淆规则。理论上混淆规则添加多了不会造成崩溃或者编译不通过,但是会影响编译效率

方案二:组件模块管理各自的混淆规则

优点:将混淆文件解耦到每个模块中,并且不会影响编译效率

那么我们应该如何解耦呢?我们可以通过consumerProguardFiles在各个组件模块中配置各自的混淆规则,因为这种方式配置的混淆规则最终都会追加到app模块的混淆规则中,并最终统一混淆

组件化代码混淆总结

我们可以将固定的第三方混淆放到common模块的consumer-rules.pro文件中,每个模块独有的第三方引用库混淆放到各自的consumer-rules.pro文件中,在app模块的proguard-rule.pro文件中放入Android通用的混淆声明,如四大组件和全局的混淆等配置。这样可以最大限度的完成混淆解耦操作。

SDK代码混淆方案

SDK代码的混淆方案和组件化混淆方案大致相同,sdk代码一般会经过两次混淆过程:

SDK内部混淆

主要是将相关核心代码混淆,将对外暴露的类keep住,混淆配置文件写proguardFiles配置文件中。

外部混淆

当外部依赖我们的SDK时,开启混淆后,也会使得SDK内部的类被混淆,可能会导致反射调用报ClassNotFoundException异常,所以我们需要将这些需要反射的类keep住,这些混淆配置需要写在SDK内部的consumerProguardFiles配置文件中,这样我们在外部业务方就不需要再次配置混淆文件了(就是我们在前面组件化混淆的时候说的consumerProguardFiles配置的proguard文件则会追加到app模块的Proguard配置文件中,作用于整个app代码)

特别注意:我们在开发SDK的时候经常会用到compileOnly这样的依赖方式,通过这种依赖方式引用SDK,SDK内部consumerProguardFiles配置的proguard也会被引入

最后附上app中通用的混淆配置

#---------------------------------基本指令区----------------------------------

# 指定代码的压缩级别 0 - 7(指定代码进行迭代优化的次数,在Android里面默认是5,这条指令也只有在可以优化时起作用。)
-optimizationpasses 5
# 混淆时不会产生形形色色的类名(混淆时不使用大小写混合类名)
-dontusemixedcaseclassnames
# 指定不去忽略非公共的库类(不跳过library中的非public的类)
-dontskipnonpubliclibraryclasses
# 指定不去忽略非公共的的库类的成员
-dontskipnonpubliclibraryclassmembers
#不进行预校验,Android不需要,可加快混淆速度。
-dontpreverify
# 混淆时记录日志(打印混淆的详细信息)
# 这句话能够使我们的项目混淆后产生映射文件
# 包含有类名->混淆后类名的映射关系
-verbose
-printmapping proguardMapping.txt
# 指定混淆是采用的算法,后面的参数是一个过滤器
# 这个过滤器是谷歌推荐的算法,一般不做更改
-optimizations !code/simplification/cast,!field/*,!class/merging/*
#保护代码中的 Annotation 内部类不被混淆
-keepattributes *Annotation*,InnerClasses
-ignorewarnings
# 避免混淆泛型,这在 JSON 实体映射时非常重要,比如 fastJson
-keepattributes Signature
# 抛出异常时保留代码行号,在异常分析中可以方便定位
-keepattributes SourceFile,LineNumberTable
#----------------------------------------------------------------------------

#---------------------------------默认保留区---------------------------------
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService
-keep class android.support.** {*;}

# 保留所有的本地 native 方法不被混淆
-keepclasseswithmembernames class * {
    native <methods>;
}
# 保留在 Activity 中的方法参数是 view 的方法,
# 从而我们在 layout 里面编写 onClick 就不会被影响
-keepclassmembers class * extends android.app.Activity{
    public void *(android.view.View);
}
# 枚举类不能被混淆
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}
# 保留自定义控件(继承自 View)不被混淆
-keep public class * extends android.view.View{
    *** get*();
    void set*(***);
    public <init>(android.content.Context);
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
}
-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
}
# 保留 Parcelable 序列化的类不被混淆
-keep class * implements android.os.Parcelable {
  *;
}
# 保留 Serializable 序列化的类不被混淆
-keep class * implements java.io.Serializable { *;}
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}
# 对于 R(资源)下的所有类及其方法,都不能被混淆
-keep class **.R$* {
 *;
}
# 对于带有回调函数 onXXEvent 的,不能被混淆
-keepclassmembers class * {
    void *(**On*Event);
}

-keepclassmembers class * {
   public <init>(org.json.JSONObject);
}

-keepattributes *JavascriptInterface*

#----------------------------------------------------------------------------

#---------------------------------webview------------------------------------
-keepclassmembers class fqcn.of.javascript.interface.for.Webview {
   public *;
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, jav.lang.String);
}