目录
一、App应用混淆是什么
App应用混淆是一种保护代码的技术,旨在增加反编译和逆向工程的难度,防止他人轻易理解或篡改代码逻辑。
简单来说,就是把代码替换成a、b、c基本字母组成的代码,比如一个方法名为:test(),混淆后可能会被替换成a()。
二、App应用混淆有什么好处?
- 增加反编译难度:混淆后的代码难以直接阅读和理解,阻止攻击者通过反编译获取源代码。有效防止逆向工程、保护知识产权、增强安全性
- 移除无用代码:混淆工具(如ProGuard)可以删除未使用的代码和资源,减小应用体积。 比如以前我的App16Mb,开启后只需要9Mb。
三、App应用混淆需要学习什么?
3.1 如何开启混淆?
buildTypes {
// 对应 ALPHA 版本
release {
buildConfigField "String", "VERSION_TYPE", "\"${ProjectBuildConfig.Version.ALPHA}\""
// signingConfig signingConfigs.releaseConfig
minifyEnabled true //为true,则对代码进行混淆和压缩
shrinkResources true //为true, 则对资源进行缩减
proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
}
}
- minifyEnabled:false不开启混淆,true开启混淆
- shrinkResources:true去掉没有引用的资源,可以减少应用的体积,但只有在混淆开启后才能增加这句代码。
- proguardFiles:表示哪些文件不需要进行混淆,也就是白名单。
3.2 为什么开启混淆以后,程序就运行不了呢?报错了呢?
前面我们也说过,开启混淆后,编译后的代码,类名和方法名会发生变化,接下来我们需要增加白名单。就是那些不需要混淆:
- 第三方库或框架:某些第三方库或框架依赖于特定的类或方法名称,混淆可能导致库无法正常工作。白名单可以确保这些依赖项不被混淆。
- 序列化类:如果应用使用Java序列化(如Serializable或Parcelable),混淆可能导致序列化和反序列化失败,因为类名或字段名可能被更改,导致前后台不一致而报错。通过白名单确保这些类和字段不被混淆,可以避免此类问题。
- 资源加载:如果应用通过资源名称动态加载资源(如图片、布局文件),混淆可能导致资源加载失败,白名单可以防止这些资源被混淆。
- ...
3.3 那么我如何知道哪些需要混淆,哪些不需要混淆呢?
3.3.1 基本配置
#-----------基本配置--------------
# 代码混淆压缩比,在0~7之间,默认为5,一般不需要改
-optimizationpasses 5
# 混淆时不使用大小写混合,混淆后的类名为小写
-dontusemixedcaseclassnames
# 指定不去忽略非公共的库的类
-dontskipnonpubliclibraryclasses
# 指定不去忽略非公共的库的类的成员
-dontskipnonpubliclibraryclassmembers
# 不做预校验,可加快混淆速度
# preverify是proguard的4个步骤之一
# Android不需要preverify,去掉这一步可以加快混淆速度
-dontpreverify
# 不优化输入的类文件
-dontoptimize
# 混淆时生成日志文件,即映射文件
-verbose
# 指定映射文件的名称
-printmapping proguardMapping.txt
#混淆时所采用的算法
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*
# 保护代码中的Annotation不被混淆
-keepattributes *Annotation*
# 忽略警告
-ignorewarnings
# 保护泛型不被混淆
-keepattributes Signature
# 抛出异常时保留代码行号
-keepattributes SourceFile,LineNumberTable
以下是对每一行配置的详细解释:
-
-optimizationpasses 5 ● 作用:指定代码优化的次数,范围为 0~7,默认值为 5。 ● 意义:值越高,优化次数越多,但可能会增加编译时间。一般不需要修改。
-
-dontusemixedcaseclassnames ● 作用:禁用大小写混合的类名。 ● 意义:混淆后的类名将全部使用小写字母,避免因大小写问题导致的兼容性问题。
-
-dontskipnonpubliclibraryclasses ● 作用:不忽略非公共的库类。 ● 意义:确保所有库类(包括非公共的)都被处理,避免遗漏。
-
-dontskipnonpubliclibraryclassmembers ● 作用:不忽略非公共的库类的成员。 ● 意义:确保所有库类的成员(包括非公共的)都被处理,避免遗漏。
-
-dontpreverify ● 作用:禁用预校验。 ● 意义:预校验是 ProGuard 的一个步骤,但 Android 不需要此步骤。禁用预校验可以加快混淆速度。
-
-dontoptimize ● 作用:禁用代码优化。 ● 意义:如果不需要优化代码,可以禁用此选项。优化可能会引入一些问题,禁用后可以避免潜在的风险。
-
-verbose ● 作用:启用详细日志输出。 ● 意义:混淆过程中会生成详细的日志文件,便于调试和分析混淆结果。
-
-printmapping proguardMapping.txt ● 作用:指定映射文件的名称。 ● 意义:映射文件记录了混淆前后的类名、方法名和字段名的对应关系,便于后续调试和排查问题。
-
-optimizations !code/simplification/arithmetic,!field/,!class/merging/ ● 作用:指定混淆时采用的优化算法。 ● 意义: ○ !code/simplification/arithmetic:禁用算术简化优化。 ○ !field/:禁用字段相关的优化。 ○ !class/merging/:禁用类合并优化。 ● 意义:这些优化可能会引入问题,禁用后可以避免潜在的风险。
-
-keepattributes Annotation ● 作用:保护代码中的注解(Annotation)不被混淆。 ● 意义:确保注解在混淆后仍然可用,避免因注解丢失导致的运行时问题。
-
-ignorewarnings ● 作用:忽略所有警告。 ● 意义:在混淆过程中,即使出现警告也不会中断构建,适合在确认警告无害的情况下使用。
-
-keepattributes Signature ● 作用:保护泛型信息不被混淆。 ● 意义:确保泛型在混淆后仍然可用,避免因泛型信息丢失导致的运行时问题。
-
-keepattributes SourceFile,LineNumberTable ● 作用:保护源代码文件名和行号信息。 ● 意义:在抛出异常时,堆栈信息中会保留源代码文件名和行号,便于调试和定位问题。
上述配置主要用于控制 ProGuard 或 R8 的混淆、优化和压缩行为,确保混淆后的代码仍然能够正常运行,同时保留必要的调试信息。通过合理配置这些规则,可以在保护代码安全性和提高应用性能之间找到平衡。
3.3.2 不需要混淆的Android类
#-----------需要保留的东西--------------
# 保留所有的本地native方法不被混淆
-keepclasseswithmembernames class * {
native <methods>;
}
# 保留了继承自Activity、Application、Fragment这些类的子类
-keep public class * extends android.app.Fragment
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService
# support-v4
-dontwarn android.support.v4.**
-keep class android.support.v4.** { *; }
-keep interface android.support.v4.** { *; }
-keep public class * extends android.support.v4.**
# support-v7
-dontwarn android.support.v7.** #去掉警告
-keep class android.support.v7.** { *; } #过滤android.support.v7
-keep interface android.support.v7.app.** { *; }
-keep public class * extends android.support.v7.**
#移除Log类打印各个等级日志的代码,打正式包的时候可以做为禁log使用,这里可以作为禁止log打印的功能使用,另外的一种实现方案是通过BuildConfig.DEBUG的变量来控制
#使用这个配置时,一定要注意 -dontoptimize,配置。
-assumenosideeffects class android.util.Log {
public static boolean isLoggable(java.lang.String, int);
public static int v(...);
public static int i(...);
public static int w(...);
public static int d(...);
public static int e(...);
}
- 保留本地 native 方法: 本地方法(Native 方法)是通过 JNI(Java Native Interface)调用的 C/C++ 代码,方法名必须与本地代码中的符号名一致。 如果混淆了本地方法的名称,JNI 调用会失败,因此需要保留这些方法的名称。
- 保留 Android 组件类: 这些类是 Android 系统的核心组件,系统会通过类名动态加载和调用它们。
● 如果混淆了这些类的名称,系统无法正确识别和调用它们,导致应用崩溃或功能失效。 ● 例如,Activity、Service、BroadcastReceiver 等组件必须在 AndroidManifest.xml 中声明,混淆后会导致系统无法找到这些类。 - 保留 Support 库类:理由同2
- 移除 Log 类的日志打印代码:在正式发布的应用中,通常不希望输出调试日志,以避免泄露敏感信息或影响性能。
● 该配置会在混淆时移除所有 Log 类的日志打印代码,从而减少 APK 体积并提高性能。 ● 注意:使用此配置时,必须禁用优化(-dontoptimize),否则 ProGuard 可能不会移除这些代码。
3.3.3 第三方类库不需要进行混淆
这些不需要自己写,框架官方会有,这里只是列举一些:
#eventbus
-keepattributes *Annotation*
-keepclassmembers class ** {
@de.greenrobot.event.Subscribe <methods>;
}
-keep enum org.greenrobot.eventbus.ThreadMode { *; }
-keepclassmembers class ** {
@org.greenrobot.eventbus.Subscribe <methods>;
}
-keep enum de.greenrobot.event.ThreadMode { *; }
#过滤okhttp
-dontwarn com.squareup.okhttp3.**
-keep class com.squareup.okhttp3.** { *;}
-dontwarn okio.**
#过滤glide
-keep public class * implements com.bumptech.glide.module.GlideModule
-keep public enum com.bumptech.glide.load.resource.bitmap.ImageHeaderParser$** {
**[] $VALUES;
public *;
}
#retrofit
-dontwarn okio.**
-dontwarn javax.annotation.**
#解决使用Retrofit+rxJava联网时,在6.0系统出现java.lang.InternalError奔溃的问题:http://blog.csdn.net/mp624183768/article/details/79242147
-keepclassmembers class rx.internal.util.unsafe.*ArrayQueue*Field* {
long producerIndex;
long consumerIndex;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueProducerNodeRef {
rx.internal.util.atomic.LinkedQueueNode producerNode;
}
-keepclassmembers class rx.internal.util.unsafe.BaseLinkedQueueConsumerNodeRef {
rx.internal.util.atomic.LinkedQueueNode consumerNode;
}
3.3.4 其他
#----------------保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在------------------------------------
-keepclasseswithmembernames class * {
public <init>(android.content.Context, android.util.AttributeSet);
}
-keepclasseswithmembernames class * {
public <init>(android.content.Context, android.util.AttributeSet, int);
}
# 保持自定义控件类不被混淆,指定格式的构造方法不去混淆
-keepclasseswithmembers class * {
public <init>(android.content.Context);
public <init>(android.content.Context, android.util.AttributeSet);
public <init>(android.content.Context, android.util.AttributeSet, int);
}
# 保持自定义控件类不被混淆
-keep public class * extends android.view.View {
public <init>(android.content.Context);
public <init>(android.content.Context, android.util.AttributeSet);
public <init>(android.content.Context, android.util.AttributeSet, int);
public void set*(...);
*** get*();
}
# 保留在Activity中的方法参数是View的方法
# 从而我们在layout里边编写onClick就不会被影响
-keepclassmembers class * extends android.app.Activity {
public void *(android.view.View);
}
# 保留枚举 enum 类不被混淆
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
# 保留 Parcelable 不被混淆
-keep class * implements android.os.Parcelable {
public static final android.os.Parcelable$Creator *;
}
# 保留 Serializable 不被混淆
-keepnames class * implements java.io.Serializable
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
!static !transient <fields>;
!private <fields>;
!private <methods>;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
# 不混淆资源类
-keepclassmembers class **.R$* { *; }
# 对于带有回调函数onXXEvent()的,不能被混淆
-keepclassmembers class * {
void *(**On*Event);
}
# WebView
-keepclassmembers class fqcn.of.javascript.interface.for.Webview {
public *;
}
-keepclassmembers class * extends android.webkit.WebViewClient {
public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
public void *(android.webkit.WebView, jav.lang.String);
}
# 保留实体类和成员不被混淆(根据具体情况修改entity的路径)
# 一般网络层都不进行混淆,可以经过划分包后直接不混淆网络层的包
-keep class com.whrss.agwe.system.model.bean.**{*;}
-keep class com.dggw.sssgwe.user.model.bean.**{*;}
-keep public class com.xhwgw.sgsd.http.bean.**{*;}
-keep public class com.ywsds.j54343s.http.response.**{*;}
总结一下,不参与混淆的分类:
- Android 系统组件(如 Activity、Service、BroadcastReceiver 等)。
- JNI 调用的本地方法。
- 反射使用的类和方法。
- 序列化和反序列化的类。
- 注解(Annotation)和泛型信息。
- 资源文件和资源 ID。
- 第三方库(如 Support 库、GSON、Retrofit 等)。
- 枚举类。
- WebView 和 JavaScript 交互的类和方法。
- 自定义 View 和布局。
- 崩溃日志中的行号信息。
- Log 类(可选,用于移除日志代码)。
四、如何确认混淆使用成功了呢?
1、步骤: ● 在 Android Studio 中,打开 Build > Analyze APK...。 ● 选择生成的 APK 文件。 ● 查看 classes.dex 文件中的类名和方法名。 2、验证点: ● 如果类名和方法名被混淆(如 a、b 等无意义名称),则说明混淆成功。 ● 如果类名和方法名保持原样,则说明混淆未生效。
