浅谈Android保护技术__代码混淆

浅谈Android保护技术__代码混淆

 

代码混淆

代码混淆(Obfuscated code)亦称花指令，是将计算机程序的代码，转换成一种功能上等价，但是难于阅读和理解的形式的行为。将代码中的各种元素，如变量，函数，类的名字改写成无意义的名字。比如改写成单个字母，或是简短的无意义字母组合，甚至改写成“__”这样的符号，使得阅读的人无法根据名字猜测其用途。对于支持反射的语言，代码混淆有可能与反射发生冲突。代码混淆并不能真正阻止反向工程，只能增大其难度。因此，对于对安全性要求很高的场合，仅仅使用代码混淆并不能保证源代码的安全。但是可以在一定程度上保护自己的劳动成果。（例子在末尾）

 

Android 程序如何混淆

启动Android程序的混淆功能: 

• 修改Android工程的配置文件project.pro[erties 的 “#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt”  去除 “#”

 

• 修改配置文件proguard-project.txt文件,设置混淆规则

 

 

忽略混淆的文件（规则）：

• Android系统组件，系统组件有固定的方法被系统调用。
• 被Android Resource 文件引用到的。名字已经固定，也不能混淆，比如自定义的View 。
• Android Parcelable ，需要使用android 序列化的。
• 其他Anroid 官方建议 不混淆的，如
• android.app.backup.BackupAgentHelper
• android.preference.Preference
• com.android.vending.licensing.ILicensingService
• Java序列化方法，系统序列化需要固定的方法。
• 枚举 ，系统需要处理枚举的固定方法。
• 本地方法，不能修改本地方法名
• annotations 注释
• 数据库驱动
• 有些resource 文件
• 用到反射的地方

使用混淆的常见问题及解决方案

• grade构建必须没有warn和error，不然刷入的版本依旧是上一个版本，这里要特别注意warn！
• ClassNotFoundException，NoSuchMethodError

原因：这种异常会在好多情况下出现，比如：本地代码通过反射调用其他的类，但是经过了混淆之后，就会出现如上异常；调用了JNI之后，C或者C++和java代码进行交互的时候找不到java的类或者方法，导致发生了异常......等等，还有好多。

解决办法：只需要将被调用的Java类标注为不混淆即可。 -keep class package.classname{*;}

• ExceptionInInitializerError

原因：这是由于类初始化的时候发生了异常。
   解决办法：找到具体是哪里的类哪个方法哪个类初始化的时候发生的异常，然后解决问题。
   注：遇到这个错误，首先要确认是不是因为第三方的jar包导致的。如果不是的话，就找本地代码，看是不是写的有问题。如果确实是因为第三方jar包的代码导致的，尽量找到源码或者反编译，查看问题到底是什么引起的，然后找到相应的配置在proguard里面配置。
   例如：我们项目中碰到过一个问题，就是因为第三方的jar包里面有一个字段初始化的时候报了空指针，然后导致我们的代码报了上面的错。当时很奇怪，为什么第三方的jar包还能报错，最后调查了之后才发现，是因为人家用到了类的注解，而proguard在混淆优化的时候把注解去掉了，所以报了空

   指针，只需要在proguard里面加上保护注解就可以了-keepattributes *Annotation*

• ClassCastException

原因：类强制转换的时候出错。

解决办法：找到代码，看是代码写的问题，还是混淆后的问题。如果没有混淆正常运行的话，一般都是因为混淆后遇到了各种问题才报的错。我们项目中遇到的问题是因为没有让proguard保持泛型，所以强转的时候报错。只需要在proguard文件里面加上泛型即可-keepattributes Signature

• Resources$NotFoundException(resource not found) 资源没有找到，是因为第三方jar包或者自己的代码是通过反射获得R文件中的资源，所以需要将R文件屏蔽掉

原因：代码进行了混淆，R文件没有了，所以通过反射获取的R文件找不到

解决办法：在proguard文件里设置不混淆R文件    -keep class **.R$* { *; }

• Missing type parameter. or java.lang.ExceptionInInitializerError

　　可能是泛型混淆了 泛型即可-keepattributes Signature

混淆例子；

 <span style="font-family:FangSong_GB2312;font-size:12px;color:#333333;">
 #指定代码的压缩级别
 -optimizationpasses 5  

 #包明不混合大小写
 -dontusemixedcaseclassnames  

 #不去忽略非公共的库类
 -dontskipnonpubliclibraryclasses  

  #优化  不优化输入的类文件
 -dontoptimize  

  #预校验
 -dontpreverify  

  # 混淆时所采用的算法
 -optimizations !code/simplification/arithmetic,!field/*,!class/merging/*  

 #保护注解
 -keepattributes *Annotation*  

  # 保持哪些类不被混淆
 -keep public class * extends android.app.Fragment
 -keep public class * extends android.app.Activity
 -keep public class * extends android.app.Application
 -keep public class * extends android.app.Service
 -keep public class * extends android.content.BroadcastReceiver
 -keep public class * extends android.content.ContentProvider
 -keep public class * extends android.app.backup.BackupAgentHelper
 -keep public class * extends android.preference.Preference
 -keep public class com.android.vending.licensing.ILicensingService  

 #如果有引用v4包可以添加下面这行  

 #-keep public class * extends android.support.v4.app.Fragment
 -keep public class * extends android.support.** { *; }  

 #如果引用了v4或者v7包
 -dontwarn android.support.*  

 #忽略警告
 -ignorewarning  

 #####################记录生成的日志数据,gradle build时在本项目根目录输出################
  #混淆时是否记录日志
 -verbose
 #apk 包内所有 class 的内部结构
 -dump class_files.txt
 #未混淆的类和成员
 -printseeds seeds.txt
 #列出从 apk 中删除的代码
 -printusage unused.txt
 #混淆前后的映射
 -printmapping mapping.txt  

 #####################记录生成的日志数据，gradle build时 在本项目根目录输出-end################  

 #####混淆保护自己项目的部分代码以及引用的第三方jar包library - start #######  

 #如果不想混淆 keep 掉  保留一个完整的包
 #-keep class com.lippi.recorder.iirfilterdesigner.** {*; }
 #项目特殊处理代码
 #忽略警告
 #-dontwarn com.lippi.recorder.utils**  

 #如果用用到Gson解析包的，直接添加下面这几行就能成功混淆，不然会报错。
 #//原因分析，可能是高版本的 sdk 通过 proguard 混淆代码时默认已经将 lib目录中的 jar 都已经添加到打包脚本中，所以不需要再次手动添加
 # 混淆jar
 #-libraryjars libs/gson-2.2.4.jar
 # 混淆类
 #-keep class sun.misc.Unsafe { *; }
 # 混淆包
 #-keep class com.google.gson.examples.android.model.** { *; }
 #dialog
 -keep class me.drakeet.materialdialog.** { *; }
 #加载框
 -keep class com.kaopiz.kprogresshud.** { *; }
 #下拉刷新
 -keep class in.srain.cube.views.ptr.** { *; }
 #实体类不混淆  

 -keep class com.ousrslook.shimao.commen.ioc.** { *; } #不能混淆 否则注解无效
 -keep class com.ousrslook.shimao.model.** { *; } #不能混淆
 -keep class com.ousrslook.shimao.net.XaResult{ *; }#统一返回的实体类泛型不能混淆
 #-keep class com.ousrslook.shimao.net.** { *; }  

 ####混淆保护自己项目的部分代码以及引用的第三方jar包library-end####  

 -keep public class * extends android.view.View {
     public <init>(android.content.Context);
     public <init>(android.content.Context, android.util.AttributeSet);
     public <init>(android.content.Context, android.util.AttributeSet, int);
     public void set*(...);
 }  

 #保持 native 方法不被混淆
 -keepclasseswithmembernames class * {
     native <methods>;
 }  

 #保持自定义控件类不被混淆
 -keepclasseswithmembers class * {
     public <init>(android.content.Context, android.util.AttributeSet);
 }  

 #保持自定义控件类不被混淆
 -keepclassmembers class * extends android.app.Activity {
    public void *(android.view.View);
 }  

 #保持 Parcelable 不被混淆
 -keep class * implements android.os.Parcelable {
   public static final android.os.Parcelable$Creator *;
 }  

 #保持 Serializable 不被混淆
 -keepnames class * implements java.io.Serializable  

 #保持 Serializable 不被混淆并且enum 类也不被混淆
 -keepclassmembers class * implements java.io.Serializable {
     static final long serialVersionUID;
     private static final java.io.ObjectStreamField[] serialPersistentFields;
     !static !transient <fields>;
     !private <fields>;
     !private <methods>;
     private void writeObject(java.io.ObjectOutputStream);
     private void readObject(java.io.ObjectInputStream);
     java.lang.Object writeReplace();
     java.lang.Object readResolve();
 }  

 #保持枚举 enum 类不被混淆 如果混淆报错，建议直接使用上面的 -keepclassmembers class * implements java.io.Serializable即可
 -keepclassmembers enum * {
   public static **[] values();
   public static ** valueOf(java.lang.String);
 }  

 -keepclassmembers class * {
     public void *ButtonClicked(android.view.View);
 }  

 #不混淆资源类
 -keepclassmembers class **.R$* {
     public static <fields>;
 }
  -keep class **.R$* { *; }
 #避免混淆泛型 如果混淆报错建议关掉
 -keepattributes Signature</span>