浅谈Android保护技术__代码混淆

浅谈Android保护技术__代码混淆

 

 

代码混淆

代码混淆(Obfuscated code)亦称花指令，是将计算机程序的代码，转换成一种功能上等价，但是难于阅读和理解的形式的行为。将代码中的各种元素，如变量，函数，类的名字改写成无意义的名字。比如改写成单个字母，或是简短的无意义字母组合，甚至改写成“__”这样的符号，使得阅读的人无法根据名字猜测其用途。对于支持反射的语言，代码混淆有可能与反射发生冲突。代码混淆并不能真正阻止反向工程，只能增大其难度。因此，对于对安全性要求很高的场合，仅仅使用代码混淆并不能保证源代码的安全。但是可以在一定程度上保护自己的劳动成果。（例子在末尾）

 

Android 程序如何混淆

启动Android程序的混淆功能: 

• 修改Android工程的配置文件project.pro[erties 的 “#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt”  去除 “#”

 

• 修改配置文件proguard-project.txt文件,设置混淆规则

 

 

忽略混淆的文件（规则）：

• Android系统组件，系统组件有固定的方法被系统调用。
• 被Android Resource 文件引用到的。名字已经固定，也不能混淆，比如自定义的View 。
• Android Parcelable ，需要使用android 序列化的。
• 其他Anroid 官方建议 不混淆的，如
• android.app.backup.BackupAgentHelper
• android.preference.Preference
• com.android.vending.licensing.ILicensingService
• Java序列化方法，系统序列化需要固定的方法。
• 枚举 ，系统需要处理枚举的固定方法。
• 本地方法，不能修改本地方法名
• annotations 注释
• 数据库驱动
• 有些resource 文件
• 用到反射的地方

 

使用混淆的常见问题及解决方案

• grade构建必须没有warn和error，不然刷入的版本依旧是上一个版本，这里要特别注意warn！
• ClassNotFoundException，NoSuchMethodError

   原因：这种异常会在好多情况下出现，比如：本地代码通过反射调用其他的类，但是经过了混淆之后，就会出现如上异常；调用了JNI之后，C或者C++和java代码进行交互的时候找不到java的类或者方法，导致发生了异常......等等，还有好多。

   解决办法：只需要将被调用的Java类标注为不混淆即可。 -keep class package.classname{*;}

 

• ExceptionInInitializerError

 

   原因：这是由于类初始化的时候发生了异常。
   解决办法：找到具体是哪里的类哪个方法哪个类初始化的时候发生的异常，然后解决问题。
   注：遇到这个错误，首先要确认是不是因为第三方的jar包导致的。如果不是的话，就找本地代码，看是不是写的有问题。如果确实是因为第三方jar包的代码导致的，尽量找到源码或者反编译，查看问题到底是什么引起的，然后找到相应的配置在proguard里面配置。
   例如：我们项目中碰到过一个问题，就是因为第三方的jar包里面有一个字段初始化的时候报了空指针，然后导致我们的代码报了上面的错。当时很奇怪，为什么第三方的jar包还能报错，最后调查了之后才发现，是因为人家用到了类的注解，而proguard在混淆优化的时候把注解去掉了，所以报了空

   指针，只需要在proguard里面加上保护注解就可以了-keepattributes *Annotation*

 

• ClassCastException

   原因：类强制转换的时候出错。

   解决办法：找到代码，看是代码写的问题，还是混淆后的问题。如果没有混淆正常运行的话，一般都是因为混淆后遇到了各种问题才报的错。我们项目中遇到的问题是因为没有让proguard保持泛型，所以强转的时候报错。只需要在proguard文件里面加上泛型即可-keepattributes Signature  

 

•  Resources$NotFoundException(resource not found) 资源没有找到，是因为第三方jar包或者自己的代码是通过反射获得R文件中的资源，所以需要将R文件屏蔽掉

    原因：代码进行了混淆，R文件没有了，所以通过反射获取的R文件找不到

    解决办法：在proguard文件里设置不混淆R文件    -keep class **.R$* { *; }

 

• Missing type parameter. or java.lang.ExceptionInInitializerError

　　可能是泛型混淆了 泛型即可-keepattributes Signature

混淆例子；

<span style="font-family:FangSong_GB2312;font-size:12px;color:#333333;">
#指定代码的压缩级别  
-optimizationpasses 5  

#包明不混合大小写  
-dontusemixedcaseclassnames  

#不去忽略非公共的库类  
-dontskipnonpubliclibraryclasses  

 #优化  不优化输入的类文件  
-dontoptimize  

 #预校验  
-dontpreverify  

 # 混淆时所采用的算法  
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*  

#保护注解  
-keepattributes *Annotation*  
  
 # 保持哪些类不被混淆  
-keep public class * extends android.app.Fragment  
-keep public class * extends android.app.Activity  
-keep public class * extends android.app.Application  
-keep public class * extends android.app.Service  
-keep public class * extends android.content.BroadcastReceiver  
-keep public class * extends android.content.ContentProvider  
-keep public class * extends android.app.backup.BackupAgentHelper  
-keep public class * extends android.preference.Preference  
-keep public class com.android.vending.licensing.ILicensingService  

#如果有引用v4包可以添加下面这行  

#-keep public class * extends android.support.v4.app.Fragment  
-keep public class * extends android.support.** { *; }  

#如果引用了v4或者v7包  
-dontwarn android.support.*  

#忽略警告  
-ignorewarning  
  
#####################记录生成的日志数据,gradle build时在本项目根目录输出################  
 #混淆时是否记录日志  
-verbose  
#apk 包内所有 class 的内部结构  
-dump class_files.txt  
#未混淆的类和成员  
-printseeds seeds.txt  
#列出从 apk 中删除的代码  
-printusage unused.txt  
#混淆前后的映射  
-printmapping mapping.txt  
  
  
#####################记录生成的日志数据，gradle build时 在本项目根目录输出-end################  
  
  
#####混淆保护自己项目的部分代码以及引用的第三方jar包library - start #######  
  
  
#如果不想混淆 keep 掉  保留一个完整的包  
#-keep class com.lippi.recorder.iirfilterdesigner.** {*; }  
#项目特殊处理代码  
#忽略警告  
#-dontwarn com.lippi.recorder.utils**  
  
  
#如果用用到Gson解析包的，直接添加下面这几行就能成功混淆，不然会报错。  
#//原因分析，可能是高版本的 sdk 通过 proguard 混淆代码时默认已经将 lib目录中的 jar 都已经添加到打包脚本中，所以不需要再次手动添加  
# 混淆jar  
#-libraryjars libs/gson-2.2.4.jar  
# 混淆类  
#-keep class sun.misc.Unsafe { *; }  
# 混淆包  
#-keep class com.google.gson.examples.android.model.** { *; }  
#dialog  
-keep class me.drakeet.materialdialog.** { *; }  
#加载框  
-keep class com.kaopiz.kprogresshud.** { *; }  
#下拉刷新  
-keep class in.srain.cube.views.ptr.** { *; }  
#实体类不混淆  
  
  
-keep class com.ousrslook.shimao.commen.ioc.** { *; } #不能混淆 否则注解无效  
-keep class com.ousrslook.shimao.model.** { *; } #不能混淆  
-keep class com.ousrslook.shimao.net.XaResult{ *; }#统一返回的实体类泛型不能混淆  
#-keep class com.ousrslook.shimao.net.** { *; }  
  
  
####混淆保护自己项目的部分代码以及引用的第三方jar包library-end####  
  
  
-keep public class * extends android.view.View {  
    public <init>(android.content.Context);  
    public <init>(android.content.Context, android.util.AttributeSet);  
    public <init>(android.content.Context, android.util.AttributeSet, int);  
    public void set*(...);  
}  
  
  
#保持 native 方法不被混淆  
-keepclasseswithmembernames class * {  
    native <methods>;  
}  
  
  
#保持自定义控件类不被混淆  
-keepclasseswithmembers class * {  
    public <init>(android.content.Context, android.util.AttributeSet);  
}  
  
  
#保持自定义控件类不被混淆  
-keepclassmembers class * extends android.app.Activity {  
   public void *(android.view.View);  
}  
  
  
#保持 Parcelable 不被混淆  
-keep class * implements android.os.Parcelable {  
  public static final android.os.Parcelable$Creator *;  
}  
  
  
#保持 Serializable 不被混淆  
-keepnames class * implements java.io.Serializable  
  
  
#保持 Serializable 不被混淆并且enum 类也不被混淆  
-keepclassmembers class * implements java.io.Serializable {  
    static final long serialVersionUID;  
    private static final java.io.ObjectStreamField[] serialPersistentFields;  
    !static !transient <fields>;  
    !private <fields>;  
    !private <methods>;  
    private void writeObject(java.io.ObjectOutputStream);  
    private void readObject(java.io.ObjectInputStream);  
    java.lang.Object writeReplace();  
    java.lang.Object readResolve();  
}  
  
  
#保持枚举 enum 类不被混淆 如果混淆报错，建议直接使用上面的 -keepclassmembers class * implements java.io.Serializable即可  
-keepclassmembers enum * {  
  public static **[] values();  
  public static ** valueOf(java.lang.String);  
}  
  
  
-keepclassmembers class * {  
    public void *ButtonClicked(android.view.View);  
}  
  
  
#不混淆资源类  
-keepclassmembers class **.R$* {  
    public static <fields>;  
}  
 -keep class **.R$* { *; }  
#避免混淆泛型 如果混淆报错建议关掉  
-keepattributes Signature</span>