APP 打包混淆代码

APP项目开发完成之后,当测试人员测试了,没有Bug了,一般情况下,公司会有一些技术人员负责发布、推广APP产品。这是一般正规的大公司会有专门的市场推广部门,技术维护部门,对APP进行加密混淆打包,如:使用Ant加密,还有使用第三方的加密方式(爱加密,梆梆,APKProtect等)。想必APP产品为什么需要加密混淆,做为开发人员、老板都明白其中的隐含之处。然而,还有一种方式可以打包混淆APP,那就是 android
通过eclipse混淆代码 打包 + proguard
方式。具体的步骤如下:

一、android应用程序的混淆打包

1 . 在工程文件project.properties中加入下proguard.config=proguard.cfg , 如下所示:

target=android-8

proguard.config=proguard.cfg

Eclipse会通过此配置在工程目录生成proguard.cfg文件

2 . 生成keystore (如已有可直接利用)

按照下面的命令行 在D:\Program Files\Java\jdk1.6.0_07\bin>目录下,输入keytool -genkey -alias android.keystore -keyalg RSA -validity 100000 -keystore android.keystore

参数意义:-validity主要是证书的有效期,写100000天;空格,退格键 都算密码。

命令执行后会在D:\Program Files\Java\jdk1.6.0_07\bin>目录下生成 android.keystore文件。

3. 在Eclipce的操作

File -> Export -> Export Android Application -> Select project -> Using the existing keystore , and input password -> select the destination APK file

经过混淆后的源代码,原先的类名和方法名会被类似a,b,c。。。的字符所替换,混淆的原理其实也就是类名和方法名的映射。

proguard 自己考一个就行

二、proguard 原理

Java代码编译成二进制class 文件,这个class 文件也可以反编译成源代码 ,除了注释外,原来的code 基

本都可以看到。为了防止重要code 被泄露,我们往往需要混淆(Obfuscation code , 也就是把方法,字段,包和

类这些java 元素的名称改成无意义的名称,这样代码结构没有变化,还可以运行,但是想弄懂代码的架构却很难。

proguard 就是这样的混淆工具,它可以分析一组class 的结构,根据用户的配置,然后把这些class 文件的可以混

淆java 元素名混淆掉。在分析class 的同时,他还有其他两个功能,删除无效代码(Shrinking 收缩),和代码进

行优化 (Optimization Options)。

缺省情况下,proguard 会混淆所有代码,但是下面几种情况是不能改变java 元素的名称,否则就会这样就

会导致程序出错。

一, 我们用到反射的地方。

二, 我们代码依赖于系统的接口,比如被系统代码调用的回调方法,这种情况最复杂。

三, 是我们的java 元素名称是在配置文件中配置好的。

所以使用proguard时,我们需要有个配置文件告诉proguard 那些java 元素是不能混淆的。

三、proguard 配置

1、最常用的配置选项

-dontwarn 缺省proguard 会检查每一个引用是否正确,但是第三方库里面往往有些不会用到的类,没有正确引用。如果不配置的话,系统就会报错。

-keep 指定的类和类成员被保留作为 入口 。

-keepclassmembers 指定的类成员被保留。

-keepclasseswithmembers 指定的类和类成员被保留,假如指定的类成员存在的话。

2、proguard 问题和风险

代码混淆后虽然有混淆优化的好处,但是它往往也会带来如下的几点问题

1,混淆错误,用到第三方库的时候,必须告诉 proguard 不要检查,否则proguard 会报错。

2,运行错误,当code 不能混淆的时候,我们必须要正确配置,否则程序会运行出错,这种情况问题最多。

3,调试苦难,出错了,错误堆栈是混淆后的代码 ,自己也看不懂。

为了防止混淆出问题,你需要熟悉你所有的code ,系统的架构 ,以及系统和你code的集成的接口,并细心分析。 同时你必须需要一轮全面的测试。 所以混淆也还是有一定风险的。 为了避免风险,你可以只是混淆部分关键的代码,但是这样你的混淆的效果也会有所降低。

3、常见的不能混淆的androidCode

Android 程序 ,下面这样代码混淆的时候要注意保留。

Android系统组件,系统组件有固定的方法被系统调用。

被Android Resource 文件引用到的。名字已经固定,也不能混淆,比如自定义的View 。

Android Parcelable ,需要使用android 序列化的。

其他Anroid 官方建议 不混淆的,如

android.app.backup.BackupAgentHelper

android.preference.Preference

com.android.vending.licensing.ILicensingService

Java序列化方法,系统序列化需要固定的方法。

枚举 ,系统需要处理枚举的固定方法。

本地方法,不能修改本地方法名

annotations 注释

数据库驱动

有些resource 文件

用到反射的地方

如何实施

现在的系统已经配置为混淆时候会保留

Android系统组件

自定义View

Android Parcelable

Android R 文件

Android Parcelable

枚举

各个开发人员必须检查自己的code 是否用到反射 ,和其他不能混淆的地方。告诉我来修改配置文件(已经保留的就不需要了)

四、目前系统部检查的第三方库为

-dontwarn android.support.**

-dontwarn com.tencent.**

-dontwarn org.dom4j.**

-dontwarn org.slf4j.**

-dontwarn org.http.mutipart.**

-dontwarn org.apache.**

-dontwarn org.apache.log4j.**

-dontwarn org.apache.commons.logging.**

-dontwarn org.apache.commons.codec.binary.**

-dontwarn weibo4android.**

proguard 参数

-include {filename}    从给定的文件中读取配置参数

-basedirectory {directoryname}    指定基础目录为以后相对的档案名称

-injars {class_path}    指定要处理的应用程序jar,war,ear和目录

-outjars {class_path}    指定处理完后要输出的jar,war,ear和目录的名称

-libraryjars {classpath}    指定要处理的应用程序jar,war,ear和目录所需要的程序库文件

-dontskipnonpubliclibraryclasses    指定不去忽略非公共的库类。

-dontskipnonpubliclibraryclassmembers    指定不去忽略包可见的库类的成员。

保留选项

-keep {Modifier} {class_specification}    保护指定的类文件和类的成员

-keepclassmembers {modifier} {class_specification}    保护指定类的成员,如果此类受到保护他们会保护的更好

-keepclasseswithmembers {class_specification}    保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在。

-keepnames {class_specification}    保护指定的类和类的成员的名称(如果他们不会压缩步骤中删除)

-keepclassmembernames {class_specification}    保护指定的类的成员的名称(如果他们不会压缩步骤中删除)

-keepclasseswithmembernames {class_specification}    保护指定的类和类的成员的名称,如果所有指定的类成员出席(在压缩步骤之后)

-printseeds {filename}    列出类和类的成员-keep选项的清单,标准输出到给定的文件

压缩

-dontshrink    不压缩输入的类文件

-printusage {filename}

-whyareyoukeeping {class_specification}

优化

-dontoptimize    不优化输入的类文件

-assumenosideeffects {class_specification}    优化时假设指定的方法,没有任何副作用

-allowaccessmodification    优化时允许访问并修改有修饰符的类和类的成员

混淆

-dontobfuscate    不混淆输入的类文件

-printmapping {filename}

-applymapping {filename}    重用映射增加混淆

-obfuscationdictionary {filename}    使用给定文件中的关键字作为要混淆方法的名称

-overloadaggressively    混淆时应用侵入式重载

-useuniqueclassmembernames    确定统一的混淆类的成员名称来增加混淆

-flattenpackagehierarchy {package_name}    重新包装所有重命名的包并放在给定的单一包中

-repackageclass {package_name}    重新包装所有重命名的类文件中放在给定的单一包中

-dontusemixedcaseclassnames    混淆时不会产生形形色色的类名

-keepattributes {attribute_name,...}    保护给定的可选属性,例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and InnerClasses.

-renamesourcefileattribute {string}    设置源文件中给定的字符串常量

五、解决export打包的报错

这个时候export提示“conversion to Dalvik format failed with error 1”错误,网上说法有好多种,最后我还是把proguard从4.4升级到4.8就解决了。官方地址是http://proguard.sourceforge.net。上面的配置文件参数可以在这里查阅。

升级办法很简单,就是把android sdk目录下的tool/proguard目录覆盖一下即可。

打包出来的程序如何调试

一旦打包出来,就不能用eclipse的logcat去看了,这里可以用android sdk中ddms.bat的tool来看,一用就发现和logcat其实还是一个东西,就是多了个设备的选择。

使用 gson 需要的配置

当Gson用到了泛型就会有报错,这个真给郁闷了半天,提示“Missing type parameter”。最后找到一个资料给了一个解决办法,参考:http://stackoverflow.com/questio ... sing-type-parameter。

另外我又用到了JsonObject,提交的Object里面的members居然被改成了a。所以上面给的东西还不够,还要加上

# 用到自己拼接的JsonObject

-keep class com.google.gson.JsonObject { *; }

个人建议减少这些依赖包混淆带来的麻烦,干脆都全部保留不混淆。例如

-keep class com.badlogic.** { *; }

-keep class * implements com.badlogic.gdx.utils.Json*

-keep class com.google.** { *; }

使用libgdx需要的配置

参考http://code.google.com/p/libgdx-users/wiki/Ant

验证打包效果

利用了apktool的反编译工具,把打包文件又解压了看了一下,如果包路径、类名、变量名、方法名这些变化和你期望一致,那就OK了。命令:

apktool.bat d xxx.apk destdir

配置实例

-injars  androidtest.jar【jar包所在地址】

-outjars  out【输出地址】

-libraryjars    ‘D:\android-sdk-windows\platforms\android-9\android.jar‘ 【引用的库的jar,用于解析injars所指定的jar类】

-optimizationpasses 5

-dontusemixedcaseclassnames 【混淆时不会产生形形色色的类名 】

-dontskipnonpubliclibraryclasses 【指定不去忽略非公共的库类。 】

-dontpreverify 【不预校验】

-verbose

-optimizations !code/simplification/arithmetic,!field/*,!class/merging/* 【优化】

-keep public class * extends android.app.Activity  【不进行混淆保持原样】

-keep public class * extends android.app.Application

-keep public class * extends android.app.Service

-keep public class * extends android.content.BroadcastReceiver

-keep public class * extends android.content.ContentProvider

-keep public class * extends android.app.backup.BackupAgentHelper

-keep public class * extends android.preference.Preference

-keep public class com.android.vending.licensing.ILicensingService

-keep public abstract interface com.asqw.android.Listener{

public protected ;  【所有方法不进行混淆】

}

-keep public class com.asqw.android{

public void Start(java.lang.String); 【对该方法不进行混淆】

}

-keepclasseswithmembernames class * { 【保护指定的类和类的成员的名称,如果所有指定的类成员出席(在压缩步骤之后)】

native ;

}

-keepclasseswithmembers class * { 【保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在。】

public (android.content.Context, android.util.AttributeSet);

}

-keepclasseswithmembers class * {

public (android.content.Context, android.util.AttributeSet, int);

}

-keepclassmembers class * extends android.app.Activity {【保护指定类的成员,如果此类受到保护他们会保护的更好 】

public void *(android.view.View);

}

-keepclassmembers enum * {

public static **[] values();

public static ** valueOf(java.lang.String);

}

-keep class * implements android.os.Parcelable {【保护指定的类文件和类的成员】

public static final android.os.Parcelable$Creator *;

}

//不混淆指定包下的类

-keep class com.aspire.**

总结:

当然,APP的打包涉及到第三放Jar包的时候,考虑的因素就多了,有些Jar里面的类是不需要混淆的,有些是需要混淆的,具体的还得根据具体情况下,去分析保留那些类、方法不被混淆。上面的这些常用的仅供参考。

时间: 2024-10-13 01:57:34

APP 打包混淆代码的相关文章

Android - 百度地图打包混淆代码后地图崩溃的解决方法

前言: 之前开发项目用到百度地图,测试的时候没有问题:但是,一打包加混淆之后就出现地图崩溃的问题:项目已经完结,趁有闲暇时间赶紧分享一下自己的解决方案. 问题现象:    之前做百度地图开发时出现一些小问题.一搜发现大家似乎都遇到过这样的问题.大家知道百度地图API需要申请Key,填写安全码. 安全码的组成规则为:Android签名证书的sha1值 ";" packagename(即:数字签名 分号 包名) debug的话.代码没有经过混淆.百度地图正常使用.只有在打包之后才有这个问题

ionic3 打包 混淆代码

ionic3 项目中遇到安全漏洞 解决办法: https://www.npmjs.com/package/ionic-voricles-obfuscate 安装插件 cordova plugin add ionic-voricles-obfuscate   yarn add --dev javascript-obfuscator or   npm install --save-dev javascript-obfuscator Obfuscate ionic cordova build [ios

Android Studio多渠道批量打包及代码混淆

一.批量打包 1.集成了友盟统计,并在AndroidManifest.xml中添加了如下代码 <meta-data android:name="UMENG_CHANNEL" android:value="${CHANNEL_VALUE}"/> 2.在app的build.gradle的android标签下添加如下代码: productFlavors { myapp {} _360 {} appchina {} hiapk {} } productFlavo

iOS开发/App安全/代码自动混淆笔记

最近接触银行类项目,对app安全才有了些认识...比较尴尬,除了之前经常做的网络参数加密解密,以及防止数据重放之外,还提到了防范反编译的风险,其实Apple算比较安全的了,反编译过来也就看到.h文件....但把代码混淆还是会比较好些. 一.在项目根目录下新建confuse.sh 和 gbFunc.list 文件 说明: confuse.sh 文件在编译过程中会执行gbFunc.list 用于自动混淆代码时,存放过滤出来需要混淆的方法名 touch confuse.sh touch gbFunc.

关于Android Studio打包混淆以及上传mapping文件

关于android Studio打包混淆以及上传mapping文件 转载请注明出处: http://blog.csdn.net/u014163726?viewmode=contents 本文出自Wrh的博客 打包 android studio的打包很简单 然后如果已经有keystore的一路next下去,如果没有的可能需要先创建keystore,最后我们就会得到一个apk文件 混淆 现在网上关于反编译的博客很多了,我在此就不多做介绍了,放上个传送门传送门 那么我们已经知道了反编译是如此的简单,我

Androi打包混淆报The same input jar [*.jar] is specified twice 的错误

升级到高版本的 android sdk 之后发现 proguard 打包app 时出现The same input jar [*.jar] is specified twice 的错误,导致混淆失败无法打包出新版本 通过一天的折腾人都要崩溃了,最终还是被我找到了解决办法. 解决方法如下: 打开 proguard-project.txt 在所有的-libraryjars 前插入 # 成 #-libraryjars xxxx.jar 或者直接删除 原因分析,可能是高版本的 sdk 通过 progua

proguard-project.txt和project.properties混淆代码

 [转]利用android proguard混淆代码 防止反编译,优化代码 网上虽然有很多相关博客,不过貌似都不是最新版的..于是百度+谷歌+github上的开源demo,终于成功的配置了android proguard. 最新版的android sdk的默认配置已经可以满足我们的大多数要求了,我们只需要按照sdk的提示就可以配置大部分的必须配置,然后再加上一些基本的 自定义配置就行了. 第一步,取消project.properties里面关于proguard的注释.这一步可以开启proguar

App打包党“疯狂”灰色产业链 普通开发者如何生存

二次打包疯狂又“任性” 2年前,张先生(化名)也跟其他开发者一样,想用自己的创意和开发技术在遍地商机的移动互联网浪潮中掘金,进而实现发家致富迎娶白富美的梦想.但是,经过几个月的加班加点开发出的APP上线刚有起色,就被打包党篡改.山寨了,很是受挫. “我们开发团队有3个人.半年多时间开发出6款应用,其中3款上线不到一月就出现了山寨产品进行恶意竞争,另外2款也在上线不久发现遭到恶意破解,加入了插件跟广告被拿去盈利.” 张先生坦白说,后来听朋友讲“二次打包”非常容易,只要稍微懂点APP开发技术的人都可

防止 apk反编译 jocky-- java混淆代码 (转至:http://my.oschina.net/f839903061/blog/72554)

1.下载jocky,解压后把整个文件夹复制到Eclipse的plugin目录.2.重启Eclipse,在项目上点右键,如果出现jocky菜单,则安装成功. 3.在项目上点右键,选菜单jocky->jocky setting,弹出菜单后设置如图 4.点ok后,将在项目的根目录下生成一个jocky_build.xml文件,事实上是一个ant build文件.打开这个文件,作适当修改<?xml version="1.0" encoding="UTF-8" st