Android代码混淆

一、前言

毫无疑问,混淆是打包过程中最重要的流程之一,在没有特殊原因的情况下,所有 app 都应该开启混淆。

首先,这里说的混淆其实是包括了代码压缩、代码混淆以及资源压缩等的优化过程。

二、ProGuard

Android Studio自身集成Java语言的ProGuard作为压缩,优化和混淆工具。

作用:

  • 压缩(Shrinking):默认开启,用以减小应用体积,移除未被使用的类和成员,这有助于规避64K方法数的瓶颈,并且会在优化动作执行之后再次执行(因为优化后可能会再次暴露一些未被使用的类和成员)。
  • 优化(Optimization):默认开启,在字节码级别执行优化,让应用运行的更快。
  • 混淆(Obfuscation):默认开启,增大反编译难度,类和类成员会被随机命名,除非用keep保护。

三、混淆实战

1、混淆配置

打开app/build.gradle,因为开启混淆会使编译时间变长,所以debug模式下不应该开启,进行如下修改:

android {
    buildTypes {
        release {
            //开启混淆
            minifyEnabled true
            //开启资源压缩
            shrinkResources true
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
    }
}
2.自定义混淆规则

在上面的设置中有这样一行代码:

proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'

这行代码定义了混淆规则由两部分构成:位于 SDK 的 tools/proguard/ 文件夹中的 proguard-android.txt 的内容以及默认放置于模块根目录的 proguard-rules.pro 的内容。前者是 SDK 提供的默认混淆文件,内容如下:

#包名不混合大小写
-dontusemixedcaseclassnames

#不跳过非公共的库的类
-dontskipnonpubliclibraryclasses

#混淆时记录日志
-verbose

#关闭预校验
-dontpreverify

#不优化输入的类文件
-dontoptimize

#保护注解
-keepattributes *Annotation*

#保持所有拥有本地方法的类名及本地方法名
-keepclasseswithmembernames class * {
    native ;
}

#保持自定义View的get和set相关方法
-keepclassmembers public class * extends android.view.View {
   void set*(***);
   *** get*();
}

#保持Activity中View及其子类入参的方法
-keepclassmembers class * extends android.app.Activity {
   public void *(android.view.View);
}

#枚举
-keepclassmembers enum * {
    **[] $VALUES;
    public *;
}

#Parcelable
-keepclassmembers class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator CREATOR;
}

#R文件的静态成员
-keepclassmembers class **.R$* {
    public static ;
}

-dontwarn android.support.**

#keep相关注解
-keep class android.support.annotation.Keep

-keep @android.support.annotation.Keep class * {*;}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep ;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep ;
}

-keepclasseswithmembers class * {
    @android.support.annotation.Keep (...);
}
后者proguard-rules.pro是开发者自定义混淆规则的地方,多方调研后,一份适用于大部分项目的混淆规则最佳实践如下:

#指定压缩级别
-optimizationpasses 5

#不跳过非公共的库的类成员
-dontskipnonpubliclibraryclassmembers

#混淆时采用的算法
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*

#把混淆类中的方法名也混淆了
-useuniqueclassmembernames

#优化时允许访问并修改有修饰符的类和类的成员 
-allowaccessmodification

#将文件来源重命名为“SourceFile”字符串
-renamesourcefileattribute SourceFile
#保留行号
-keepattributes SourceFile,LineNumberTable

#保持所有实现 Serializable 接口的类成员
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

#Fragment不需要在AndroidManifest.xml中注册,需要额外保护下
-keep public class * extends android.support.v4.app.Fragment
-keep public class * extends android.app.Fragment

# 保持测试相关的代码
-dontnote junit.framework.**
-dontnote junit.runner.**
-dontwarn android.test.**
-dontwarn android.support.test.**
-dontwarn org.junit.**
真正通用的、需要添加的就是上面这些,除此之外,需要每个项目根据自身的需求添加一些混淆规则

3、常用混淆命令:

 keep:用来保留Java的元素不进行混淆. keep有很多变种,他们一般都是:

-keep 防止类和成员被移除或者被重命名

-keepnames 防止类和成员被重命名

-keepclassmembers 防止成员被移除或者被重命名

-keepclasseswithmembers 防止拥有该成员的类和成员被移除或者被重命名

-keepclasseswithmembernames 防止拥有该成员名的类和成员被重命名

   常用的几个:

#不混淆某个类
-keep public class com.cx.example.Test { *; }
#不混淆某个包所有的类,包括子包下的
-keep class com.cx.test.** { *; }
#不混淆某个类的子类
-keep public class * extends com.cx.example.Test { *; }
#不混淆所有类名中包含了“model”的类及其成员
-keep public class **.*model*.** {*;}
#不混淆某个接口的实现
-keep class * implements com.cx.example.TestInterface { *; }
#不混淆某个类的构造方法
-keepclassmembers class com.cx.example.Test { 
  public (); 
}
#不混淆某个类的特定的方法
-keepclassmembers class com.cx.example.Test { 
  public void test(java.lang.String); 
}

dontwarn:是一个和keep可以说是形影不离,尤其是处理引入的library时.

引入的library可能存在一些无法找到的引用和其他问题,在build时可能会发出警告,如果我们不进行处理,通常会导致build中止.因此为了保证build继续,我们需要使用dontwarn处理这些我们无法解决的library的警告.

比如关闭Twitter sdk的警告,我们可以这样做:

-dontwarn com.twitter.sdk.**

4、哪些不应该被混淆:

a:jni方法不可混淆,因为这个方法需要和native方法保持一致;

b在运行时动态改变的代码,例如反射。比较典型的例子就是与服务端交互时,使用GSON、fastjson等框架解析服务端数据时,会与 json 相互转换实体类。假如项目命名规范要求实体类都要放在model包下的话,可以添加类似这样的代码把所有实体类都保持住:-keep public class **.*Model*.** {*;} ;

c:第三方库所需的混淆规则。正规的第三方库一般都会在接入文档中写好所需混淆规则,使用时注意添加。例如过滤掉v4包,添加如下代码:

-keep class android.support.v4.** { *; } 

d:有用到WebView的JS调用也需要保证写的接口方法不混淆,原因和第一条一样;

-keepclassmembers class fqcn.of.javascript.interface.for.webview {
   public *;
}
-keepclassmembers class * extends android.webkit.webViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.webViewClient {
    public void *(android.webkit.webView, jav.lang.String);
}

e:四大组件不建议混淆

Android中四大组件我们都很常用,这些组件不能被混淆的原因为四大组件声明必须在manifest中注册,如果混淆后类名更改,而混淆后的类名没有在manifest注册,是不符合Android组件注册机制的.

外部程序可能使用组件的字符串类名,如果类名混淆,可能导致出现异常

f:注解不能混淆
注解在Android平台中使用的越来越多,常用的有ButterKnife和Otto.很多场景下注解被用作在运行时反射确定一些元素的特征,为了保证注解正常工作,我们不应该对注解进行混淆.Android工程默认的混淆配置已经包含了下面保留注解的配置:

-keepattributes *Annotation*


你可能感兴趣的:(Android代码混淆)