Android 混淆代码实践

一、先来认识混淆

1. 混淆的目的就是加大别人破解你的app的难度，从而减少被反编译、修改的可能。
2. 混淆的过程就是将代码中的各种元素，如变量，函数，类的名字改写成无意义的名字。比如改写成单个字母，或是简短的无意义字母组合，甚至改写成“__”这样的符号，使得阅读的人无法根据名字猜测其用途。

3. 下面这个就是反编译了混淆后的apk，里面的类名基本上都换成了abcd这种没有可读性的名字，类中的变量名也被替换掉。如果想直接阅读这些代码，难度会提升很多。

   
   
   

   反编译混淆后的代码
4. 开启混淆编译后，编译的时间会更长，而且混淆后的apk，需要重新测试。

二、开启混淆的方法

1. 在Android Studio下，你只需要在module下的build.gradle中android下的buildTypes中的minifyEnabled设为true，并且指定混淆配置文件就可以了。这样，在编译生成apk的时候，就会

   
   
   

   AndroidStudio下开启混淆
2. Eclipse下，将project.properties的11行前面的#号去掉，将改行替换成proguard.config=proguard-android.txt。然后去sdk\tools\proguard目录下复制proguard-android.txt文件当eclipse项目的根目录中。如果没有proguard-android.txt，那么就去下载一个别人的放到根目录下。
3. 最关键的一步，配置混淆规则。在混淆的时候，有些代码可以被混淆，有些代码不能被混淆。比如说通过反射来查找的方法，如果混淆了方法名，那么APP运行的时候就找不到这个方法了。

三、混淆的规则

• 反射用到的类不混淆
• JNI方法不混淆
• AndroidMainfest中的类不混淆，
• 四大组件和Application的子类
• Framework层下所有的类默认不会进行混淆
• Parcelable的子类和Creator静态成员变量不混淆，否则会产生android.os.BadParcelableException异常
• 使用GSON、fastjson等框架时，所写的JSON对象类不混淆，否则无法将JSON解析成对应的对象
• 使用第三方开源库或者引用其他第三方的SDK包时，需要在混淆文件中加入对应的混淆规则
• 有用到WEBView的JS调用也需要保证写的接口方法不混淆

四、实际混淆操作方法

1. 上面的规则有点乱，实际操作的时候要记住这些肯定有些枯燥。这里有位大神已经这里好了，我们完全可以借助他写的模板来，非常方便，《5分钟搞定android混淆》。模板大致将混淆根据特点分为两类：

• Android中固定不混淆内容
• 项目中需要特定不混淆内容

2. Android中固定不混淆内容。

#---------------------------------基本指令区----------------------------------
-optimizationpasses 5
-dontskipnonpubliclibraryclassmembers
-printmapping proguardMapping.txt
-optimizations !code/simplification/cast,!field/*,!class/merging/*
-keepattributes *Annotation*,InnerClasses
-keepattributes Signature
-keepattributes SourceFile,LineNumberTable
#----------------------------------------------------------------------------
#---------------------------------默认保留区---------------------------------
-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.view.View
-keep public class com.android.vending.licensing.ILicensingService
-keep class android.support.** {*;}
-keep public class * extends android.view.View{
    *** get*();
    void set*(***);
    public (android.content.Context);
    public (android.content.Context, android.util.AttributeSet);
    public (android.content.Context, android.util.AttributeSet, int);
}
-keepclasseswithmembers class * {
    public (android.content.Context, android.util.AttributeSet);
    public (android.content.Context, android.util.AttributeSet, int);
}
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}
-keep class **.R$* {
 *;
}
-keepclassmembers class * {
    void *(**On*Event);
}
#----------------------------------------------------------------------------
#---------------------------------webview------------------------------------
-keepclassmembers class fqcn.of.javascript.interface.for.Webview {
   public *;
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap);
    public boolean *(android.webkit.WebView, java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebViewClient {
    public void *(android.webkit.WebView, jav.lang.String);
}
#----------------------------------------------------------------------------

上面的这些代码基本不用动直接copy进proguard-rules.pro中就可以了。

3. 项目中定制的不混淆内容

#---------------------------------实体类---------------------------------
#---------------------------------第三方包------------------------------
#---------------------------------与js互相调用的类-------------------
#---------------------------------反射相关的类和方法-----------------------

• 实体类由于涉及到与服务端的交互，各种gson的交互如此等等，是要保留的。一般的格式是-keep class 你的实体类所在的包.** { *; }。如果你的实体类都在一个包下，那么直接加上

-keep class com.demo.login.bean.** { *; }

• 第三方jar包，包括依赖的一些类。这部分，就根据第三方官网提供的混淆代码来就可以了。
• 与js互调的类，工程中没有直接跳过。

-keep class 你的类所在的包.** { *; }

如果是内部类的话，你可以这样

-keepclasseswithmembers class 你的类所在的包.父类$子类 { ; }

• 与反射有关的类，工程中没有直接跳过。类的话直接这样

-keep class 你的类所在的包.** { *; }