Android混淆详解
NanWiltshir
8年前
<h2>ProGuard简介</h2> <p>在最新的Android Studio 2.2.2版本创建的Android工程中,module中的build.gradle有如下一段配置。这里的minifyEnabled即用来控制在编译时是否需要启用Proguard,将minifyEnabled修改为true,即表示启用Proguard。’proguard-android.txt’是Android SDK中自带的一个基本Progurad配置文件,默认是空白的,需要由开发者自行添加哪些需要混淆哪些不混淆,形如:</p> <pre> <code class="language-java">-ignorewarning # 是否忽略检测,(是) -optimizationpasses 5 # 指定代码的压缩级别 -dontusemixedcaseclassnames # 是否使用大小写混合 -dontpreverify # 混淆时是否做预校验 -verbose # 混淆时是否记录日志 -optimizations !code/simplification/arithmetic,!field/*,!class/merging/* # 混淆时所采用的算法 -keep public class * extends android.app.Activity # 保持哪些类不被混淆 -keep public class * extends android.app.Application # 保持哪些类不被混淆 -keep public class * extends android.app.Service # 保持哪些类不被混淆 -keep public class * extends android.content.BroadcastReceiver # 保持哪些类不被混淆 -keep public class * extends android.content.ContentProvider # 保持哪些类不被混淆 -keep public class * extends android.app.backup.BackupAgentHelper # 保持哪些类不被混淆 -keep public class * extends android.preference.Preference # 保持哪些类不被混淆 -keep public class com.android.vending.licensing.ILicensingService # 保持哪些类不被混淆 -keepattributes *Annotation* #保持注解 -keep public class * extends android.widget.BaseAdapter {*;} -keepclasseswithmembernames class * { # 保持 native 方法不被混淆 native <methods>; }</code></pre> <p>在Android中一提起ProGuard,我们就会认为他是用来混淆代码的,殊不知ProGuard一共包括以下4步。</p> <ul> <li>压缩(Shrink):侦测并移除代码中无用的类、字段、方法、和特性(Attribute)。</li> <li>优化(OPtimize):对字节码进行优化,移除无用指令。</li> <li>混淆(Obfuscate):使用a、b、c、d这样简短而无意义的名称,对类、字段和方法进行重命名。</li> <li style="text-align:center">预检(Preveirfy): 在java平台上对处理后的代码进行预检。<br> 说到这里我们需要对Android打包的原理有一个简单的了解,首先来看一下在Proguard帮助文档中给出了一个Proguard工作流程图<br> <img src="https://simg.open-open.com/show/569ff193db80bf93e98cd321aaec4b16.png"></li> </ul> <p>Proguard按如下流程进行打包:</p> <pre> <code class="language-java">Input jars、Library jars-shrink->Shrunk code-optimize->Optim.code-obfuscate->Obfusc.code-preverify->Output >jars、Library jars</code></pre> <p>Proguard使用library jars来辅助对input jars类之间的依赖关系进行解析, library jars自身不会被处理,也不会被包含到output jars中。</p> <p>这里我们引入Entry Point的概念。Entry Point是在ProGuard过程中不会被处理的类或方法。再压缩的步骤中,ProGuard或从上述的EntryPoint开始递归遍历,搜索那些类和类成员在使用。对于没有被使用的类和类的成员,就会在压缩阶段丢弃。</p> <p>接下来优化的步骤中,那些非EntryPoint的类、方法都会被设置为private、static或final,不使用的参数会被移除,此外,有些方法会被标记为内联的。在混淆的步骤中,ProGuard会对非EntryPoint的类和方法进行重命名。</p> <h2>Proguard使用</h2> <h2>Proguard工具目录结构</h2> <p style="text-align:center"><img src="https://simg.open-open.com/show/c0aaac8815f9e6f2c4f01539db37f65f.png"></p> <p>lib目录</p> <p>lib目录中包含了Proguard工具对应的jar文件,其中又包含三个文件:proguard.jar,proguardgui.jar和retrace.jar。</p> <p>Proguard四项核心功能shrink,optimize,obfuscate和preverify的执行都是由proguard.jar来完成的,不过proguard.jar只能通过命令行方式来使用。</p> <p>proguardgui.jar是Proguard提供的一个图形界面工具,通过proguardgui.jar可以方便的查看和编辑Proguard配置,以及调用proguard.jar来执行一次优化过程。</p> <p>retrace.jar主要在debug时使用。混淆之后的jar文件执行过程如果出现异常,生成的异常信息将很难被解读,方法调用的堆栈都是一些混淆之后的名字,通过retrace.jar可以将异常的堆栈信息中的方法名还原成混淆前的名字,方便程序解决bug。</p> <p>bin目录</p> <p>bin目录中包含了几个bat和shell脚本,通过这些脚本可以直接执行proguard.jar,proguardgui.jar和retrace.jar。如果将bin目录添加到环境变量中,就可以直接在命令行中执行proguard,proguardgui和retrace命令了,避免每次都要输入java -jar +</p> <h2>proguard.jar的使用</h2> <p>使用proguard.jar有几种方式:</p> <p>1,通过命令行执行”java -jar +</p> <pre> <code class="language-java">java -jar proguard.jar -injars myapp. jar -outjars myapp_out.jar -libraryjars 'D:\android-sdk\platforms\android-23\android.jar' // 只使用配置选项 java -jar proguard.jar @myconfig.pro // 只使用配置文件 java -jar proguard.jar @myconfig.pro -verbose // 混合使用配置文件和配置选项</code></pre> <h2>proguardgui.jar的使用</h2> <p>使用proguardgui.jar有几种方式:</p> <p>1,通过命令行执行”java -jar +</p> <pre> <code class="language-java">java -jar proguardgui.jar // 不使用配置文件 java -jar proguardgui.jar @myconfig.pro // 使用配置文件</code></pre> <h2>retrace.jar的使用</h2> <p>使用retrace.jar有几种方式:</p> <p>1,通过命令行执行”java -jar +</p> <pre> <code class="language-java">java -jar retrace.jar mapping_file java -jar retrace.jar mapping_file exception_statck_file.txt java -jar retrace.jar -verbose mapping_file exception_statck_file.txt</code></pre> <h2>如何写一个ProGuard文件</h2> <p>如何写一个ProGuard文件呢?主要有三步骤:</p> <h2>基本混淆</h2> <pre> <code class="language-java"># 代码混淆压缩比,在0~7之间,默认为5,一般不下需要修改 -optimizationpasses 5 # 混淆时不使用大小写混合,混淆后的类名为小写 # windows下的同学还是加入这个选项吧(windows大小写不敏感) -dontusemixedcaseclassnames # 指定不去忽略非公共的库的类 # 默认跳过,有些情况下编写的代码与类库中的类在同一个包下,并且持有包中内容的引用,此时就需要加入此条声明 -dontskipnonpubliclibraryclasses # 指定不去忽略非公共的库的类的成员 -dontskipnonpubliclibraryclassmembers # 不做预检验,preverify是proguard的四个步骤之一 # Android不需要preverify,去掉这一步可以加快混淆速度 -dontpreverify # 有了verbose这句话,混淆后就会生成映射文件 # 包含有类名->混淆后类名的映射关系 # 然后使用printmapping指定映射文件的名称 -verbose -printmapping priguardMapping.txt # 指定混淆时采用的算法,后面的参数是一个过滤器 # 这个过滤器是谷歌推荐的算法,一般不改变 -optimizations !code/simplification/artithmetic,!field/*,!class/merging/* # 保护代码中的Annotation不被混淆 # 这在JSON实体映射时非常重要,比如fastJson -keepattributes *Annotation* # 避免混淆泛型 # 这在JSON实体映射时非常重要,比如fastJson -keepattributes Signature # 抛出异常时保留代码行号 -keepattributes SourceFile,LineNumberTable</code></pre> <h2>不混淆,需要保留的东西</h2> <pre> <code class="language-java"># 保留所有的本地native方法不被混淆 -keepclasseswithmembernames class * { native <methods>; } # 保留了继承自Activity、Application这些类的子类 # 因为这些子类有可能被外部调用 # 比如第一行就保证了所有Activity的子类不要被混淆 -keep public class * extends android.app.Activity -keep public class * extends android.app.Application -keep public class * extends android.app.Service -keep public class * extends android.content.BroadcastReceiver -keep public class * extends android.content.ContentProvider -keep public class * extends android.app.backup.BackupAgentHelper -keep public class * extends android.preference.Preference -keep public class * extends android.view.View -keep public class com.android.vending.licensing.ILicensingService # 如果有引用android-support-v4.jar包,可以添加下面这行 -keep public class com.null.test.ui.fragment.** {*;} # 保留Activity中的方法参数是view的方法, # 从而我们在layout里面编写onClick就不会影响 -keepclassmembers class * extends android.app.Activity { public void * (android.view.View); } # 枚举类不能被混淆 -keepclassmembers enum * { public static **[] values(); public static ** valueOf(java.lang.String); } # 保留自定义控件(继承自View)不能被混淆 -keep public class * extends android.view.View { public <init>(android.content.Context); public <init>(android.content.Context, android.util.AttributeSet); public <init>(android.content.Context, android.util.AttributeSet, int); public void set*(***); *** get* (); } # 保留Parcelable序列化的类不能被混淆 -keep class * implements android.os.Parcelable{ public static final android.os.Parcelable$Creator *; } # 保留Serializable 序列化的类不被混淆 -keepclassmembers class * implements java.io.Serializable { static final long serialVersionUID; private static final java.io.ObjectStreamField[] serialPersistentFields; !static !transient <fields>; private void writeObject(java.io.ObjectOutputStream); private void readObject(java.io.ObjectInputStream); java.lang.Object writeReplace(); java.lang.Object readResolve(); } # 对R文件下的所有类及其方法,都不能被混淆 -keepclassmembers class **.R$* { *; } # 对于带有回调函数onXXEvent的,不能混淆 -keepclassmembers class * { void *(**On*Event); }</code></pre> <p>一般第三方和自己的bean文件是不需要混淆的。</p> <pre> <code class="language-java">-keep class com.null.test.entities.** { //全部忽略 *; } -keep class com.null.test.entities.** { //忽略get和set方法 public void set*(***); public *** get*(); public *** is*(); } //以上两种任意一种都行</code></pre> <h3>内嵌类</h3> <pre> <code class="language-java">-keep class com.null.test.MainActivity$* { *; }</code></pre> <h3>WebView的处理</h3> <pre> <code class="language-java">-keepclassmembers class * extends android.webkit.WebViewClient { public void *(android.webkit.WebView, java.lang.String, android.graphics.Bitmap); public boolean *(android.webkit.WebView, java.lang.String); } -keepclassmembers class * extends android.webkit.WebViewClient { public void *(android.webkit.WebView, java.lang.String); }</code></pre> <h3>第三方库</h3> <pre> <code class="language-java">-libraryjars ./libs/android-support-v4.jar -dontwarn android.support.v4.** -dontwarn **CompatHoneycomb -dontwarn **CompatHoneycombMR2 -dontwarn **CompatCreatorHoneycombMR2 -keep interface android.support.v4.app.** { *; } -keep class android.support.v4.** { *; } -keep public class * extends android.support.v4.** -keep public class * extends android.app.Fragment</code></pre> <h2>混淆注意事项</h2> <ul> <li>混淆必须对项目不造成任何崩溃问题。</li> <li>打包时忽略警告<br> 当在导出时,发现很多could not reference class之类的warning信息,如果确认app运行中和那些引用没有什么关系的话,就可以添加-dontwarn标签,就不会在提示这些warning信息了。如-dontwarn org.apache.**。</li> <li>使用annotation避免混淆</li> </ul> <pre> <code class="language-java">@Keep @KeepPublicGettersSetters public class Bean { public boolean booleanProperty; public int intProperty; public String stringProperty; public boolean isBooleanProperty() { return booleanProperty; } }</code></pre> <p>注:android studio 是在build.gradle修改buildTypes如下:</p> <pre> <code class="language-java">buildTypes { release { minifyEnabled true shrinkResources true proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro' } }</code></pre> <p> </p> <p>来自:http://blog.csdn.net/xiangzhihong8/article/details/53790660</p> <p> </p>