首页 > 代码库 > Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆
Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆
在android 应用层开发的时候咱们技术人员都或多或少都会接触一些SDK比如so、jar等,这些都是数据类公司提供给互联网开发公司的关于技术核心类
方便的东西,因为是核心所以加密加固是必不可少的工作,本博今天就向大家介绍jar的封装打包以及混淆,完成自己的SDK!在此之前需要给大家说
说so,so是由C/C++语言编译而来,其反编译难度更大,因为反编译之后就是汇编语言,需要懂汇编才能看懂,更重要的是即使懂汇编把其复原也是相
当大的工程,尤其是一些大公司的SDK,那就更别说了,而jar呢反编译的难度就相比so要小很多,所以这也是很多包名和key的验证都放在so的原因!
jar加密加固无外乎就是混淆了,只要你在这个行业做了一段时间就会知道个大概了,混淆就是把 keep 命令之外的变量名、类名、函数名、
attributes、parameter name等全部混淆成一些小写字母之类的,这样这个SDK看起来就会异常的紊乱,但是先前提到过,只要在这个行业做过一段时
间,即使混淆了部分,但大部分的语法还是可以寻到其根源的,所以比较好的方式就是推荐so+jar
①通过library打包自己的SDK
这是笔者自己写的一个SDK,里面主要是用来管理wifi、ap、服务端的文件快传、摄像监控的rtsp推流框架、asyntask管理、网络编程、相机管理,硬加速、局域网组播、二维码
生成和解析等,是用于一个大项目的核心代码,主要是用来降低架构与UI的耦合性,其次就是为了安全,废话不多说先开始介绍library的封装,打包成jar 的SDK最后介绍jar SDK
的混淆加固
首先看看library的构成,如下图:
AndroidManifest.xml 清单文件的配置,如下代码:
<manifest xmlns:android="http://schemas.android.com/apk/res/android" package="jsp.rtsp.server.camera" > <application android:allowBackup="true" android:label="@string/app_name" android:supportsRtl="true" > </application> </manifest>
然后修改AndroidManifest.xml清单文件去掉不必要的xml节点,完成这一步之后,进行如下图步骤:
接下来弹出如下提示框,进行如下步骤:
这样一个library的建立就完成了!
下面介绍library的编译与依赖的编译
编译的话直接clean就可以编译library,简单粗暴,接着说依赖编译,还是上图描述比较深刻
还是单机选择一个非library的android项目,如下:
选择properties项后,弹出如下提示框:
点击OK确认后,进行如下步骤:
执行完该步骤之后,项目会生成一个新的东西,如下图:
下面继续说上面的依赖编译,在完成上面的步骤之后,可以开始依赖编译,就是对library项目进行clean,但再此之前需要执行一下步骤,方便清除上一次的library
缓存,如下图步骤操作,在对library进行clean:
这就是依赖编译,这么做的好处就是可以不用每次更新编译生成新library的时候将jar copy到项目中,非常方便!
好了,关于library的jar SDK封装就完成了,下面开始讲library SDK的混淆与加密加固了!
②通过Proguard 混淆 library打包的jar SDK
Proguard 的使用,Proguard在你的android SDK 路径下的 tools目录下,比如笔者的如下图:
双击打开,下面介绍 Proguard 使用
点击next之后,可以新增自己需要被混淆的jar以及混淆后的jar输出路径,如下图:
备注:其中的android.jar依赖需要根据自己的SDK版本对应,比如你选择的是6.0,那对应选择SDK目录下的platforms的android-23下的android.jar
然后选择next进行下一步
继续 next 执行下一步
下面介绍怎么样配置混淆,以及混淆的具体操作:
1.关于类的混淆:
添加不想被混淆的类:
添加不想被混淆的方法:
添加不想被混淆的变量:
关于内部类和内部接口的混淆,其中内部enum也类似
关于函数和变量方面,笔者怕大家理解不清楚,就随便演示一下,如下图:
1.不混淆方法演示图:
首先看实际代码:
/** * @author Engineer-Jsp * @param android.content.Context context * @param jsp.rtsp.server.ap.WiFiApManager.ResponseCallBack call * @return jsp.rtsp.server.ap.WiFiApManager */ public static WiFiApManager getInstance(Context context, ResponseCallBack call) { if (mWiFiApManager == null) { mWiFiApManager = new WiFiApManager(context, call); } return mWiFiApManager; }
再看混淆的配置:
argument type 看不清吗?没关系,我把它贴出来:
android.content.Context,jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack
你们肯定在想,为什么是WiFiApManager$ResponseCallBack而不是WiFiApManager.ResponseCallBack,这个等下会细说给大家,下面继续演示变量的混淆配置
2. 不混淆变量演示:
首先看一个内部类代码:
public class CameraManager { private static CameraManager mCameraManager = null; private MediaStream mMediaStream; public static interface CameraCallBack { void onSuccess(int code, String msg); void onCameraStop(); void one rror(int errcode, String errmsg); } /** * * @author Engineer-Jsp * 内部类的演示 * */ public static class CameraParameters { public int width; public int height; }
好了,到此关于混淆的具体配置都已经讲得差不多了,下面还要给大家说说关于内部类、内部接口等的调用为什么有时候用"$"有时用".",其实这是跟具体配置和
代码的写法有关的,还记得在配置混淆的时候的那具体的提示框吗?没错这就是引起调用的关键
假如上图红色框的2个复选框被勾选了,那么混淆配置以及混淆之后的内部调用是不用带"$"符号的,采用"."符号,比如:WiFiApManager.ResponseCallBack
假如上图红色框的2个复选框没有被勾选,那么混淆配置以及混淆之后的内部调用是带"$"符号的,比如:WiFiApManager$ResponseCallBack,在import 导包的时候也是用"$"而不能用点符号,即使是 new 创建新实例对象的时候,如果他是内部类,就必须要带$符号,如下导包和创建新的实例:
import jsp.rtsp.server.ap.WiFiApManager$ResponseCallBack;
CameraManager$CameraParameters cameraParameters = CameraManager.getSupportResolution(this);
所以在不勾选的情况下,建议大家刻意的去使用内部类和内部接口,除非它们不需要暴露给开发者调用,否则最好不要这样写!这样不规范!
在配置完混淆的具体配置以后,继续next,后面的大概都不用去修改了,一直到 process 选项,选择 process 按钮,就会开始混淆jar
在该 process 界面下,有以下按钮需要注意,如下图:
混淆后使用jd-gui看效果:
编译通过后导入项目与依赖该SDK的项目一起编译
安装效果图:
其中本项目又涉及了很多so库,所以在jni方面最好是不要混淆native的方法,而且C/C++调用java层的方法最好也不要混淆!
关于本篇文章的介绍就这么多,谢谢观博!
Android Proguard安全加固教你如何让自己的应用程序或SDK更难被反编译--library打包成jar并且混淆