以下是一些罕用的办法:
1. 应用代码混同工具:
代码混同能够使反编译后的代码难以浏览和了解,从而减少二次打包的难度。
在 Android 开发中,罕用的代码混同工具是 ProGuard。上面是在 Android Studio 中配置 ProGuard 的相干代码:
1) 在 app 的 build.gradle 文件中,增加以下代码:
android {
// 省略其余配置
buildTypes {
release {
minifyEnabled true
proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
}
}
}2) 在我的项目根目录下创立 proguard-rules.pro 文件,用于指定混同规定。以下是一些罕用的规定:
# 根本规定
-optimizationpasses 5 # 优化次数
-dontusemixedcaseclassnames # 不应用混合大小写的类名
-dontskipnonpubliclibraryclasses # 不跳过非公共库的类
-dontpreverify # 不预验证
# 代码混同规定
-keep class com.example.** {*;} # 保留 com.example 包及其子包中的所有类
-keepclassmembers class com.example.** {*;} # 保留 com.example 包及其子包中的所有类成员
-dontwarn com.example.** # 不正告 com.example 包及其子包中的类
# 其余规定
-keepattributes Signature
-keepattributes *Annotation*以上代码只是一个简略示例,理论的混同规定须要依据具体的利用进行调整和优化。实现以上步骤后,在进行 release 版本打包时,ProGuard 会主动对代码进行混同和优化,从而减少利用的安全性。
2. 加固 APK:
能够应用一些加固工具对 APK 进行加密,使得歹意攻击者难以间接获取到 APK 包,从而缩小二次打包的危险。
在 Android 开发中,罕用的加固工具有 DexProtector 和 Bangcle 等,这些工具提供了命令行和 Gradle 插件两种形式进行加固。上面是应用 DexProtector Gradle 插件进行加固的相干代码:
1)在 app 的 build.gradle 文件中,增加以下代码:
buildscript {
repositories {
maven {url 'https://oss.sonatype.org/content/repositories/snapshots/'}
}
dependencies {
classpath 'com.android.tools.build:gradle:3.5.3'
classpath 'com.android.tools.build:gradle:3.5.3'
classpath 'com.jeppsson:gradle-dexprotector:2.1.1-SNAPSHOT'
}
}
apply plugin: 'dexprotector'
dexProtector {
target 'all'
productFlavors {
demo {
enable true
activationUrl 'https://www.dexprotector.com/activation'
activationKey '1234567890'
libraryPath 'libs/dexprotector.jar'
configurationFile 'dexprotector.xml'
}
}
release {
enable true
activationUrl 'https://www.dexprotector.com/activation'
activationKey '1234567890'
libraryPath 'libs/dexprotector.jar'
configurationFile 'dexprotector.xml'
}
}2)在我的项目根目录下创立 dexprotector.xml 文件,用于指定加固配置。以下是一些罕用的配置:
<?xml version="1.0" encoding="UTF-8"?>
<resources xmlns:tools="http://schemas.android.com/tools" tools:keep="@drawable/icon" tools:keepClassesWithMembers="true">
<!-- 保留指定类和类成员不被混同 -->
<keep>
<class name="com.example.MyActivity"/>
<class name="com.example.MyFragment"/>
<class name="com.example.MyService"/>
<class name="com.example.MyReceiver"/>
<class name="com.example.MyApplication"/>
<class name="com.example.MyClass"/>
<class name="com.example.MyInterface"/>
<class name="com.example.MyEnum"/>
<class name="com.example.MyAnnotation"/>
<method name="onCreate" class="com.example.MyActivity"/>
<method name="onCreateView" class="com.example.MyFragment"/>
<method name="onStartCommand" class="com.example.MyService"/>
<method name="onReceive" class="com.example.MyReceiver"/>
<method name="onCreate" class="com.example.MyApplication"/>
<field name="myField" class="com.example.MyClass"/>
<method name="myMethod" class="com.example.MyInterface"/>
<field name="myEnum" class="com.example.MyEnum"/>
<class name="com.example.MyAnnotation"/>
</keep>
<!-- 重命名指定类和类成员 -->
<rename>
<class name="com.example.MyClass" to="com.example.RenamedClass"/>
<method name="myMethod" class="com.example.MyInterface" to="renamedMethod"/>
<field name="myField" class="com.example.MyClass" to="renamedField"/>
<class name="com.example.MyAnnotation" to="RenamedAnnotation"/>
</rename>
<!-- 加密指定类和资源 -->
<encrypt>
<class name="com.example.MyClass3. 对 APK 进行数字签名:
数字签名能够确保 APK 的完整性和真实性,能够使攻击者无奈在不扭转 APK 签名的状况下进行二次打包。
在 Android Studio 中,能够应用以下步骤对 APK 进行数字签名:
1)在我的项目根目录下创立一个 keystore 文件,用于存储数字证书和私钥。能够应用 keytool 工具生成一个新的 keystore,命令如下:
keytool -genkey -v -keystore my-release-key.keystore -alias my_alias -keyalg RSA -keysize 2048 -validity 10000其中,my-release-key.keystore 是 keystore 文件名,my_alias 是数字证书别名,RSA 是应用的加密算法,2048 是密钥大小,validity 是证书有效期。
2)在我的项目的 build.gradle 文件中增加以下代码:
android {
...
signingConfigs {
release {storeFile file("my-release-key.keystore")
storePassword "password"
keyAlias "my_alias"
keyPassword "password"
}
}
buildTypes {
release {
...
signingConfig signingConfigs.release
}
}
...
}其中,storeFile 指定 keystore 文件门路,storePassword 和 keyPassword 是 keystore 明码和数字证书明码,keyAlias 是数字证书别名。
3)在 Android Studio 中,应用 Build -> Generate Signed Bundle/APK 菜单项抉择要签名的 APK,抉择 release build type,输出 keystore 和数字证书明码,即可对 APK 进行数字签名。
4. 检测利用运行环境:
利用能够检测以后运行的环境是否为实在设施,如果检测到运行环境不是实在设施,则利用能够主动敞开,以防止被二次打包。
要检测利用的运行环境,能够应用 Android 提供的 Build 类。以下是一些罕用的办法:
1)检测设施的 CPU 架构:
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.LOLLIPOP) {for (String abi : Build.SUPPORTED_ABIS) {Log.i("MyApp", "Supported ABI:" + abi);
}
} else {Log.i("MyApp", "ABI:" + Build.CPU_ABI);
}2)检测设施的屏幕分辨率:
DisplayMetrics metrics = getResources().getDisplayMetrics();
int screenWidth = metrics.widthPixels;
int screenHeight = metrics.heightPixels;3)检测设施的操作系统版本:
int sdkVersion = Build.VERSION.SDK_INT;
String osVersion = Build.VERSION.RELEASE;4)检测设施的品牌和型号:
String brand = Build.BRAND;
String model = Build.MODEL;5)检测利用的包名和版本号:
String packageName = getPackageName();
PackageManager packageManager = getPackageManager();
try {PackageInfo packageInfo = packageManager.getPackageInfo(packageName, 0);
String versionName = packageInfo.versionName;
int versionCode = packageInfo.versionCode;
} catch (PackageManager.NameNotFoundException e) {e.printStackTrace();
}留神,某些设施可能存在定制化 ROM,例如小米、华为等,这些设施的零碎属性可能与规范 Android 设施不同,须要进行额定的解决。
5. 在利用中集成反调试技术:
能够在利用中增加一些反调试代码,以使攻击者无奈通过调试工具获取利用的代码和资源。
在 Android 利用中集成反调试技术,能够在代码中检测是否处于调试状态,如果是,则采取相应的措施,例如退出利用或者强制敞开调试器。以下是一种罕用的反调试技术实现办法:
public class DebugDetector {public static boolean isDebugging() {return Debug.isDebuggerConnected() || Debug.waitingForDebugger();}
public static void detectDebugging() {if (isDebugging()) {Log.e("DebugDetector", "Debugging detected, exiting...");
System.exit(0);
}
}
}在利用中须要应用反调试技术时,能够调用 DebugDetector.detectDebugging() 办法进行检测。如果检测到正在进行调试,则会输入谬误日志并退出利用。
须要留神的是,一些调试器可能会屏蔽调试检测,因而此种反调试技术并不能齐全保障利用不被调试。
以上。