Android 代码和资源混淆

Question

Google 推荐并打包在 ProGuard 中以进行代码混淆。然而，它附带的默认配置似乎很小，并且可以在一定程度上进行逆向工程。大多数寻求逆向工程的人并不是真正在寻找详细代码，而可能是提取逻辑。是否有任何指导方针可以更有效地配置 ProGuard？（尽量减少 Javascript 就更好了。）

其次，有像 apktool 这样的工具可以提取 Manifest 和资源文件。而且它们没有任何程度的混淆。这些当然可以揭示一些事情。有什么方法可以避免这种情况的发生吗？

Answer 1

对于第一部分，我建议您检查这个问题：Android Game Keeps Getting Hacked 。它并不直接涉及 ProGuard，但它确实为您提供了一些关于如何减少盗版的想法。

对于第二部分，恐怕不，这实际上是不可能的，因为那些是纯 xml 文件。你能做的就是减少资源的使用，直接在java中创建逻辑。这将以三种方式减少代码的暴露：

(1) 显而易见，它显示的 xml 代码不太容易阅读

(2) 它会创建更长的 smali 文件，这些文件一开始就不容易理解：考虑一下smali文件中的变量没有名称，而是数字，并且被重复使用多次，从而使它们更难理解。 V1可以先是一个TextView，然后是一个int，然后是一个私有静态方法。

(3) 它减少了十六进制 ID 的使用，这些 ID 可以使用 public.xml 中的表在 smali 文件上轻松搜索。

当我将 TouchWiz 框架移植到一些自定义 ROM 时，我什至制作了一个小型 java 应用程序来自动进行 ID 识别（xda-developers 帖子为 此处），因此您可以想象遵循它们是多么容易。

Answer 2

您现在可以使用新的 gradle 插件 + 库来有效地混淆类中的字符串，请在此处查看

https:// github.com/MichaelRocks/paranoid

另外，现在有一个新插件也可以混淆资源，请在下面查看

https://github.com/shwenzhang/AndResGuard

并帮助分享这个重要的信息，以便更多的开发人员可以使用它，从而越来越多的开发人员将为这些插件的进一步开发做出贡献，因此我们可以共同改进这些插件。