Android 项目的代码混淆，Android proguard 使用说明

Posted 2020-10-02 cynchanpin

简单介绍

Java代码是非常easy反编译的。

为了非常好的保护Java源码，我们往往会对编译好的class文件进行混淆处理。

ProGuard是一个混淆代码的开源项目。它的主要作用就是混淆，当然它还能对字节码进行缩减体积、优化等，但那些对于我们来说都算是次要的功能。

官网地址：http://proguard.sourceforge.net/

原理

Java 是一种跨平台的、解释型语言，Java 源码编译成中间”字节码”存储于 class 文件里。因为跨平台的须要，Java 字节码中包括了非常多源码信息，如变量名、方法名，而且通过这些名称来訪问变量和方法，这些符号带有很多语义信息，非常easy被反编译成 Java 源码。

为了防止这样的现象，我们能够使用 Java 混淆器对 Java 字节码进行混淆。

混淆就是对公布出去的程序进行又一次组织和处理，使得处理后的代码与处理前代码完毕同样的功能，而混淆后的代码非常难被反编译，即使反编译成功也非常难得出程序的真正语义。

被混淆过的程序代码，仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样。仅仅是混淆器将代码中的全部变量、函数、类的名称变为简短的英文字母代号。在缺乏对应的函数名和程序凝视的况下，即使被反编译。也将难以阅读。同一时候混淆是不可逆的，在混淆的过程中一些不影响正常执行的信息将永久丢失。这些信息的丢失使程序变得更加难以理解。

混淆器的作用不仅仅是保护代码。它也有精简编译后程序大小的作用。因为以上介绍的缩短变量和函数名以及丢失部分信息的原因。 编译后 jar 文件体积大约能降低25% ，这对当前费用较贵的无线网络传输是有一定意义的。

语法

-include {filename}    从给定的文件里读取配置參数 
-basedirectory {directoryname}    指定基础文件夹为以后相对的档案名称 
-injars {class_path}    指定要处理的应用程序jar,war,ear和文件夹 
-outjars {class_path}    指定处理完后要输出的jar,war,ear和文件夹的名称 
-libraryjars {classpath}    指定要处理的应用程序jar,war,ear和文件夹所须要的程序库文件 
-dontskipnonpubliclibraryclasses    指定不去忽略非公共的库类。 
-dontskipnonpubliclibraryclassmembers    指定不去忽略包可见的库类的成员。
 
保留选项 
-keep {Modifier} {class_specification}    保护指定的类文件和类的成员 
-keepclassmembers {modifier} {class_specification}    保护指定类的成员。假设此类受到保护他们会保护的更好
-keepclasseswithmembers {class_specification}    保护指定的类和类的成员，但条件是全部指定的类和类成员是要存在。 
-keepnames {class_specification}    保护指定的类和类的成员的名称（假设他们不会压缩步骤中删除） 
-keepclassmembernames {class_specification}    保护指定的类的成员的名称（假设他们不会压缩步骤中删除） 
-keepclasseswithmembernames {class_specification}    保护指定的类和类的成员的名称，假设全部指定的类成员出席（在压缩步骤之后） 
-printseeds {filename}    列出类和类的成员-keep选项的清单，标准输出到给定的文件 
 
压缩 
-dontshrink    不压缩输入的类文件 
-printusage {filename} 
-dontwarn   假设有警告也不终止
-whyareyoukeeping {class_specification}     
 
优化 
-dontoptimize    不优化输入的类文件 
-assumenosideeffects {class_specification}    优化时假设指定的方法。没有不论什么副作用 
-allowaccessmodification    优化时同意訪问并改动有修饰符的类和类的成员 
 
混淆 
-dontobfuscate    不混淆输入的类文件 
-printmapping {filename} 
-applymapping {filename}    重用映射添加混淆 
-obfuscationdictionary {filename}    使用给定文件里的keyword作为要混淆方法的名称 
-overloadaggressively    混淆时应用侵入式重载 
-useuniqueclassmembernames    确定统一的混淆类的成员名称来添加混淆 
-flattenpackagehierarchy {package_name}    又一次包装全部重命名的包并放在给定的单一包中 
-repackageclass {package_name}    又一次包装全部重命名的类文件里放在给定的单一包中 
-dontusemixedcaseclassnames    混淆时不会产生形形色色的类名 
-keepattributes {attribute_name,...}    保护给定的可选属性，比如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and 
 
InnerClasses. 
-renamesourcefileattribute {string}    设置源文件里给定的字符串常量

Android Eclipse开发环境与ProGuard

在android 2.3曾经。混淆Android代码仅仅能手动加入proguard来实现代码混淆，非常不方便。

而2.3以后，Google已经将这个工具加入到了SDK的工具集里。详细路径：SDK\tools\proguard。当创建一个新的Android工程时。在工程文件夹的根路径下，会出现一个proguard的配置文件proguard.cfg。也就是说。我们能够通过简单的配置，在我们的elipse工程中直接使用ProGuard混淆Android工程。

详细混淆的步骤非常简单。首先，我们须要在工程描写叙述文件project.properties中。加入一句话，启用ProGuard。例如以下所看到的：

# This file is automatically generated by Android Tools.
# Do not modify this file -- YOUR CHANGES WILL BE ERASED!
#
# This file must be checked in Version Control Systems.
#
# To customize properties used by the Ant build system edit
# "ant.properties", and override values to adapt the script to your
# project structure.
#
# To enable ProGuard to shrink and obfuscate your code, uncomment this (available properties: sdk.dir, user.home):
proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt

# Project target.
target=android-19

这样，Proguard就能够使用了。

当我们正常通过Android Tools导出Application Package时（或者使用ant执行release打包）。Proguard就会自己主动启用。优化混淆你的代码。

导出成功后。你能够反编译看看混淆的效果。一些类名、方法名和变量名等。都变成了一些无意义的字母或者数字。证明混淆成功！

实例（proguard 文件代码解读）

-optimizationpasses 7  #指定代码的压缩级别 0 - 7
-dontusemixedcaseclassnames  #是否使用大写和小写混合
-dontskipnonpubliclibraryclasses  #假设应用程序引入的有jar包，而且想混淆jar包里面的class
-dontpreverify  #混淆时是否做预校验（可去掉加快混淆速度）
-verbose #混淆时是否记录日志（混淆后生产映射文件 map 类名 -> 转化后类名的映射
-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*  #淆採用的算法

-keep public class * extends android.app.Activity  #全部activity的子类不要去混淆
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class com.android.vending.licensing.ILicensingService #指定详细类不要去混淆

-keepclasseswithmembernames class * {
    native <methods>;  #保持 native 的方法不去混淆
}

-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet);  #保持自己定义控件类不被混淆，指定格式的构造方法不去混淆
}

-keepclasseswithmembers class * {
    public <init>(android.content.Context, android.util.AttributeSet, int);
}

-keepclassmembers class * extends android.app.Activity { 
    public void *(android.view.View); #保持指定规则的方法不被混淆（Android layout 布局文件里为控件配置的onClick方法不能混淆）
}

-keep public class * extends android.view.View {  #保持自己定义控件指定规则的方法不被混淆
    public <init>(android.content.Context);
    public <init>(android.content.Context, android.util.AttributeSet);
    public <init>(android.content.Context, android.util.AttributeSet, int);
    public void set*(...);
}

-keepclassmembers enum * {  #保持枚举 enum 不被混淆
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

-keep class * implements android.os.Parcelable {  #保持 Parcelable 不被混淆（aidl文件不能去混淆）
    public static final android.os.Parcelable$Creator *;
}

-keepnames class * implements java.io.Serializable #须要序列化和反序列化的类不能被混淆（注：Java反射用到的类也不能被混淆）

-keepclassmembers class * implements java.io.Serializable { #保护实现接口Serializable的类中。指定规则的类成员不被混淆
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    !static !transient <fields>;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

-keepattributes Signature  #过滤泛型（不写可能会出现类型转换错误，普通情况把这个加上就是了）

-keepattributes *Annotation*  #假如项目中实用到注解，应加入这行配置

-keep class **.R$* { *; }  #保持R文件不被混淆，否则。你的反射是获取不到资源id的

-keep class **.Webview2JsInterface { *; }  #保护WebView对html页面的API不被混淆
-keepclassmembers class * extends android.webkit.WebViewClient {  #假设你的项目中用到了webview的复杂操作 ，最好加入
     public void *(android.webkit.WebView,java.lang.String,android.graphics.Bitmap);
     public boolean *(android.webkit.WebView,java.lang.String);
}
-keepclassmembers class * extends android.webkit.WebChromeClient {  #假设你的项目中用到了webview的复杂操作 。最好加入
     public void *(android.webkit.WebView,java.lang.String);
}
#对WebView的简单说明下：经过实战检验,做腾讯QQ登录，假设引用他们提供的jar。若不加防止WebChromeClient混淆的代码，oauth认证无法回调，反编译基代码后可看到他们实用到WebChromeClient，加入此代码就可以。

-keepclassmembernames class com.cgv.cn.movie.common.bean.** { *; }  #转换JSON的JavaBean，类成员名称保护。使其不被混淆

##################################################################
# 以下都是项目中引入的第三方 jar 包。第三方 jar 包中的代码不是我们的目标和关心的对象，故而对此我们全部忽略不进行混淆。
##################################################################
-libraryjars  libs/android-support-v4.jar
-dontwarn android.support.v4.**
-keep class android.support.v4.** { *; }  
-keep interface android.support.v4.** { *; }
-keep public class * extends android.support.v4.** 
-keep public class * extends android.app.Fragment

-libraryjars libs/gson-2.3.1-sources.jar
-libraryjars libs/gson-2.3.1.jar
-dontwarn com.google.gson.**    
-keep class sun.misc.Unsafe { *; }
-keep class com.google.gson.** { *; }

-libraryjars libs/alipaySDK-20150602.jar
-dontwarn com.alipay.**    
-dontwarn com.ta.utdid2.**    
-dontwarn com.ut.device.**    
-keep class com.alipay.** { *; }
-keep class com.ta.utdid2.** { *; }
-keep class com.ut.device.** { *; }

-libraryjars libs/android-async-http-1.4.6.jar
-dontwarn com.loopj.android.http.**
-keep class com.loopj.android.http.** { *; }

-libraryjars libs/baidumapapi_v2_4_1.jar
-dontwarn com.baidu.**
-keep class com.baidu.** {*; }
-keep class assets.** {*; }
-keep class vi.com.gdi.bgl.** {*; }

-libraryjars libs/libammsdk.jar
-dontwarn com.tencent.**
-keep class com.tencent.** { *; }

-libraryjars libs/locSDK_4.1.jar
-dontwarn com.baidu.location.**
-keep class com.baidu.location.** { *; }

-libraryjars libs/mframework.jar
-dontwarn m.framework.**
-keep class m.framework.** { *; }

-libraryjars libs/mta-sdk-1.6.2.jar
-dontwarn com.tencent.stat.**
-keep class com.tencent.stat.** { *; }

-libraryjars libs/nineoldandroids-library-2.4.0.jar
-dontwarn com.nineoldandroids.**
-keep class com.nineoldandroids.** { *; }

-libraryjars libs/open_sdk_r4889.jar
-dontwarn com.tencent.**
-keep class com.tencent.** { *; } 

-libraryjars libs/ShareSDK-Core-2.5.9.jar
-dontwarn cn.sharesdk.framework.**
-keep class cn.sharesdk.framework.** { *; } 

-libraryjars libs/ShareSDK-ShortMessage-2.5.9.jar
-dontwarn cn.sharesdk.system.text.**
-keep class cn.sharesdk.system.text.** { *; } 

-libraryjars libs/ShareSDK-SinaWeibo-2.5.9.jar
-dontwarn cn.sharesdk.sina.weibo.**
-keep class cn.sharesdk.sina.weibo.** { *; } 

-libraryjars libs/ShareSDK-Wechat-2.5.9.jar
-dontwarn cn.sharesdk.wechat.friends.**
-keep class cn.sharesdk.wechat.friends.** { *; } 

-libraryjars libs/ShareSDK-Wechat-Core-2.5.9.jar
-dontwarn cn.sharesdk.wechat.utils.**
-keep class cn.sharesdk.wechat.utils.** { *; } 

-libraryjars libs/ShareSDK-Wechat-Favorite-2.5.9.jar
-dontwarn cn.sharesdk.wechat.favorite.**
-keep class cn.sharesdk.wechat.favorite.** { *; } 

-libraryjars libs/ShareSDK-Wechat-Moments-2.5.9.jar
-dontwarn cn.sharesdk.wechat.moments.**
-keep class cn.sharesdk.wechat.moments.** { *; } 

-libraryjars libs/universal-image-loader-1.9.2-SNAPSHOT-with-sources.jar
-dontwarn com.nostra13.universalimageloader.**
-keep class com.nostra13.universalimageloader.** { *; } 

-libraryjars libs/weibosdkcore.jar
-dontwarn com.sina.weibo.sdk.**
-keep class com.sina.weibo.sdk.** { *; }

关于怎样配置忽略第三方jar，附上一个图进行说明。

说明一下，第三方jar包中假设有.so文件，不用去理会。引入的第三方jar文件不要混淆。否则可能会报异常。

文件

在release模式下打包apk时会自己主动执行ProGuard，这里的release模式指的是通过ant release命令或eclipse project->android tools->export signed(unsigned) application package生成apk。
在debug模式下为了更快调试并不会调用proguard。

假设是ant命令打包apk，proguard信息文件会保存于工程代码下的/bin/proguard文件夹内；

假设用eclipse export命令打包，会在/proguard文件夹内。当中包括以下文件：

mapping.txt
表示混淆前后代码的对比表，这个文件非常重要。假设你的代码混淆后会产生bug的话，log提示中是混淆后的代码。希望定位到源码的话就能够依据mapping.txt反推。

每次公布都要保留它方便该版本号出现故障时调出日志进行排查，它能够依据版本号号或是公布时间命名来保存或是放进代码版本号控制中。

dump.txt
描写叙述apk内全部class文件的内部结构。

seeds.txt
列出了没有被混淆的类和成员。

usage.txt
列出了源码中被删除在apk中不存在的代码。

不能混淆的代码

顾名思义，不能混淆代码假设被混淆了，就会出现错误。

1、须要反射的代码

2、系统接口

3、Jni接口

4、须要序列号和反序列化的代码（即实现Serializable接口的JavaBean）

5、与服务端进行元数据交互的JavaBean（JSON、XML中对应的类）

……

常见错误

1) Proguard returned with error code 1. See console

  > 更新proguard版本号
  > android-support-v4 不进行混淆
  > 加入缺少对应的库

2) 使用gson包解析数据时，出现 missing type parameter 异常

  > 在 proguard-project.txt 中加入
    -dontobfuscate
    -dontoptimize
  > 在 proguard-project.txt 中加入
    # removes such information by default, so configure it to keep all of it.
    -keepattributes Signature 
    # Gson specific classes
    -keep class sun.misc.Unsafe { *; }
    #-keep class com.google.gson.stream.** { *; }
    # Application classes that will be serialized/deserialized over Gson
    -keep class com.google.gson.examples.android.model.** { *; }

3) 类型转换错误

  > 在 proguard-project.txt 中加入
    -keepattributes Signature

4) 空指针异常

  > 混淆过滤掉相关类与方法

5) java.lang.reflect.UndeclaredThrowableException

  > -keep interface com.dev.impl.**

6) Error: Unable to access jarfile ..libproguard.jar

  > 路径问题

7) java.lang.NoSuchMethodError

  > 这也是最常见的问题。因为找不到相关方法，方法被混淆了。混淆过滤掉相关方法便可。

----------------------

（完）