Android應用安全是應用不可缺少的一部分���,稍有不慎可能會被不法分子利用�,會給企業帶來極大損失�����,因此保護AndroidAPP不被破解和逆向分析非常重要���,通過對Android代碼進行混淆�,可以加大Android APP反編譯的成本�����,從而提升APP的安全性����。
Java代碼是相對比較容易被反編譯的����,作為一種跨平臺的�、解釋型語言�,Java 源代碼被編譯成中間“字節碼”存儲于class文件中����。因為跨平臺的需要���,這些字節碼帶有許多的語義信息���,比較容易被反編譯成Java源代碼���。為了較好的保護Java源代碼����,開發者往往會對編譯好的class文件進行混淆處理�����。
Android應用代碼混淆的目的是使反編譯工具反編譯出來的代碼難以閱讀�����,從而增加代碼被逆向破解的難度�。常用的代碼混淆方法包括:Java代碼混淆��、類名/方法名混淆���、
字節碼混淆等���。
混淆就是對發布出去的程序進行重新組織和處理��,使得處理后的代碼與處理前代碼完成相同的功能����,而混淆后的代碼很難被反編譯����,即使反編譯成功也很難得出程序的真正語義�。
ProGuard就是一個混淆代碼的開源項目���,能夠對字節碼進行混淆�、縮減體積�、優化等處理����。Proguard處理流程圖如下所示�,包含壓縮����、優化�、混淆���、預檢四個主要環節:
Proguard進行代碼混淆流程圖
壓縮(Shrink):檢測并移除代碼中無用的類���、字段�、方法和特性(Attribute)�����;
優化(Optimize):對字節碼進行優化���,移除無用的指令��。優化代碼��,非入口節點類會加上private/static/final�����,沒有用到的參數會被刪除��,一些方法可能會變成內聯代碼��;
混淆(Obfuscate):使用a����、b�、c���、d這樣簡短而無意義的名稱����,對類��、字段和方法進行重命名��;
預檢(Preveirfy):在Java平臺上對處理后的代碼進行預檢��,確保加載的class文件是可執行的����。
利用Proguard�����,對Dex2jar進行反編譯處理后的Apk效果示例:
Proguard處理后:
Proguard混淆器不僅能夠保護代碼�,而且能夠精簡編譯后的程序大小�����,減少內存占用����。
混淆代碼是最原始也是Android應用保護最基礎的保護措施����,在逆向對抗中�����,建議開發者將核心邏輯置于native層����,且借助LLVM對Native層代碼進行保護��;如無多余人力物力投入安全��,也可直接使用第三方安全加固產品����,比如說網易易盾的加固����。
