混淆:
針對項目代碼,代碼混淆通常將代碼中的各種元素(變量、函數、類名等)改為無意義的名字,使得閱讀的人無法通過名稱猜測其用途,增大反編譯者的理解難度。
雖然代碼混淆可以提高反編譯的門檻,但是對開發者本身也增大了調試除錯的難度。開發人員通常需要保留原始未混淆代碼用於調試。
操作時機:項目打包時
加固:
針對apk,加固是多維度的安全防護方案,包括反破解、反逆向、防篡改等,可以防止應用被各類常見破解工具逆向,安全性要遠大於單純的代碼混淆。
操作時機:項目打包成的apk文件
以上,混淆用於讓apk被反編譯后獲取的代碼難理解,加固用於讓apk難於被反編譯。兩種操作都是對項目的安全措施,兩個操作是不沖突的,可以選擇其一,也可以兩個操作都做。
--------------------------------------------------------------------------------------------
加固原理:
對App進行加固,可以有效防止移動應用被破解、盜版、二次打包、注入、反編譯等,保障程序的安全性、穩定性。對於金融類App,尤其重要。
對App dex進行加固的基本步驟如下:
1. 從App原始apk文件里獲取到原始dex文件
2. 對原始dex文件進行加密,並將加密后的dex文件和相關的存放到assert目錄里
3. 用脫殼dex文件替換原始apk文件里的dex文件;脫殼dex文件的作用主要有兩個,一個是解密加密后的dex文件;二是基於dexclassloader動態加載解密后的dex文件
4. 因為原始apk文件已經被修改,所以需要刪除原始apk的簽名信息,即刪除META-INF目錄下的.RSA、.SF 和MANIFEST.MF文件
5. 生成加固后的apk文件
6. 對加固后的apk文件進行簽名,apk加固完成。
原理分析:
1.為什么要對原始dex進行加密,同時用脫殼dex文件替換原始dex文件?大部分的apk反編譯工具(dex2jar、apktools、jui等)都是對dex文件進行反編譯,將dex文件反編譯成smail,然后再轉化成class文件進行閱讀和修改。用脫殼dex替換原始dex文件之后,用上面的反編譯工具反編譯apk文件,只能看到脫殼程序的class文件,看不到apk本身的class文件。對dex文件進行加密,這樣即使第三方拿到了dex文件,以為無法解密,也就無法對其進行解析和分析。
2.怎么確保apk功能正常運行?加固后的apk啟動之后,脫殼dex文件會對加密后的dex文件進行解密,然后機遇dexclassload動態加載解密后的dex文件。從用戶的角度,加固前后App的功能和體驗基本是一樣的。
這個和插件化的原理是一樣的。可以參見http://blog.csdn.net/jiangwei0910410003/article/details/48104581
3.dex加固主要是防止被靜態反編譯,進而獲取源碼並修改
加固工具: