浅谈Android 混淆和加固

混淆：
混淆是针对的项目代码，代码混淆通常将代码中的各种元素（变量、函数、类名等）改为无意义的名字，使得阅读的人无法通过名称猜测其用途，增大反编译者的理解难度。
虽然代码混淆可以提高反编译的门槛，但是对开发者本身也增大了调试除错的难度。开发人员通常需要保留原始未混淆代码用于调试。
操作时机：项目打包时

加固：
加固针对apk，加固是多维度的安全防护方案，包括反破解、反逆向、防篡改等，可以防止应用被各类常见破解工具逆向，安全性要远大于单纯的代码混淆。
操作时机：项目打包成的apk文件

所以，混淆用于让apk被反编译后获取的代码难理解，加固可以让apk难于被反编译。两种操作都是对项目的安全措施，两个操作是不冲突的，可以选择其一，也可以两个操作都做。

---

加固原理：

对App进行加固，可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等，保障程序的安全性、稳定性。对于金融类App，尤其重要。

对App dex进行加固的基本步骤如下：

1. 从App原始apk文件里获取到原始dex文件
2. 对原始dex文件进行加密，并将加密后的dex文件和相关的存放到assert目录里
3. 用脱壳dex文件替换原始apk文件里的dex文件；脱壳dex文件的作用主要有两个，一个是解密加密后的dex文件；二是基于dexclassloader动态加载解密后的dex文件
4. 因为原始apk文件已经被修改，所以需要删除原始apk的签名信息，即删除META-INF目录下的.RSA、.SF 和MANIFEST.MF文件
5. 生成加固后的apk文件
6. 对加固后的apk文件进行签名，apk加固完成。

原理分析：

1. 为什么要对原始dex进行加密，同时用脱壳dex文件替换原始dex文件？大部分的apk反编译工具（dex2jar、apktools、jui等）都是对dex文件进行反编译，将dex文件反编译成smail，然后再转化成class文件进行阅读和修改。用脱壳dex替换原始dex文件之后，用上面的反编译工具反编译apk文件，只能看到脱壳程序的class文件，看不到apk本身的class文件。对dex文件进行加密，这样即使第三方拿到了dex文件，以为无法解密，也就无法对其进行解析和分析。

2. 怎么确保apk功能正常运行？加固后的apk启动之后，脱壳dex文件会对加密后的dex文件进行解密，然后机遇dexclassload动态加载解密后的dex文件。从用户的角度，加固前后App的功能和体验基本是一样的。

来源：https://cloud.tencent.com/developer/article/1358612