android 搅混（三）_Android

android 混淆（三）

这是一个不应该在开源社区出现的东西，但它的的确确是一个开源的项目，正像它的名字一样，Proguard，即Program Guard（程序卫士），它代表了开源的相对面－－代码保护。?
　　作为JAVA这样的高级语言，编译的产物只是相对源代码的一个概念而已，字节码虽然不像源代码那样易懂，但绝不是不可能进行反编译的，针对JAVA的反编译产品很多，如CAVAJ,JAD等等。面对反编译产品的不断出现，将代码视为财富的那些开发者，又何去何从。?
　　混淆器正是在这种背景下应运而生，既然不可能完全地将拒绝反编译，那就让他们去反编译吧，只要反编译的结果别人不能直接使用不就行了吗？只要将代码搞混，让别人拿到了反编译的结果也看不懂，甚至不能编译。?
　　混淆的方法有很多，主要是以下几方面。?
更名，将私有类，私有的成员，方法体内部的变量名改名，改成a,b,c等等，甚至1,2,3(代码中不允许不等于成果物中不允许）?
改变逻辑的流向，如将if条件取反，if/else对换?
等价代码，如将循环改成GOTO?
无效代码，插入不可及的无用代码?
　　Proguard是一个非常优秀的开源的JAVA混淆器,可以在http://proguard.sourceforge.net/下载到，现在就让我一起来看一下Proguard.
　　以3.2版为例，释放压缩包，我们看到，作为开源项目就有docs，lib,src,sample文件夹，在此就不一一介绍了。?
　　进入lib目录，内有proguard.jar，如果要自己有混淆器的外壳，或作ANT插件的话，会用到它，详细情况可以参考Proguard的文档。?
　　我们要看的是proguardgui.jar，这是Proguard的图形界面，我们使用JDK打开，注意是JDK，不是JRE。?

点选Input/Output标签，选择要混淆的JAR包（注意是JAR包），输出JAR包，以及用到的所有类库。?
点选Obfuscation标签，选中不需要混淆的类（要被反射的类绝对不能被混淆）?
点选Process标签，Process按钮，等着看结果吧。?
Proguard中还包括了代码优化和代码整理的功能，不是本文讨论范围，有兴趣的就自己研究吧）?
只混淆方面的选项?

使用此种方式，如果a-z使用过，会转向aa.class,如下图配置界面?
1,4,6,9,10,11,12?

源代码?
package org.zwm.pub;?

public class Bru {?

/**?
* @param args?
*/?

public static void main(String[] args) {?
// TODO Auto-generated method stub?
System.out.println(showMsg());?
}?
public static String showMsg() {?
return "You are my sun";?
}?
}?
反编译后的代码?
// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.?
// Jad home page:?http://www.kpdus.com/jad.html?
// Decompiler options: packimports(3)?

package org.zwm.pub;?

import java.io.PrintStream;?

public class Bru?
{?

public Bru()?
{?
}?

public static void main(String args[])?
{?
System.out.println(PK0304140008000800fZ());?
}?

public static String PK0304140008000800fZ()?
{?
return "You are my sun";?
}?
}?

类名不变化，方法名混淆。?

另一个例子，希望对大家有帮助：?

命令行下，运行ProGuard指令： java -jar proguard.jar @proguard.pro?? 其中proguard.pro文件中是指定的混淆信息。?

例：一个swing应用：?

-injars?????? gimt.jar?
-outjars????? gimt_out.jar?
-libraryjars lib/rt.jar?
-libraryjars lib/antlr/antlr-2.7.5H3.jar?
-libraryjars lib/cglib/cglib-full-2.0.2.jar?
-libraryjars lib/db2-connector/db2jcc_license_cu.jar?
-libraryjars lib/dom4j/dom4j-1.5.2.jar?
-libraryjars lib/encache/ehcache-1.1.jar?
-libraryjars lib/hibernate/hibernate3.jar?
-libraryjars lib/jakarta-common/commons-beanutils.jar?
-libraryjars lib/log4j/log4j-1.2.9.jar?
-libraryjars lib/mysql-connector/mysql-connector-java-3.0.17-ga-bin.jar?
-libraryjars lib/spring/spring.jar?
-libraryjars lib/db2-connector/db2jcc.jar?
-libraryjars lib/jakarta-common/commons-collections-2.1.1.jar?
-libraryjars lib/jakarta-common/commons-dbcp-1.2.1.jar?
-libraryjars lib/jakarta-common/commons-lang-2.0.jar?
-libraryjars lib/jakarta-common/commons-logging-1.0.4.jar?
-libraryjars lib/jakarta-common/commons-pool-1.2.jar?
-libraryjars lib/spring/spring-mock.jar?
-libraryjars lib/j2ee/jta.jar?
-libraryjars lib/db2-connector/db2java.zip?

-printmapping proguard.map?
-overloadaggressively?
-defaultpackage ''?
-allowaccessmodification?
-dontoptimize?

-keep public class com.wisdom.tool.MainFrame {?
??? public static void main(java.lang.String[]);?
}?

-keep class * extends javax.swing.plaf.ComponentUI {?
??? public static javax.swing.plaf.ComponentUI createUI(javax.swing.JComponent);?
}?

-keep public class com.wisdom.model.user.* {?
??? *;?
}?

-keep public class com.wisdom.service.* {?
??? *;?
}?

-keep public class com.wisdom.service.impl.MenuServiceImpl?

一点说明：?
1. 开始没有加-dontoptimize选项，有时可能会出问题，上面已经提到。?
2. 列出了所有依赖的.jar包。?
3. keep选项告诉proguard，那些不必混淆。?
??? a. 对于swing应用，整个程序的入口，不能混淆。?
??? b. 对于继承自ComponentUI的类，createUI不能混淆。?
??? c. 利用hibernate的领域对象 spring的服务对象，由于用到了反射机制。