Android 项目的代码混淆，Android proguard 使用说明

简介

Java代码是非常容易反编译的。为了很好的保护Java源代码，我们往往会对编译好的class文件进行混淆处理。

ProGuard是一个混淆代码的开源项目。它的主要作用就是混淆，当然它还能对字节码进行缩减体积、优化等，但那些对于我们来说都算是次要的功能。

官网地址：http://proguard.sourceforge.net/

原理

Java 是一种跨平台的、解释型语言，Java 源代码编译成中间”字节码”存储于 class 文件中。由于跨平台的需要，Java 字节码中包括了很多源代码信息，如变量名、方法名，并且通过这些名称来访问变量和方法，这些符号带有许多语义信息，很容易被反编译成 Java 源代码。为了防止这种现象，我们可以使用 Java 混淆器对 Java 字节码进行混淆。

混淆就是对发布出去的程序进行重新组织和处理，使得处理后的代码与处理前代码完成相同的功能，而混淆后的代码很难被反编译，即使反编译成功也很难得出程序的真正语义。被混淆过的程序代码，仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样，只是混淆器将代码中的所有变量、函数、类的名称变为简短的英文字母代号，在缺乏相应的函数名和程序注释的况下，即使被反编译，也将难以阅读。同时混淆是不可逆的，在混淆的过程中一些不影响正常运行的信息将永久丢失，这些信息的丢失使程序变得更加难以理解。

混淆器的作用不仅仅是保护代码，它也有精简编译后程序大小的作用。由于以上介绍的缩短变量和函数名以及丢失部分信息的原因， 编译后 jar 文件体积大约能减少25% ，这对当前费用较贵的无线网络传输是有一定意义的。

语法

-include {filename}    从给定的文件中读取配置参数 -basedirectory {directoryname}    指定基础目录为以后相对的档案名称 -injars {class_path}    指定要处理的应用程序jar,war,ear和目录 -outjars {class_path}    指定处理完后要输出的jar,war,ear和目录的名称 -libraryjars {classpath}    指定要处理的应用程序jar,war,ear和目录所需要的程序库文件 -dontskipnonpubliclibraryclasses    指定不去忽略非公共的库类。 -dontskipnonpubliclibraryclassmembers    指定不去忽略包可见的库类的成员。 保留选项 -keep {Modifier} {class_specification}    保护指定的类文件和类的成员 -keepclassmembers {modifier} {class_specification}    保护指定类的成员，如果此类受到保护他们会保护的更好-keepclasseswithmembers {class_specification}    保护指定的类和类的成员，但条件是所有指定的类和类成员是要存在。 -keepnames {class_specification}    保护指定的类和类的成员的名称（如果他们不会压缩步骤中删除） -keepclassmembernames {class_specification}    保护指定的类的成员的名称（如果他们不会压缩步骤中删除） -keepclasseswithmembernames {class_specification}    保护指定的类和类的成员的名称，如果所有指定的类成员出席（在压缩步骤之后） -printseeds {filename}    列出类和类的成员-keep选项的清单，标准输出到给定的文件  压缩 -dontshrink    不压缩输入的类文件 -printusage {filename} -dontwarn   如果有警告也不终止-whyareyoukeeping {class_specification}      优化 -dontoptimize    不优化输入的类文件 -assumenosideeffects {class_specification}    优化时假设指定的方法，没有任何副作用 -allowaccessmodification    优化时允许访问并修改有修饰符的类和类的成员  混淆 -dontobfuscate    不混淆输入的类文件 -printmapping {filename} -applymapping {filename}    重用映射增加混淆 -obfuscationdictionary {filename}    使用给定文件中的关键字作为要混淆方法的名称 -overloadaggressively    混淆时应用侵入式重载 -useuniqueclassmembernames    确定统一的混淆类的成员名称来增加混淆 -flattenpackagehierarchy {package_name}    重新包装所有重命名的包并放在给定的单一包中 -repackageclass {package_name}    重新包装所有重命名的类文件中放在给定的单一包中 -dontusemixedcaseclassnames    混淆时不会产生形形色色的类名 -keepattributes {attribute_name,...}    保护给定的可选属性，例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and  InnerClasses. -renamesourcefileattribute {string}    设置源文件中给定的字符串常量

Android Eclipse开发环境与ProGuard

在Android 2.3以前，混淆Android代码只能手动添加proguard来实现代码混淆，非常不方便。而2.3以后，Google已经将这个工具加入到了SDK的工具集里。具体路径：SDK\tools\proguard。当创建一个新的Android工程时，在工程目录的根路径下，会出现一个proguard的配置文件proguard.cfg。也就是说，我们可以通过简单的配置，在我们的elipse工程中直接使用ProGuard混淆Android工程。

具体混淆的步骤非常简单。首先，我们需要在工程描述文件project.properties中，添加一句话，启用ProGuard。如下所示：

# This file is automatically generated by Android Tools.# Do not modify this file -- YOUR CHANGES WILL BE ERASED!## This file must be checked in Version Control Systems.## To customize properties used by the Ant build system edit# "ant.properties", and override values to adapt the script to your# project structure.## To enable ProGuard to shrink and obfuscate your code, uncomment this (available properties: sdk.dir, user.home):proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt# Project target.target=android-19

这样，Proguard就可以使用了。当我们正常通过Android Tools导出Application Package时（或者使用ant执行release打包），Proguard就会自动启用，优化混淆你的代码。

导出成功后，你可以反编译看看混淆的效果。一些类名、方法名和变量名等，都变成了一些无意义的字母或者数字。证明混淆成功！

实例（proguard 文件代码解读）

-optimizationpasses 7  #指定代码的压缩级别 0 - 7-dontusemixedcaseclassnames  #是否使用大小写混合-dontskipnonpubliclibraryclasses  #如果应用程序引入的有jar包，并且想混淆jar包里面的class-dontpreverify  #混淆时是否做预校验（可去掉加快混淆速度）-verbose #混淆时是否记录日志（混淆后生产映射文件 map 类名 -> 转化后类名的映射-optimizations !code/simplification/arithmetic,!field/*,!class/merging/*  #淆采用的算法-keep public class * extends android.app.Activity  #所有activity的子类不要去混淆-keep public class * extends android.app.Application-keep public class * extends android.app.Service-keep public class * extends android.content.BroadcastReceiver-keep public class * extends android.content.ContentProvider-keep public class * extends android.app.backup.BackupAgentHelper-keep public class * extends android.preference.Preference-keep public class com.android.vending.licensing.ILicensingService #指定具体类不要去混淆-keepclasseswithmembernames class * {    native <methods>;  #保持 native 的方法不去混淆}-keepclasseswithmembers class * {    public <init>(android.content.Context, android.util.AttributeSet);  #保持自定义控件类不被混淆，指定格式的构造方法不去混淆}-keepclasseswithmembers class * {    public <init>(android.content.Context, android.util.AttributeSet, int);}-keepclassmembers class * extends android.app.Activity {     public void *(android.view.View); #保持指定规则的方法不被混淆（Android layout 布局文件中为控件配置的onClick方法不能混淆）}-keep public class * extends android.view.View {  #保持自定义控件指定规则的方法不被混淆    public <init>(android.content.Context);    public <init>(android.content.Context, android.util.AttributeSet);    public <init>(android.content.Context, android.util.AttributeSet, int);    public void set*(...);}-keepclassmembers enum * {  #保持枚举 enum 不被混淆    public static **[] values();    public static ** valueOf(java.lang.String);}-keep class * implements android.os.Parcelable {  #保持 Parcelable 不被混淆（aidl文件不能去混淆）    public static final android.os.Parcelable$Creator *;}-keepnames class * implements java.io.Serializable #需要序列化和反序列化的类不能被混淆（注：Java反射用到的类也不能被混淆）-keepclassmembers class * implements java.io.Serializable { #保护实现接口Serializable的类中，指定规则的类成员不被混淆    static final long serialVersionUID;    private static final java.io.ObjectStreamField[] serialPersistentFields;    !static !transient <fields>;    private void writeObject(java.io.ObjectOutputStream);    private void readObject(java.io.ObjectInputStream);    java.lang.Object writeReplace();    java.lang.Object readResolve();}-keepattributes Signature  #过滤泛型（不写可能会出现类型转换错误，一般情况把这个加上就是了）-keepattributes *Annotation*  #假如项目中有用到注解，应加入这行配置-keep class **.R$* { *; }  #保持R文件不被混淆，否则，你的反射是获取不到资源id的-keep class **.Webview2JsInterface { *; }  #保护WebView对HTML页面的API不被混淆-keepclassmembers class * extends android.webkit.WebViewClient {  #如果你的项目中用到了webview的复杂操作 ，最好加入     public void *(android.webkit.WebView,java.lang.String,android.graphics.Bitmap);     public boolean *(android.webkit.WebView,java.lang.String);}-keepclassmembers class * extends android.webkit.WebChromeClient {  #如果你的项目中用到了webview的复杂操作 ，最好加入     public void *(android.webkit.WebView,java.lang.String);}#对WebView的简单说明下：经过实战检验,做腾讯QQ登录，如果引用他们提供的jar，若不加防止WebChromeClient混淆的代码，oauth认证无法回调，反编译基代码后可看到他们有用到WebChromeClient，加入此代码即可。-keepclassmembernames class com.cgv.cn.movie.common.bean.** { *; }  #转换JSON的JavaBean，类成员名称保护，使其不被混淆################################################################### 下面都是项目中引入的第三方 jar 包。第三方 jar 包中的代码不是我们的目标和关心的对象，故而对此我们全部忽略不进行混淆。##################################################################-libraryjars  libs/android-support-v4.jar-dontwarn android.support.v4.**-keep class android.support.v4.** { *; }  -keep interface android.support.v4.** { *; }-keep public class * extends android.support.v4.** -keep public class * extends android.app.Fragment-libraryjars libs/gson-2.3.1-sources.jar-libraryjars libs/gson-2.3.1.jar-dontwarn com.google.gson.**    -keep class sun.misc.Unsafe { *; }-keep class com.google.gson.** { *; }-libraryjars libs/alipaySDK-20150602.jar-dontwarn com.alipay.**    -dontwarn com.ta.utdid2.**    -dontwarn com.ut.device.**    -keep class com.alipay.** { *; }-keep class com.ta.utdid2.** { *; }-keep class com.ut.device.** { *; }-libraryjars libs/android-async-http-1.4.6.jar-dontwarn com.loopj.android.http.**-keep class com.loopj.android.http.** { *; }-libraryjars libs/baidumapapi_v2_4_1.jar-dontwarn com.baidu.**-keep class com.baidu.** {*; }-keep class assets.** {*; }-keep class vi.com.gdi.bgl.** {*; }-libraryjars libs/libammsdk.jar-dontwarn com.tencent.**-keep class com.tencent.** { *; }-libraryjars libs/locSDK_4.1.jar-dontwarn com.baidu.location.**-keep class com.baidu.location.** { *; }-libraryjars libs/mframework.jar-dontwarn m.framework.**-keep class m.framework.** { *; }-libraryjars libs/mta-sdk-1.6.2.jar-dontwarn com.tencent.stat.**-keep class com.tencent.stat.** { *; }-libraryjars libs/nineoldandroids-library-2.4.0.jar-dontwarn com.nineoldandroids.**-keep class com.nineoldandroids.** { *; }-libraryjars libs/open_sdk_r4889.jar-dontwarn com.tencent.**-keep class com.tencent.** { *; } -libraryjars libs/ShareSDK-Core-2.5.9.jar-dontwarn cn.sharesdk.framework.**-keep class cn.sharesdk.framework.** { *; } -libraryjars libs/ShareSDK-ShortMessage-2.5.9.jar-dontwarn cn.sharesdk.system.text.**-keep class cn.sharesdk.system.text.** { *; } -libraryjars libs/ShareSDK-SinaWeibo-2.5.9.jar-dontwarn cn.sharesdk.sina.weibo.**-keep class cn.sharesdk.sina.weibo.** { *; } -libraryjars libs/ShareSDK-Wechat-2.5.9.jar-dontwarn cn.sharesdk.wechat.friends.**-keep class cn.sharesdk.wechat.friends.** { *; } -libraryjars libs/ShareSDK-Wechat-Core-2.5.9.jar-dontwarn cn.sharesdk.wechat.utils.**-keep class cn.sharesdk.wechat.utils.** { *; } -libraryjars libs/ShareSDK-Wechat-Favorite-2.5.9.jar-dontwarn cn.sharesdk.wechat.favorite.**-keep class cn.sharesdk.wechat.favorite.** { *; } -libraryjars libs/ShareSDK-Wechat-Moments-2.5.9.jar-dontwarn cn.sharesdk.wechat.moments.**-keep class cn.sharesdk.wechat.moments.** { *; } -libraryjars libs/universal-image-loader-1.9.2-SNAPSHOT-with-sources.jar-dontwarn com.nostra13.universalimageloader.**-keep class com.nostra13.universalimageloader.** { *; } -libraryjars libs/weibosdkcore.jar-dontwarn com.sina.weibo.sdk.**-keep class com.sina.weibo.sdk.** { *; }

关于如何配置忽略第三方jar，附上一个图进行说明。

说明一下，第三方jar包中如果有.so文件，不用去理会，引入的第三方jar文件不要混淆，否则可能会报异常。

文件

在release模式下打包apk时会自动运行ProGuard，这里的release模式指的是通过ant release命令或eclipse project->android tools->export signed(unsigned) application package生成apk。
在debug模式下为了更快调试并不会调用proguard。

如果是ant命令打包apk，proguard信息文件会保存于工程代码下的/bin/proguard文件夹内；

如果用eclipse export命令打包，会在/proguard文件夹内。其中包含以下文件：

mapping.txt
表示混淆前后代码的对照表，这个文件非常重要。如果你的代码混淆后会产生bug的话，log提示中是混淆后的代码，希望定位到源代码的话就可以根据mapping.txt反推。
每次发布都要保留它方便该版本出现问题时调出日志进行排查，它可以根据版本号或是发布时间命名来保存或是放进代码版本控制中。

dump.txt
描述apk内所有class文件的内部结构。

seeds.txt
列出了没有被混淆的类和成员。

usage.txt
列出了源代码中被删除在apk中不存在的代码。

不能混淆的代码

顾名思义，不能混淆代码如果被混淆了，就会出现错误。

1、需要反射的代码

2、系统接口

3、Jni接口

4、需要序列号和反序列化的代码（即实现Serializable接口的JavaBean）

5、与服务端进行元数据交互的JavaBean（JSON、XML中对应的类）

……

常见错误

1) Proguard returned with error code 1. See console

  > 更新proguard版本
  > android-support-v4 不进行混淆
  > 添加缺少相应的库

2) 使用gson包解析数据时，出现 missing type parameter 异常

  > 在 proguard-project.txt 中添加
    -dontobfuscate
    -dontoptimize
  > 在 proguard-project.txt 中添加
    # removes such information by default, so configure it to keep all of it.
    -keepattributes Signature 
    # Gson specific classes
    -keep class sun.misc.Unsafe { *; }
    #-keep class com.google.gson.stream.** { *; }
    # Application classes that will be serialized/deserialized over Gson
    -keep class com.google.gson.examples.android.model.** { *; }

3) 类型转换错误

  > 在 proguard-project.txt 中添加
    -keepattributes Signature

4) 空指针异常

  > 混淆过滤掉相关类与方法

5) java.lang.reflect.UndeclaredThrowableException

  > -keep interface com.dev.impl.**

6) Error: Unable to access jarfile ..libproguard.jar

  > 路径问题

7) java.lang.NoSuchMethodError

  > 这也是最常见的问题，因为找不到相关方法，方法被混淆了，混淆过滤掉相关方法便可。

----------------------

（完）