Android App使用Java語言進行開發,因此十分容易就可以被反編譯出近乎原始的程式碼。也因為這個特性,許多人在寫Android App的時候會喜歡去反編譯別人寫好的程式,再挪為己用,雖然很不道德,但這也是一種有效提升軟體開發速度的方法。但換個角度想,如果是自己寫的程式碼被盜走的話,這就對自己不太有利了,所以學習如何防止自己程式碼被偷也是一個很重要的課題。
Android App的安裝檔案是副檔名為.apk的檔案,可以直接在Android環境下執行,將App安裝好。若要將App上架到Google Play上,必須要先將Android專案輸出成簽署(Signed)過的apk檔。再將這個apk檔案上傳到Google Play上發佈出去。將App上架後,其他使用者就可以透過Google Play直接安裝該App。
很明顯地,提供apk檔案給別人安裝App,是十分危險的事情,因為apk檔案只要經過簡單的步驟(之後會提到)就可以反編譯出原始的程式碼。但如果覺得將App上架到Google Play上就一定安全的話,那就大錯特錯了,因為從Google Play上安裝的App,也是有辦法拿到它的apk檔。
反編譯Android程式
首先要取得Android App的apk檔案,接著使用「dex2jar」來將它轉為jar檔。
dex2jar在命令列下使用,命令格式如下:
執行命令後,稍等一下子,jar檔案就產生出來了。
接著再依照這篇文章來反編譯jar檔案。
防止Android程式被反編譯
反編譯Android程式的方式可以不必學,但防止反編譯的方式一定要會!
Android ProGuard
Android SDK中提供了ProGuard來保護與最佳化Android App的安裝檔。身為一位稱職的Android程式設計師,在Android App發佈或是上架之前一定要使用ProGuard來保護程式碼,避免程式遭有心人士偷走。
啟用ProGuard
在Android專案的app目錄中,有個「build.gradle」檔案。在「android」->「buildTypes」中可以替「debug」或是「release」模式創建出來的APK啟用ProGuard。預設情況下,建立Android專案時,就會自動在「buildTypes」中的「release」加上如下的「proguardFiles」設定項目,來啟用ProGuard保護APK。
使用ProGuard
啟用ProGuard之後,往後使用Android的Export工具來輸出專案,都會自動把程式碼給混淆。無須再進行而外的動作。
啟用ProGuard可能會遭遇的問題
由於有些程式是不可以被混淆的,例如有使用到「Class.forName」這類方法來呼叫的套件。可以藉由修改Android專案的app目錄下的ProGuard設定檔「proguard-rules.pro」,加入-keep參數來保留指定的程式碼不被混淆。通常-dontwarn參數也會跟-keep合用,目的是要讓ProGuard不要去檢查指定Class下程式碼的錯誤(當然若有出現錯誤再加也不遲)。
有許多程式用了ProGuard之後會出現型別轉換錯誤,可以加上「-keepattributes Signature」參數,保留程式的簽名。
以下是proguard-project.txt的設定參考:
-keep class com.google.** { *; }
-dontwarn com.google.**
-keep class com.facebook.** { *; }
-dontwarn com.facebook.**
-keep class org.apache.** { *; }
-dontwarn org.apache.**
-keepattributes Signature
混淆後的程式碼,如果被反編譯,就沒什麼人看得懂啦!
