----------------------------我是前言分割线---------------------------------
何为APK?大家应该都知道Android项目打包好后的产物,然后能装到手机上运行,但是具体apk里面具体有哪些东西,可能很多人都答不出来。
----------------------------我是反编译君-----------------------------------
apk
APK是AndroidPackage的缩写,即Android安装包。把android sdk编译的工程打包成一个安装程序文件,格式为apk。 APK文件其实是zip格式,但后缀名被修改为apk。我们可以把后缀名.apk改为.zip。然后将其解压。
apk后缀名改为zip 解压改了后缀名的压缩包解压后的文件结构
- META-INF\ (注:Jar文件中常可以看到);
- res\ (注:存放资源文件的目录) ;
- AndroidManifest.xml (注:程序全局配置文件) ;
- classes.dex (注:Dalvik字节码);
- resources.arsc (注:编译后的二进制资源文件)。
在res目录下我们可以看到各种资源,
res目录
其中图片资源比如drawable-hdpi等这些目录下是可以直接看到图片文件,可以直接拿出来自己用。但是一些xml文件,比如在layout目录下的testitem.xml文件,打开后会是字节码,不能直接使用。(其中abc和notification开头的文件不是开发者写的那些文件,可以忽略)
layout下的xml文件那我看到网络上优秀的APK,就只能解压拿个图片,一些布局啊,代码啊,都不能做参考?不能去膜拜下别人是怎么写的吗?答案当然是NO。(强行怒装一波B)
--------------------------------开始正式起航----------------------------------
介绍我们的主角
1.apktool
解析apk的第三方工具, 安装方式参考.
Mac OS X:
- Download Mac wrapper script (Right click, Save Link As apktool)
- Download apktool-2 (find newest here)
- Rename downloaded jar to apktool.jar
- Move both files (apktool.jar & apktool) to /usr/local/bin (root needed)
- Make sure both files are executable (chmod +x)
- Try running apktool via cli
根据英文我大概解释下:
1,2根据提示下载相应的东西,3改名字,4将下载的二个文件放到指定目录下(可以在file里面通过command+shift+g,然后输入/usr/local/bin,跳到指定文件夹中,5更改这二个文件的权限,在终端中执行chomd +x(后面跟上文件)来修改,6.然后执行apktool
ok之后我们就快来用apktool来体验下。
apktool d xxxx.apk
这时候会将apk解析为一个与apk同名的文件夹,改文件夹会处于你的终端的当前目录下,比如我图片中的当前目录是在willy的用户目录下,所以解析的文件夹也就在该目录下。
这时候再到layout文件夹下找到上面我们打开过的testitem.xml。
testitem.xml
其他的比如AndroidManifest.xml等也都能查看。
假如一个先生想用知识去启导一个葬身在无知之中的学生,他便先得激起他的注意,使它能用一种贪婪的心理去吸取知识----夸美纽斯
人往往都是贪婪的。看到了布局,有了图片资源这些。又会想要看源码,那些Java代码是怎么写的。
这时候要用到另外的工具,第二主角上场
2.dex2jar + jd-gui
下载dex2jar 和 jd-gui。这个百度下。就可以各种下载。
1.dex2jar下载后,解压到某个目录下。jd-gui是个dmg安装包
2.打开终端,输入命令cd xxx/xxx/dex2jar,进入下载的dex2jar文件夹中
3.输入命令sh d2j-dex2jar.sh -f -o classes.jar /XXX/XXX/XXX.apk,操作完成后,会在dex2jar文件夹中生成一个classes.jar文件
4.打开jd-gui文件,将classes-dex2jar.jar拖入jd-gui界面上,就能够看到Java文件了
反编译的作用不仅是拿到资源,看到代码,你也可以对里面的资源进行替换,甚至修改代码,来进行业务逻辑的变动,比如一款软件收费后可以去除软件里面的广告,如果它的是否已经付费的业务判断放在前端,则用户直接反编译再修改这个判断条件,再打包好后就可以使用了。又或者是植入病毒,加入自己的广告,使用apktool工具进行二次打包传播。
(apktool不仅能反编译apk,还能再将解压后的资源再打包成apk,具体的再打包成apk的就进行网上搜下。很方便就能搜到。在此就不多说了。)
---------------------------我是apk保护君------------------------------------
好了,大概讲了上面的反编译的一些方式。接下来讲下如何让我们的Android 源码不容易给别人看到呢。
Proguard:
本来是准备长篇介绍的。后来我在别的博客上看关于Proguard介绍。发现其他大神写的不错的。我也就直接拿来推荐了.
点击进入传送门:
ProGuard使用详解
ProGuard的官方文档整理后解说
DexGuard
但是如果你需要顶尖的安全性,ProGuard就力不从心了,你需要DexGuard
点击进入传送门:DexGuard。
额外的处理
你需要知道如何安全的存储app中的API keys。如果你要处理用户的敏感数据,你必须知道如何加密,选择何种加密算法(安全且快速)。
你还应该安全的把密钥存储在本地或者服务器上。应该防止app数据被人用ADB备份。如果你在数据库中存储敏感数据,要考虑做适当的伪装。
附上二篇文章传送门:
Android Security: Adding Tampering Detection to Your App
Hiding Secrets in Android Apps
当然。这都只是增加那些想反编译你apk的人的难度。他们还是能通过各种方式来get到你的apk的各种信息。这时候我们只能尽量多做一些措施。
-----------------------------------题外话-------------------------------------
ps:题外话,那大公司比如支付宝,QQ这些是怎么处理的呢
引用另外大神们的文章来进行说明。
点击进入传送门:这是你眼中的混淆吗?ProGuard
摘取部分内容如下:
真正需要考虑安全的代码,真的会用java编译吗?
答案可想而知,如果尝试的反编译微信,支付宝的代码的可以看到里面大量的.so文件,他们真正有价值的代码是用c写的,通过jni调用,这样不仅安全而且一套代码Android,iOS都可用。这个才是最安全的做法!
Paste_Image.png
网友评论