这里主要说一下同时使用 微信资源混淆以及同时使用 walle 打多渠道包 遇到的坑,以及如何解决这个问题的。如果只需要知道如何通过向 META-INF 目录下写入代表空文件方式打多渠道包的方式可以直接看最后的脚本代码部分。
之前在项目中进行 apk 瘦身时,接触到使用 微信资源混淆可以有效较小 apk 的大小,于是项目中在打包时使用了微信资源混淆结合 7zip 对 apk 进行极度压缩,得出的 apk 文件确实变小了很多。
后来在发版时需要打渠道包,用到的一直是 walle 打包。美团第二代多渠道打包方式,适应了 Android 7.0 新签名特性,所以仅针对能进行 V2 签名的 apk 文件才能打多渠道包。
为什么说微信资源混淆和walle打多渠道包会遇到一些坑呢?这里会涉及到Android 打包签名的一些问题,先简单提一下微信资源混淆流程、walle 打多渠道包流程以及Android签名机制。
微信资源混淆AndResGuard
思路:主要修改 resource.arsc,将长路径改为短路径,然后重新打包 apk。
作用:
- 混淆资源 ID 长度(res/drawable/icon -> r/s/a.png),使apktool反编译更难;
- 减少 apk 大小,可以减少 resources.arsc 和 package 大小;
- 支持 7zip 重新打包,开启7z深度压缩能很大程度减少安装包体积。
参考:
https://github.com/shwenzhang/AndResGuard http://dev.qq.com/topic/59152309ca95d00d727ba756
在项目中如何使用 AndResGuard 呢?github 上提供了两种方式:
- 使用 AndResGuard plugin,在 gradle 文件中配置资源混淆参数;执行命令:./gradlew resguardRelease ,最终得到的包是进行资源混淆后的包。
- 使用提供的 resourceproguard.jar 在命令行下打包,也即是对 assembleRelease 得到的apk文件在命令行下执行:java -jar resourceproguard.jar input.apk 等命令得到混淆后的包。
Tips:github 文档写得比较详细; issues 中有很多问题值得一看。
美团第二代多渠道打包Walle
walle主要针对新的签名方案而出的一种新多渠道打包方式。
首先对比下两种签名方案:
V1签名 vs V2签名.png
功能描述:
- 对V2签名包中的 ID-value 进行扩展,提供自定义 ID-value(渠道信息),保存在 apk包中;
- apk 安装过程进行的签名校验,会忽略 V2Block 中的其他 ID-value,如此就能正常安装;
- 在运行阶段,通过读取 ZIP 等结构的信息找到自定义的 ID-value,便可以获取渠道信息。
每到一个渠道包,只需要向 APK 中添加一个 ID-value 即可,速度很快。
参考:
https://tech.meituan.com/android-apk-v2-signature-scheme.html
针对V2签名方式第一代多渠道打包方式存在的问题如下:
-
新的签名方案 签名信息会保存在区块2(APK Signing Block)中,其他三块区域是受保护的,在签名后任何对这三块的修改都无法越过新应用签名方案的检查;
-
第一代渠道包生成方案是在 META-INF 目录下添加空文件,用空文件作为渠道的唯一标识。在新的签名方案下,META-INF 目录是在保护区内,添加空文件对区块1, 3, 4均有影响,也即是对 V2 包进行了修改,V2签名无效,安装会出错。
Android 7.0 新签名机制
APK V1 签名
- 签名工具
两种:jarsigner 或 signapk,Android Studio 默认 signapk。
区别:主要是证书和密钥存储格式不同,前者通过 Java KeyStore (.jks / .keystore 文件)格式,后者分别用 .pem 和 .pk8 格式存储证书和密钥。
注:无论哪种签名工具,最终在 META-INF 目录下生成三个文件:MANIFEST.MF, CERT.SF, CERT.RSA (若 jarsigner 签名,则 .sf 和 .rsa 文件名会根据 alias 来定)。
APK V2 签名:
-
签名工具
apksigner, Android 7.0之后出现的签名工具,可以使用 apksigner.jar 工具对对齐后的包进行 V2签名。
(仅在高于 25 版本的 SDK\build-tools\中才能找到 apksigner.jar)
注:经过 apksigner 签名的apk同时支持 v1 和 v2签名。 -
V2 签名作用
一种对全文件进行签名的方案 ,能提供更快的应用安装时间,对未授权 APK 文件的更改提供更多保护。
默认情况下,Gradle Plugin 2.2.0 会使用 V2 签名和传统 V1签名来签署应用。
新应用签名机制方案验证流程如下图所示:
新签名机制验证流程.png
Walle 和 微信资源混淆冲突
问题描述:
- Gradle Plugin 2.2 以上打包默认使用 V1和V2签名打包兼容版本;
- 使用 AndResGuard 工具对上述安装包进行资源混淆,因为该工具中仅集成了 jarsigner 没有集成 apksigner,所以最终重签的包只是 V1 签名包;
- Walle 打多渠道包,首先要校验签名包中是否进行过 V2签名,没有则直接编译失败。
问题定位:
Walle 打多渠道包仅支持含有V2签名的包,但 AndResGuard 没有集成新的签名工具 apksigner,只能得到 V1 签名的混淆包,如此两者不能同时执行。
问题解决:
1. 得到资源混淆后的包后,使用美团第一代打包方式向 META-INF 中写入空文件的方式打多渠道包,这种方式得到的包是 V1 签名;
2. 对混淆后的V1包 使用 apksigner 重新签名,重签主要要先对齐后签名。
为了练一下 Python 脚本,使用第一种方式,改为第一代多渠道打包方式进行打包。具体打包脚本是配合 assembleRelease Task 执行的,这里会用到 groovy 脚本和 python 脚本。
groovy 脚本时配合assembleRelease任务在该任务执行完成后开启另一个 task 对得到的 release 包进行资源混淆;python 脚本主要是用来进行多渠道打包,对资源混淆后的 apk 解压缩后向其 META-INF 目录下写入一个以渠道名命名的空文件。
andResGuard.gradle 完整脚本代码如下:
// 美团多渠道混淆方案V1签名实现:
// 原理:向apk文件的 META-INF 目录下写一个空文件,可以不用重新签名应用;
// 通过为不同的渠道应用添加不同的空文件,可以标识一个渠道;
// 好处:因为不用重新签名,所以节省了解压重签名的时间;另外不同于原始的多渠道打包方案,build每次只打一个渠道包,构建时间很长
// 坏处:对于使用V2签名得到的apk进行修改,v2签名就会失效,此时安装到 7.0手机,会直接提示:检测使用V2签名,但是没有这样的签名;6.0手机安装时OK的。
// 解决方式:改成 V1 签名。
def rootDir = "${project.projectDir}"
def channelFile = "${rootDir}/doc/channel"
def outputDir = "${project.projectDir}/pkg/channel_release_apks"
def emptyFile = "${rootDir}/doc/temp"
def buildChannelApkTask = {
def variantName ->
println '---begin to build channels---'
// 闭包调用
def applicationId = android.defaultConfig.applicationId
def versionCode = android.defaultConfig.versionCode
def inputApk = "${project.projectDir}/build/outputs/apk/app-${variantName}.apk"
project.exec {
workingDir "${project.projectDir}"
commandLine "python", "${rootDir}/pkg/build_channels_apk.py", "$channelFile", "$inputApk", "$outputDir", "$emptyFile", "$applicationId", "$versionCode"
}
}
afterEvaluate {
tasks.withType(Task).each { task ->
task.doLast {
// 执行 assembleRelease 打多渠道资源混淆包
if (task.name.equals("assembleRelease")) {
// 这两句执行的都是使用通过命令行执行脚本代码
resourceProguardTask("release")
buildChannelApkTask("release")
}
}
}
}
// test task
task test1 {
doLast {
buildChannelApkTask("release")
}
}
buildChannel.python 完整脚本代码如下:
import os
import zipfile
import shutil
import sys
# only for V1 signing apk -> resource proguard apk -> get channel resource proguard apk
channelFile = sys.argv[1]
inputApk = sys.argv[2]
outputDir = sys.argv[3]
emptyFile = sys.argv[4]
applicationId = sys.argv[5]
versionCode = sys.argv[6]
def deleteDir(sourceDir):
for file in os.listdir(sourceDir):
targetFile = os.path.join(sourceDir, file)
if os.path.isfile(targetFile):
os.remove(targetFile)
def buildChannelApk(apkFile, channelFile, outputDir, emptyFile, applicationId, versionCode):
print('---begin to write empty file into META-INF---')
f = open(emptyFile, 'w')
f.close()
print('---write empty file into META-INF end---')
if (os.path.exists(outputDir)):
deleteDir(outputDir)
else:
os.mkdir(outputDir)
# read channel info from channel file
print('---begin to add channel info---')
with open(channelFile, 'r') as f:
channels = f.readlines()
for c in channels:
destApkFile = '%s/%s-%s-release-%s.apk' % (outputDir, applicationId, c.strip(), versionCode)
shutil.copy(apkFile, destApkFile) # copy the original apk to destApkFile
zipped = zipfile.ZipFile(destApkFile, 'a')
empty_channel_file = "META-INF/ycchannel_{channel}".format(channel=c.strip())
zipped.write(emptyFile, empty_channel_file)
zipped.close()
print('---add channel info end---')
buildChannelApk(inputApk, channelFile, outputDir, emptyFile, applicationId, versionCode)
在命令行直接执行"gradle assembleRelease" ,查看 build 日志就会看到先会得到初始的 release 包,然后调用 resourceProguardTask("release") 执行对原始包进行资源混淆,这里也可以看到混淆时的日志,执行完毕后,脚本会执行 buildChannelApkTask("release") 对混淆后的包开始打多渠道包,也即是按照第一代V1签名方式,向 META_INF 目录下写入空文件方式。
Tips
- 这里的方案只是暂时的,V2签名是趋势,这种放弃 V2 签名的方式并不建议,可以等到微信资源混淆提供集成了新一代签名工具的 打包工具,或者自己直接对混淆后的文件再使用 新一代签名工具重签名和打包得到 V2 再使用 walle 打多渠道包。
网友评论