一、StringFog 作用

一款自动对dex/aar/jar文件中的字符串进行加密Android插件工具，正如名字所言，给字符串加上一层雾霭，使人难以窥视其真面目。可以用于增加反编译难度，防止字符串代码重复。

• 支持java/kotlin。
• 支持app打包生成的apk加密。
• 支持aar和jar等库文件加密。
• 支持加解密算法的自主扩展。
• 支持配置可选代码加密。
• 完全Gradle自动化集成。
• 不支持InstantRun

github地址：GitHub - MegatronKing/StringFog: 一款自动对字节码中的字符串进行加密Android插件工具

二、效果

加密前：ToastUtils.showShort("Copied to clipboard")

加密后： ToastUtils.iIi1(IL.IL1Iii("njfbY/eJG2iyeMhm+51Zc7wqzw==\n", "3VirCpLtOxw=\n"), new Object[0]);

由于我还加了字典混淆，所以方法名这些也变了。但是字典混淆并不会替换字符串，所以又加了字符串加密，可以看到，反编译（jadx）后的代码，区别大的不行！

tips：

StringFog和混淆完全不冲突，也不需要配置反混淆，实际上StringFog配上混淆效果会更好！

三、实现过程

其实就是普通三方依赖接入的过程，个人在此做个总结，方便以后接入。

tips：官方已经有5.0.1版本了，但是有同事反馈有概率会有问题，所以还是用的4.0.1版本

1.项目/根目录的build.gradle 添加依赖

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        ...
        classpath 'com.github.megatronking.stringfog:gradle-plugin:4.0.1'
        // 选用加解密算法库，默认实现了xor算法，也可以使用自己的加解密库。
        classpath 'com.github.megatronking.stringfog:xor:4.0.1'
    }
}

2.在app或者你要使用的lib的build.gradle文件下配置

apply plugin: 'stringfog'

// 导入RandomKeyGenerator类，如果使用HardCodeKeyGenerator，更换下类名
import com.github.megatronking.stringfog.plugin.kg.RandomKeyGenerator
import com.github.megatronking.stringfog.plugin.StringFogMode

stringfog {
    // 必要：加解密库的实现类路径，需和上面配置的加解密算法库一致。
    implementation 'com.github.megatronking.stringfog.xor.StringFogImpl'
    // 可选：StringFog会自动尝试获取packageName，如果遇到获取失败的情况，可以显式地指定。
    packageName 'com.github.megatronking.stringfog.app'
    // 可选：加密开关，默认开启。
    enable true
    // 可选：指定需加密的代码包路径，可配置多个，未指定将默认全部加密。
    fogPackages = ['com.xxx.xxx']
    // 可选（3.0版本新增）：指定密钥生成器，默认使用长度8的随机密钥（每个字符串均有不同随机密钥）,
    // 也可以指定一个固定的密钥：HardCodeKeyGenerator("This is a key")
    kg new RandomKeyGenerator()
    // 可选（4.0版本新增）：用于控制字符串加密后在字节码中的存在形式, 默认为base64，
    // 也可以使用text或者bytes
    mode StringFogMode.base64
}

我的配置是：

粘贴个图片，因为部分同事在接入的时候，不清楚这个东西该放哪儿。

3、在app或lib的build.gradle中引入加解密库依赖。

dependencies {
      ...
      // 这里要和上面选用的加解密算法库一致，用于运行时解密。
    implementation 'com.github.megatronking.stringfog:xor:4.0.1'
}

4.注意事项

从AGP 8.0开始，默认不生成BuildConfig，但是StringFog依赖此配置，请注意加上下面的配置。

android {
    // 注意请加上此配置
    buildFeatures {
        buildConfig = true
    }
    ...
}

同步项目的时候，记得去依赖库列表看库拉下来没得。不然你的第二步的stringfog配置会爆红，然后第二步的配置，部分是可选的配置，可以自己酌情删掉，此外，同步，rebuild的时候，多注意报错信息，根据报错去改，遇到麻烦可能会整挺久。 

 四、是否生效

依赖库接入成功后，并不是立马就在代码里看到加密后的字符串，那样子本地也读不懂代码了，更别提更改了。如何查看是否生效，则需要打包后，反编译查看代码。如果生效，那可以看到你的字符串已经完全读不懂了，没生效则还是原来的字符串，跟明显。

如果没生效，检查配置是否有问题，清理本地的缓存，重启android studio，更改debug/release等环境试一试。

五、反编译

使用的是Jadx：

GitHub - skylot/jadx: Dex to Java decompiler