混淆技术研究笔记包含多篇内容,记录了一次混淆的研究和应用的过程。
本文首发于 CSDN,随后会发布在 MyBatis 微信公众号,通过公众号可以免费阅读。
最近有一个 Java 的底层框架需要进行混淆(从原始的 Java 项目改造为了 Maven 多模块),而且要实现和该框架以前一样的混淆和反篡改功能(旧的打包配置我没权限看到),为了实现这些功能,开始了本系列的研究。
1. 常见工具介绍
第一节先来点简单的内容,下面是通过 AI 生成的几款常见的混淆工具简介及对比。
ProGuard
优点: 使用广泛,集成在 Android Studio 中,方便使用。可以缩减代码大小,提高加载效率。
缺点: 主要针对 Java,混淆效果一般。配置复杂,需要处理好白名单。
yGuard
优点: 专门为Android应用设计,混淆效果好。可完全混淆资源文件。
缺点: 学习成本较高,文档不完善。
Bangcle
优点: 无需配置文件,操作简单。支持多种语言的混淆。
缺点: 仅支持在线混淆,需要上传源码,有安全风险,混淆效果一般。
Allatori
优点: 支持多语言,混淆效果强,配置简单。
缺点: 收费昂贵,无法定制规则。
总体来说
YGuard 和 ProGuard 在 Android 混淆中用得较多,前者混淆效果较好,后者使用简单成熟。商业工具混淆效果好但昂贵。所以可以根据需要在这些工具中选择。
我以前用过几次 ProGuard,也知道 yGuard。所以一开始先把 ProGuard 的配置拿来试了试,发现不适合多模块项目的混淆,又了解一下 yGuard,发现也不适合多模块混淆,但是看到下面的配置时,直觉告诉我这种配置方式大概率能够实现多模块混淆。
<inoutpair in="..\modle-b\target\modle-b-${project.version}.jar"
out="..\modle-b\target\modle-b-${project.version}.jar"/>
yGuard确实能实现多模块混淆,也方便和CI/CD流程结合,因此本文后续内容使用的 yGuard 混淆工具。
什么是多模块混淆?
常见的这些工具如果在 Maven 中使用,就只能针对一个模块进行混淆,例如下面的项目:
module-parent
├─module-a
├─module-b
└─module-c
一般只能分别对a,b,c进行混淆,我称这种为单模块混淆。
模块之间如果存在调用关系,就要把需要暴露的接口配置为不混淆,否则混淆后互相不认识就无法调用了,这是单模块混淆的最大特点,如果需要被调用,一定会暴露入口。
多模块混淆就不一样,在混淆的时候,a,b,c一起混淆,如果最终对外暴露的是a中的接口,那么b,c中的所有代码都可以被混淆,也就是b,c无法被单独调用,和a一起的时候,a可以正常调用,a中和b,c有关的调用都是混淆后的代码,这种方式相对单模块混淆更安全,暴露的细节更少。如果软件中有授权相关的重要代码,通过多模块混淆可以更彻底的混淆,然后混入到其他模块中。
