移动应用安全：如何避免对安卓应用进行逆向工程

由 Mux 主办的 DEV 全球展示挑战赛：展示你的项目！

移动应用安全是所有工程师最为关注的问题，也是产品质量的重要组成部分。然而，尽管移动市场快速增长，但盗版现象依然十分猖獗，尤其是在安卓生态系统中。

不幸的是，现在这款应用很容易被破解，广告很容易被屏蔽，甚至可以解除验证服务的绑定。辛辛苦苦开发一款应用，希望获得成功和利润，最终不仅可能失败，还可能“失去它”。

此外，有些人可能希望破解应用程序（设备、程序、软件），以了解其工作原理，从而窃取你的想法来改进产品，甚至只是复制产品。

这种做法被称为逆向工程，广泛应用于制造业甚至军事领域。本文将探讨如何保护您的安卓应用免受逆向工程攻击。

在安卓系统中，逆向工程是指从APK文件（一个zip压缩包）中提取源代码和资源的方法。目标应用的APK文件可以通过ADB从手机上获取，也可以直接从Google Play商店下载。

可以使用Apktool来解码资源。该工具可以将资源解码成原始形式，并在修改后重新构建 APK。它还可以将 dex 文件转换为 Smali 源代码。Smali 更像是一种汇编语言，不能用于完全重构 Java 代码。

要将 dex 文件反编译成 Java 代码，可以使用 dex2jar 工具。它可以将 dex（Android 虚拟机字节码）转换为 jar（Java 字节码）。然后，要将 jar 文件反编译成 Java 源代码，可以使用像jd-gui或JAD这样的 Java 反编译器。

然而，这种方法有一个缺点——将dex文件转换为jar文件会丢失反编译器可以使用的重要元数据。目前有两种dex反编译器可以反编译成Java源代码——Androguard DAD和JEB。

为了防止 Android 应用被逆向工程，我们使用 ProGuard。ProGuard 是一款 Java 类文件压缩、优化、混淆和预验证工具。它的工作原理如下：