公司涉及到项目安全的事例,但是打aar包可以看到所引用的代码,又不想让三方公司看到代码,所以要么混淆,要么加固。笔者觉得,既然是涉及到安全这方面的事情,那么反编译就要略有了解一下,于是查了资料,花了一个下午的时间做了一些demo练了手。以下作为一个学习记录的整理。
签名生成正式apk文件:
很多时候,笔者想要把自己的项目生成的apk发送分享给朋友,(比如曾幻想写一个小功能app给女神用,中间夹杂某一页来表白...),然后由于接触知识比较少。一直未曾实现,那么今天刚好有时间有需求,就查找相关资料做了个小例子测试。步骤如下:
这是一个简单的小项目,用以做aar嵌套的测试用例,代码结构很简单,引两个aar包而已,从Test3项目点击进入Test2的aar包的页面,再点击进入Test1的页面。但是如果不知道这些的就当做单一项目引包,在这里生成apk没有影响。
首先,我们正常运行项目之后,会生成一个debug格式的apk文件,目录结构如图:
Project模式下app-->outputs-->apk
当时天正的我以为这就是可执行的安装包,复制发送到手机上,安装失败。原因在于,这只是一个apk的目录,里面并没有手机安装这个软件的文件,所以这是行不通的。
所以正确方法是,通过签名生成正式的release格式的apk,因为背后的一系列PY交易,这里需要你的签名来确认这是你所有的apk,手机上才能通过这个安装包再进行安装。
生成正式的APK:
按要求设置生成签名的路径和两个密码,然后next。如果项目关联了github设置了密码,会跳一个输入git的密码过程,未设置则没有。
生成apk的项目,格式,下面两个选框字面意思,我是每次都选择,然后finish。
这样,在app目录下就会生成一个正式签名了的apk,复制发送到手机可以进行安装。注:此方法要手动将之前的同一ap卸载才能安装,我也不知道为什么,有大神知道可以说明一下。
反编译apk:
要想将APK文件中的代码反编译出来,我们需要用到以下两款工具:
-
dex2jar 这个工具用于将dex文件转换成jar文件
下载地址:http://sourceforge.net/projects/dex2jar/files/ -
jd-gui 这个工具用于将jar文件转换成java代码
下载地址:http://jd.benow.ca/ - apktool 这个工具用于最大幅度地还原APK文件中的9-patch图片、布局、字符串等等一系列的资源。 下载地址:http://ibotpeaches.github.io/Apktool/install/
apktool
作用:资源文件获取,可以提取出图片文件和布局文件进行使用查看
dex2jar
作用:将apk反编译成java源码(classes.dex转化成jar文件)
jd-gui
作用:查看APK中classes.dex转化成出的jar文件,即源码文件
反编译流程:
一、apk反编译得到程序的源代码、图片、XML配置、语言资源等文件
下载上述工具中的apktool,解压得到3个文件:aapt.exe,apktool.bat,apktool.jar ,将需要反编译的APK文件放到该目录下,
(如不想获取资源文件和布局文件,可直接跳至第二步)
打开命令行界面(运行-CMD) ,定位到apktool文件夹,输入以下命令:
***************** apktool.bat d -f test.apk test ***************
(命令中test.apk指的是要反编译的APK文件全名,test为反编译后资源文件存放的目录名称,即为:apktool.bat d -f [apk文件 ] [输出文件夹])
二、Apk反编译得到Java源代码
下载上述工具中的dex2jar和jd-gui ,解压
将要反编译的APK解压,如果不能解压就把后缀名改为.rar或则 .zip在,得到其中的额classes.dex文件(它就是java文件编译再通过dx工具打包而成的),将获取到的classes.dex放到之前解压出来的工具dex2jar-0.0.9.15 文件夹内,
在命令行下定位到dex2jar.bat所在目录,输入
****************** dex2jar.bat classes.dex *********************
在改目录下会生成一个classes_dex2jar.jar的文件,然后打开工具jd-gui文件夹里的jd-gui.exe,之后用该工具打开之前生成的classes_dex2jar.jar文件,便可以看到源码了