Android 加固和多渠道打包自动化实践

Android 加固和多渠道打包自动化实践

背景:

爱回收拍机堂APP因为要上应用市场,渠道运营找了我希望我能给出加固的多渠道包,现在目前国内市场的android应用市场大部分都是需要加固的,所以我们需要进行加固和多渠道打包构建自动化。

前期技术调研

调研了Android原生方案,美团walle方案,360加固保三个主流的打包方案,各有优缺点:

技术方案 优点 缺点
Android原生方案 通过PrpductFlovers进行变体打包,变体与变体之间构建灵活 每个变体都是assebleXXXRelease重新打包,打包速度慢
美团walle 每个渠道是通过解apk之后,插入渠道信息,再重新签名 打包速度快 加固需要自己实现或者其他第三方方案
360加固保 同walle方案类似,打包速度快;可以加固多渠道打包一体化 渠道之间的差异需要获取meta-data硬编码

我们实际需求

  • 目前每个渠道只是一个纯粹的apk进行上架,暂时没有针对某个渠道进行特殊化需求。

  • 我们需要将渠道的来源传递给BI进行渠道分析

  • 很多渠道上架需要加固apk,所以必须需要apk加固

结合上面的调研和我们实际的需求,我们决定选择360加固包进行加固。

那就开始整。。。

加固打包流程图

流程图.png

需求梳理

  1. 在assembleRelease后面新建一个任务来处理apk包

  2. 找到assembleRelease生成的app-release.apk

  3. 对这个apk进行加固

  4. 对这个apk进行多渠道打包

  5. 对多渠道的apk重新签名

  6. 把apk包持续交付给测试和渠道运营

代码实现

找到360加固宝的zip以及文档:

360加固保下载地址:http://jiagu.360.cn/index.html

因为我们需要把自动加固和多渠道打包做到自动化CI(jenkins)上,所以我们需要使用360加固宝的命令行工具

命令行工具文档:http://jiagu.360.cn/qcms/help.html#!id=164

通过文档,找到几个关键的命令行

# 登录
java -jar jiagu.jar –login <username> <password>

#导入签名
java -jar jiagu.jar  -importsign <keystore_path> <keystore_password> <alias><alias_password>

#导入渠道列表文件
java -jar jiagu.jar -importmulpkg <mulpkg_path>

#加固 多渠道打包
java -jar jiagu.jar -jiagu <inputAPKpath> <outputpath> -autosign  -automulpkg

代码实现

  1. 找到assembleRelease生成的app-release.apk
    /**
     * 找出release文件app build 文件夹中
     * 只能匹配出 以apk结尾 并且包含release字符串的apk文件
     */
    findReleaseApkPath = { ->
        def appBuildOutPut = new File("${rootProject.rootDir}/app/build/outputs/apk/release")
        def apkFile = null
        appBuildOutPut.eachFile {
            if (it.name.endsWith(".apk") && it.name.contains("release")) {
                println(it)
                apkFile = it
            }
        }
        return apkFile
    }
  1. 调用360加固.jar 进行加固打包
 /**
     * 通过调用360的命令行加固并且多渠道打包
     * apk ->  原有release包的文件
     * outputPath -> 多渠道打包后文件输出路径
     */
    reinForceApk = { File apk, File outPutPath ->
        println(outPutPath)
        if (apk == null || !apk.exists()) {
            println("没有找到apk文件")
            throw new FileNotFoundException("没有找到APK文件")
        }
        if (!outPutPath.exists()) {
            outPutPath.mkdirs()
        }

        "java -jar ${rein360ForceJarPath} -login ${account360} ${psw360}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -importmulpkg ${mulpkgPath}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} –importsign ${keyStorePath} ${KEYSTORE_PASSWORD} ${KEY_ALIAS} ${KEY_PASSWORD}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -config  -analyse".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -jiagu ${apk.path} ${outPutPath.path} -autosign -automulpkg".execute().waitForProcessOutput(System.out, System.err)

    }
  1. 把这个加固的任务写在task上,并且建立在assembleRelease后面
task assembleReinForceRelease() {
    group 'multipleChannels'
    dependsOn('assembleRelease')

    doLast {
        def apk = findReleaseApkPath()
        def outputFile = new File(reinForcedOutPutPath)
        reinForceApk(apk, outputFile)
    }
}

  1. 通过Jenkins归档所有的apk文件(具体在Jenkins ci的操作)

完整的代码实现

在官网下载360加固zip包解压到工程的子目录下,目录结构如下:

目录树状图.png

rootProject下面新建一个multiple-channels.gradle文件

ext {
    reinForceJarPath = "${project.rootDir}/360jiagu/jiagu.jar"

    keyStorePath = "${rootProject.rootDir}/app/keystore/observer_app.keystore"

    rein360ForceDirPath = "${rootProject.rootDir}/360jiagu"

    reinForcedOutPutPath = "${rootProject.rootDir}/app/build/outputs/apk/release/channels"

    rein360ForceJarPath = "${rein360ForceDirPath}/jiagu.jar"

    account360 = "xxxx"

    psw360 = "xxxx"

    mulpkgPath = "${rein360ForceDirPath}/多渠道模板.txt"


    /**
     * 找出release文件app build 文件夹中
     * 只能匹配出 以apk结尾 并且包含release字符串的apk文件
     */
    findReleaseApkPath = { ->
        def appBuildOutPut = new File("${rootProject.rootDir}/app/build/outputs/apk/release")
        def apkFile = null
        appBuildOutPut.eachFile {
            if (it.name.endsWith(".apk") && it.name.contains("release")) {
                println(it)
                apkFile = it
            }
        }
        return apkFile
    }


    /**
     * 通过调用360的命令行加固并且多渠道打包
     * apk ->  原有release包的文件
     * outputPath -> 多渠道打包后文件输出路径
     */
    reinForceApk = { File apk, File outPutPath ->
        println(outPutPath)
        if (apk == null || !apk.exists()) {
            println("没有找到apk文件")
            throw new FileNotFoundException("没有找到APK文件")
        }
        if (!outPutPath.exists()) {
            outPutPath.mkdirs()
        }

        "java -jar ${rein360ForceJarPath} -login ${account360} ${psw360}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -importmulpkg ${mulpkgPath}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} –importsign ${keyStorePath} ${KEYSTORE_PASSWORD} ${KEY_ALIAS} ${KEY_PASSWORD}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -config  -analyse".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -jiagu ${apk.path} ${outPutPath.path} -autosign -automulpkg".execute().waitForProcessOutput(System.out, System.err)

    }
}

在app module下build.gradle添加

apply from: "../multiple-channels.gradle"

task assembleReinForceRelease() {
    group 'multipleChannels'
    dependsOn('assembleRelease')

    doLast {
        def apk = findReleaseApkPath()
        def outputFile = new File(reinForcedOutPutPath)
        reinForceApk(apk, outputFile)
    }
}

最后

调用./gradlew assembleReinForceRelease 就可以加固并且打完所有的渠道包了

截屏2019-10-22下午6.02.12.png

一些坑

第一个

个人开发电脑是mac Jenkins CI是linux,下载的zip是mac的版本,在Jenkins会报aapt check failed. null的错。

第二个

360加固宝的命令是需要网络请求,是需要等待login的异步返回登录结果的

原本的

  exec {
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath} -login ${jia_gu_user_name} ${jia_gu_psw}")
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath} -importmulpkg ${mulpkgPath}")
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath} -importsign ${keyStorePath} ${KEYSTORE_PASSWORD} ${KEY_ALIAS} ${KEY_PASSWORD}")
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath} -showmulpkg")
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath}  -showconfig")
            commandLine("sh", "-c", "java -jar ${rein360ForceJarPath}  -jiagu ${apk.path} ${outPutPath.path} -autosign -automulpkg")
        }

改为等待结果的shell


  "java -jar ${rein360ForceJarPath} -login ${account360} ${psw360}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -importmulpkg ${mulpkgPath}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} –importsign ${keyStorePath} ${KEYSTORE_PASSWORD} ${KEY_ALIAS} ${KEY_PASSWORD}".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -config  -analyse".execute().waitForProcessOutput(System.out, System.err)

        "java -jar ${rein360ForceJarPath} -jiagu ${apk.path} ${outPutPath.path} -autosign -automulpkg".execute().waitForProcessOutput(System.out, System.err)

通过反编译发现360会在代码里面注入很多360的服务,广播,activity和application加载器

截屏2019-10-23上午10.11.09.png

发现360会在清单文件里面修改application的指向文件。

除此之外如果你选择了更新服务和其他的服务的话他还可能会在文件里面增加更新服务更新广播,总之四大组件都增加了个遍。

这样我们可能会被360增加广告之类的服务,丧失了app的部分控制权。

再结合360市场必须360加固,应用宝必须legu加固,所以360加固的不能再应用宝上线。

综合以上的几个点,我们更改技术方案是:

  1. 使用VasDolly多渠道打包(walle pluin 总是加载失败就放弃了)

  2. 其他市场直接上架,需要加固的市场让运营的同事手动加固一下。

集成VasDolly

github地址 https://github.com/Tencent/VasDolly

首选命令行工具 因为我们之前都写了那么多,不能荒废啊

命令行说明地址 :https://github.com/Tencent/VasDolly/blob/master/command/README.md

新建一个vasdolly文件夹 下载jar包放进去

java -jar VasDolly.jar put -c channel.txt /home/user/base.apk /home/user/

VasDolly 的原理介绍:

https://github.com/Tencent/VasDolly/wiki/VasDolly%E5%AE%9E%E7%8E%B0%E5%8E%9F%E7%90%86

他是基于v1和v2签名方式,在签名中写入渠道参数。👍👍👍👍👍,速度快还对于apk本身没有任何侵入,只是在签名上增加了渠道信息。

最后vasdolly完整代码

新增目录结构 删除所有360加固的文件夹 新增一个vasdolly文件夹

截屏2019-10-23下午3.22.47.png

multiple-channeles.gradle

ext {
    jarPath = "${project.rootDir}/vasdolly/VasDolly.jar"
    channelsPath = "${project.rootDir}/vasdolly/channels.txt"
    outputChannelsFilePath = "${project.rootDir}/app/build/outputs/apk/release/channels/"


    /**
     * 找出release文件app build 文件夹中
     * 只能匹配出 以apk结尾 并且包含release字符串的apk文件
     */
    findReleaseApkPath = { ->
        def appBuildOutPut = new File("${rootProject.rootDir}/app/build/outputs/apk/release")
        def apkFile = null
        appBuildOutPut.eachFile {
            if (it.name.endsWith(".apk") && it.name.contains("release")) {
                apkFile = it
            }
        }
        return apkFile
    }


    /**
     * 通过调用360的命令行加固并且多渠道打包
     * apk ->  原有release包的文件
     * outputPath -> 多渠道打包后文件输出路径
     */
    buildMultipleChannels = { File apk, File outPutPath ->
        println(outPutPath)
        if (apk == null || !apk.exists()) {
            throw new FileNotFoundException("没有找到APK文件")
        }
        if (!outPutPath.exists()) {
            outPutPath.mkdirs()
        }

        def cmd = "java -jar ${jarPath} put -c ${channelsPath} ${apk} ${outPutPath}"
        println cmd
        cmd.execute().waitForProcessOutput(System.out, System.err)
    }
}

app build.gradle


apply from: "../vasdolly/multiple-channels.gradle"


/**
 * 开启多渠道打包的任务
 * 这个任务会依赖assembleRelease 打出来的apk包
 */
task assembleMultipleChannelsRelease() {
    group 'multipleChannels'
    dependsOn('assembleRelease')

    doLast {
        buildMultipleChannels(findReleaseApkPath(), new File(outputChannelsFilePath))
    }
}

代码中获取渠道名称

fun getChannelName(ctx: Activity): String {
    return try {
        ChannelReaderUtil.getChannel(ctx.application)
    } catch (e: Exception) {
        e.printStackTrace()
        "official"
    }
}

代码更加简洁了。👍👍👍👍👍👍

最终我们执行 ./gradlew assembleMultipleChannelsRelease

查看结果:

截屏2019-10-23下午3.34.21.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342