我知道一些银行应用程序正在使用DexGuard，它提供了类、字符串、资产、资源文件和本地库的混淆和加密。

我如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

APK文件受SHA-1算法保护。您可以在APK的META-INF文件夹中看到一些文件。如果您提取任何APK文件并更改其内容并再次压缩，当您在Android机器上运行新的APK文件时，它将无法工作，因为SHA-1哈希永远不会匹配。

如果你的应用程序如此敏感，那么你应该考虑服务器端的支付处理部分。尝试更改付款处理算法。使用Android应用程序仅用于收集和显示用户信息（即账户余额），而不是在Java代码中处理付款，请使用带有加密参数的安全SSL协议将此任务发送到您的服务器。创建一个完全加密和安全的API来与服务器通信。

当然，它也可能被黑客入侵，它与源代码保护无关，但考虑到它是另一个安全层，使黑客更难欺骗你的应用程序。

如果我们想让逆向工程（几乎）不可能实现，我们可以将应用程序放在一个高度防篡改的芯片上，该芯片在内部执行所有敏感的内容，并与一些协议通信，使控制GUI在主机上成为可能。即使是防篡改芯片也不能100%防裂；他们只是设定了比软件方法高得多的标准。当然，这是不方便的：该应用程序需要一些小的USB疣来保持芯片插入设备。

这个问题并没有揭示出想要如此谨慎地保护这个应用程序的动机。

如果目的是通过隐藏应用程序可能存在的任何安全缺陷（已知或其他）来提高支付方法的安全性，那么这是完全错误的。如果可行的话，安全敏感位实际上应该是开源的。您应该尽可能方便任何审查您的应用程序的安全研究人员查找这些信息并仔细检查其操作，并与您联系。付款应用程序不应包含任何嵌入证书。也就是说，不应该有任何服务器应用程序仅仅因为设备具有来自工厂的固定证书而信任该设备。支付交易应仅凭用户的凭证进行，使用正确设计的端到端认证协议，避免信任应用程序、平台或网络等。

如果目标是防止克隆，除了防篡改芯片之外，你无法采取任何措施来保护程序不被反向工程和复制，从而使某人将兼容的支付方法融入自己的应用程序，从而导致“未经授权的客户”。有一些方法可以使开发未经授权的客户端变得困难。一种方法是基于程序完整状态的快照创建校验和：所有状态变量，所有内容。GUI、逻辑等等。克隆程序将不具有完全相同的内部状态。当然，它是一个状态机，具有类似的外部可见状态转换（可以通过输入和输出观察到），但几乎没有相同的内部状态。服务器应用程序可以询问程序：您的详细状态是什么？（即给我一个所有内部状态变量的校验和）。这可以与虚拟客户端代码进行比较，虚拟客户端代码在服务器上并行执行，并经过真正的状态转换。第三方克隆人必须复制真实程序的所有相关状态变化，才能给出正确的响应，这将阻碍其开发。

作为一个在支付平台（包括一个移动支付应用程序（MyCheck））上广泛工作的人，我想说，您需要将这种行为委托给服务器。移动应用程序中不应存储或硬编码支付处理器的用户名或密码（以其为准）。这是您最不希望看到的，因为即使您混淆了代码，也可以理解源代码。

此外，您不应在应用程序上存储信用卡或支付令牌。一切都应该再次委托给您构建的服务。这也会让你以后更容易遵守PCI标准，信用卡公司也不会像对待我们那样，让你喘不过气来。

Android 7.0中的APK签名方案v2（Nougat）

PackageManager类现在支持使用APK签名方案v2验证应用程序。APK签名方案v2是一个完整的文件签名方案，通过检测对APK文件的任何未经授权的更改，显著提高了验证速度并加强了完整性保证。

为了保持向后兼容性，APK必须在使用v2签名方案签名之前使用v1签名方案（JAR签名方案）签名。使用v2签名方案，如果在使用v2方案签名后使用附加证书对APK进行签名，则验证失败。

APK签名方案v2支持稍后将在N开发者预览版中提供。

http://developer.android.com/preview/api-overview.html#apk_signature_v2