1.如何完全避免Android APK的反向工程？这可能吗？

这是不可能的

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

当某人将.apk扩展名更改为.zip，然后在解压缩之后，某人可以轻松地获取所有资源（Manifest.xml除外），但使用APKtool，也可以获取清单文件的真实内容。同样，一个不。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

同样，不，但你可以在一定程度上防止，

从Web下载资源并执行一些加密过程使用预编译的本机库（C、C++、JNI、NDK）始终执行一些哈希（MD5/SHA密钥或任何其他逻辑）

即使使用Smali，人们也可以使用您的代码。总而言之，这是不可能的。

此处同意@Muhammad Saqib：https://stackoverflow.com/a/46183706/2496464

@Mumair提供了良好的开始步骤：https://stackoverflow.com/a/35411378/474330

假设您分发到用户设备的所有内容都属于用户，这总是安全的。简单明了。你也许可以使用最新的工具和程序来加密你的知识产权，但没有办法阻止一个有决心的人“研究”你的系统。即使目前的技术可能会让他们很难获得不需要的访问权限，明天，甚至下一个小时，可能会有一些简单的方法！

因此，方程式如下：

说到钱，我们总是认为客户是不可信的。

即使在游戏内经济这么简单的情况下。（尤其是在游戏中！那里有更多“老练”的用户，漏洞在几秒钟内就扩散了！）

我们如何保持安全？

大多数（如果不是全部）关键处理系统（当然还有数据库）都位于服务器端。客户端和服务器之间存在加密通信、验证等。这就是瘦客户端的概念。

当他们在手机上安装该应用程序时，他们可以完全访问该应用程序的内存。因此，如果你想防止它被黑客入侵，你可以尝试将其制作成这样，你就不能通过使用调试器直接获取静态内存地址。如果有地方可以写并且有限制，那么它们可能会发生堆栈缓冲区溢出。所以在他们写东西的时候尽量做到这一点，如果你必须有一个限制，如果他们发送的字符数超过了限制，如果（input＞limit）则忽略，这样他们就不能把汇编代码放在那里。

完全避免逆向工程是不可能的，但通过在内部使其更加复杂，攻击者可能更难看到应用程序的清晰操作，这可能会减少攻击向量的数量。

如果应用程序处理高度敏感的数据，则存在各种技术，这些技术会增加代码反向工程的复杂性。一种技术是使用C/C++来限制攻击者容易进行的运行时操作。有大量的C和C++库非常成熟，易于集成，Android提供JNI。

攻击者必须首先绕过调试限制，才能在较低级别上攻击应用程序。这增加了攻击的复杂性。Android应用程序应在应用程序清单中设置Android:debuggable=“false”，以防止攻击者或恶意软件轻易地进行运行时操作。

跟踪检查–应用程序可以确定调试器或其他调试工具当前是否正在跟踪它。如果被跟踪，应用程序可以执行任意数量的可能的攻击响应动作，例如丢弃加密密钥以保护用户数据、通知服务器管理员或其他此类类型的响应以试图自卫。这可以通过检查进程状态标志或使用其他技术来确定，如比较ptrace附件的返回值、检查父进程、进程列表中的黑名单调试器或比较程序不同位置的时间戳。

优化-为了隐藏高级数学计算和其他类型的复杂逻辑，利用编译器优化可以帮助混淆目标代码，使其不易被攻击者分解，从而使攻击者更难理解特定代码。在Android中，这可以通过使用NDK本地编译的库更容易地实现。此外，使用LLVM混淆器或任何保护器SDK将提供更好的机器代码混淆。

剥离二进制文件–剥离本机二进制文件是一种有效的方法，可以增加攻击者查看应用程序低级功能组成所需的时间和技能水平。通过剥离二进制文件，二进制文件的符号表被剥离，这样攻击者就无法轻松调试或反向工程应用程序。您可以参考GNU/Linux系统上使用的技术，如sstriping或使用UPX。

最后，您必须了解混淆和ProGuard等工具。

如果你的应用程序如此敏感，那么你应该考虑服务器端的支付处理部分。尝试更改付款处理算法。使用Android应用程序仅用于收集和显示用户信息（即账户余额），而不是在Java代码中处理付款，请使用带有加密参数的安全SSL协议将此任务发送到您的服务器。创建一个完全加密和安全的API来与服务器通信。

当然，它也可能被黑客入侵，它与源代码保护无关，但考虑到它是另一个安全层，使黑客更难欺骗你的应用程序。

这里其他被否决的答案是正确的。我只是想提供另一种选择。

对于您认为重要的某些功能，您可以在应用程序中托管WebView控件。然后，该功能将在您的web服务器上实现。它看起来像是在您的应用程序中运行的。