你的客户应该雇佣一个知道他们在做什么、能够做出正确决定并能够指导你的人。

上面所说的你有能力改变后端的事务处理系统是荒谬的——你不应该被允许进行这样的架构改变，所以不要期望能够这样做。

我的理由是：

由于您的域是支付处理，因此可以安全地假设PCI DSS和/或PA DSS（以及潜在的州/联邦法律）对您的业务非常重要-为了符合要求，您必须证明自己是安全的。为了不安全，然后（通过测试）发现自己不安全，再进行修复、重新测试等，直到安全性能够在合适的水平上得到验证=昂贵、缓慢、高风险的成功方法。要做正确的事情，要事先认真思考，让有经验的人才投入工作，以安全的方式发展，然后测试、修复（更少）等，直到安全性可以在合适的水平上得到验证=廉价、快速、低风险的成功方式。

1.如何完全避免Android APK的反向工程？这可能吗？

AFAIK，没有任何技巧可以完全避免逆向工程。

@inazaruk也说得很好：无论你对代码做了什么，潜在的攻击者都可以以她或他认为可行的任何方式修改代码。你基本上无法保护你的应用程序不被修改。您在其中放置的任何保护都可以禁用/删除。

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

不过，你可以使用不同的技巧来提高黑客攻击的难度。例如，使用混淆（如果是Java代码）。这通常会大大降低逆向工程的速度。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

正如大家所说的，正如你可能知道的，没有100%的安全性。但谷歌内置的安卓系统的起点是ProGuard。如果您可以选择包含共享库，则可以在C++中包含所需的代码，等。如果您需要在每次构建时将外部本机库添加到APK的库文件夹中，那么你可以根据以下建议使用它。

将库放在默认为“libs”的本机库路径中您的项目文件夹。如果您为“armeabi”目标构建了本机代码，请将其放入在libs/armeabi下。如果它是用armeabi-v7a建造的，那么把它放在下面libs/armeabi-v7a。

<project>/libs/armeabi/libstuff.so

这里的主要问题是，dex文件是否可以反编译，答案是它们可以“有点”。有像dedexer和smali这样的拆装器。

正确配置的ProGuard会使代码变得模糊。DexGuard是ProGuard的商业扩展版本，它可能会有更多帮助。然而，您的代码仍然可以转换为smali，具有逆向工程经验的开发人员将能够从smali中了解您正在做什么。

也许选择一个好的许可证，并以最好的方式通过法律强制执行。

工具：在应用程序中使用ProGuard，可以限制其对应用程序进行反向工程

1.如何完全避免Android APK的反向工程？这可能吗？

不可能的

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

不可能的

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

可能会更难，但事实上，对于普通用户来说，这将更难，因为他们只是在谷歌上搜索黑客指南。如果有人真的想入侵你的应用程序，它迟早会被入侵。

1.如何完全避免Android APK的反向工程？这可能吗？

这是不可能的

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

当某人将.apk扩展名更改为.zip，然后在解压缩之后，某人可以轻松地获取所有资源（Manifest.xml除外），但使用APKtool，也可以获取清单文件的真实内容。同样，一个不。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

同样，不，但你可以在一定程度上防止，

从Web下载资源并执行一些加密过程使用预编译的本机库（C、C++、JNI、NDK）始终执行一些哈希（MD5/SHA密钥或任何其他逻辑）

即使使用Smali，人们也可以使用您的代码。总而言之，这是不可能的。