只是上面已经很好的答案的补充。

我知道的另一个技巧是将有价值的代码存储为Java库。然后将该库设置为Android项目。与C.so文件一样好，但Android Lib可以。

这样，这些存储在Android库中的宝贵代码在反编译后将不可见。

这里的主要问题是，dex文件是否可以反编译，答案是它们可以“有点”。有像dedexer和smali这样的拆装器。

正确配置的ProGuard会使代码变得模糊。DexGuard是ProGuard的商业扩展版本，它可能会有更多帮助。然而，您的代码仍然可以转换为smali，具有逆向工程经验的开发人员将能够从smali中了解您正在做什么。

也许选择一个好的许可证，并以最好的方式通过法律强制执行。

在计算历史上，当您将软件的工作副本提供给攻击者时，从未有过阻止软件逆向工程的可能。而且，在大多数情况下，这是不可能的。

明白了这一点，就有了一个显而易见的解决方案：不要把你的秘密泄露给攻击者。虽然你不能保护APK的内容，但你可以保护的是你没有分发的任何内容。通常，这是服务器端软件，用于激活、支付、规则执行和其他有趣的代码。您可以通过不在APK中分发有价值的资产来保护它们。相反，设置一个服务器来响应应用程序的请求，“使用”资产（无论这意味着什么），然后将结果发送回应用程序。如果这个模型不适用于你心目中的资产，那么你可能需要重新思考你的战略。

此外，如果你的首要目标是防止应用程序盗版，那就别费心了。你已经在这个问题上花费了比任何反盗版措施都能挽救你的时间和金钱。解决这一问题的投资回报率很低，甚至连思考都没有意义。

基本上这是不可能的。这永远不可能。然而，这是有希望的。你可以使用混淆器来实现，这样一些常见的攻击就更难执行了，包括：

重命名方法/类（因此在反编译器中，您可以获得像.a这样的类型）使控制流混乱（因此在反编译器中，代码很难阅读）加密字符串和可能的资源

我肯定还有其他的，但这是主要的。我在一家名为PreEmptive Solutions的公司工作，负责.NET混淆器。他们还有一个适用于Android的Java混淆器，一个叫做DashO的混淆器。

不过，困惑总是有代价的。值得注意的是，性能通常更差，通常需要一些额外的时间来发布。然而，如果你的知识产权对你来说非常重要，那么它通常是值得的。

否则，你唯一的选择就是让你的Android应用程序直接传递到一个承载你应用程序所有真实逻辑的服务器。这有其自身的问题，因为这意味着用户必须连接到Internet才能使用您的应用程序。

此外，不仅仅是Android有这个问题。这是每个应用商店的问题。这只是获取程序包文件有多困难的问题（例如，我不相信在iPhone上很容易，但仍然有可能）。

可信平台模块（TPM）芯片不应该为您管理受保护的代码吗？

它们在个人电脑（尤其是苹果电脑）上越来越常见，并且可能已经存在于今天的智能手机芯片中。不幸的是，目前还没有任何OS API可以使用它。希望有一天，Android会增加对此的支持。这也是清洁内容DRM（Google正在为WebM开发）的关键。

1.如何完全避免Android APK的反向工程？这可能吗？

AFAIK，没有任何技巧可以完全避免逆向工程。

@inazaruk也说得很好：无论你对代码做了什么，潜在的攻击者都可以以她或他认为可行的任何方式修改代码。你基本上无法保护你的应用程序不被修改。您在其中放置的任何保护都可以禁用/删除。

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

不过，你可以使用不同的技巧来提高黑客攻击的难度。例如，使用混淆（如果是Java代码）。这通常会大大降低逆向工程的速度。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

正如大家所说的，正如你可能知道的，没有100%的安全性。但谷歌内置的安卓系统的起点是ProGuard。如果您可以选择包含共享库，则可以在C++中包含所需的代码，等。如果您需要在每次构建时将外部本机库添加到APK的库文件夹中，那么你可以根据以下建议使用它。

将库放在默认为“libs”的本机库路径中您的项目文件夹。如果您为“armeabi”目标构建了本机代码，请将其放入在libs/armeabi下。如果它是用armeabi-v7a建造的，那么把它放在下面libs/armeabi-v7a。

<project>/libs/armeabi/libstuff.so