Android 7.0中的APK签名方案v2（Nougat）

PackageManager类现在支持使用APK签名方案v2验证应用程序。APK签名方案v2是一个完整的文件签名方案，通过检测对APK文件的任何未经授权的更改，显著提高了验证速度并加强了完整性保证。

为了保持向后兼容性，APK必须在使用v2签名方案签名之前使用v1签名方案（JAR签名方案）签名。使用v2签名方案，如果在使用v2方案签名后使用附加证书对APK进行签名，则验证失败。

APK签名方案v2支持稍后将在N开发者预览版中提供。

http://developer.android.com/preview/api-overview.html#apk_signature_v2

以下是一些可以尝试的方法：

使用混淆和ProGuard等工具。加密部分源代码和数据。在应用程序中使用专有的内置校验和来检测篡改。引入代码以避免在调试器中加载，也就是说，让应用程序能够检测调试器并退出/终止调试器。将身份验证分离为在线服务。使用应用程序多样性在验证设备之前，使用指纹技术，例如，来自不同子系统的设备的硬件签名。

工具：在应用程序中使用ProGuard，可以限制其对应用程序进行反向工程

此处同意@Muhammad Saqib：https://stackoverflow.com/a/46183706/2496464

@Mumair提供了良好的开始步骤：https://stackoverflow.com/a/35411378/474330

假设您分发到用户设备的所有内容都属于用户，这总是安全的。简单明了。你也许可以使用最新的工具和程序来加密你的知识产权，但没有办法阻止一个有决心的人“研究”你的系统。即使目前的技术可能会让他们很难获得不需要的访问权限，明天，甚至下一个小时，可能会有一些简单的方法！

因此，方程式如下：

说到钱，我们总是认为客户是不可信的。

即使在游戏内经济这么简单的情况下。（尤其是在游戏中！那里有更多“老练”的用户，漏洞在几秒钟内就扩散了！）

我们如何保持安全？

大多数（如果不是全部）关键处理系统（当然还有数据库）都位于服务器端。客户端和服务器之间存在加密通信、验证等。这就是瘦客户端的概念。

当他们在手机上安装该应用程序时，他们可以完全访问该应用程序的内存。因此，如果你想防止它被黑客入侵，你可以尝试将其制作成这样，你就不能通过使用调试器直接获取静态内存地址。如果有地方可以写并且有限制，那么它们可能会发生堆栈缓冲区溢出。所以在他们写东西的时候尽量做到这一点，如果你必须有一个限制，如果他们发送的字符数超过了限制，如果（input＞limit）则忽略，这样他们就不能把汇编代码放在那里。

1.如何完全避免Android APK的反向工程？这可能吗？

那是不可能的

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

开发人员可以采取一些措施，例如使用ProGuard之类的工具来混淆他们的代码，但到目前为止，要完全阻止某人对应用程序进行反编译还是相当困难的。

这是一个非常棒的工具，可以增加“反转”代码的难度，同时缩小代码的占地面积。

集成ProGuard支持：ProGuard现在与SDK工具一起打包。开发人员现在可以将其代码作为发布构建的集成部分进行模糊处理。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

在研究期间，我了解了HoseDex2Jar。此工具将保护您的代码不被反编译，但似乎不可能完全保护您的。

一些有用的链接，你可以参考它们。

Proguard、Android和许可服务器保护Android LVL应用程序堆栈溢出问题：保护Android应用程序不受反向工程的影响真的不可能吗？堆栈溢出问题如何防止Android APK文件反向工程以保护代码？