此处同意@Muhammad Saqib：https://stackoverflow.com/a/46183706/2496464

@Mumair提供了良好的开始步骤：https://stackoverflow.com/a/35411378/474330

假设您分发到用户设备的所有内容都属于用户，这总是安全的。简单明了。你也许可以使用最新的工具和程序来加密你的知识产权，但没有办法阻止一个有决心的人“研究”你的系统。即使目前的技术可能会让他们很难获得不需要的访问权限，明天，甚至下一个小时，可能会有一些简单的方法！

因此，方程式如下：

说到钱，我们总是认为客户是不可信的。

即使在游戏内经济这么简单的情况下。（尤其是在游戏中！那里有更多“老练”的用户，漏洞在几秒钟内就扩散了！）

我们如何保持安全？

大多数（如果不是全部）关键处理系统（当然还有数据库）都位于服务器端。客户端和服务器之间存在加密通信、验证等。这就是瘦客户端的概念。

当您将其放在最终用户手中时，没有什么是安全的，但一些常见的做法可能会使攻击者更难窃取数据。

将主要逻辑（算法）放在服务器端。与服务器和客户端通信；确保服务器和客户端之间的通信通过SSL或HTTPS进行安全；或者使用其他技术用于密钥对生成算法（ECC和RSA）。确保敏感信息保持端到端加密。使用会话并在特定时间间隔后使其过期。加密资源并按需从服务器获取资源。或者你可以制作一个混合应用程序，通过webview访问系统，保护服务器上的资源+代码

多种方法；很明显，您必须牺牲性能和安全性。

不，不可能！

你的三个问题围绕着100%保护应用程序不被阅读。原则上这是做不到的。而且，你在尝试做这件事上投入的越多，你的体验就会越差，最终，无论哪台机器只想读你的应用。想想HTTP的HTTPS本质上有多慢，因为需要处理安全层和数学。层数越多，有人打开它的速度就越慢，但如果你真的想让它被阅读，那就永远不可能，这就是为什么它会被打包并交付的原因。

一个简单的类比是将任何给定的隐藏对象交给某人。如果那个人能看到里面的东西，那么他们就可以拍一张照片，做一些完全类似的事情。更重要的是，在代码的情况下，有足够的专业人员可以创建该对象的精确副本，即使使用完全不同的过程。

假安全感

作为一个处理应用程序，你不应该关心你认为可以在二进制代码中创建的任何安全性，也不应该关心整个系统的完整性。假设来自客户机的任何信息都可能很快变得不可靠。保持应用程序简单、流畅、快速。相反，请担心您的服务器。例如，制定一个严格的通信协议以方便地监控服务器。这是我们唯一可以依靠的。

现在，坚持我的另一个想法，如何改进服务器端。。。

嘴上的钱

我正在开发支付处理应用程序

谷歌通过使用一种简单的财务方法来“保护”谷歌Chrome，在总体上成功地避免了恶意黑客，我引述如下：

我们有50000美元的奖励，奖励参与者可以在客户模式下使用Chromebook或Chromebox进行设备持久性测试

我们真正接近100%“安全”的最佳选择是为我们的金钱价值选择正确的斗争。也许大多数人都无法提供50k的奖励，但即使是1k的奖励也会有很长的路要走，而且这也比将这些钱投资于设计任何类型的bug捕捉器要便宜得多。

投资于人工智能来识别资金流动模式，以预测潜在风险并发现小的泄漏，这也比通过任何工程来防止这两种情况要便宜得多。

明显的例外

当然，这并不能保护我们免受“疯子”和“幸运的恶作剧者”的伤害。。。但什么都不会。同时，如果设置得当，当系统重新调整时，后一组只会享受很少的时间。而一个疯子，我们只需要担心，以防它大到有一个克星。无论如何，这将是一个伟大的故事！：）

太长；没有阅读；

换言之，也许一个更好的问题可以问你自己，而不是“如何避免在我的应用程序中进行逆向工程”，而是“如何设计一个更安全的支付处理系统”，并专注于你实际想要实现的目标：一个安全的系统。

很久以前，我曾尝试写更多关于以上所有内容的文章，以回答一些问题，比如为什么我在引号中加上“安全”和“保护”（它们到底是什么意思？）。

你的客户应该雇佣一个知道他们在做什么、能够做出正确决定并能够指导你的人。

上面所说的你有能力改变后端的事务处理系统是荒谬的——你不应该被允许进行这样的架构改变，所以不要期望能够这样做。

我的理由是：

由于您的域是支付处理，因此可以安全地假设PCI DSS和/或PA DSS（以及潜在的州/联邦法律）对您的业务非常重要-为了符合要求，您必须证明自己是安全的。为了不安全，然后（通过测试）发现自己不安全，再进行修复、重新测试等，直到安全性能够在合适的水平上得到验证=昂贵、缓慢、高风险的成功方法。要做正确的事情，要事先认真思考，让有经验的人才投入工作，以安全的方式发展，然后测试、修复（更少）等，直到安全性可以在合适的水平上得到验证=廉价、快速、低风险的成功方式。

完全避免逆向工程是不可能的，但通过在内部使其更加复杂，攻击者可能更难看到应用程序的清晰操作，这可能会减少攻击向量的数量。

如果应用程序处理高度敏感的数据，则存在各种技术，这些技术会增加代码反向工程的复杂性。一种技术是使用C/C++来限制攻击者容易进行的运行时操作。有大量的C和C++库非常成熟，易于集成，Android提供JNI。

攻击者必须首先绕过调试限制，才能在较低级别上攻击应用程序。这增加了攻击的复杂性。Android应用程序应在应用程序清单中设置Android:debuggable=“false”，以防止攻击者或恶意软件轻易地进行运行时操作。

跟踪检查–应用程序可以确定调试器或其他调试工具当前是否正在跟踪它。如果被跟踪，应用程序可以执行任意数量的可能的攻击响应动作，例如丢弃加密密钥以保护用户数据、通知服务器管理员或其他此类类型的响应以试图自卫。这可以通过检查进程状态标志或使用其他技术来确定，如比较ptrace附件的返回值、检查父进程、进程列表中的黑名单调试器或比较程序不同位置的时间戳。

优化-为了隐藏高级数学计算和其他类型的复杂逻辑，利用编译器优化可以帮助混淆目标代码，使其不易被攻击者分解，从而使攻击者更难理解特定代码。在Android中，这可以通过使用NDK本地编译的库更容易地实现。此外，使用LLVM混淆器或任何保护器SDK将提供更好的机器代码混淆。

剥离二进制文件–剥离本机二进制文件是一种有效的方法，可以增加攻击者查看应用程序低级功能组成所需的时间和技能水平。通过剥离二进制文件，二进制文件的符号表被剥离，这样攻击者就无法轻松调试或反向工程应用程序。您可以参考GNU/Linux系统上使用的技术，如sstriping或使用UPX。

最后，您必须了解混淆和ProGuard等工具。

1.如何完全避免Android APK的反向工程？这可能吗？

那是不可能的

2.如何保护应用程序的所有资源、资产和源代码，使黑客无法以任何方式破解APK文件？

开发人员可以采取一些措施，例如使用ProGuard之类的工具来混淆他们的代码，但到目前为止，要完全阻止某人对应用程序进行反编译还是相当困难的。

这是一个非常棒的工具，可以增加“反转”代码的难度，同时缩小代码的占地面积。

集成ProGuard支持：ProGuard现在与SDK工具一起打包。开发人员现在可以将其代码作为发布构建的集成部分进行模糊处理。

3.有没有办法让黑客攻击变得更加困难甚至不可能？我还能做什么来保护APK文件中的源代码？

在研究期间，我了解了HoseDex2Jar。此工具将保护您的代码不被反编译，但似乎不可能完全保护您的。

一些有用的链接，你可以参考它们。

Proguard、Android和许可服务器保护Android LVL应用程序堆栈溢出问题：保护Android应用程序不受反向工程的影响真的不可能吗？堆栈溢出问题如何防止Android APK文件反向工程以保护代码？