在Android中，源代码和资源的100%安全是不可能的。但是，你可以让逆向工程师有点困难。您可以在以下链接中找到有关此的更多详细信息：

访问安全保存常量值以及针对应用程序开发人员的移动应用程序安全最佳实践。

基本上这是不可能的。这永远不可能。然而，这是有希望的。你可以使用混淆器来实现，这样一些常见的攻击就更难执行了，包括：

重命名方法/类（因此在反编译器中，您可以获得像.a这样的类型）使控制流混乱（因此在反编译器中，代码很难阅读）加密字符串和可能的资源

我肯定还有其他的，但这是主要的。我在一家名为PreEmptive Solutions的公司工作，负责.NET混淆器。他们还有一个适用于Android的Java混淆器，一个叫做DashO的混淆器。

不过，困惑总是有代价的。值得注意的是，性能通常更差，通常需要一些额外的时间来发布。然而，如果你的知识产权对你来说非常重要，那么它通常是值得的。

否则，你唯一的选择就是让你的Android应用程序直接传递到一个承载你应用程序所有真实逻辑的服务器。这有其自身的问题，因为这意味着用户必须连接到Internet才能使用您的应用程序。

此外，不仅仅是Android有这个问题。这是每个应用商店的问题。这只是获取程序包文件有多困难的问题（例如，我不相信在iPhone上很容易，但仍然有可能）。

在计算历史上，当您将软件的工作副本提供给攻击者时，从未有过阻止软件逆向工程的可能。而且，在大多数情况下，这是不可能的。

明白了这一点，就有了一个显而易见的解决方案：不要把你的秘密泄露给攻击者。虽然你不能保护APK的内容，但你可以保护的是你没有分发的任何内容。通常，这是服务器端软件，用于激活、支付、规则执行和其他有趣的代码。您可以通过不在APK中分发有价值的资产来保护它们。相反，设置一个服务器来响应应用程序的请求，“使用”资产（无论这意味着什么），然后将结果发送回应用程序。如果这个模型不适用于你心目中的资产，那么你可能需要重新思考你的战略。

此外，如果你的首要目标是防止应用程序盗版，那就别费心了。你已经在这个问题上花费了比任何反盗版措施都能挽救你的时间和金钱。解决这一问题的投资回报率很低，甚至连思考都没有意义。

作为一个在支付平台（包括一个移动支付应用程序（MyCheck））上广泛工作的人，我想说，您需要将这种行为委托给服务器。移动应用程序中不应存储或硬编码支付处理器的用户名或密码（以其为准）。这是您最不希望看到的，因为即使您混淆了代码，也可以理解源代码。

此外，您不应在应用程序上存储信用卡或支付令牌。一切都应该再次委托给您构建的服务。这也会让你以后更容易遵守PCI标准，信用卡公司也不会像对待我们那样，让你喘不过气来。

只是上面已经很好的答案的补充。

我知道的另一个技巧是将有价值的代码存储为Java库。然后将该库设置为Android项目。与C.so文件一样好，但Android Lib可以。

这样，这些存储在Android库中的宝贵代码在反编译后将不可见。

如果我们想让逆向工程（几乎）不可能实现，我们可以将应用程序放在一个高度防篡改的芯片上，该芯片在内部执行所有敏感的内容，并与一些协议通信，使控制GUI在主机上成为可能。即使是防篡改芯片也不能100%防裂；他们只是设定了比软件方法高得多的标准。当然，这是不方便的：该应用程序需要一些小的USB疣来保持芯片插入设备。

这个问题并没有揭示出想要如此谨慎地保护这个应用程序的动机。

如果目的是通过隐藏应用程序可能存在的任何安全缺陷（已知或其他）来提高支付方法的安全性，那么这是完全错误的。如果可行的话，安全敏感位实际上应该是开源的。您应该尽可能方便任何审查您的应用程序的安全研究人员查找这些信息并仔细检查其操作，并与您联系。付款应用程序不应包含任何嵌入证书。也就是说，不应该有任何服务器应用程序仅仅因为设备具有来自工厂的固定证书而信任该设备。支付交易应仅凭用户的凭证进行，使用正确设计的端到端认证协议，避免信任应用程序、平台或网络等。

如果目标是防止克隆，除了防篡改芯片之外，你无法采取任何措施来保护程序不被反向工程和复制，从而使某人将兼容的支付方法融入自己的应用程序，从而导致“未经授权的客户”。有一些方法可以使开发未经授权的客户端变得困难。一种方法是基于程序完整状态的快照创建校验和：所有状态变量，所有内容。GUI、逻辑等等。克隆程序将不具有完全相同的内部状态。当然，它是一个状态机，具有类似的外部可见状态转换（可以通过输入和输出观察到），但几乎没有相同的内部状态。服务器应用程序可以询问程序：您的详细状态是什么？（即给我一个所有内部状态变量的校验和）。这可以与虚拟客户端代码进行比较，虚拟客户端代码在服务器上并行执行，并经过真正的状态转换。第三方克隆人必须复制真实程序的所有相关状态变化，才能给出正确的响应，这将阻碍其开发。