如何打印日志管怠？這不是很簡(jiǎn)單葡缰，直接使用android.util.Log這個(gè)類(lèi)不就行了亏掀？然而，日志屬于非常敏感的信息泛释；逆向工程師在逆向你的程序的時(shí)候滤愕，本來(lái)需要捕捉你程序的各種輸出，然后進(jìn)行推測(cè)胁澳，順藤摸瓜然后得到需要的信息该互；一旦你的日志泄漏米者，無(wú)異于門(mén)戶(hù)洞開(kāi)韭畸，破解你的程序如入無(wú)人之境宇智。
安全的概念本來(lái)就是相對(duì)的，如果破解你程序的代價(jià)遠(yuǎn)遠(yuǎn)大于破解得到的價(jià)值胰丁，那么就可以認(rèn)為程序是“安全的”随橘；這里就分析一下，為了提高程序的安全性锦庸，在打印日志的時(shí)候應(yīng)該注意什么机蔗。
首先看看絕大部分公司以及開(kāi)發(fā)者的做法：

日志開(kāi)關(guān)＋日志類(lèi)

為了在release版本里面沒(méi)有日志輸出，一個(gè)最簡(jiǎn)單的想法是：把所有打印日志的語(yǔ)句放在一個(gè)if(DEBUG)的語(yǔ)句里面甘萧；在日常開(kāi)發(fā)的時(shí)候萝嘁，DEBUG開(kāi)關(guān)打開(kāi)，發(fā)布正式版本的時(shí)候關(guān)閉這個(gè)開(kāi)關(guān)即可扬卷，大致思路如下：

public class LogUtil {
    private static boolean DEBUG = true;// 發(fā)布的時(shí)候修改為false
    
    public static void d(String tag, String msg) {
        if (DEBUG) android.util.Log.d(TAG, msg);
    }

    // 其他debug方法
}

接下來(lái)看一個(gè)真實(shí)的例子牙言，國(guó)外的一個(gè)apk，名字叫做powerclean怪得；包名：com.lionmobi.powerclean;我們安裝這個(gè)包咱枉；發(fā)現(xiàn)很正常，沒(méi)有任何日志輸出徒恋；然后我們逆向這個(gè)apk蚕断；隨便翻看幾個(gè)類(lèi)，發(fā)現(xiàn)很多地方有類(lèi)似日志輸出：

image

我們打開(kāi)這個(gè)叫做x的類(lèi)入挣，雖然被混淆過(guò)了亿乳，但是意思很明白，跟我們上面的思路一樣：

package com.lionmobi.util;

import android.util.Log;

public class x {
    private static boolean a;

    static {
        x.a = false;
    }

    public static void d(String arg1, String arg2) {
        if(x.a) {
            Log.d(arg1, arg2);
        }
    }

    public static void e(String arg1, String arg2) {
        if(x.a) {
            Log.e(arg1, arg2);
        }
    }

    public static void i(String arg1, String arg2) {
        if(x.a) {
            Log.i(arg1, arg2);
        }
    }
}

這是一個(gè)真實(shí)的例子径筏，而且這個(gè)app的用戶(hù)還不少风皿；接下來(lái)我們看看這種方式有什么問(wèn)題。

靜態(tài)反編譯打開(kāi)日志開(kāi)關(guān)

上面的那種方式有一個(gè)問(wèn)題：雖然在release版本里面匠璧，確實(shí)沒(méi)有日志輸出桐款；但是輸出日志的代碼依然存在，只是沒(méi)有執(zhí)行到夷恍！(if條件不成立)所以魔眨，有沒(méi)有辦法讓這些代碼執(zhí)行到呢？簡(jiǎn)單來(lái)說(shuō)酿雪，就是能不能在release版本里面把這個(gè)DEBUG變量弄成true呢遏暴？當(dāng)然可以！而且做法還非常簡(jiǎn)單指黎。
我們使用apktool反編譯得到這個(gè)apk的smali代碼朋凉；然后上面的反編譯告訴我們，這個(gè)日志類(lèi)的位置是：com.lionmobi.util.x我們打開(kāi)這個(gè)x.smali文件醋安，內(nèi)容如下：

.class public Lcom/lionmobi/util/x;
.super Ljava/lang/Object;


# static fields
.field private static a:Z


# direct methods
.method static constructor <clinit>()V
    .locals 1

    const/4 v0, 0x0 # 修改為0x1 (True)

    sput-boolean v0, Lcom/lionmobi/util/x;->a:Z #初始化位置

    return-void
.end method

.method public static d(Ljava/lang/String;Ljava/lang/String;)V
    .locals 1

    sget-boolean v0, Lcom/lionmobi/util/x;->a:Z

    if-eqz v0, :cond_0

    invoke-static {p0, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

    :cond_0
    return-void
.end method

.method public static e(Ljava/lang/String;Ljava/lang/String;)V
    .locals 1

    sget-boolean v0, Lcom/lionmobi/util/x;->a:Z

    if-eqz v0, :cond_0

    invoke-static {p0, p1}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I

    :cond_0
    return-void
.end method

.method public static i(Ljava/lang/String;Ljava/lang/String;)V
    .locals 1

    sget-boolean v0, Lcom/lionmobi/util/x;->a:Z

    if-eqz v0, :cond_0

    invoke-static {p0, p1}, Landroid/util/Log;->i(Ljava/lang/String;Ljava/lang/String;)I

    :cond_0
    return-void
.end method

很明白杂彭，那個(gè)叫做a的靜態(tài)變量就是我們的開(kāi)關(guān)墓毒， 它的初始化在哪個(gè)靜態(tài)代碼塊里面；新建了一個(gè)局部變量0x0然后賦值給了a亲怠；因此所计，我們把這個(gè)0x0修改為0x1就打開(kāi)了這個(gè)開(kāi)關(guān)。很簡(jiǎn)單吧团秽，接下來(lái)我們把修改好的smali打包回去主胧，然后簽名得到一個(gè)新的可以運(yùn)行的apk；運(yùn)行一下看看結(jié)果习勤。果然踪栋，一大堆的日志輸出了出來(lái)，你的程序每一步在干什么都自己告訴別人了图毕，都不需要去猜己英；我就隨便截個(gè)圖，感受下：

image

讓release版本里面不包含日志代碼

從上面的分析我們得到一個(gè)結(jié)論：如果需要程序是“日志安全的”吴旋，那么release版本里面不應(yīng)該存在輸出日志的代碼损肛。
如何做到這一點(diǎn)呢？我們可以做一個(gè)工具荣瑟，開(kāi)發(fā)的時(shí)候治拿，正常打印日志；一旦需要發(fā)布版本笆焰，把所有打印日志的語(yǔ)句代碼劫谅，全部刪除掉。代碼很簡(jiǎn)單嚷掠，用一些正則表達(dá)式就可以做到捏检。
事實(shí)上，我們也可以使用一些別的工具不皆，來(lái)實(shí)現(xiàn)這個(gè)類(lèi)似的功能贯城；那就是proguard；提到這個(gè)工具霹娄，很多認(rèn)只是覺(jué)得他是一個(gè)代碼混淆的工具能犯，實(shí)際上，它還可以幫你剔除無(wú)用代碼犬耻！什么樣的代碼是無(wú)用代碼呢踩晶？

if (true) {
    // statement;
}

類(lèi)似于這樣，靜態(tài)編譯的時(shí)候被認(rèn)為“永遠(yuǎn)不會(huì)執(zhí)行的代碼”枕磁，就被認(rèn)為是無(wú)用代碼渡蜻，會(huì)被這個(gè)工具直接優(yōu)化掉，生成的class文件里面，這個(gè)if語(yǔ)句直接就沒(méi)有了茸苇。這個(gè)功能排苍，完美符合我們的需求；我們只需要把輸出日志的代碼用這樣的if語(yǔ)句包圍起來(lái)税弃，然后release的時(shí)候肯定會(huì)用這個(gè)工具混淆；然后凑队，在release版本里面则果，所有的輸出日志的代碼全部都沒(méi)有了！不會(huì)像以前一樣漩氨，留下一個(gè)影子西壮，只是不做事。

正確的做法

最終叫惊，我們所有打印日志的語(yǔ)句應(yīng)該如下：

// 必須是static final 也就是常量款青，這樣才能在編譯器優(yōu)化；刪除if塊
private static final boolean DEBUG = true; 

if (DEBUG) {
    android.util.Log.d(TAG, "msg to print");
}

然后霍狰，使用proguard優(yōu)化代碼即可抡草。
看起來(lái)簡(jiǎn)單，好像也與最初的“日志開(kāi)關(guān)”沒(méi)有什么區(qū)別蔗坯，仔細(xì)分析一下：

日志開(kāi)關(guān)必須是靜態(tài)常量

對(duì)比一下正確的做法與最開(kāi)始的日志開(kāi)關(guān)康震，一個(gè)是一個(gè)靜態(tài)變量，一個(gè)是靜態(tài)常量宾濒；如果是常量的話(huà)腿短，那么就是永遠(yuǎn)不變的，那么當(dāng)DEBUG變量為False的時(shí)候proguard可以理所當(dāng)然地認(rèn)為绘梦，這一部分代碼時(shí)絕對(duì)不會(huì)被執(zhí)行的橘忱，這樣，打印日志的語(yǔ)句就會(huì)被優(yōu)化（刪除）掉卸奉；如果是一個(gè)變量钝诚，那么在運(yùn)行期間就有可能改變它的值（private僅僅是對(duì)于程序員的改變，對(duì)于編譯器以及運(yùn)行時(shí)榄棵，沒(méi)有什么改不了）敲长，這樣proguard就會(huì)置之不理，這樣你的日志代碼就暴露出來(lái)了秉继，一字之差祈噪，失之千里。