上传第三方市场的时候，经常会碰到一些手机App市场会对一些代码进行扫描，比如广告、"PM"命令等，如果出现此类代码，会要求提供功能描述，看是否是合理功能，否者不予上架。本片就"PM"如何规避第三方市场来做一个简单的分析。

概述

前几天在工作中碰到过类似的问题，细节不方便说太多。在提交App的时候，被第三发市场以内部包含"pm install"代码的理由，要求提供代码相关功能描述，或者删除此代码。
"pm install"的作用相信应该都了解，不需要在这里重复讲解。但是本着一个有职业操守的程序员，有"pm install"的代码也只是本着让用户更方便的使用App，而非使用用一些不合规的手段谋利。
那么如何规避这样的问题，把"pm install"能够"合规"的放在项目中，而不让软件市场扫描到。

分析问题

第三方市场能准确的找到是那个文件中，出现了违规的代码块。肯定是将其解包之后，做了一个全路径扫描，做字符串的匹配，有不合规的字符串就提示警告出来。
那么唯一要做的，就是对关键字符串的代码进行编码，让手机市场扫描不到。例如把"pm install"这个字符串用Base64编码就是一个不错的手段，然后在需要使用的时候，再将编码后的字符串进行解码，就是一个不错的方式。

实施方案

pm install

首先用工具把字符串转换成Base64编码。

pm_install的Base64.png

得到一个字符串，然后在代码中将其解码即可。

        private String getCommand0(){
            return new String(Base64.decode("cG0gaW5zdGFsbA==", Base64.DEFAULT));
        }

其实做到这一步，应该就可以很简单规避市场上架的问题（当然我没有试过）。

但是做事情要往深一步想想，如果只是一个简单的一次Base64编码，再解码就可以解决问题了。那一定是因为三方市场没有对这个地方做太严格的保护，说白了，就是对其进行放水了，增加一点门槛，又不让门槛太高导致一部分App进不来。那这个规则，市场如果想严格一点监管，只需要把关键代码串的一些常用编码串，也加入到匹配列表中就可以了。如果规则改了，最后麻烦的还是我们。

所以再深一步，如果是我来写这个全路径文件内容匹配的话，我会在apk解包之后，对所有的文件，进行一行行的扫描，然后比对铭感代码串。那么如果这个代码串，不是一个连贯的，而是一个拼接的方式，又如何呢？所以我想到了一个解决方案，对getCommand0()进行了改进，当然是很简单的改进，把他们拆分成多个字符串，拼接起来。

        private String getCommand1(){
            return new String(Base64.decode("cG0gaW5zdGFsbA"+"==", Base64.DEFAULT));
        }

虽然从代码上看，这样是将字符串拆分开了。但是其实这样是不生效的，因为在打包的过程中，编译器会对代码进行优化（当然优化的手段有很多），把一些不不要的代码剔除，或者改进现有的代码块的代码，让其运行的更加高效。
如getCommand1()，在打包之后，反编译出来看看。

getCommand1.png

从图上可以看出来，编译器会在变异的时候，自动帮我们把一个拼接的字符串变成一个完整的字符串进行赋值。

那么，如何预防这样的问题呢？让编译器按照我们预想的，输出两个单独的字符串，进行拼接。这个时候，可以使用StringBuilder来处理字符串，就有了如下代码。

        private String getCommand() {
            // pm install
            return new String(Base64.decode(new StringBuilder("cG0gaW5zdGFsbA").append("==").toString(), Base64.DEFAULT));
        }

然后我们再打包验证一下结果，发现确实是如我们预期的去做的。

getCommand.png

总结

其实这种方案是一种比较简单的方法，如果有心去预防，还是可以预防的，不过这种问题也没必要做的太复杂。核心思想就是不要让关键代码完整的出现在一个地方。让其有断裂的，这样机器很难通过静态分析的方式去捕获到此代码。