嘿，作为经常处理这类问题的开发者，我太懂你这种担心了——付费应用辛辛苦苦做出来，被人随便盗版安装换谁都难受。下面我给你拆解几个实用的方案，不过先打个预防针：没有100%完美的防护手段，但这些方法能大幅提高盗版的门槛，把绝大多数普通盗版者挡在外头。

1. 安装来源验证 + Google Play应用签名 #

首先得确保你开启了Google Play的应用签名服务（现在新应用默认都开启了，老应用也建议迁移过去，这是安全基础）。然后在代码里加个检查，判断应用的安装来源是不是Google Play官方渠道：

fun isInstalledFromGooglePlay(context: Context): Boolean {
    val installerPackageName = context.packageManager.getInstallerPackageName(context.packageName)
    // Google Play的官方安装包名是com.android.vending
    return installerPackageName != null && installerPackageName == "com.android.vending"
}

在应用启动的入口（比如MainActivity的onCreate方法）调用这个方法，如果返回false，就弹出提示并退出应用。不过要注意：部分合法场景（比如企业批量安装）可能会绕过这个检查，如果你是面向普通消费用户，这个判断基本够用。

2. 集成Google Play Licensing服务 #

这是Google官方为付费应用提供的授权验证方案，不仅能确认用户是否购买了应用，还能间接阻止非官方安装。

• 先在Google Play Console里生成你的License Key，然后集成Google Play Licensing库
• 应用启动时调用Licensing API发起验证请求，如果验证失败（比如用户没购买、安装包不是官方渠道），就限制应用功能或者直接退出
  这个方案的优势是直接和Google Play的用户购买数据绑定，可信度很高，比单纯的安装来源验证更靠谱。

APK本身是可以被导出的，咱的核心目标是让导出的盗版APK无法正常使用：

1. 开启R8代码混淆 #

Android Studio现在默认用R8代替ProGuard了，开启混淆能打乱代码结构，让逆向工程变得异常困难。在build.gradle里配置：

android {
    buildTypes {
        release {
            minifyEnabled true
            proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'
        }
    }
}

你还可以在proguard-rules.pro里添加自定义规则，把核心功能的类、方法名混淆得面目全非，进一步提高逆向成本。

2. 核心代码加密与动态加载 #

把应用的核心功能（比如付费解锁逻辑、核心业务代码）打包成单独的dex文件，然后对这个dex文件进行加密。应用启动时，再在内存里解密并动态加载这个dex文件。这样即使APK被导出，核心代码也是加密状态，盗版者拿到手也无法直接运行。

3. 运行时环境检测 #

在应用运行过程中，检测当前设备的环境是否异常：

• 检查设备是否Root（Root设备更容易导出APK和逆向破解）
• 检查是否在模拟器中运行
• 检查是否有调试工具（比如Xposed、Frida）附着
  举个简单的Root检测示例：

fun isDeviceRooted(): Boolean {
    val suPaths = arrayOf("/system/bin/su", "/system/xbin/su", "/sbin/su")
    return suPaths.any { File(it).exists() }
}

不过这类检测可以被专业破解者绕过，只能作为辅助防护手段。

不管你叠加多少防护手段，只要应用能在用户设备上运行，就存在被破解的可能——毕竟逆向工程技术一直在发展。这些手段的核心是提高破解的时间和金钱成本，让绝大多数普通用户无法轻易盗版，而专业破解者通常只会盯上热门应用，中小开发者的应用被盯上的概率相对低很多。

建议你把多种防护手段结合起来用（比如安装来源验证+Licensing+混淆+环境检测），这样防护效果会更扎实。

内容的提问来源于stack exchange，提问作者Ali Mohamed