Java | ProGuard——java代码混淆利器

简介: Java | ProGuard——java代码混淆利器

java代码可以反编译,因此有时候要保护自己的知识产权还真得费点心思,一般来说有三个思路:

 1、将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件;

 2、使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般,还是有花指令破解器;

 3、代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合;

 我们项目中用到的即为代码混淆工具ProGuard,相关文章参考:

 http://blog.csdn.net/wltj920/article/details/48970869

 http://blog.csdn.net/earbao/article/details/51000108

 ProGuard是一个纯java编写的混淆工具,有客户端跟jar包两种使用方式。可以将程序打包为jar,然后用工具进行混淆,也可以在maven中导入ProGuard的插件,对代码进行混淆。本例中为对普通javaweb项目进行代码混淆。maven配置插件如下:

<!-- ProGuard混淆插件-->
<plugin>
   <groupId>com.github.wvengen</groupId>
   <artifactId>proguard-maven-plugin</artifactId>
   <version>2.0.11</version>
   <executions>
      <execution>
         <!-- 混淆时刻,这里是打包的时候混淆-->
         <phase>package</phase>
         <goals>
            <!-- 使用插件的什么功能,当然是混淆-->
            <goal>proguard</goal>
         </goals>
      </execution>
   </executions>
   <configuration>
      <!-- 是否将生成的PG文件安装部署-->
      <attach>true</attach>
      <!-- 是否混淆-->
      <obfuscate>true</obfuscate>
      <!-- 指定生成文件分类 -->
      <attachArtifactClassifier>pg</attachArtifactClassifier>
      <options>
         <!-- JDK目标版本1.8-->
         <option>-target 1.8</option>
         <!-- 不做收缩(删除注释、未被引用代码)-->
         <option>-dontshrink</option>
         <!-- 不做优化(变更代码实现逻辑)-->
         <option>-dontoptimize</option>
         <!-- 不路过非公用类文件及成员-->
         <option>-dontskipnonpubliclibraryclasses</option>
         <option>-dontskipnonpubliclibraryclassmembers</option>
         <!--不用大小写混合类名机制-->
         <option>-dontusemixedcaseclassnames</option>
         <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
         <option>-allowaccessmodification</option>
         <!-- 确定统一的混淆类的成员名称来增加混淆-->
         <option>-useuniqueclassmembernames</option>
         <!-- 不混淆所有包名-->
         <!--<option>-keeppackagenames</option>-->
         <!-- 需要保持的属性:异常,注解等-->
         <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
         <!-- 不混淆所有的set/get方法->
         <!--<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>-->
         <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
         <option>-keep class com.xxx.xxx.bboss.SystemConfig { <methods>; }</option>
         <option>-keep class com.xxx.xxx.framework.** { *; }</option>
         <option>-keep class com.xxx.xxx.xxx.controller.** { <methods>; }</option>
         <option>-keep class com.xxx.xxx.xxx.dao.** { <methods>; }</option>
         <option>-keep class com.xxx.xxx.xxx.exception { <methods>; }</option>
         <option>-keep class com.xxx.xxx.xxx.model.** { <methods>; }</option>
      </options>
      <!--class 混淆后输出的jar包-->
      <outjar>classes-autotest.jar</outjar>
      <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
      <libs>
         <lib>${java.home}/lib/rt.jar</lib>
      </libs>
      <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
      <injar>classes</injar>
      <!-- 输出目录-->
      <outputDirectory>${project.build.directory}</outputDirectory>
   </configuration>
</plugin>

 运行 mvn clean package -DskipTests

  混淆后结果如图所示:

60eb75ac1efe1e5b4756258b083f6ca.png

  classes-pg.jar为混淆后的classes文件,里边包含完整的项目结构

  proguard_map.txt混淆内容映射

  proguard_seed.txt参与混淆的类

  混淆后反编译代码如下:

8a6558a16a4b985ff040092bec88f36.png

可以看到,部分包名跟类名已经被改为了简单字母,不再具有业务含义,而且变量名也进行了修改,增加了阅读代码难度。

 运行服务,项目正常运行。

 需要注意的问题:

 1、因为有时候会配置不保持包名或类名,因此一些相关配置文件的内容需要改变,好在ProGuard不是随机生成类名,而是先按照原名称对相同包下类进行排序,混淆后的类名称依次为a.class,b.class,c.class.....

那么问题来了,当包中超过26个类时,默认命名为A.class,B.class,C.class,在某些操作系统下,会不区分class文件名称的大小写,会导致错误(水平所限,未深入探究跟类加载相关);因此

 

-dontusemixedcaseclassnames

 配置极为关键,该配置会在超过26个类文件时,命名为aa.class,ab.class,ac.class,而不是原来的大写类名,从而避免错误。

 2、打包部署问题。该配置文件打包出来的war中classes文件仍然为正常代码,需要手动解压,将classes-pg.jar中classes替换进去,在工程化管理的情况下,可以在jenkins中配置脚本,自动将混淆后的classes替换进war包:

#更改war包classes为混淆包的内容
cd /root/.jenkins/workspace/mytest_master/target
jar -xvf classes-pg.jar
rm -rf mytest
mkdir mytest
mv mytest.war mytest
cd mytest/
jar -xvf mytest.war
rm -rf WEB-INF/classes/com/
cd ../
cp -rf com mytest/WEB-INF/classes/
cd mytest
jar -cvfM0 mytest.war ./
mv mytest.war ../

这样jenkins打出的就是混淆后的war包了,可以直接交给客户使用。

目录
相关文章
|
23天前
|
存储 安全 Java
Java Map新玩法:探索HashMap和TreeMap的高级特性,让你的代码更强大!
【10月更文挑战第17天】Java Map新玩法:探索HashMap和TreeMap的高级特性,让你的代码更强大!
50 2
|
23天前
|
存储 Java API
键值对魔法:如何优雅地使用Java Map,让代码更简洁?
键值对魔法:如何优雅地使用Java Map,让代码更简洁?
93 2
|
30天前
|
安全 Java API
Java 17新特性让你的代码起飞!
【10月更文挑战第4天】自Java 8发布以来,Java语言经历了多次重大更新,每一次都引入了令人兴奋的新特性,极大地提升了开发效率和代码质量。本文将带你从Java 8一路走到Java 17,探索那些能让你的代码起飞的关键特性。
75 1
|
16天前
|
XML 安全 Java
Java反射机制:解锁代码的无限可能
Java 反射(Reflection)是Java 的特征之一,它允许程序在运行时动态地访问和操作类的信息,包括类的属性、方法和构造函数。 反射机制能够使程序具备更大的灵活性和扩展性
25 5
Java反射机制:解锁代码的无限可能
|
2天前
|
Java
在 Java 中捕获和处理自定义异常的代码示例
本文提供了一个 Java 代码示例,展示了如何捕获和处理自定义异常。通过创建自定义异常类并使用 try-catch 语句,可以更灵活地处理程序中的错误情况。
|
12天前
|
jenkins Java 测试技术
如何使用 Jenkins 自动发布 Java 代码,通过一个电商公司后端服务的实际案例详细说明
本文介绍了如何使用 Jenkins 自动发布 Java 代码,通过一个电商公司后端服务的实际案例,详细说明了从 Jenkins 安装配置到自动构建、测试和部署的全流程。文中还提供了一个 Jenkinsfile 示例,并分享了实践经验,强调了版本控制、自动化测试等关键点的重要性。
42 3
|
18天前
|
存储 安全 Java
系统安全架构的深度解析与实践:Java代码实现
【11月更文挑战第1天】系统安全架构是保护信息系统免受各种威胁和攻击的关键。作为系统架构师,设计一套完善的系统安全架构不仅需要对各种安全威胁有深入理解,还需要熟练掌握各种安全技术和工具。
50 10
|
13天前
|
分布式计算 Java MaxCompute
ODPS MR节点跑graph连通分量计算代码报错java heap space如何解决
任务启动命令:jar -resources odps-graph-connect-family-2.0-SNAPSHOT.jar -classpath ./odps-graph-connect-family-2.0-SNAPSHOT.jar ConnectFamily 若是设置参数该如何设置
|
12天前
|
Java
Java代码解释++i和i++的五个主要区别
本文介绍了前缀递增(++i)和后缀递增(i++)的区别。两者在独立语句中无差异,但在赋值表达式中,i++ 返回原值,++i 返回新值;在复杂表达式中计算顺序不同;在循环中虽结果相同但使用方式有别。最后通过 `Counter` 类模拟了两者的内部实现原理。
Java代码解释++i和i++的五个主要区别
|
20天前
|
搜索推荐 Java 数据库连接
Java|在 IDEA 里自动生成 MyBatis 模板代码
基于 MyBatis 开发的项目,新增数据库表以后,总是需要编写对应的 Entity、Mapper 和 Service 等等 Class 的代码,这些都是重复的工作,我们可以想一些办法来自动生成这些代码。
28 6