java代码混淆-ProGuard

仅做记录之用。　　

　　java代码可以反编译，因此有时候要保护自己的知识产权还真得费点心思，一般来说有三个思路：

　　1、将class文件加密，这个是最安全的，但也费事儿，因为要重写classloader来解密class文件；

　　2、使用花指令，使得class文件不能反编译（利用反编译工具漏洞)；安全性一般，还是有花指令破解器；

　　3、代码混淆，提高代码阅读成本；简单易操作，一般采用这种或者与其它方式结合；

　　我们项目中用到的即为代码混淆工具ProGuard，相关文章参考：

　　http://blog.csdn.net/wltj920/article/details/48970869

　　http://blog.csdn.net/earbao/article/details/51000108

　　ProGuard是一个纯java编写的混淆工具，有客户端跟jar包两种使用方式。可以将程序打包为jar，然后用工具进行混淆，也可以在maven中导入ProGuard的插件，对代码进行混淆。本例中为对普通javaweb项目进行代码混淆。maven配置插件如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68

<plugin>    <groupId>com.github.wvengengroupId>    <artifactId>proguard-maven-pluginartifactId>    <version>2.0.11version>    <executions>       <execution>                    <phase>packagephase>          <goals>                          <goal>proguardgoal>          goals>       execution>    executions>    <configuration>              <attach>trueattach>              <obfuscate>trueobfuscate>              <attachArtifactClassifier>pgattachArtifactClassifier>       <options>                    <option>-target 1.8option>                    <option>-dontshrinkoption>                    <option>-dontoptimizeoption>                    <option>-dontskipnonpubliclibraryclassesoption>          <option>-dontskipnonpubliclibraryclassmembersoption>                    <option>-dontusemixedcaseclassnamesoption>                      <option>-allowaccessmodificationoption>                    <option>-useuniqueclassmembernamesoption>                                          <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethodoption>                                <option>-keep class com.xxx.xxx.bboss.SystemConfig { <methods>; }option>          <option>-keep class com.xxx.xxx.framework.** { *; }option>          <option>-keep class com.xxx.xxx.xxx.controller.** { <methods>; }option>          <option>-keep class com.xxx.xxx.xxx.dao.** { <methods>; }option>          <option>-keep class com.xxx.xxx.xxx.exception { <methods>; }option>          <option>-keep class com.xxx.xxx.xxx.model.** { <methods>; }option>         options>              <outjar>classes-autotest.jaroutjar>              <libs>          <lib>${java.home}/lib/rt.jarlib>       libs>              <injar>classesinjar>              <outputDirectory>${project.build.directory}outputDirectory>    configuration> plugin>

　　运行 mvn clean package -DskipTests

　　混淆后结果如图所示：

　　classes-pg.jar为混淆后的classes文件，里边包含完整的项目结构

　　proguard_map.txt混淆内容映射

　　proguard_seed.txt参与混淆的类

　　混淆后反编译代码如下：

 

　　可以看到，部分包名跟类名已经被改为了简单字母，不再具有业务含义，而且变量名也进行了修改，增加了阅读代码难度。

　　运行服务，项目正常运行。

　　需要注意的问题：

　　1、因为有时候会配置不保持包名或类名，因此一些相关配置文件的内容需要改变，好在ProGuard不是随机生成类名，而是先按照原名称对相同包下类进行排序，混淆后的类名称依次为a.class，b.class，c.class.....

那么问题来了，当包中超过26个类时，默认命名为A.class，B.class，C.class，在某些操作系统下，会不区分class文件名称的大小写，会导致错误(水平所限，未深入探究跟类加载相关);因此

　　

　　-dontusemixedcaseclassnames

　　配置极为关键，该配置会在超过26个类文件时，命名为aa.class，ab.class，ac.class，而不是原来的大写类名，从而避免错误。

　　2、打包部署问题。该配置文件打包出来的war中classes文件仍然为正常代码，需要手动解压，将classes-pg.jar中classes替换进去，在工程化管理的情况下，可以在jenkins中配置脚本，自动将混淆后的classes替换进war包：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

#更改war包classes为混淆包的内容 cd /root/.jenkins/workspace/mytest_master/target jar -xvf classes-pg.jar rm -rf mytest mkdir mytest mv mytest.war mytest cd mytest/ jar -xvf mytest.war rm -rf WEB-INF/classes/com/ cd ../   cp -rf com mytest/WEB-INF/classes/ cd mytest jar -cvfM0 mytest.war ./ mv mytest.war ../

这样jenkins打出的就是混淆后的war包了，可以直接交给客户使用。

https://www.cnblogs.com/nevermorewang/p/8041548.html