java代码混淆-ProGuard

仅做记录之用。  

  java代码可以反编译,因此有时候要保护自己的知识产权还真得费点心思,一般来说有三个思路:

  1、将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件;

  2、使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般,还是有花指令破解器;

  3、代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合;

  我们项目中用到的即为代码混淆工具ProGuard,相关文章参考:

  http://blog.csdn.net/wltj920/article/details/48970869

  http://blog.csdn.net/earbao/article/details/51000108

  ProGuard是一个纯java编写的混淆工具,有客户端跟jar包两种使用方式。可以将程序打包为jar,然后用工具进行混淆,也可以在maven中导入ProGuard的插件,对代码进行混淆。本例中为对普通javaweb项目进行代码混淆。maven配置插件如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

<plugin>

   <groupId>com.github.wvengengroupId>

   <artifactId>proguard-maven-pluginartifactId>

   <version>2.0.11version>

   <executions>

      <execution>

         

         <phase>packagephase>

         <goals>

            

            <goal>proguardgoal>

         goals>

      execution>

   executions>

   <configuration>

      

      <attach>trueattach>

      

      <obfuscate>trueobfuscate>

      

      <attachArtifactClassifier>pgattachArtifactClassifier>

      <options>

         

         <option>-target 1.8option>

         

         <option>-dontshrinkoption>

         

         <option>-dontoptimizeoption>

         

         <option>-dontskipnonpubliclibraryclassesoption>

         <option>-dontskipnonpubliclibraryclassmembersoption>

         

         <option>-dontusemixedcaseclassnamesoption>

 

         

         <option>-allowaccessmodificationoption>

         

         <option>-useuniqueclassmembernamesoption>

         

         

 

         

         <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethodoption>

         

 

         

         <option>-keep class com.xxx.xxx.bboss.SystemConfig { <methods>; }option>

         <option>-keep class com.xxx.xxx.framework.** { *; }option>

         <option>-keep class com.xxx.xxx.xxx.controller.** { <methods>; }option>

         <option>-keep class com.xxx.xxx.xxx.dao.** { <methods>; }option>

         <option>-keep class com.xxx.xxx.xxx.exception { <methods>; }option>

         <option>-keep class com.xxx.xxx.xxx.model.** { <methods>; }option>

 

      options>

      

      <outjar>classes-autotest.jaroutjar>

      

      <libs>

         <lib>${java.home}/lib/rt.jarlib>

      libs>

      

      <injar>classesinjar>

      

      <outputDirectory>${project.build.directory}outputDirectory>

   configuration>

plugin>

  运行 mvn clean package -DskipTests

  混淆后结果如图所示:

java代码混淆-ProGuard_第1张图片

  classes-pg.jar为混淆后的classes文件,里边包含完整的项目结构

  proguard_map.txt混淆内容映射

  proguard_seed.txt参与混淆的类

  混淆后反编译代码如下:

java代码混淆-ProGuard_第2张图片

 

  可以看到,部分包名跟类名已经被改为了简单字母,不再具有业务含义,而且变量名也进行了修改,增加了阅读代码难度。

  运行服务,项目正常运行。

  需要注意的问题:

  1、因为有时候会配置不保持包名或类名,因此一些相关配置文件的内容需要改变,好在ProGuard不是随机生成类名,而是先按照原名称对相同包下类进行排序,混淆后的类名称依次为a.class,b.class,c.class.....

那么问题来了,当包中超过26个类时,默认命名为A.class,B.class,C.class,在某些操作系统下,会不区分class文件名称的大小写,会导致错误(水平所限,未深入探究跟类加载相关);因此

  

  

  配置极为关键,该配置会在超过26个类文件时,命名为aa.class,ab.class,ac.class,而不是原来的大写类名,从而避免错误。

  2、打包部署问题。该配置文件打包出来的war中classes文件仍然为正常代码,需要手动解压,将classes-pg.jar中classes替换进去,在工程化管理的情况下,可以在jenkins中配置脚本,自动将混淆后的classes替换进war包:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

#更改war包classes为混淆包的内容

cd /root/.jenkins/workspace/mytest_master/target

jar -xvf classes-pg.jar

rm -rf mytest

mkdir mytest

mv mytest.war mytest

cd mytest/

jar -xvf mytest.war

rm -rf WEB-INF/classes/com/

cd ../

 

cp -rf com mytest/WEB-INF/classes/

cd mytest

jar -cvfM0 mytest.war ./

mv mytest.war ../

这样jenkins打出的就是混淆后的war包了,可以直接交给客户使用。

https://www.cnblogs.com/nevermorewang/p/8041548.html

你可能感兴趣的:(java代码混淆-ProGuard)