我用yguard,我覺(jué)得還行,至少混淆后,反編譯出來(lái)的東西基本沒(méi)法看,而且網(wǎng)上的教程極多。
創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括興業(yè)網(wǎng)站建設(shè)、興業(yè)網(wǎng)站制作、興業(yè)網(wǎng)頁(yè)制作以及興業(yè)網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等。多年來(lái),我們專(zhuān)注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,興業(yè)網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到興業(yè)省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
我們做java開(kāi)發(fā)的一般都會(huì)遇到如何保護(hù)我們開(kāi)發(fā)的代碼問(wèn)題。java語(yǔ)言由于是基于jvm上面,所以反編譯class文件很很容易。假如我們做了一個(gè)web程序,并把這個(gè)web程序發(fā)布給客戶。實(shí)際上,客戶是很容易反編譯出我們的源代碼出來(lái),包括所有的src文件和jsp文件等等。
那么,如何保護(hù)我們的源代碼,實(shí)際上,應(yīng)該有幾種方法可以使用:1、使用代碼混淆器 2、重載應(yīng)用服務(wù)器的classloader
對(duì)于第一種方法來(lái)說(shuō),現(xiàn)在外面有很多開(kāi)源工具可以使用,個(gè)人認(rèn)為最好用的當(dāng)屬proguard莫屬。proguard主要是易用易學(xué)。而且提供的功能也挺多。下面是個(gè)人一點(diǎn)使用心得
(1)、從網(wǎng)上download proguard工具,proguard工具主要包含是幾個(gè)jar文件和一些example,下載地址
(2)、將里面的幾個(gè)jar文件添加到類(lèi)路徑下面。當(dāng)然,也可以不添加,但是下面在做混淆的時(shí)候,必須指定classpath,使在做混淆的過(guò)程中,能否訪問(wèn)該類(lèi)
(3)、編寫(xiě)一個(gè)配置文件,主要是混淆器的一些參數(shù)。比如,下面是一個(gè)例子
-injars platform.jar
-outjars platform_out.jar
-libraryjars java.home/lib/rt.jar
-libraryjars ibatis-common-2.jar
-libraryjars ibatis-dao-2.jar
-libraryjars ibatis-sqlmap-2.jar
-libraryjars junit-3.8.1.jar
-libraryjars d:/j2ee.jar
-libraryjars struts.jar
-libraryjars commons-lang.jar
-libraryjars D:/0working/coreproject/byislib/jasperreports-0.6.1.jar
-libraryjars commons-beanutils.jar
-printmapping proguard.map
-overloadaggressively
-defaultpackage ''
-allowaccessmodification
-dontoptimize
-keep public class *
{
public protected *;
}
-keep public class org.**
-keep public class it.**
各個(gè)參數(shù)的含義參考proguard文檔,該文檔非常詳細(xì),上手很容易
OK,到此就完成了代碼混淆,打開(kāi)產(chǎn)生的jar包可以看到,多了好多a、b、c之類(lèi)的類(lèi)文件。說(shuō)明混淆結(jié)果已經(jīng)成功。將原jar刪除、運(yùn)行產(chǎn)生的混淆jar包,一切正常!
常見(jiàn)問(wèn)題:使用過(guò)程中個(gè)人遇到了幾個(gè)問(wèn)題,開(kāi)始也是找了很久才解決
a. 內(nèi)存溢出異常: 主要是proguard在做混淆的時(shí)候,吃了很多內(nèi)存,因此,在運(yùn)行混淆器的時(shí)候,可以增加內(nèi)存,比如 java -mx512m .....
b.棧溢出異常: 主要是proguard在做混淆的時(shí)候,會(huì)對(duì)一些代碼進(jìn)行優(yōu)化,若遇到一些相對(duì)復(fù)雜的方法時(shí),可能會(huì)拋出此異常。對(duì)付的辦法是增加配置參數(shù)-dontoptimize,如上面的配置例子所示
對(duì)于第二種方法,重載服務(wù)器的classloader的原理是這樣。 首先我們通過(guò)一定算法把class文件加密; 然后寫(xiě)我們自己的classloader,替換服務(wù)器的classloader。 這樣,我們可以讀取class文件,通過(guò)我們自己的算法反加密成正確的class,然后再次進(jìn)行l(wèi)oad。這個(gè)方式還沒(méi)應(yīng)用起來(lái),這幾天個(gè)人正在研究,有什么新成果會(huì)在此做一些總結(jié)。
ProGuard是一個(gè)開(kāi)源的項(xiàng)目,主頁(yè):,目前最新的版本是3.3.2.。加載混淆器是非常簡(jiǎn)單的,只需要解壓縮proguard3.3.2.zip,然后在 J2ME-Packing-Obfuscation 標(biāo)簽中選擇 Proguard 的安裝目錄。如下圖所示,在這里可以對(duì)需要在混淆過(guò)程中保留的類(lèi)名進(jìn)行配置,MIDlet 類(lèi)的名稱(chēng)必須保留,以便設(shè)備的 Java 運(yùn)行時(shí)環(huán)境(JRE)能夠找到執(zhí)行的入口點(diǎn)。
,It’s about the above pic.
另一篇文檔
ProGuard是一款免費(fèi)的Java類(lèi)文件壓縮器、優(yōu)化器和混淆器。它能發(fā)現(xiàn)并刪除無(wú)用類(lèi)、字段(field)、方法和屬性值(attribute)。它也能優(yōu)化字節(jié)碼并刪除無(wú)用的指令。最后,它使用簡(jiǎn)單無(wú)意義的名字來(lái)重命名你的類(lèi)名、字段名和方法名。經(jīng)過(guò)以上操作的jar文件會(huì)變得更小,并很難進(jìn)行逆向工程。這里提到了ProGuard的主要功能是壓縮、優(yōu)化和混淆,下面我就先介紹一下這些概念,然后再介紹ProGuard的基本使用方法。
l 什么是壓縮:
Java源代碼(.java文件)通常被編譯為字節(jié)碼(.class文件)。而完整的程序或程序庫(kù)通常被壓縮和發(fā)布成Java文檔(.jar文件)。字節(jié)碼比Java源文件更簡(jiǎn)潔,但是它仍然包含大量的無(wú)用代碼,尤其它是一個(gè)程序庫(kù)的時(shí)候。ProGuard的壓縮程序操作能分析字節(jié)碼,并刪除無(wú)用的類(lèi)、字段和方法。程序只保留功能上的等價(jià),包括異常堆棧描述所需要的信息。
l 什么是混淆:
通常情況下,編譯后的字節(jié)碼仍然包含了大量的調(diào)試信息:源文件名,行號(hào),字段名,方法名,參數(shù)名,變量名等等。這些信息使得它很容易被反編譯和通過(guò)逆向工程獲得完整的程序。有時(shí),這是令人厭惡的。例如像ProGuard這樣的混淆器就能刪除這些調(diào)試信息,并用無(wú)意義的字符序列來(lái)替換所有名字,使得它很難進(jìn)行逆向工程,它進(jìn)一步免費(fèi)的精簡(jiǎn)代碼。除了異常堆棧信息所需要的類(lèi)名,方法名和行號(hào)外,程序只會(huì)保留功能上的等價(jià)。通過(guò)以上的了解,你應(yīng)該明白為什么需要混淆了。
l ProGuard支持那些種類(lèi)的優(yōu)化:
除了在壓縮操作刪除的無(wú)用類(lèi),字段和方法外,ProGuard也能在字節(jié)碼級(jí)提供性能優(yōu)化,內(nèi)部方法有:
2 常量表達(dá)式求值
2 刪除不必要的字段存取
2 刪除不必要的方法調(diào)用
2 刪除不必要的分支
2 刪除不必要的比較和instanceof驗(yàn)證
2 刪除未使用的代碼
2 刪除只寫(xiě)字段
2 刪除未使用的方法參數(shù)
2 像push/pop簡(jiǎn)化一樣的各種各樣的peephole優(yōu)化
2 在可能的情況下為類(lèi)添加static和final修飾符
2 在可能的情況下為方法添加private, static和final修飾符
2 在可能的情況下使get/set方法成為內(nèi)聯(lián)的
2 當(dāng)接口只有一個(gè)實(shí)現(xiàn)類(lèi)的時(shí)候,就取代它
2 選擇性的刪除日志代碼
實(shí)際的優(yōu)化效果是依賴于你的代碼和執(zhí)行代碼的虛擬機(jī)的。簡(jiǎn)單的虛擬機(jī)比有復(fù)雜JIT編譯器的高級(jí)虛擬機(jī)更有效。無(wú)論如何,你的字節(jié)碼會(huì)變得更小。
仍有一些明顯需要優(yōu)化的技術(shù)不被支持:
2 使非final的常量字段成為內(nèi)聯(lián)
2 像get/set方法一樣使其他方法成為內(nèi)聯(lián)
2 將常量表達(dá)式移到循環(huán)之外
2 Optimizations that require escape analysis
ProGuard是一個(gè)命令行工具,并提供了圖形化用戶界面,它也可以結(jié)合Ant或J2ME Wireless Toolkit使用。通過(guò)ProGuard得到的更精簡(jiǎn)的jar文件意味著只需要更小的存儲(chǔ)空間;網(wǎng)絡(luò)傳輸更省時(shí);裝載速度更快和占用更小的內(nèi)存空間。另外,ProGuard非常快速和高效,它僅僅只花費(fèi)幾秒鐘和幾兆的內(nèi)存在處理程序。它處理的順序是先壓縮,然后優(yōu)化,最后才進(jìn)行混淆。The results section presents actual figures for a number of applications.與其他Java混淆器相比,ProGuard的主要優(yōu)勢(shì)可能是它的基于模版文件的簡(jiǎn)單配置。一些直觀的命令行選項(xiàng)或一個(gè)簡(jiǎn)單的配置文件已經(jīng)足夠了。例如,下面的配置選項(xiàng)保護(hù)了jar文件里的所有applets:
-keep public class * extends java.applet.Applet
用戶指南里說(shuō)明了所有可用的選項(xiàng),并以大量的例子為你演示這些功能強(qiáng)大的配置選項(xiàng)。
上面談到了ProGuard的很多好處,現(xiàn)在我們就來(lái)看看如何在程序中使用ProGuard吧,之前也提到了ProGuard可以用命令行、圖形界面、Ant等來(lái)執(zhí)行和處理程序,同時(shí)也提到了配置文件,下面我們一起來(lái)看如何使用:
用命令行執(zhí)行ProGuard的命令如下:
java –jar proguard.jar options……
具體的選項(xiàng)可以參考ProGuard的用戶指南,你也可以把這些屬性寫(xiě)在配置文件里;運(yùn)行時(shí),我們只需要指定這個(gè)配置文件就行了,例如:
java –jar proguard.jar @config.pro
而配置文件的格式也是要按照ProGuard提供的格式來(lái)寫(xiě)的,這個(gè)可以參考ProGuard例子里的配置文件來(lái)配置適合你的應(yīng)用系統(tǒng)的ProGuard配置文件。ProGuard提供了圖形界面的配置和運(yùn)行程序,你可以在界面上配置你想要的參數(shù),然后運(yùn)行即可。前面提到的要手動(dòng)寫(xiě)的配置文件也可以用圖形界面來(lái)配置和生成。
如果你要在Ant里運(yùn)行ProGuard,只需要添加一一個(gè)如下的target即可:
target name="proguard" depends="init"
taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" /
proguard configuration="${src.dir}/config.pro" /
/target
你只需要制定lib.dir和src.dir屬性就行了,同樣的,這里也用了proguard配置文件,跟上面提到的是一樣的。建議大家把ProGuardGUI當(dāng)成一個(gè)生成配置文件的向?qū)?lái)使用,這樣我們只需要修改配置文件而不用重新寫(xiě)一個(gè)配置文件。
如果你覺(jué)得ProGuard還不錯(cuò),那就快把它加入你的項(xiàng)目里吧。
第三文檔
這是一個(gè)不應(yīng)該在開(kāi)源社區(qū)出現(xiàn)的東西,但它的的確確是一個(gè)開(kāi)源的項(xiàng)目,正像它的名字一樣,Proguard,即Program Guard(程序衛(wèi)士),它代表了開(kāi)源的相對(duì)面--代碼保護(hù)。
作為JAVA這樣的高級(jí)語(yǔ)言,編譯的產(chǎn)物只是相對(duì)源代碼的一個(gè)概念而已,字節(jié)碼雖然不像源代碼那樣易懂,但絕不是不可能進(jìn)行反編譯的,針對(duì)JAVA的反編譯產(chǎn)品很多,如CAVAJ,JAD等等。面對(duì)反編譯產(chǎn)品的不斷出現(xiàn),將代碼視為財(cái)富的那些開(kāi)發(fā)者,又何去何從。
混淆器正是在這種背景下應(yīng)運(yùn)而生,既然不可能完全地將拒絕反編譯,那就讓他們?nèi)シ淳幾g吧,只要反編譯的結(jié)果別人不能直接使用不就行了嗎?只要將代碼搞混,讓別人拿到了反編譯的結(jié)果也看不懂,甚至不能編譯。
混淆的方法有很多,主要是以下幾方面。
更名,將私有類(lèi),私有的成員,方法體內(nèi)部的變量名改名,改成a,b,c等等,甚至1,2,3(代碼中不允許不等于成果物中不允許)
改變邏輯的流向,如將if條件取反,if/else對(duì)換
等價(jià)代碼,如將循環(huán)改成GOTO
無(wú)效代碼,插入不可及的無(wú)用代碼
Proguard是一個(gè)非常優(yōu)秀的開(kāi)源的JAVA混淆器,可以在下載到,現(xiàn)在就讓我一起來(lái)看一下Proguard.
以3.2版為例,釋放壓縮包,我們看到,作為開(kāi)源項(xiàng)目就有docs,lib,src,sample文件夾,在此就不一一介紹了。
進(jìn)入lib目錄,內(nèi)有proguard.jar,如果要自己有混淆器的外殼,或作ANT插件的話,會(huì)用到它,詳細(xì)情況可以參考Proguard的文檔。
我們要看的是proguardgui.jar,這是Proguard的圖形界面,我們使用JDK打開(kāi),注意是JDK,不是JRE。
點(diǎn)選Input/Output標(biāo)簽,選擇要混淆的JAR包(注意是JAR包),輸出JAR包,以及用到的所有類(lèi)庫(kù)。
點(diǎn)選Obfuscation標(biāo)簽,選中不需要混淆的類(lèi)(要被反射的類(lèi)絕對(duì)不能被混淆)
點(diǎn)選Process標(biāo)簽,Process按鈕,等著看結(jié)果吧。
Proguard中還包括了代碼優(yōu)化和代碼整理的功能,不是本文討論范圍,有興趣的就自己研究吧)
只混淆方面的選項(xiàng)
使用此種方式,如果a-z使用過(guò),會(huì)轉(zhuǎn)向aa.class,如下圖配置界面
1,4,6,9,10,11,12
源代碼
package org.zwm.pub;
public class Bru {
/**
* @param args
*/
public static void main(String[] args) {
// TODO Auto-generated method stub
System.out.println(showMsg());
}
public static String showMsg() {
return "You are my sun";
}
}
反編譯后的代碼
// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.
// Jad home page:
// Decompiler options: packimports(3)
package org.zwm.pub;
import java.io.PrintStream;
public class Bru
{
public Bru()
{
}
public static void main(String args[])
{
System.out.println(PK0304140008000800fZ());
}
public static String PK0304140008000800fZ()
{
return "You are my sun";
}
}
不需要對(duì)源代碼混淆。class有這種功能的,在J2ME中混淆是必須的,結(jié)果跟你說(shuō)的一樣,不過(guò)原理不是你那么走的,混淆以后的class反編譯也會(huì)讓人看不懂,全部變成了a,b,c,d這樣的名字。
混淆器負(fù)責(zé)把一個(gè)軟件轉(zhuǎn)成讓人看不懂.
前提是原來(lái)的軟件正確無(wú)誤.
當(dāng)它發(fā)現(xiàn)軟件中含有不正常的寫(xiě)法,
就會(huì)要求先改好, 才能進(jìn)行混淆.
若強(qiáng)制用'-ignorewarnings' 選項(xiàng), 可以直接進(jìn)行混淆,
但出來(lái)的結(jié)果很可能會(huì)有錯(cuò)誤, 要自求多福.