代码编译安全之classfinal-maven-plugin插件(1)

于 2024-05-14 02:58:58 发布
阅读量927 收藏 13
点赞数 11
分类专栏: 程序员 文章标签: 安全 maven python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969310/article/details/138829402
版权

3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件

4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行

5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar

6.有密码启动方式,java-javaagent:xxx-encrypted.jar=‘-pwd=密码’-jarxxx-encrypted.jar

加密方法

直接增加插件即可,写在Springboot的spring-boot-maven-plugin后面即可,注意修改要加密的packages配置

          <plugin>
                <!--
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描  
2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容  
3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件  
4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行  
5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar  
6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar  
-->
                <!-- https://gitee.com/roseboy/classfinal -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
<!--packages配置要加入的包名,会把下面的所有类加密-->
             <packages>com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controller</packages>
<!--                    <cfgfiles>application.properties</cfgfiles>-->
                    <excludes>org.spring</excludes>
<!--                    <libjars>a.jar,b.jar</libjars>-->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

实践

加密的效果,将所有的方法内容都清空了

应用启动方法:

java -javaagent:proguard-demo-1.0-SNAPSHOT-encrypted.jar -jar proguard-demo-1.0-SNAPSHOT-encrypted.jar

问题

启动报错

17:39:11.916 [main] DEBUG org.springframework.context.annotation.AnnotationConfigApplicationContext - Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@7b9a4292
17:39:11.923 [main] DEBUG org.springframework.beans.factory.support.DefaultListableBeanFactory - Creating shared instance of singleton bean 'org.springframework.context.annotation.internalConfigurationAnnotationProcessor'
17:39:11.949 [main] ERROR org.springframework.boot.SpringApplication - Application run failed
java.lang.IllegalArgumentException: No auto configuration classes found in META-INF/spring.factories. If you are using a custom packaging, make sure that file is correct.
        at org.springframework.util.Assert.notEmpty(Assert.java:470)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getCandidateConfigurations(AutoConfigurationImportSelector.java:180)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getAutoConfigurationEntry(AutoConfigurationImportSelector.java:123)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector$AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGrouping.getImports(ConfigurationClassParser.java:879)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorHandler.process(ConfigurationClassParser.java:780)
        at org.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:192)
        at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:331)
        at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:247)
        at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:311)
        at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:112)
        at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:746)
        at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:564)
        at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:745)
        at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:420)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:307)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:1317)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:1306)
        at com.yulang.proguard.demo.ProguardApp.main(ProguardApp.java:19)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.base/java.lang.reflect.Method.invoke(Method.java:566)
        at org.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:49)
        at org.springframework.boot.loader.Launcher.launch(Launcher.java:108)
        at org.springframework.boot.loader.Launcher.launch(Launcher.java:58)
        at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:88)

解决办法,注释掉application的加密和jar包加密就好了

测试

测试启动过程中,除了增加点启动日志,并无什么影响,对于业务日志也没有影响

可以看到日志的行号也不会做任何的变更 ,相比较商用Allatori混淆,默认会混淆行号,导致日志排查起来相当困难

缺点

通过dump仍然能看到源码,但是相对来说,增加了破解的难度

加密解密开销:每次加载类时都需要进行解密操作,这会增加额外的CPU计算时间。如果加密算法复杂度较高,解密过程可能会成为性能瓶颈。

内存消耗:加密后的类文件可能占用更多存储空间,并且在运行时需要更多的内存来存放解密后的字节码数据。

类加载时间:由于增加了解密环节,类加载的时间会有所增加,特别是在启动阶段或大量类需要加载的时候,可能会感受到明显的延迟。

JIT编译:Java虚拟机(JVM)通常会对热点代码进行即时(Just-In-Time,JIT)编译优化以提高执行效率。加密后,JVM可能无法直接识别并优化这些代码,从而影响执行速度。

目前已经暂停维护了,后期如果存在问题,需要自己修复

扩展

多模块项目,只需要在对应模块配置相应的jar包即可

<libjars>
机器绑定

获取机器码jar包:classfinal-fatjar-1.2.1.jar

下载地址:https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar

机器绑定只允许加密的项目在特定的机器上运行;

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84969310
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用classfinal-maven-plugin插件加密Jar包
nov4th的博客
02-26 1206
2、在右侧的maven工具栏中使用install,xxx-encrypted.jar是加密后的jar包。1、在启动类的pom.xml中加入classfinal-maven-plugin插件。3、加密后的jar包不能直接运行,要设置javaagent来启动,启动过程中会解密。class文件只能看到方法名、参数和注解,方法内容被清空。
xmljava系统源码-classfinal:Java类加密工具
06-06
xml java系统源码 ClassFinal 介绍 ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。 Gitee: 项目模块说明 classfinal-core: ClassFinal的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar: ClassFinal打包成独立运行的jar包; classfinal-maven-plugin: ClassFinal加密的maven插件; 功能特性 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。 运行加密项目时,无需求修改tomcat,spring等源代码。 支持普通jar包、springboot jar包以及普通java web项目编译的war包。 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。 支持maven插件,添加插件后在打包过程中自动加密。 支持加密WEB-INF/lib或BOOT-INF/lib下的
代码编译安全classfinal-maven-plugin插件
最新发布
君悅黎心
03-20 2720
ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具
maven-plugin
weixin_45123573的博客
05-12 225
```java <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> ```
Java 字节码加密工具 ClassFinal
很多时候犯错都是在不知情的情况下发生的
09-08 8484
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。 项目模块说明 classfinal-core:ClassFinalde的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar:ClassFinal打包成独立运行的jar包; c...
ClassFinal字节码加密工具-其他
06-12
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。项目模块说明:classfinal-core:ClassFinalde的核心模块...
ClassFinal-java class文件安全加密工具
06-19
ClassFinal主要关注的是代码安全,它提供的功能有: 1. **加密**:ClassFinal能够对Java类文件进行加密,使原始字节码变得不可读。这种加密方式通常采用非对称加密算法,如RSA,确保只有拥有正确密钥的用户才能解密...
ideaIU-2020.1.3的lombok版本
05-18
对于Maven项目,可以在pom.xml中添加maven-compiler-plugin插件配置: ```xml <plugin> <groupId>org.apache.maven.plugins <artifactId>maven-compiler-plugin <version>3.8.1 <groupId>org.project...
使用java连接Redis,Maven管理操作
08-18
这个插件将用来编译Java代码。 使用Java连接Redis需要配置pom.xml文件,创建db.properties文件,编写工具类,并配置连接池。Maven管理操作需要配置插件和依赖项,以便正确地编译和打包Java项目。 本文详细介绍了...
classfinal-fatjar-1.2.1.jar
07-22
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。执行java -jar classfinal-fatjar.jar 后按提示即可完成加密。
ClassFinal-获取机器码jar包
12-13
使用采用classfinal-maven-plugin插件对jar包加密时获取机器码
Intellij IDEA 中调试 maven 插件
灵台方寸山斜月三星洞
03-15 1794
(打包成功,但加密后的jar无法正常执行)所以只好硬着头皮来看看源码。名字自己随意,这里要。
maven插件(2)-plugin编写
chy2z的专栏
10-07 409
1 新建java普通的jar项目 2 添加maven-plugin的pom依赖 <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <scop...
使用 ClassFinal 对 java class 文件进行加密防止反编译
悟世君子的博客
10-02 6522
ClassFinal 是一款 java class文件安全加密工具,支持直接加密 jar 包或 war 包,无需修改任何项目代码,兼容 spring-framework;可避免源码泄漏或字节码被反编译特点。
SpringBoot 项目 引入ClassFinal 解决代码加密和机器码绑定问题
qq_39007838的博客
10-13 2424
机器码 加密
jar包加密防止反编译--classFinal
a816120的博客
11-23 7948
有这样的需求,我们项目要部署在其他公司的服务器上,但是又不想让外人看到我们的源码。所以要对jar包中的内容进行加密。 加密方式一般有二,一是可以对class文件中的内容进行混淆,对类名和方法名等进行替换,使得代码阅读困难,但是不影响代码逻辑,多花时间还是可以解读出来的。二是对class文件进行一些操作加密,运行的时候再进行解密。 网上找了几个,觉得还是classFinal这个比较满意,加密选择灵活,支持springboot项目,操作简单。 项目地址:https://gitee.com/roseboy/cla
classfinal-maven-plugin
04-05
The classfinal-maven-plugin is a Maven plugin that performs bytecode analysis and generates a report of classes and their methods that are marked as final. The plugin can be used to identify potential areas for optimization or refactoring in a Java codebase. The plugin analyzes the bytecode of compiled classes using the ASM library and generates a report in HTML format. The report includes a list of all classes and their methods that are marked as final, as well as information about the location of the class in the codebase. To use the plugin, it must be added to the Maven project's pom.xml file as a build plugin. The plugin can be configured to include or exclude certain classes or packages from the analysis. The generated report can be viewed in a web browser or integrated with a continuous integration tool. Overall, the classfinal-maven-plugin is a useful tool for identifying areas of a codebase that could benefit from optimization or refactoring. By analyzing the bytecode of compiled classes, the plugin provides a more accurate view of the code's behavior than static analysis tools that only analyze source code.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值