代码编译安全之classfinal-maven-plugin插件

最新推荐文章于 2024-05-23 11:45:34 发布
最新推荐文章于 2024-05-23 11:45:34 发布
阅读量940 收藏 14
点赞数 30
分类专栏: 程序员 文章标签: 安全 maven java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969340/article/details/138829418
版权 
            <groupId>net.roseboy</groupId>
            <artifactId>classfinal-maven-plugin</artifactId>
            <version>1.2.1</version>
            <configuration>
                <password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->

         <packages>com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controller</packages>

                <excludes>org.spring</excludes>

            </configuration>
            <executions>
                <execution>
                    <phase>package</phase>
                    <goals>
                        <goal>classFinal</goal>
                    </goals>
                </execution>
            </executions>
        </plugin>


## 实践


加密的效果,将所有的方法内容都清空了


![](https://img-blog.csdnimg.cn/direct/3c4560e71a564680ab59dc138cfc2488.png)![](https://img-blog.csdnimg.cn/direct/9bf88a4646bb4257adafaeb826b07363.png)


**应用启动**方法:

java -javaagent:proguard-demo-1.0-SNAPSHOT-encrypted.jar -jar proguard-demo-1.0-SNAPSHOT-encrypted.jar


### 问题


启动报错

17:39:11.916 [main] DEBUG org.springframework.context.annotation.AnnotationConfigApplicationContext - Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@7b9a4292
17:39:11.923 [main] DEBUG org.springframework.beans.factory.support.DefaultListableBeanFactory - Creating shared instance of singleton bean ‘org.springframework.context.annotation.internalConfigurationAnnotationProcessor’
17:39:11.949 [main] ERROR org.springframework.boot.SpringApplication - Application run failed
java.lang.IllegalArgumentException: No auto configuration classes found in META-INF/spring.factories. If you are using a custom packaging, make sure that file is correct.
at org.springframework.util.Assert.notEmpty(Assert.java:470)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getCandidateConfigurations(AutoConfigurationImportSelector.java:180)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getAutoConfigurationEntry(AutoConfigurationImportSelector.java:123)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector A u t o C o n f i g u r a t i o n G r o u p . p r o c e s s ( A u t o C o n f i g u r a t i o n I m p o r t S e l e c t o r . j a v a : 434 ) a t o r g . s p r i n g f r a m e w o r k . c o n t e x t . a n n o t a t i o n . C o n f i g u r a t i o n C l a s s P a r s e r AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434) at org.springframework.context.annotation.ConfigurationClassParser AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434)atorg.springframework.context.annotation.ConfigurationClassParserDeferredImportSelectorGrouping.getImports(ConfigurationClassParser.java:879)
at org.springframework.context.annotation.ConfigurationClassParser D e f e r r e d I m p o r t S e l e c t o r G r o u p i n g H a n d l e r . p r o c e s s G r o u p I m p o r t s ( C o n f i g u r a t i o n C l a s s P a r s e r . j a v a : 809 ) a t o r g . s p r i n g f r a m e w o r k . c o n t e x t . a n n o t a t i o n . C o n f i g u r a t i o n C l a s s P a r s e r DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809) at org.springframework.context.annotation.ConfigurationClassParser DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809)atorg.springframework.context.annotation.ConfigurationClassParserDeferredImportSelectorHandler.process(ConfigurationClassParser.java:780)
at org.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:192)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:331)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:247)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:311)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:112)
at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:746)
at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:564)
at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:745)
at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:420)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:307)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1317)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1306)
at com.yulang.proguard.demo.ProguardApp.main(ProguardApp.java:19)
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.base/java.lang.reflect.Method.invoke(Method.java:566)
at org.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:49)
at org.springframework.boot.loader.Launcher.launch(Launcher.java:108)
at org.springframework.boot.loader.Launcher.launch(Launcher.java:58)
at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:88)


解决办法,注释掉application的加密和jar包加密就好了


## 测试


测试启动过程中,除了增加点启动日志,并无什么影响,对于业务日志也没有影响


![](https://img-blog.csdnimg.cn/direct/feab030e911d43e58c96a615e40c4571.png)


可以看到日志的行号也不会做任何的变更 ,相比较商用Allatori混淆,默认会混淆行号,导致日志排查起来相当困难


![](https://img-blog.csdnimg.cn/direct/b202579b9d1c478abcf18378d233dc21.png)


## 缺点


通过dump仍然能看到源码,但是相对来说,增加了破解的难度


加密解密开销:每次加载类时都需要进行解密操作,这会增加额外的CPU计算时间。如果加密算法复杂度较高,解密过程可能会成为性能瓶颈。


内存消耗:加密后的类文件可能占用更多存储空间,并且在运行时需要更多的内存来存放解密后的字节码数据。


类加载时间:由于增加了解密环节,类加载的时间会有所增加,特别是在启动阶段或大量类需要加载的时候,可能会感受到明显的延迟。


JIT编译:Java虚拟机(JVM)通常会对热点代码进行即时(Just-In-Time,JIT)编译优化以提高执行效率。加密后,JVM可能无法直接识别并优化这些代码,从而影响执行速度。


目前已经暂停维护了,后期如果存在问题,需要自己修复



## 扩展


多模块项目,只需要在对应模块配置相应的jar包即可
```
机器绑定

获取机器码jar包:classfinal-fatjar-1.2.1.jar

下载地址:https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar

机器绑定只允许加密的项目在特定的机器上运行;

在需要绑定的机器上执行以下命令,生成机器码

java -jar classfinal-fatjar-1.2.1.jar -C

加密时用-code指定机器码。机器绑定可同时支持机器码+密码的方式加密。

如果拷贝到其他机器上运行,则会报错

启动加密后的jar
java -javaagent:yourpaoject-encrypted.jar='-pwd 0000000' -jar yourpaoject-encrypted.jar
//参数说明
// -pwd      加密项目的密码  
// -pwdname  环境变量中密码的名字
插件中配置的密码
<password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/2308a0f09b97df22aa0785e23de33e6f.png)

![img](https://img-blog.csdnimg.cn/img_convert/26394d26414d0999978c162b680c7840.png)

![img](https://img-blog.csdnimg.cn/img_convert/779651f169e5806b2dcc322787ba77e2.png)

![img](https://img-blog.csdnimg.cn/img_convert/df1d6b9c224708a772b1b59342216367.png)

![img](https://img-blog.csdnimg.cn/img_convert/0cf732fc0b476af967494e57ad14d80e.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84969340
关注
  • 30
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ClassFinal字节码加密工具-其他
06-12
classfinal-maven-plugin:ClassFinal加密的maven件;功能特性:无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。运行加密项目时,无需求修改tomcat,spring等源代码。支持普通jar包、springboot ...
cobertura-maven-plugin:Cobertura Maven
02-04
cobertura-maven-plugin:Cobertura Maven
使用 ClassFinal 对 java class 文件进行加密防止反编译
悟世君子的博客
10-02 6006
ClassFinal 是一款 java class文件安全加密工具,支持直接加密 jar 包或 war 包,无需修改任何项目代码,兼容 spring-framework;可避免源码泄漏或字节码被反编译特点。
使用ClassFinal对java项目加密
赶路人儿
11-17 5321
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。依赖环境:jdk1.8Gitee:ClassFinal: Java字节码加密工具1、项目模块说明ClassFinal的核心模块,几乎所有加密的代码都在这里;ClassFinal打包成独立运行的jar包;ClassFinal加密的maven件;2、功能特性。
解决Cannot resolve plugin xxx 终极方案,遇见无法加载的maven件,如何从Maven的件网站手动加入本地
weixin_51757406的博客
07-11 521
本方法是一个实在没办法解决,然后手动加入本地的笨方法,解决maven件无法加载问题
防止反编译,保护你的SpringBoot项目
小码哥AI、互联网副业项目
12-14 1724
ClassFinal-maven-plugin件是一个强大的Java字节码加密工具,它可以有效地保护你的Java应用程序不被非法获取或篡改。通过合理配置件选项,你可以根据实际需求定制加密策略,从而获得更高的安全性。
maven报错Cannot resolve plugin xxxxx
weixin_44583262的博客
04-18 868
解决方法,先找到maven目录,然后再找到找不到配件的名字,删除该文件夹,让maven重新下下,有可能是网络原因导致该文件没下载好。
maven的pom文件引入依赖报错:提示无法处理 Cannot resolve...
伟庭的博客
03-30 1万+
maven项目中 jar包下载失败的解决:
flatten-maven-plugin:扁平化Maven
02-03
MojoHaus Flatten Maven件 这是 。 1.0.x分支: 快速开始 ... <artifactId>flatten-maven-plugin <!--<version>INSERT LATEST VERSION HERE</version>--> <goal>flatten <!--
gwt-maven-plugin:旧版GWT Maven
02-23
现在,该件被认为是legacy GWT maven plugin (又名mojo GWT maven件),而新件被认为是new generation GWT maven plugin (又名tbroyer GWT maven件)。 仍然支持旧版maven件,但强烈建议将新件用于新...
build-helper-maven-plugin:构建助手Maven
02-03
MojoHaus Build Helper Maven件 这是包含服务器目标,以支持您执行各种任务,例如解析版本信息,向Maven项目添加补充源/测试文件夹或附加补充工件。 有关更多详细信息,请参见。发行确保gpg-agent正在运行。 执行...
SpringBoot 项目 引入ClassFinal 解决代码加密和机器码绑定问题
qq_39007838的博客
10-13 2383
机器码 加密
基于classfinal对Java服务端代码进行混淆加密
最新发布
cheagoun的博客
05-23 931
在单模块中,此方案还算简单,但是现在项目一般都是多模块。一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在配置是否混淆时极其容易出错。此方案比对上面的方案来说,就简单了许多,可以直接对打包好的 jar / war包执行命令,就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。
Maven遇到件下载不下来(Cannot resolve plugin)
热门推荐
qq_38287890的博客
09-28 6万+
搞了好久大部分都是说,下图中这三个配置的不一致,但是我的都一致啊,这就没法解决我的问题了! 就很气! 然后就在我最无助!最难受的时候大佬的文章帮我解决了问题! 大佬连接 然后我自己记录一下: 这个问题就是网络问题大佬文章中说的是联通网段不能访问maven的下载地址 反正就是因为网络问题导致不能下载件,那我们就来多配几个镜像!!!(之前我只配置了一个阿里云镜像) 配置settings.xml文件...
出现Cannot resolve plugin XXX的解决办法
qq_44302282的博客
03-13 2万+
出现Cannot resolve plugin XXX的解决办法 在导入项目出现许多Cannot resolve plugin 的错误,例: Cannot resolve plugin org.apache.maven.plugins:maven-resources-plugin:3.1.0 Cannot resolve plugin org.apache.maven.plugins:maven-jar-plugin:3.1.2 … 如图: 解决办法: 一、打开 file =》setting =》Buil
IDEA报错:Cannot resolve plugin org.apache.maven.plugins:maven-jar-plugin:*.*
Elevenohayoo的博客
02-20 4992
小白第一次记录:解决IDEA报错:Cannot resolve plugin org.apache.maven.plugins:maven-jar-plugin:. 小白寒假在学习mybatis框架,跟着老师后面勤勤恳恳地敲,用到的maven工程。 Idea运行程序倒是没有问题,但是一直有Cannot resolve plugin org.apache.maven.plugins:maven-jar-plugin:2.4报错,强迫症实在无法忍受,搜索无数后终于解决了!现在总结一下自己的经验,希望能给大家一点
IDEA日常填坑:Cannot resolve plugin org.apache.maven.plugins:maven-war-plugin
^Being^
03-19 5万+
问题描述: 我太难了o(╥﹏╥)o,这个问题竟然困扰了我一个下午加上一个晚上,为了解决它,估计浏览器都要被我弄崩了吧,此前我将所能找到的方法全都试了个遍,甚至是将 IDEA 卸载了再装,装了在卸(刚开始安装的是社区版,后来装了一个专业版的),问题依旧在那儿,还好我心态好,O(∩_∩)O哈哈~ 网上说的最多的解决方案就是 maven 安装的路径和和本地仓库的目录必须要保持一致(不一致就会出现这个问...
IDEA配置maven报错 cannot resolve plugin
liyatjj的博客
10-13 5191
在浏览解决问题的时侯发现,自己新建的project不是maven,而是maven模板,由于我的IDEA是2022.1版本的,所以有些地方不一样。在maven下新建一个repository文件夹作为本地仓库,之后从云端下载的相关文件会下载到这里。之前看了好多文章,说是因为网络问题造成的,具体也不太知道,解决办法就是加镜像。Build System选择Maven,JDK选择自己对应的版本,我的是1.7。当所需要的文件在本地仓库中找不到时,就从云端下载到本地仓库中。就在下载的maven的conf中。
classfinal-maven-plugin
04-05
The classfinal-maven-plugin is a Maven plugin that performs bytecode analysis and generates a report of classes and their methods that are marked as final. The plugin can be used to identify potential areas for optimization or refactoring in a Java codebase. The plugin analyzes the bytecode of compiled classes using the ASM library and generates a report in HTML format. The report includes a list of all classes and their methods that are marked as final, as well as information about the location of the class in the codebase. To use the plugin, it must be added to the Maven project's pom.xml file as a build plugin. The plugin can be configured to include or exclude certain classes or packages from the analysis. The generated report can be viewed in a web browser or integrated with a continuous integration tool. Overall, the classfinal-maven-plugin is a useful tool for identifying areas of a codebase that could benefit from optimization or refactoring. By analyzing the bytecode of compiled classes, the plugin provides a more accurate view of the code's behavior than static analysis tools that only analyze source code.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值