Java全系工程源码加密,防止反编译

于 2024-03-14 15:52:16 发布
阅读量1k 收藏 22
点赞数 20
分类专栏: JAVA开发实战 文章标签: 开发语言 源码安全 反编译 JAVA源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FrenzyTechAI/article/details/136713157
版权

一、前言

在大约2015年左右,由于公司产品序列逐渐增加,涉及到N多项目部署交付,为了有效防止产品被滥用,私自部署,当时技术中心决定开发一套统一的授权认证管理系统,对公司所有产品序列进行 License 控制。

一晃已然快十年了,一直都在平稳运行,从这里发出的授权估计几千个了吧,最近关于授权认证又收到营销提出的新需求,由于我们开发语言以 JAVA 为主,熟悉 JAVA 的同学都清楚 JAVA 源码很容易被反编译,只要找到了认证的入口其实就很好破解。我们暂不探讨原来的授权具体方案。这个经历多次迭代,本身也比较复杂。

现在产品侧提出的需求,希望可以在线上传或者更新所有产品的授权认证文件,不用通过shell登录服务器手动替换,而且希望在上传完授权文件后,系统对文件进行一次解析和验证,对于不合法或者不匹配的文件不予通过,做到提前过滤。

如果直接给下游产品提供授权认证SDK包的话,所有加密的核心代码和逻辑全部会被暴露出来,有没有比较合适的方案可以对源码进行加密呢?这就是今天我们即将介绍的一款小工具 ClassFinal 。

二、ClassFinal 介绍

ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。

2.1、项目模块

  • classfinal-core: ClassFinal的核心模块,几乎所有加密的代码都在这里;
  • classfinal-fatjar: ClassFinal打包成独立运行的jar包;
  • classfinal-maven-plugin: ClassFinal加密的maven插件;

2.2、功能特性

  • 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。
  • 运行加密项目时,无需修改tomcat,spring等源代码。
  • 支持普通jar包、springboot jar包以及普通java web项目编译的war包。
  • 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。
  • 支持maven插件,添加插件后在打包过程中自动加密。
  • 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。
  • 支持绑定机器,项目加密后只能在特定机器运行。
  • 支持加密springboot的配置文件。

三、普通项目加密

普通的JAVA项目可以直接通过命令行的方式执行加密:

java -jar classfinal-fatjar-1.2.1.jar -file company-license-3.0.0.jar -packages de.schlichtherle,org.apache.mime2.node,xxx.license.core -exclude LicenseTest -pwd '#' -Y
参数说明
-file        加密的jar/war完整路径
-packages    加密的包名(可为空,多个用","分割)
-libjars     jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles    需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude     排除的类名(可为空,多个用","分割)
-classpath   外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
-pwd         加密密码,如果是#号,则使用无密码模式加密
-code        机器码,在绑定的机器生成,加密后只可在此机器上运行
-Y           无需确认,不加此参数会提示确认以上信息

结果: 执行命令后生成 company-license-3.0.0-encrypted.jar,这个就是加密后的jar文件;加密后的文件不可直接执行,需要配置VM参数:javaagent。

3.1、启动加密后的jar

加密后的项目需要设置javaagent来启动,项目在启动过程中解密class,完全内存解密,不留下任何解密后的文件。解密功能已经自动加入到 company-license-3.0.0-encrypted.jar中,所以启动时-javaagent与-jar相同,不需要额外的jar包。

启动jar项目执行以下命令:

java -javaagent:company-license-3.0.0-encrypted.jar='-pwd 0000000' -jar company-license-3.0.0-encrypted.jar

//参数说明
// -pwd      加密项目的密码  
// -pwdname  环境变量中密码的名字

或者不加pwd参数直接启动,启动后在控制台里输入密码,推荐使用这种方式:

java -javaagent:company-license-3.0.0-encrypted.jar -jar company-license-3.0.0-encrypted.jar

3.2、在IDEA中启动加密jar

在IDEA中配置javaagent运行参数,可以按以下步骤进行操作:

1、打开项目的"Run/Debug Configurations"窗口。

2、在"Build and run"配置模块,点击"Modify options"选择"Add VM options",输入'-javaagent:E:\sla_workspace\company-auth-demo\lib\company-auth-3.0.0.jar"

运行程序,开始在内存中揭秘 Class 文件,程序可以正常运行输出结果:

最新的密码读取顺序已经改为:参数获取密码||环境变量获取密码||密码文件获取密码||控制台输入密码||GUI输入密码||退出

3.3、tomcat下运行加密后的war

将加密后的war放在tomcat/webapps下, tomcat/bin/catalina 增加以下配置:

//linux下 catalina.sh
CATALINA_OPTS="$CATALINA_OPTS -javaagent:classfinal-fatjar-1.2.1.jar='-pwd 0000000'";
export CATALINA_OPTS;

//win下catalina.bat
set JAVA_OPTS="-javaagent:classfinal-fatjar.jar='-pwd 000000'"

//参数说明 
// -pwd      加密项目的密码  
// -nopwd    无密码加密时启动加上此参数,跳过输密码过程
// -pwdname  环境变量中密码的名字

本工具使用AES算法加密class文件,密码是保证不被破解的关键,请保存好密码,请勿泄漏。

密码一旦忘记,项目不可启动且无法恢复,请牢记密码。

本工具加密后,原始的class文件并不会完全被加密,只是方法体被清空,保留方法参数、注解等信息,这是为了兼容spring,swagger等扫描注解的框架; 方法体被清空后,反编译者只能看到方法名和注解,看不到方法的具体内容;当class被classloader加载时,真正的方法体会被解密注入。

为了保证项目在运行时的安全,启动jvm时请加参数: -XX:+DisableAttachMechanism 。

四、Maven项目加密

Maven项目可以使用classfinal-maven-plugin插件。直接配置一个插件就可以实现源码的安全性保护。并且可以对yml、properties配置文件以及lib目录下的maven依赖进行加密处理。若想指定机器启动,支持绑定机器,项目加密后只能在特定机器运行。

只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.3</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

    <groupId>com.yourcompany</groupId>
    <artifactId>company-auth</artifactId>
    <version>3.0.0</version>
    <packaging>jar</packaging>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <build>
        <plugins>
            <plugin>
                <artifactId>maven-compiler-plugin</artifactId>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-dependency-plugin</artifactId>
                <executions>
                    <execution>
                        <id>copy-dependencies</id>
                        <phase>prepare-package</phase>
                        <goals>
                            <goal>copy-dependencies</goal>
                        </goals>
                        <configuration>
                            <outputDirectory>${project.build.directory}/lib</outputDirectory>
                            <overWriteReleases>false</overWriteReleases>
                            <overWriteSnapshots>false</overWriteSnapshots>
                            <overWriteIfNewer>true</overWriteIfNewer>
                        </configuration>
                    </execution>
                </executions>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-jar-plugin</artifactId>
                <configuration>
                    <archive>
                        <manifest>
                            <mainClass>CompanyAuthApplication</mainClass>
                            <addClasspath>true</addClasspath>
                            <classpathPrefix>lib/</classpathPrefix>
                        </manifest>
                    </archive>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
            <plugin>
                <!--
                    1. 加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                    2. 方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                    3. 加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                    4. 启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                    5. 无密码启动方式,java -javaagent:xxx-encrypted.jar -jar xxx-encrypted.jar
                    6. 有密码启动方式,java -javaagent:xxx-encrypted.jar='-pwd= 密码' -jar xxx-encrypted.jar
                -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>#</password><!-- #表示启动时不需要密码,事实上对于代码混淆来说,这个密码没什么用,它只是一个启动密码 -->
                    <excludes>org.spring</excludes>
                    <packages>org.apache.mime2.node,company.license.core</packages><!-- 加密的包名,多个包用逗号分开 -->
                    <!-- <cfgfiles>application.yml,application-dev.yml</cfgfiles>加密的配置文件,多个包用逗号分开 -->
                    <libjars>hutool-all.jar</libjars> <!-- jar包lib下面要加密的jar依赖文件,多个包用逗号分开 -->
                    <code></code> <!-- 指定机器启动,机器码 -->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>
</project>

五、反编译效果

启动包加密之后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描,反编译只能看到方法名和注解,看不到方法体的具体内容,启动过程中解密class,完全内存解密,不留下任何解密后的文件。

六、绑定机器启动

下载到classfinal-fatjar-1.2.1.jar 依赖,在当前依赖下cmd执行java -jar classfinal-fatjar-1.2.1.jar -C命令,会自动生成一串机器码

将此生成好的机器码,普通项目增加-code参数指定机器码,maven项目放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。

七、References

[1]. Classfinal Github:

https://github.com/roseboy/classfinal

[2]. Classfinal Gitee:

https://gitee.com/roseboy/classfinal

[3]. Classfinal JAR Download:

https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar

技术狂潮AI
关注
  • 20
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于jvmtiJava代码加密和解密源码
03-29
jvmti加密源码,包含基于jvmti,利用c++ 编译的动态库,用一定的算法将Java里.class加密源码代码,以及在tomcat 上完成解密并正常启动的源码,支持spring框架 和springboot,防止反编译
java class防止反编译,最大限度的保护自己的代码
11-23
java以其跨平台、免费、安全等特点,被越来越多的应用到大型的系统中。正是由于其代码的跨平台性,是解析型语言才使得它很容易被反编译源码,从而造成公司代码的泄露,设置时运用框架的泄露。本文从各个方面介绍了防止class被反编译。从而保护自己的知识产权不受侵害。 包括混淆技术,加密技术等。
apk加壳和伪加密防止反编译
08-20
apk加壳和伪加密防止反编译) 包括3个工程: 一个是加壳java工程; 一个是加壳安卓工程; 一个是apkdemo源程序; 直接运行Packers工程下面的build.xml文件后,在Packers的bin目录下查看Packers-release.apk即可安装测试。 其中:签名key文件请自己提供,在ant.properties中配置即可。
java反编译源码保护-apksheller:apk一键加固工具(JAVA加密DEX,防反编译)
06-05
java反编译 源码保护 简介 Java层DEX一键加固脚本 使用说明 python -f xxx.apk 加固原理 准备一个壳DEX文件(源码位置:shellApplicationSourceCode),将原APK的DEX文件加密保存到壳DEX尾部,然后将原APK文件中的原DEX文件替换为壳DEX,并修改原APK文件里AndroidManifest.xml的applicationandroid:name字段,实现从壳DEX启动。 解密和加载原DEX的任务交给壳DEX,这样就实现了APK文件防编译保护 一键加固脚本实现步骤 准备原DEX加密算法以及隐藏位置(壳DEX尾部) """ 1. 第一步:确定加密算法 """ inKey = 0xFF print("[*] 确定加密解密算法,异或: {}".format(str(inKey))) 生成壳DEX。(壳Application动态加载原application中需要原application的name字段) """ 2. 第二步:准备好壳App """ # 反编译原apk decompAPK(fp) # print("[*] 反编译原的ap
使用xjar 对Spring-Boot JAR 包加密运行工具,避免源码泄露以及反编译
12-21
目录 1 Xjar 介绍 2 如何使用 xjar v2.06 2.1 导入pomx (可以的话直接看3)  不行接着往下 2.2  2.2    自己去maven 下载jar  2.3  跳过2.1 的废话,直接下载 xjar  和  loadkit 包,并且安装到本地 3 编写代码对已有spring boot jar 进行加密操作 4 懒人方案 5 java 反编译工具 1 Xjar 介绍 Spring Boot JAR 安全加密运行工具,同时支持的原生JAR。 基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露或反编译。 功能
Java代码保护工具全套源码(jShield)
06-15
jShield是本人基于自定义类加载器技术开发Java代码保护工具,可以加密保护Jar包或Class文件,适合需要保护Java程序的朋友使用和研究。 jShield是一款WinForm工具,通过图形化界面导入jar包或class文件后,即可进行加密处理,操作非常简单。 jShield使用C#和VC++语言开发而成,主要包括三个项目:主程序、加密库和解密代理库,主程序由C#语言编写,加密库和解密代理库采用VC++语言编写。jShield完整的实现了Jar包解压、加密Class、重新打包的过程,实现了基本的Class文件加密,有兴趣的小伙伴可以在此基础上发挥创意,添加自己想要的内容。
java项目jar包加密防止反编译代码
最新发布
lqs_user的博客
01-09 2199
文章来源:https://juejin.cn/post/7291846601651273769
Java防止反编译实践
weixin_39286679的博客
06-27 3517
从类加载的角度实现Java代码防止反编译效果 改造Maven打包插件,Spring,Tomcat源码的方式实现代码反编译效果
Java反编译|代码混淆|代码保护|知识产权保护|License授权
tianmaxingkonger的专栏
06-16 1612
目前,市场上有许多Java反编译工具,黑客能够对这些程序进行更改,或者复用其中的程序。因此,如何保护Java程序不被反编译,是非常重要的一个问题。
防止.class被反编译方法
AlvinNoending的专栏
12-12 5811
常用的保护技术     由于Java字节码的抽象级别较高,因此它们较容易被反编译。本节介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。   1.隔离Java程序 最简单的方法就是让用户不能够访问到Java Class程序,这种方法是最根本的方法,具体实现有多种方式。例
JAVA加密 保护源代码 防止反编译的工具
11-01
众所周知,java开发语言提供了很方便的开发平台,而且开发出来的程序很容易在不同的平台上面进行移植,现在越来越多的人使用它开发软件。 Java有了它方便的一个方面,但是他同时也带给了开发者一个烦恼,这就是保护的办法不多,而且大多数不是很好用,这样自己辛苦开发出来的程序很容易被人反编译过来而据为己有,一般情况下,大多数的人都是用混编器(java obfuscator)来把开发出来的程序进行打乱以达到没有办法来反编译观看源代码,但是这种办法在网上很容易找到相关的软件来重新整理,那么这个混编只能控制一些本来也没有办法动您的软件的人,而对于一些掌握工具的人几乎是透明的,还有就是利用硬件加密锁,但大多数公司提供的硬件加密锁只是提供了一些dll的连接或简单的api调用,只要反编译他们,就很容易把一些api调用去掉,这样硬件加密锁也就不起作用了,但是现在到底有没有好的办法呢? 市场上现有的几款防止反编译工具其实都是改进了加载过程。但是加载到JAVA虚拟机后一样可以得到CLASS字节码的。 只要懂JAVA原理的人其实很用意破解的. JAVACOMPILE 这款工具就不一样了,javacompile 它是修改了虚拟机内核, 用户目录里没有需要的JAVA字节码,而是当JAVA需要调用函数的时候才通过网络下载相对应的已经二次编译的字节码,就算用户通过 CLASS.getClass 也得不到可以用来反编译字节码。 真正意义上保护了JAVA知识产权。 个人版限制编译30个CLASS文件,文件打包方式下载。
java反编译源码保护-nmmp:dex-vm实现,用于保护classes.dex文件
06-05
java反编译 源码保护 nmmp 基于dex-vm运行dalvik字节码从而对dex进行保护,增加反编译难度。 项目分为两部分nmm-protect是纯java项目,对dex进行转换,把dex里方法及各种数据转为c结构体,处理apk生成ndk项目然后编译生成so,输出处理后的apk。nmmvm是一个安卓项目,包含dex-vm实现及各种dalvik指令的测试等。 nmm-protect 简单使用 不编译nmm-protect,可以直接看使用它生成项目及最后的apk,。 当前只支持linux环境,先安装好JDK及android sdk和ndk。 下载,配置好环境变量ANDROID_SDK_HOME、ANDROID_NDK_HOME: export ANDROID_SDK_HOME=/opt/android-sdk export ANDROID_NDK_HOME=/opt/android-sdk/ndk/22.1.7171670 export CMAKE_PATH=/opt/android-sdk/cmake/3.18.1/ #可选,不配置的话直接使用/bin/cmake 然后运行jar:
java代码保护,防止反编译
12-08
保护企业成果,防止反编译,有效的保护知识产权。 欢迎下载
JAVA上百实例源码以及开源项目
01-03
摘要:Java源码,算法相关,非对称加密  Java非对称加密源程序代码实例,本例中使用RSA加密技术,定义加密算法可用 DES,DESede,Blowfish等。  设定字符串为“张三,你好,我是李四”  产生张三的密钥对...
java加密运行class/jar/war(支持window/linux/Mac)
11-17
java加密运行支持【spring+struts+mybatis+hibernate+mysql+oracle+sqlserver+postgresql+springMVC+springboot】 支持的项目:JavaWeb项目、Tomcat项目、SpringBoot项目、...保护了源码,无法反编译.class、.jar包。
xmljava系统源码-classfinal:Java加密工具
06-06
可避免源码泄漏或字节码被反编译。 Gitee: 项目模块说明 classfinal-core: ClassFinal的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar: ClassFinal打包成独立运行的jar包; classfinal-maven-plugin: ...
java 反编译 字节码 源代码 绿色软件 直接打开jar包
06-20
java 反编译 字节码 源代码 生成源码 非常好用 这个是我见过最好的反编译工具,并且可以直接打开jar包,查看java代码,而且不需要安装绿色软件
JAVA上百实例源码以及开源项目源代码
09-17
摘要:Java源码,算法相关,非对称加密  Java非对称加密源程序代码实例,本例中使用RSA加密技术,定义加密算法可用 DES,DESede,Blowfish等。  设定字符串为“张三,你好,我是李四”  产生张三的密钥对...
jar文件反编译java源码
07-14
### 回答1: jar文件是Java语言中常见的一种打包文件格式,它将多个Java类文件、资源文件和其他文件打包成一个文件。一般情况下,jar文件是已经编译成机器码的二进制文件,无法直接查看其中的源代码。但是,通过使用反编译工具,我们可以将jar文件中的字节码还原成Java源代码。 在进行jar文件反编译时,我们通常会使用一些专门的反编译工具,如Java Decompiler、JD-GUI等。这些工具能够将jar文件中的字节码重新转换成Java源代码,并呈现给我们查看和分析。 使用这些反编译工具,我们可以对jar文件中的代码进行查看、修改和学习。例如,我们可以查看第三方库的源码,了解其实现原理;或者对某个jar文件进行定制修改,以适应特定需求。 需要注意的是,虽然反编译可以还原代码的结构和逻辑,但无法还原原始的变量名和注释。这是因为在编译过程中,Java源代码的变量名和注释会被编译器丢弃,只保留了与机器码执行有关的信息。因此,在反编译后的代码中,我们可能会看到一些类似"var1"、"var2"这样的临时变量名,而注释则可能被省略或被替换成了一些默认的注释。 总之,通过反编译jar文件,我们可以获取到其中的Java源代码,从而进行代码的分析和修改。这对于学习和项目调试等方面都起到了重要的作用。 ### 回答2: jar文件是一种Java语言的归档文件格式,可以将多个Java类文件打包成一个文件。反编译指的是将已经编译过的二进制文件(如jar文件)转换回可读的源代码。 要反编译一个jar文件中的Java源码,我们可以使用各种反编译工具,例如JD-GUI、Java Decompiler、FernFlower等。 首先,我们需要将jar文件导入到反编译工具中。这些工具通常提供一个用户界面,让我们可以轻松地导入并查看jar文件的内容。在工具的界面上,我们可以看到jar文件中包含的类文件和资源文件的列表。 接下来,我们可以选择一个或多个类文件,并使用反编译工具将其转换成可读的Java源码。这些工具通常会将反编译后的源代码显示在一个编辑器或浏览器窗口中,使我们能够查看和编辑源代码。 需要注意的是,由于编译后的二进制文件丢失了一些原始代码的信息(如变量和方法名),所以反编译后的源码可能不会与原始源代码完全相同。此外,反编译后的源码可能也会缺少一些编译器优化后的改进。 总结起来,jar文件反编译Java源码是一种将已编译的二进制文件转换回可读的源代码的过程。通过使用反编译工具,我们可以将jar文件中的类文件转换成可读的Java源码,以便于我们查看和编辑源代码。但需要注意的是,反编译后的源码可能与原始源代码存在一些差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术狂潮AI

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值