JAVA软件加密-数字摘要和代码混淆

于 2020-06-11 11:07:08 发布
阅读量501 收藏 2
点赞数
文章标签: JAVA软件加密 数字摘要 代码混淆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy511823558/article/details/106681377
版权

        由于JAVA是一种解释型的语言,很容易被反编译,也许现在很多公司的产品在出厂之前都会加上License验证的步骤,那么License验证真的安全吗?

        NO,稍微有一点JAVA经验的人就知道将你的war包或jar包反编译,然后轻松的找到你的License验证的代码,将它删除,或者直接改为return true,轻松的绕过你的License验证,所以说License验证只能防君子,不能防小人

        那么怎么样使你的JAVA程序更安全呢?利用数字摘要技术+代码混淆。

        讲数字摘要之前有必要先了解一下什么是数字签名。详见通俗易懂讲解什么是《数字签名和数字摘要》

        借助于数字签名的思想,我们利用数字摘要来加密我们的class文件,如果我们不想让用户修改license验证相关的代码,我们就将LicenseCheck.class做一个HASH算法,计算出一个HASH值(即摘要信息),用户在使用软件之前需要去验证这个摘要信息,如果用户修改过这个LicenseCheck.class文件,那么摘要信息就会改变,验证就不通过。具体代码如下:

import java.io.BufferedInputStream;
import java.util.ArrayList;
import java.util.Iterator;
import java.util.List;
import java.util.zip.CRC32;
import org.aspectj.lang.JoinPoint;
import org.aspectj.lang.annotation.*;
import org.springframework.stereotype.Component;

@Component
@Aspect
public class CheckAspect {
	private final String POINT_CUT = "execution(public * com.founder.vt.controllers.*.*(..))";
	@Pointcut(POINT_CUT)
	public void pointCut(){}

	@Before(value = "pointCut()")
	public void before(JoinPoint joinPoint){
		System.out.println("aspect-----------------------");
		if(!isCracked()) {
			System.out.println("为保证系统的完整性,本系统不允许任何未经许可的反编译和修改,谢谢合作!");
			Thread.currentThread().stop();
		}else {
			System.out.println("验证通过。");
		}
	}
	
	private long crc32 =  0L;
	private boolean isCracked()
	{
		if(crc32 == 0L)
			crc32 = getCRC32();
			System.out.println(crc32);
          	if(crc32 == 0x59416716L)     //相当于十进制的1497458454   
          		return true;
          	return false;
	}
	
	private long getCRC32()
	{
		List classList = new ArrayList();
		classList.add(com.licence.LicenseCheck.class);
		CRC32 crc = new CRC32();
		try
		{
			byte buffer[] = new byte[1024];

			int len = -1;
			BufferedInputStream bis = null;
			Iterator it = classList.iterator();
			while(it.hasNext())
			{
				Class clazz = (Class)it.next();
				String className = clazz.getName();
				className = className.substring(className.lastIndexOf(".") + 1);
				bis = new BufferedInputStream(clazz.getResourceAsStream(className+".class"));
				while((len = bis.read(buffer, 0, 1024)) > 0)
					crc.update(buffer,0,len);
				bis.close();
			}
			return crc.getValue();
		}
		catch(Exception ex)
		{
			return 0;
		}
	}
}

        验证数字摘要防止代码被篡改,需要配合Aspect切面编程才能发挥威力,因为如果你只是在代码中加入验证数字摘要的算法,用户也可以很方便的找出来,反编译后将这段代码移除掉,如果用面向切面编程,你可以将切面逻辑或者摘要信息隐藏起来(比如放在一个很大的类的中间),增加用户找到它的难度。

你可能会问,即便是这样,也有被用户找到的可能,这时候我们可以出绝招了:代码混淆

代码混淆的原理是将编译后的class文件中的包名、类名、方法名、变量名全部替换成毫无意义的a,b,c,提高代码阅读成本。

利用Proguard混淆之后,利用jd-gui反编译出来的代码是这样的:

ps:能读懂这种代码的高手不在我们的讨论范围之列!

混淆有两种方法,下面以maven工程为例,配置pom.xml如下:

<!-- ProGuard混淆插件-->
			<plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.0.14</version>
                <executions>
                    <execution>
                        <!--混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!--使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <proguardVersion>6.0.2</proguardVersion>
                    <obfuscate>true</obfuscate>
                    <!--是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!--是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!--指定生成文件分类-->
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    <options>
                        <!--JDK目标版本1.8-->
                        <option>-target 1.8</option>
                        <!--不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!--不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!--不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--优化时允许访问并修改有修饰符的类和类的成员-->
                        <option>-allowaccessmodification</option>
                        <!--确定统一的混淆类的成员名称来增加混淆,防止冲突-->
                        <option>-useuniqueclassmembernames</option>
                        <!--不用大小写混合类名机制-->
  						<option>-dontusemixedcaseclassnames</option>
                        <!--不混淆所有包名,Spring配置中有大量固定写法的包名-->
                        <!-- <option>-keeppackagenames</option>
                        <option>-adaptclassstrings</option> -->
                        <!--不混淆所有特殊的类-->
                        <option>
                            -keepattributes                             Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod
                        </option>
                        <!--不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射-->
                        <option>-keepclassmembers public class *{void set*(***);*** get*();} </option>
                        <!-- 只混淆这个包下的类 -->
                        <!-- <option>-keep class !com.licence.** { *; }</option> -->
                        <!-- <option>-keep class !com.util.bak.* { *; }</option> -->
                        <!-- 不混淆这个包下的类 -->
                        <option>-keep class com.controllers.* { *; }</option>
                        <option>-keep class com.mapper.* { *; }</option>
                        <!-- 不混淆main方法 -->
                        <option>-keep class com.App { *; }</option>
                        
                        <!--不显示警告信息,如果显示则会出现Error无法完成混淆!-->
                        <option>-dontwarn **</option>
                    </options>
                    <outjar>${project.build.finalName}-pg.jar</outjar>
 
                    <!--添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了-->
                    <libs>
                        <lib>${java.home}/lib/rt.jar</lib>
                    </libs>
 
                    <!--加载文件的过滤器,就是你的工程目录了-->
                    <!--<inFilter>com/test/prog/**</inFilter>-->
                    <!--<inFilter>com/itdct/es/**</inFilter>-->
                    <!--对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>classes</injar>
                    <!--输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>
                </configuration>
 
                <dependencies>
                    <!--使用6.0.2版本来混淆-->
                    <dependency>
                        <groupId>net.sf.proguard</groupId>
                        <artifactId>proguard-base</artifactId>
                        <version>6.0.2</version>
                        <scope>runtime</scope>
                    </dependency>
                </dependencies>
            </plugin>

        以上代码亲测可用,通常不是所有的方法都可以混淆的,比如controller的接口方法,是要供前端调用的,如果混淆了则前端就调用不了了,再比如mabatis的映射文件也是不能混淆的,这个根据各自的项目情况利用-keep语句排除就可以了。

        当然,道高一尺,魔高一丈,混淆只是尽量提高破解的难度,并不能完全保证不被破解,如果想继续增加难度,可以考虑自己写classloader:

        以上方法感兴趣的可以自行研究一下,不在本文的讨论范畴。

        对JAVA软件加密和数字签名感兴趣的童鞋可以加QQ群(936800640)讨论,一起学习!

Andy511823558
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
id-obfuscator:Java库,用于可逆地混淆数字标识符(例如1234:left-right_arrow:4TQCNTL)
04-28
身份混淆器 ID Obfuscator是用于混淆数字标识符的Java库。 实际上,这意味着获取一个像“ 17”这样的数字并将其转换为一个像“ GDJSHCX”这样的字符串(并且大概在以后将该字符串转换回一个数字)。 销售推销 在最常见的用例中,您可能有一个应用程序,在其中使用由中央数据库控制的计数器将ID分配给新用户。 在此方案中,您的第一个用户的ID为1,第二个用户的ID为2,依此类推。 最终,您可能需要将这些标识符公开。 例如,您可以使用诸如https://example.com/user/1234 URL公开用户个人资料页面。 但是,这引起了一些问题: 恶意用户很容易准确地找到您拥有多少用户 恶意用户很容易抓取您所有用户的个人资料页面,因为这些URL是连续的 用户的URL提示了他们已经使用了多长时间,这在某些情况下可能是不可取的 如果我们可以使用看起来更像https://examp
java 混淆、加密js代码
08-15
java 混淆、加密js源码包,解压后在main方法中加入路径即可run
Java代码混淆
热门推荐
intimater的专栏
04-04 1万+
下面一段文字摘自《Java 手机/PDA 程序设计入门》一书,可以做为混淆器性能的大致观点:   笔者没用过DashO,所以无法对其作出个人评价。所以现在仅说明笔者曾用过的产品。以笔者的个人观点,如果就混淆的程度来说,ZKM最好,JAX中等,RetroGuard和ProGua
java jar包实现混淆加密
04-27
java代码混淆器,可以混淆函数变量、类、方法名以实现代码加密,java jar 混淆 工具 反编译
JAVA 代码混淆,加密。
yangsen251024的专栏
04-03 964
最近公司提要求,要对做的东西进行加密处理,防止别人反编译。 其实,我觉得没什么必要,可领到这么要求。。。 哎,先找点资料再说。 http://www.iteye.com/topic/298204 http://wenku.baidu.com/view/a88c6ad3360cba1aa911da06.html
JAVAjiami.rar_java 加密
最新发布
09-23
Java加密技术是软件开发中一个重要的安全领域,主要用于保护数据的隐私性和完整性。在这个名为"JAVAjiami.rar"的压缩包中,包含了两份文件,JAVAjiami.doc可能是一个文档,详细介绍了Java加密的实现,而...
PwdUtil.rar_加密解密_Java_
08-12
1. **Java Cryptography Architecture (JCA)**: JCA是Java平台提供的核心API,用于实现加密、解密、数字签名和消息摘要等功能。它包括Java Cryptography Extension (JCE) 和 Java Cryptography API (JCA),提供了...
利用DES加密算法保护Java代码
11-27
JCE是JCA的一部分,专注于加密功能,如数字签名和信息摘要Java环境通常包含一个默认的密码服务提供者,如Sun的提供者,但用户也可以添加自定义的提供者以支持特定的加密算法。 使用DES加密Java代码的步骤大致...
AES(java).rar_AES_AES加密算法_Java Aes界面
09-21
JCE提供了丰富的加密、解密、消息摘要以及数字签名等功能。要进行AES加密操作,首先需要了解其工作原理。AES是一种分组密码,它将明文数据分为128位的数据块,并使用一个128位、192位或256位的密钥进行加密。AES算法...
JAVA上百实例源码以及开源项目源代码
09-17
 WDSsoft的一款免费源代码 JCT 1.0,它是一个Java加密解密常用工具包。 Java局域网通信——飞鸽传书源代码 28个目标文件 内容索引:JAVA源码,媒体网络,飞鸽传书  Java局域网通信——飞鸽传书源代码,大家都知道VB...
JAVA混淆设计算法
05-17
有5个文件,都是关于JAVA混淆算法的研究
Java代码混淆工具 Proguard4.10(官方免费下载)
12-15
proguard4.10 官方版软件,免费下载 1、官网地址:http://proguard.sourceforge.net/ 截止2013-12-15 官网正式版本为4.10, 提供4.11Beat版 2、 解压 proguard4.10.zip ,运行官方例子如下: cd examples java -jar ../lib/proguard.jar @proguard.pro 运行之后在examples目录下生成 proguard_out.jar 3、新手入门请参照本目录下文档《ProGuard代码混淆操作说明.docx》 先牛刀小试一下,混淆自己本地的工程,支持jar,war,ear,目录(class)等方式 4、proguard常见参数标签的用法在《proguard标签的用法.pdf》 5、混淆只是 proguard 功能之一,其它还有压缩、优化等 6、proguard混淆首先得根据自己工程具体情况 来决定,哪些类需要混淆,哪些 类不能混淆,对包名、类名、方法名、参数名、变量名等其它信息 如何处理 可以通过参数 配置。 7、别忘记加上参数 printmapping obf.map 混淆结束后,处理前与处理后对应关系会记录在obf.map中,文件名可以自定义 参照附件中《obf.map》 注:该文档自动生成 8、《testjava.pro》是我自己的配置文档(一个helloWorld),仅供参考 9、日记《success-log.txt》 混淆有利有弊,混淆须谨慎 1、混淆后的代码出错,如何精确快速定位?如果对系统架构,编程,数据配置等非常清楚,请忽 略 2、为了保护源码不外泄,义无反顾,我们只能选择混淆,那么Proguard,就是不错的选择!
java代码混淆--jocky
03-21
NULL 博文链接:https://chenming47.iteye.com/blog/935294
java代码混淆工具
06-25
两款java代码混淆工具 1:jocky是eclipse的插件 2:Allatori-4.6
JAVA代码混淆
weixin_30372371的博客
05-20 103
JAVA代码混淆 代码混淆技术:一种重要的软件保护方法 技术原理: 对程序P进行保持语义的变换成T 功能等价 作用: 经过混淆后程序更难被静态分析和逆向工程所工具 应用范围: 1.分布式计算和软件保护 2.算法保护和DRM 3.同形加密 外形混淆 主要目的是改变源程序的...
代码混淆神器 Allatori
charmsongo的博客
09-28 1678
混淆器的简单实用
java代码混淆
平凡者的专栏
03-28 5631
代码混淆
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值