Classfinal问题处理及改造升级(一)

于 2024-03-28 14:44:16 发布
阅读量1k 收藏 25
点赞数 35
文章标签: java maven spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaoxike3532/article/details/137105548
版权

classfinal介绍

ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。

Gitee : ClassFinal: Java字节码加密工具

  • 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。
  • 运行加密项目时,无需求修改tomcat,spring等源代码。
  • 支持普通jar包、springboot jar包以及普通java web项目编译的war包。
  • 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。
  • 支持maven插件,添加插件后在打包过程中自动加密。
  • 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。
  • 支持绑定机器,项目加密后只能在特定机器运行。
  • 支持加密springboot的配置文件。

背景

接到一项任务,由于涉及知识产权保护,需要对关键代码片段进行加密处理(核心库)。因此,我选择了ClassFinal工具来实现字节码层面的加密。

使用步骤

  1. 核心库工程引入插件依赖 
    <plugin>
    <!-- https://gitee.com/roseboy/classfinal -->
    <groupId>net.roseboy</groupId>
    <artifactId>classfinal-maven-plugin</artifactId>
    <version>1.2.1</version>
    <configuration>
        <password>000000</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
        <packages>com.yourpackage,com.yourpackage2</packages>
    </configuration>
    <executions>
        <execution>
            <phase>package</phase>
            <goals>
                <goal>classFinal</goal>
            </goals>
        </execution>
    </executions>
</plugin>
  2. 运行mvn package时会在target下自动加密生成yourproject-encrypted.jar
  3. 将核心库依赖到spring boot项目中
  4. 配置启动命令 
    -javaagent:yourproject-encrypted.jar="-pwd 000000"

问题改造

        IDEA中启动运行一切正常,打包成jar包启动后运行到核心包代码块解密失败,代码无法正常执行?

问题原理

        Spring FatJar使用了LaunchedURLClassLoader去加载FatJar中的class和jar嵌套的jar(即jar in jar),显然按照这个逻辑核心包代码块也交由LaunchedURLClassLoader去加载。但是我们使用了javaagent:yourproject-encrypted.jar去执行字节码解密,而代理包中的class是默认交由AppClassloader去加载的,Classfinal默认生成的代理包又包含了所有的核心包代码块(只需用到Classfinal解密代码),这就导致了问题的出现。因为LaunchedURLClassLoader是AppClassLoader的子类加载器,当核心包里面的类调用到被LaunchedURLClassLoader加载的类时会报ClassNoFound。

举个例子:
一、核心库代码String2DateConvert

public class String2DateConvert implements Converter<String, Date> {
    @Override
    public Date convert(String s) {
        if (StringUtils.isNotBlank(s)) {
            DateFormat dtf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
            try {
                return dtf.parse(s);
            } catch (ParseException e) {
                log.error("日期格式转换失败; {}", e.getMessage());
            }
        }
        return null;
    }
}

二、spring boot项目引用核心包代码

 public void test() {
        String2DateConvert string2DateConvert = new String2DateConvert();
        string2DateConvert.convert("2023-01-01");
 }

三、其中核心库引用的StringUtils来自apache.commons.lang3包,该第三方包是交由外部LaunchedURLClassLoader。根据双亲委派机制,是无法从AppClassLoader拿到LaunchedURLClassLoader加载的类,因此会报:org.apache.commons.lang.StringUtils NoClassDefFoundError

解决方式

其实就是将代理包中的非解密代码删除掉

源码修改如下:先打包核心包,再打包代理包

预告:如何支持多重jar包解密,即spring boot包也进行一层加密?Classfinal问题处理及改造升级(二)

Zeeeeeey
关注
  • 35
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ClassFinal是一款java class文件安全加密工具
05-23
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译
Java class 文件安全加密工具对比与ClassFinal实战
勤于笔记,成于点滴。
09-13 3016
非常重要的项目推荐使用XJar可以完全隐藏Class文件内容,但是需要额外的go环境支持,也可以保守选择ClassFinal直接无侵入达到隐藏方法体和配置文件内容的目的。
Java 字节码加密工具 ClassFinal
很多时候犯错都是在不知情的情况下发生的
09-08 8438
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。 项目模块说明 classfinal-core:ClassFinalde的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar:ClassFinal打包成独立运行的jar包; c...
使用 ClassFinal 对 java class 文件进行加密防止反编译
悟世君子的博客
10-02 5008
ClassFinal 是一款 java class文件安全加密工具,支持直接加密 jar 包或 war 包,无需修改任何项目代码,兼容 spring-framework;可避免源码泄漏或字节码被反编译特点。
SpringBoot项目Jar包加密,防止反编译
weixin_54542328的博客
11-22 544
此方案比对上面的方案来说,就简单了许多。在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。
ClassFinal字节码加密工具-其他
06-12
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。项目模块说明:classfinal-core:ClassFinalde的核心模块...
ClassFinal-java class文件安全加密工具
06-19
ClassFinal-java class文件安全加密工具
ClassFinal 字节码加密工具 v1.2.1
09-28
为您提供ClassFinal 字节码加密工具下载,ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。项目模块说明:...
ClassFinal是一款java class文件安全加密工具。.zip
最新发布
01-12
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。.zip 软件开发设计:应用软件开发、系统软件开发、移动...
java web项目加密
CTLLIN的专栏
12-18 1005
<!-- 配置加密插件 参看 https://gitee.com/roseboy/classfinal 参看 https://www.oschina.net/p/classfinal 参数说明 -file 加密的jar/war完整路径 -packages 加密的包名(可为空,多个用","分割) -libjars jar/war包lib下要加密jar文件名(可为...
破解java加密的rt.jar,在classloader植入破解代码
10-15
破解java加密的rt.jar,在classloader植入破解代码,默认输出到c:/TEMP/classes/目录。使用方法:只要下载本rt.jar,然后替换掉jdk1.8.0_25\jre\lib目录下的rt.jar。然后运行你需要破解的java程序即可,如果你的java程序用了自带的jre,那么替换掉该jre下的rt.java
Springboot实现密码的加密解密
08-28
主要为大家详细介绍了Springboot实现密码的加密解密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
java可执行文件的加密,使用ClassFinal进行加密,exe4j进行打包,避免反编译jar文件
qq_39164383的博客
02-07 2172
最近用java写了个脚本,由于要交给公司使用,打包后突然想到反编译的问题。随后在网上找了不少资料,有看见说exe4j打包后即已加密,遂进行测试,发现程序在运行过程中,程序的jar文件会暴露在临时目录中(%temp%),然后拷贝出来使用反编译工具进行编译,可见根本没有进行加密,所有代码清晰可见。为了自身的劳动不被浪费,于是对该jar包进行加密。
Java Class 加密工具 ClassFinal
湖边的小屋圣迹
03-10 2293
ClassFinal 是一款 java class 文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。加密后,原始的class文件中方法体被清空,当class被加载时,真正的方法体会被解密注入。为兼容springswagger等扫描注解的框架,故而保留了方法参数注解等信息;反编译者只能看到方法名和注解;
使用JVMTI对jar包加密和解密(详细版本,适用于jdk1.6+)
weixin_41778440的博客
03-23 2861
使用JVMTI对jar包加密和解密(详细版本,适用于jdk1.6+)
jar包加密防止反编译--classFinal
a816120的博客
11-23 7781
有这样的需求,我们项目要部署在其他公司的服务器上,但是又不想让外人看到我们的源码。所以要对jar包中的内容进行加密。 加密方式一般有二,一是可以对class文件中的内容进行混淆,对类名和方法名等进行替换,使得代码阅读困难,但是不影响代码逻辑,多花时间还是可以解读出来的。二是对class文件进行一些操作加密,运行的时候再进行解密。 网上找了几个,觉得还是classFinal这个比较满意,加密选择灵活,支持springboot项目,操作简单。 项目地址:https://gitee.com/roseboy/cla
mvn clean install -> 【混淆、加密】源码
@峰的博客
03-17 2520
最近一段时间没有怎么写原著文章了,转载了不少文章,主要还是因为文章作者写的太好就直接摘抄了。本文算安全方面的应用,在工作过程中应该会有所遇到,主要就是关于程序员完成项目之后对源码的处理,像java开发中就会遇到,为了避免源码被反编译来揣测项目的业务原理,往往都会做一些操作,比如混淆源码【proguard】,如果隐藏方法体【classfinal】,还有直接加密jar包避免被工具直接看到的【xjar】,本文主要介绍这三种方式,接下来是截图和源码的展示,毕竟这是我写作的一贯作风主要还是为了大家更好的观看。
classfinal-maven-plugin
04-05
The classfinal-maven-plugin is a Maven plugin that performs bytecode analysis and generates a report of classes and their methods that are marked as final. The plugin can be used to identify potential areas for optimization or refactoring in a Java codebase. The plugin analyzes the bytecode of compiled classes using the ASM library and generates a report in HTML format. The report includes a list of all classes and their methods that are marked as final, as well as information about the location of the class in the codebase. To use the plugin, it must be added to the Maven project's pom.xml file as a build plugin. The plugin can be configured to include or exclude certain classes or packages from the analysis. The generated report can be viewed in a web browser or integrated with a continuous integration tool. Overall, the classfinal-maven-plugin is a useful tool for identifying areas of a codebase that could benefit from optimization or refactoring. By analyzing the bytecode of compiled classes, the plugin provides a more accurate view of the code's behavior than static analysis tools that only analyze source code.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值