Classfinal问题处理及改造升级(二)

已于 2024-03-29 16:14:03 修改
阅读量622 收藏 8
点赞数 16
文章标签: java 开发语言
于 2024-03-29 16:12:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaoxike3532/article/details/137147072
版权

本文主要讲解如何支持多重jar包解密,即spring boot包也进行一层加密?如需了解依赖加密后的SDK包后,spring boot fatjar启动运行报NoClassDefFoundError参见《Classfinal问题处理及改造升级(一)》

发现问题

同样使用classfinal将spring boot包进行加密

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>com.zeeeeeey.jm</groupId>
    <artifactId>jm-user-service</artifactId>
    <name>jm-user-service</name>
	<version>1.0.0</version>
    <description>Demo project for Spring Boot</description>

    <dependencies>
		<!-- 该SDK为加密包-->
        <dependency>
            <groupId>com.zeeeeeey.jm</groupId>
            <artifactId>jm-user-sdk</artifactId>
            <version>1.0.0</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.3.7.RELEASE</version>
                <configuration>
                    <mainClass>com.zeeeeeey.jm.JmUserServiceApplication</mainClass>
                </configuration>
                <executions>
                    <execution>
                        <id>repackage</id>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
            <plugin>
					<!-- https://gitee.com/roseboy/classfinal -->
				<groupId>net.roseboy</groupId>
				<artifactId>classfinal-maven-plugin</artifactId>
				<version>1.2.1</version>
				<configuration>
				<password>000000</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
					<packages>com.zeeeeeey.jm</packages>
				</configuration>
				<executions>
					<execution>
					<phase>package</phase>
					<goals>
						<goal>classFinal</goal>
					</goals>
					</execution>
				</executions>
			</plugin>
        </plugins>
    </build>

</project>

启动打包后的fatjar

java -javaagent:zeeeeey-agent.jar="-pwd 000000" -jar zeeeeey-jm-service-1.0.0.jar

 当代码执行到调用SDK代码块时出现异常信息,带返回值方法返回null

public String getName() {
    return null;
}

显然SDK内部的class文件没有解密成功

问题处理

 通过排查源码,可以发现当读取被加密Jar包时,无法正常读取。

    /**
     * 在jar文件或目录中读取文件字节
     *
     * @param workDir jar文件或目录
     * @param name    文件名
     * @return 文件字节数组
     */
    public static byte[] readEncryptedFile(File workDir, String name) {
        byte[] bytes = null;
        String fileName = ENCRYPT_PATH + name;
        //这里有点问题,当workDir为嵌套jar是,该方式是无法读取到文件的。
        //workDir的Path是:XXXX/zeeeeey-jm-service-1.0.0.jar!/zeeeeey-jm-sdk-1.0.0.jar
        if (workDir.isFile()) {
            bytes = JarUtils.getFileFromJar(workDir, fileName);
        } else {//war解压的目录
            File file = new File(workDir, fileName);
            if (file.exists()) {
                bytes = IoUtils.readFileToByte(file);
            }
        }
        return bytes;
    }

可以按照以下方式修改:

  public static byte[] readEncryptedFile(File workDir, String name) {
        byte[] bytes = null;
        String fileName = ENCRYPT_PATH + name;
        //jar文件
        if (workDir.getPath().endsWith(".jar")) {
            bytes = JarUtils.getFileFromJar(workDir, fileName);
        } else {//war解压的目录
            File file = new File(workDir, fileName);
            if (file.exists()) {
                bytes = IoUtils.readFileToByte(file);
            }
        }
        return bytes;
    }

 按照如下方法修改后,发现同样无法进行解密,我们进去JarUtils.getFileFormJar方法看下

    /**
     * 在压缩文件中获取一个文件的字节
     *
     * @param zip      压缩文件
     * @param fileName 文件名
     * @return 文件的字节
     */
    public static byte[] getFileFromJar(File zip, String fileName) {
        ZipFile zipFile = null;
        try {
            if (!zip.exists()) {
                return null;
            }
            zipFile = new ZipFile(zip);
            ZipEntry zipEntry = zipFile.getEntry(fileName);
            if (zipEntry == null) {
                return null;
            }
            InputStream is = zipFile.getInputStream(zipEntry);
            return IoUtils.toBytes(is);
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            IoUtils.close(zipFile);
        }
        return null;
    }

可以发现,该方式只解析了一层jar包,自然无法获取jar in jar里面的内容。那么如何支持读取jar in jar里的内容呢,一种是直接嵌套读取下一层jar包,但该种方式似乎不太优雅,我们可以使用URL协议方式获取资源,因为springboot支持了URL进行嵌套jar资源的类加载。修改代码如下:

   public static byte[] getFileFromJar(File file, String fileName) {
        InputStream inputStream = null;
        try {
            URL url = new URL("jar:" + file.toURI().toURL() + "!/" + fileName);
            inputStream = url.openStream();
            ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
            IoUtils.copy(inputStream, byteArrayOutputStream);
            return byteArrayOutputStream.toByteArray();
        } catch (Exception e) {
        } finally {
            if (Objects.nonNull(inputStream)) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return null;
    }

如果想要了解Spring boot如何改造URL协议去支持嵌套Jar资源读取的,可以去看下Spring-boot-loader项目源码。

Zeeeeeey
关注
  • 16
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
ClassFinal-java class文件安全加密工具
06-19
ClassFinal-java class文件安全加密工具
ClassFinal 字节码加密工具 v1.2.1
09-28
为您提供ClassFinal 字节码加密工具下载,ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。项目模块说明:classfinal-core:ClassFinalde的核心模块,几乎所有加密的代码都在这里;classfinal-fatjar:ClassFinal打包成独立运行的jar包;classfinal
Classfinal问题处理改造升级(一)
jiaoxike3532的博客
03-28 1144
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。
springboot防止反编译proguard+xjar
mawei7510的博客
05-23 4717
加密技术只是提高别人获取你的代码的门槛,没有绝对安全的加密方式,而安全等级越高,程序开发、运维、部署的成本就越高,所以,合适的加密技术就是最好的。
匿名内部类缺点
ya888g
04-07 343
匿名内部类缺点
ClassFinal是一款java class文件安全加密工具
05-23
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译
jar加密后当作SDK给别人使用(可maven引入)
furenqiang的博客
03-28 2035
我使用的是1.1.5版本 ,适配jdk1.8,引入下面插件之前删掉以前的mvn打包插件,只留这一个插件即可。在使用的项目里,把这个jar丢到maven仓库进行maven引入。这里的密码必须和打包设置的密码一样,否则调用会返回null。加密成功后的jar所有方法都是返回null,如下图。
使用 ClassFinal 对 java class 文件进行加密防止反编译
悟世君子的博客
10-02 5375
ClassFinal 是一款 java class文件安全加密工具,支持直接加密 jar 包或 war 包,无需修改任何项目代码,兼容 spring-framework;可避免源码泄漏或字节码被反编译特点。
使用ClassFinal对java项目加密
赶路人儿
11-17 5087
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。依赖环境:jdk1.8Gitee:ClassFinal: Java字节码加密工具1、项目模块说明ClassFinal的核心模块,几乎所有加密的代码都在这里;ClassFinal打包成独立运行的jar包;ClassFinal加密的maven插件;2、功能特性。
ClassFinal工具类使用说明
weixin_40677760的博客
11-18 1410
分别介绍了classFinal加密工具两种使用方式,以及快速的使用步骤
ClassFinal字节码加密工具-其他
06-12
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。 项目模块说明: classfinal-core:ClassFinalde的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar:ClassFinal打包成独立运行的jar包; classfinal-maven-plugin:ClassFinal加密的maven插件; 功能特性: 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。 运行加密项目时,无需求修改tomcat,spring等源代码。 支持普通jar包、springboot jar包以及普通java web项目编译的war包。 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。 支持maven插件,添加插件后在打包过程中自动加密。 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。 环境依赖: JDK 1.8 + 本工具使用AES算法加密class文件,密码是保证不被破解的关键,请保存好密码,请勿泄漏。 密码一旦忘记,项目不可启动且无法恢复,请牢记密码。 本工具加密后,原始的class文件并不会完全被加密,只是方法体被清空,保留方法参数、注解等信息,这是为了兼容spring,swagger等扫描注解的框架; 方法体被清空后,反编译者只能看到方法名和注解,看不到方法的具体内容;当class被classloader加载时,真正的方法体会被解密注入。
classfinal-fatjar-1.2.1.jar
07-22
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。执行java -jar classfinal-fatjar.jar 后按提示即可完成...
java 中final的回收_java中的final、finally和finalize
weixin_36328628的博客
02-24 1026
最近在读Thinking In Java,秉着有些地方还能知道自己不会的精神,都去好好查阅了一些资料,在内存分配这一章,看到finalize()这个方法,刚开始很不理解,查阅了一些资料,顺带看了一下final、finally,现在分享一下。一、final的介绍final可用在4个地方,分别是变量(static 或者 !static),形式参数,方法和类,每种情况都有不同的含义,下面分别介绍之:fi...
代码编译安全之classfinal-maven-plugin插件
最新发布
2401_84969340的博客
05-14 862
packages配置要加入的包名,会把下面的所有类加密AutoConfigurationGroupprocessAutoConfigurationImportSelectorjava434atorgspringframeworkcontextannotationConfigurationClassP。
02. 微服务架构开发实战之单体架构应用改造升级微服务架构
极客星云-CSDN博客
02-13 1139
单体架构应用升级微服务最好的一种方式就是绞杀藤方式。
利用ClassFinal对java代码混淆与加密,提高代码安全性,防止反编译
这只是一个博客
07-12 2373
为加强对知识产权的保护,提高代码的安全性,很多公司对外都用到了代码的混淆、加密操作,最近公司也加强了对产权的保护,在网上找了一大圈发现了几个代码混淆工具插件,spring框架可用。 最开始找到了用proguard对代码进行混淆,调研半天过后果断放弃了。原因是配置的选项太多了,好不容易将配置弄完了结果编译的时候校验不通过,还有一点最重要的原因我用的JDK 11不兼容(也许是我没有配置对) 后来发现了ClassFinal,既可以对代码做处理,又可以对jar包进行加密操作,主要配置相对简单得多。JDK11可用。
springboot项目jar包加密运行流程
高格调的博客
11-06 507
有密码启动方式:java -javaagent:encrypted-demo-0.0.1-SNAPSHOT-encrypted.jar=‘-pwd= 密码’ -jar encrypted-demo-0.0.1-SNAPSHOT-encrypted.jar。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。
classfinal-maven-plugin
04-05
The classfinal-maven-plugin is a Maven plugin that performs bytecode analysis and generates a report of classes and their methods that are marked as final. The plugin can be used to identify potential areas for optimization or refactoring in a Java codebase. The plugin analyzes the bytecode of compiled classes using the ASM library and generates a report in HTML format. The report includes a list of all classes and their methods that are marked as final, as well as information about the location of the class in the codebase. To use the plugin, it must be added to the Maven project's pom.xml file as a build plugin. The plugin can be configured to include or exclude certain classes or packages from the analysis. The generated report can be viewed in a web browser or integrated with a continuous integration tool. Overall, the classfinal-maven-plugin is a useful tool for identifying areas of a codebase that could benefit from optimization or refactoring. By analyzing the bytecode of compiled classes, the plugin provides a more accurate view of the code's behavior than static analysis tools that only analyze source code.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值