如何使用自定义类加载器防止代码被反编译破解

最新推荐文章于 2022-08-20 06:36:55 发布
最新推荐文章于 2022-08-20 06:36:55 发布
阅读量543 收藏 7
点赞数 1
文章标签: 反编译 java spring 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingwinstar/article/details/109393965
版权

前言

最近和朋友聊天,他接了个外包项目,他问我有没有办法让自己的源码不被反编译破解,我就跟他说可以对代码进行混淆和加密。今天我们就来聊聊如何通过对代码进行加密实现代码防反编译,至于混淆因为可以直接利用proguard-maven-plugin进行配置实现,相对比较简单,就不在本文论述

代码防编译整体套路

1、编写加密工具类

@Slf4j
public class EncryptUtils {

    private static String secretKey = "test123456lyb-geek"+System.currentTimeMillis();

    private EncryptUtils(){}


    public static void encrypt(String classFileSrcPath,String classFileDestPath) {
        System.out.println(secretKey);
        FileInputStream fis = null;
        FileOutputStream fos = null;

        try {
            fis = new FileInputStream(classFileSrcPath);
            fos = new FileOutputStream(classFileDestPath);
            int len;
            String[] arrs = secretKey.split("lyb-geek");
            long key = Long.valueOf(arrs[1]);
            System.out.println("key:"+key);
            while((len = fis.read())!=-1){
              byte data = (byte)(len + key + secretKey.length());
              fos.write(data);
            }
        } catch (Exception e) {
           log.error("encrypt fail:"+e.getMessage(),e);
        }finally {
            if(fis != null){
                try {
                    fis.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }

            if(fos != null){
                try {
                    fos.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }

    }

}

2、对需要防止被反编译代码加密

 public static void main(String[] args) {
        String classFileSrcPath = classFileSrcPath("UserServiceImpl");
        System.out.println("classFileSrcPath:--->"+classFileSrcPath);
        String classFileDestDir = ServiceGenerate.class.getClassLoader().getResource("META-INF/services/").getPath();
        System.out.println("classFileDestDir:--->"+classFileDestDir);
        String classFileDestPath = classFileDestDir + "com.github.lybgeek.user.service.impl.UserServiceImpl.lyb";
        EncryptUtils.encrypt(classFileSrcPath,classFileDestPath);
    }

3、对加密代码进行反编译验证

打开反编译工具jd-gui,把加密的代码拖入jd-gui

image.png
打不开,至少说明不能用jd-gui来反编译加密过的代码。

我们打开正常的编译的class文件,其内容形如下
image.png
从内容我们大概还是能看出一些东西,比如包名啥的。而打开加密后的文件,其内容如下
image.png
内容宛若天书

思考一:代码都被加密了,那jvm如何识别?

答案:既然有加密,自然可以通过解密来使用。那这个解密得存放在什么地方进行解密?

如果对类加载有一定了解的朋友,就会知道java的class文件是通过类加载器把class加载入jvm内存中,因此我们可以考虑把解密放在类加载器中。常用的类加载有启动类加载器、扩展类加载器、系统类加载。我们正常classpath路径下的类都是通过系统类加载器进行加载。而不巧这三个jdk提供的加载器没法满足我们的需求。因此我们只能自己实现我们的类加载器。其自定义加载器代码如下

@Slf4j
public class CustomClassLoader extends ClassLoader{

    /**
     * 授权码
     */
    private String secretKey;

    private String SECRETKEY_PREFIX = "lyb-geek";


    /**
     * class文件的根目录
     */
    private String classRootDir = "META-INF/services/";

    public CustomClassLoader(String secretKey) {
        this.secretKey = secretKey;
    }


    public String getClassRootDir() {
        return classRootDir;
    }

    public void setClassRootDir(String classRootDir) {
        this.classRootDir = classRootDir;
    }

    @Override
    protected Class<?> findClass(String name) throws ClassNotFoundException {

        Class<?> clz = findLoadedClass(name);
        //先查询有没有加载过这个类。如果已经加载,则直接返回加载好的类。如果没有,则加载新的类。
        if(clz != null){
            return clz;
        }else{
            ClassLoader parent = this.getParent();
            clz = getaClass(name, clz, parent);

            if(clz != null){
                return clz;
            }else{
                clz = getaClass(name);
            }

        }

        return clz;

    }

    private Class<?> getaClass(String name) throws ClassNotFoundException {
        Class<?> clz;
        byte[] classData = getClassData(name);
        if(classData == null){
            throw new ClassNotFoundException();
        }else{
            clz = defineClass(name, classData, 0,classData.length);
        }
        return clz;
    }

    private Class<?> getaClass(String name, Class<?> clz, ClassLoader parent) {
        try {
            //委派给父类加载
            clz = parent.loadClass(name);
        } catch (Exception e) {
           //log.warn("parent load class fail:"+ e.getMessage(),e);
        }
        return clz;
    }

    private byte[] getClassData(String classname){
        if(StringUtils.isEmpty(secretKey) || !secretKey.contains(SECRETKEY_PREFIX) || secretKey.split(SECRETKEY_PREFIX).length != 2){
            throw new RuntimeException("secretKey is illegal");
        }
        String path = CustomClassLoader.class.getClassLoader().getResource("META-INF/services/").getPath() +"/"+ classname+".lyb";
        InputStream is = null;
        ByteArrayOutputStream bas = null;
        try{
            is  = new FileInputStream(path);
            bas = new ByteArrayOutputStream();
            int len;
            //解密
            String[] arrs = secretKey.split(SECRETKEY_PREFIX);
            long key = Long.valueOf(arrs[1]);
          //  System.out.println("key:"+key);
            while((len = is.read())!=-1){
                byte data = (byte)(len - key - secretKey.length());
                bas.write(data);
            }
            return bas.toByteArray();
        }catch(Exception e){
            e.printStackTrace();
            return null;
        }finally{
            try {
                if(is!=null){
                    is.close();
                }
            } catch (IOException e) {
                log.error("encrypt fail:"+e.getMessage(),e);
            }
            try {
                if(bas!=null){
                    bas.close();
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }

    }


}

通过如下方式进行调用

 public static void main(String[] args) throws Exception{
        CustomClassLoader customClassLoader = new CustomClassLoader("test123456lyb-geek1603895713759");
        Class clz = customClassLoader.loadClass("com.github.lybgeek.user.service.impl.UserServiceImpl");
        if(clz != null){
            Method method = clz.getMethod("list", User.class);
            method.invoke(clz.newInstance(),new User());
        }
    }

思考二:通过自定义加载器加载过的类如何整合进行spring?

答案: 通过spring提供的扩展点进行ioc容器注入

1、编写bean定义,并注册注册bean定义

@Component
public class ServiceBeanFactoryPostProcessor implements BeanFactoryPostProcessor {

    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
        Object secretKey = YmlUtils.getValue("lyb-geek.secretKey");
        if(ObjectUtils.isEmpty(secretKey)){
            throw new RuntimeException("secretKey can not be null,you maybe need to config in application.yml with key lyb-geek.secretKey");
        }
        registerBean(beanFactory,secretKey.toString());

//        setClassLoader(beanFactory,secretKey.toString());
    }

    /**
     * 如果项目中引入了>spring-boot-devtools,则默认加载器为org.springframework.boot.devtools.restart.classloader.RestartClassLoader
     * 此时如果使用自定加载器,则需把bean的类加载器变更为AppClassLoader
     * @param beanFactory
     */
    private void setClassLoader(ConfigurableListableBeanFactory beanFactory,String secretKey) {

        CustomClassLoader customClassLoader = new CustomClassLoader(secretKey);
        beanFactory.setBeanClassLoader(customClassLoader.getParent());
    }

    private void registerBean(ConfigurableListableBeanFactory beanFactory,String secretKey){
        DefaultListableBeanFactory defaultListableBeanFactory = (DefaultListableBeanFactory) beanFactory;
        BeanDefinitionBuilder builder = BeanDefinitionBuilder.genericBeanDefinition(UserService.class);
        GenericBeanDefinition definition = (GenericBeanDefinition) builder.getRawBeanDefinition();
        definition.getPropertyValues().add("serviceClz",UserService.class);
        definition.getPropertyValues().add("serviceImplClzName", "com.github.lybgeek.user.service.impl.UserServiceImpl");
        definition.getPropertyValues().add("secretKey", secretKey);
        definition.setBeanClass(ServiceFactoryBean.class);
        definition.setAutowireMode(GenericBeanDefinition.AUTOWIRE_BY_TYPE);
        String beanId = StringUtils.uncapitalize(UserService.class.getSimpleName());
        defaultListableBeanFactory.registerBeanDefinition(beanId, definition);
    }

}

2、如果是接口注入,还需通过FactoryBean进行狸猫换太子

@Data
@AllArgsConstructor
@NoArgsConstructor
public class ServiceFactoryBean <T> implements FactoryBean<T> , ApplicationContextAware, InitializingBean {

    private ApplicationContext applicationContext;

    private Class<T> serviceClz;

    private String serviceImplClzName;

    private String secretKey;

    private Object targetObj;

    @Override
    public T getObject() throws Exception {
        return (T) targetObj;
    }

    @Override
    public Class<?> getObjectType() {
        return serviceClz;
    }

    @Override
    public void afterPropertiesSet() throws Exception {
        targetObj = ServiceFactory.create(secretKey,serviceImplClzName,applicationContext);

    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.applicationContext = applicationContext;
    }
}

3、验证是否整合成功

验证示例代码

@RestController
@RequestMapping("/user")
public class UserController {


    @Autowired
    private UserService userService;

    @PostMapping(value = "/save")
    public User save(User user){
		User newUser = userService.save(user);
		return newUser;
    }
    }

image.png
能够正常输出,说明整合成功

总结

上述的例子只是提供一个思路,并不能完全杜绝代码被反编译。因为如果真想进行反编译,其实可以先通过反编译你自定义的类加载器,然后通过解密方式,去逆推加密算法,从而还原加密类。要杜绝代码被反编译的思路有如下

  • 提高反编译的成本,比如对自定义类加载再次加密,编写复杂的加密算法

  • 编写让人没有欲望反编译的代码,比如写一堆垃圾代码

demo链接

https://github.com/lyb-geek/springboot-learning/tree/master/springboot-code-authorization

linyb极客之路
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用SNK密钥文件保护你的DLL和代码不被反编译教程
10-25
主要介绍了使用SNK密钥文件保护你的DLL和代码不被反编译教程, SNK,作为程序后缀的时候,是.net中的强密匙加密文件,需要的朋友可以参考下
使用jvmti实现class加密,防止反编译
u011311291的博客
09-29 1万+
如果想要保护自己的java代码不被别人反编译,则可以使用下面的jvmti对Class加密,然后在类加载器加载时再进行解密,逃避反编译。 jvmti是java自带的强大工具,我们可以通过jvmti做一些操作(例如:hook class加载,jvm启动前做什么事情,或者jvm初始化时做事情等等) 步骤如下: 1.对class进行加密 2.创建本地方法DLL,实现解密代码 (1)添加jvmti...
防止软件的DLL文件被反编译
12-20
防止软件的DLL文件被反编译 操作方法:1、电脑上安装vs 2、找到dotfuscator.exe文件(程序运行前必须先打开vs)
.net源代码如何防止反编译呢--辛苦付出如何防止果实被人轻易拿走
03-15
大家该如何防止 .net源代码反编译呢, ConfuserEx这是一款开源工具,可以通过代码混淆防止dll或者.exe被反编译
JAVA .class 文件防止反编译
JackieLiuLixi的专栏
07-08 1044
由于Java字节码的抽象级别较高,因此它们较容易被反编译。下面介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。   1.隔离Java程序   最简单的方法就是让用户不能够访问到Java Class程序,这种方法是最根本的方法,具体实现有多种方式。例如,开发人员可以将关键
java class防止反编译,最大限度的保护自己的代码
11-23
java以其跨平台、免费、安全等特点,被越来越多的应用到大型的系统中。正是由于其代码的跨平台性,是解析型语言才使得它很容易被反编译成源码,从而造成公司代码的泄露,设置时运用框架的泄露。本文从各个方面介绍了防止class被反编译。从而保护自己的知识产权不受侵害。 包括混淆技术,加密技术等。
防止.class被反编译 的方法
AlvinNoending的专栏
12-12 5811
常用的保护技术     由于Java字节码的抽象级别较高,因此它们较容易被反编译。本节介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。   1.隔离Java程序 最简单的方法就是让用户不能够访问到Java Class程序,这种方法是最根本的方法,具体实现有多种方式。例
自定义类加载器,杜绝反编译
weixin_33969116的博客
07-17 323
为什么80%的码农都做不了架构师?>>> ...
教大家防止Jar包被反编译
热门推荐
ZhengJingLe的博客
03-09 4万+
加密的方法就是,向Jar注入无效代码(不合法的,或者根本不是代码的字符串)。 那么无效的代码又怎么能正确运行呢? 答案就是,你要保证你的代码永远不会执行到那一步。 我作一个简单的例子说明: 我们建立一个项目: package com.TestJar; public class Main { public static void main(String[]
java class文件防止反编译
花满天下的博客
01-07 1418
最近公司为了保证代码的安全性给一些重要方法设置了防止反编译 网上的一些方法比较复杂 发现了一个比较简单的方法 在需要防止反编译的方法中加入以下代码就可以了 try { // 防止反编译用 if (654789 == new Random().nextInt()) { throw new Exception( "try again 654789 == new Ran...
保护.net中的dll文件方法(防止破解反编译dll)
01-20
中间语言很容易被反编译,所以研究下如何有效的保护dll文件。 我大致的方法为 :强签名+混淆+加密。强签名 强命名程序集,可以确保你的程序集唯一,而不被篡改、冒用等;即使相同名字的程序集如果签名也会不同。强...
Java自定义类加载器
weixin_41438466的博客
09-13 262
0. 为什么需要自定义类加载器 网上的大部分自定义类加载器文章,几乎都是贴一段实现代码,然后分析一两句自定义ClassLoader的原理。但是我觉得首先得把为什么需要自定义加载这个问题搞清楚,因为如果不明白它的作用的情况下,还要去学习它显然是很让人困惑的。 首先介绍自定义类的应用场景: (1)加密:Java代码可以轻易的被反编译,如果你需要把自己的代码进行加密以防止反编译,可以先将编译后的代码用...
自定义类的加载,进行加密操作
sinat_29176615的博客
02-01 260
为什么要自定义一个类的加载呢,其实主要是由于,Java代码可以轻易的被反编译,如果你需要把自己的代码进行加密以防止反编译,可以先将编译后的代码用某种加密算法加密,类加密后就不能再用Java的ClassLoader去加载类了,这时就需要自定义ClassLoader在加载类的时候先解密类,然后再加载。 简单说一下有几种类的加载,在jdk中有三种类的加载, ①引导类的加载(BootStrap)
Java类的加载过程
w1lgy的博客
08-20 8619
应用程序根据自身需要自定义的ClassLoader,如Tomcat、Jboss都会根据j2ee规范实现ClassLoader。
linux下如何防止反编译,如何防止class被反编译,保护我们的知识产权
weixin_31968223的博客
05-06 686
众所周知,java编译后的class文件是一种中间字节字文件,很容易被反编译工具反编译,而传统的java代码保护方法基本都是采用混淆的方式,但这样会带来很多麻烦,而且也不能真正保护class文件,我采用jni技术定制classloader调用经过加密的class来动态解密,运行class文件。class反编译工具对加密后的class文件就没办法再反编译java文件了!本贴提供一个免费的我写的c...
如何防止class文件被反编译?
myworkfirst
04-01 372
尝试了几种java代码写法,防止class文件被反编译,但都失败了,大家是否有好办法. 我尝试过内部类,自定义异常,都能被反编译. 使用反编译工具是:Decomp...
防止java反编译的一些常用技术
hubeixuxiaojun的专栏
12-10 899
转载自http://java.chinaitlab.com/base/756951.html 常用的保护技术     由于Java字节码的抽象级别较高,因此它们较容易被反编译。本节介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。       1.隔离Java程序
java自定义类加载器代码样例
最新发布
09-14
### 回答1: Java自定义类加载器的一个简单的示例代码如下: public class MyClassLoader extends ClassLoader { public Class<?> findClass(String name) { byte[] b = loadClassData(name); return defineClass(name, b, 0, b.length); } private byte[] loadClassData(String name) { // load the class data from the connection } } ### 回答2: Java自定义类加载器代码样例如下: ```java import java.io.*; public class MyClassLoader extends ClassLoader { private String path; // 类加载器加载的路径 public MyClassLoader(String path) { this.path = path; } @Override protected Class<?> findClass(String name) throws ClassNotFoundException { byte[] data = loadClassData(name); return defineClass(name, data, 0, data.length); } private byte[] loadClassData(String name) { try { FileInputStream fis = new FileInputStream(new File(path + name + ".class")); ByteArrayOutputStream baos = new ByteArrayOutputStream(); int len; while ((len = fis.read()) != -1) { baos.write(len); } fis.close(); return baos.toByteArray(); } catch (IOException e) { e.printStackTrace(); } return null; } } ``` 使用自定义类加载器加载类: ```java public class Main { public static void main(String[] args) throws Exception { MyClassLoader classLoader = new MyClassLoader("类加载路径"); Class<?> clazz = classLoader.loadClass("com.example.TestClass"); // 加载TestClass类 Object obj = clazz.newInstance(); // 创建TestClass实例 // 使用obj进行操作,调用方法等 } } ``` 以上是一个简单的自定义类加载器代码样例。我们可以根据实际需求,通过自定义类加载器来实现更复杂的功能,如加载加密/动态生成的类文件,实现类文件的热加载等。 ### 回答3: 自定义类加载器是指通过继承ClassLoader类并重写其中的方法来实现自己的类加载器。下面是一个简单的Java自定义类加载器代码示例: ```java import java.io.*; public class MyClassLoader extends ClassLoader { // 自定义类加载器需要指定类文件的路径 private String classPath; public MyClassLoader(String classPath) { this.classPath = classPath; } @Override protected Class<?> findClass(String name) throws ClassNotFoundException { // 将类文件转换成字节流 byte[] data = loadClassData(name); // 调用父类的defineClass方法创建类对象 return defineClass(name, data, 0, data.length); } private byte[] loadClassData(String className) { try { // 类文件的完整路径 String path = classPath + File.separatorChar + className.replace('.', File.separatorChar) + ".class"; InputStream inputStream = new FileInputStream(new File(path)); ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); byte[] buffer = new byte[1024]; int length; // 读取类文件并写入内存中 while ((length = inputStream.read(buffer)) != -1) { outputStream.write(buffer, 0, length); } inputStream.close(); outputStream.close(); // 返回字节流 return outputStream.toByteArray(); } catch (IOException e) { e.printStackTrace(); } return null; } public static void main(String[] args) { // 实例化自定义类加载器并指定类文件路径 MyClassLoader classLoader = new MyClassLoader("路径"); try { // 使用自定义类加载器加载类 Class<?> clazz = classLoader.loadClass("类名"); // 可以对加载的类进行操作 // ... } catch (ClassNotFoundException e) { e.printStackTrace(); } } } ``` 这个自定义类加载器首先需要重写`findClass`方法,在该方法中通过`loadClassData`方法将类文件读取为字节流,然后调用父类的`defineClass`方法创建类对象。 `loadClassData`方法根据指定的类文件路径将类文件读取为字节流,并将字节流写入ByteArrayOutputStream中,最后返回字节数组。 在示例代码的`main`方法中,实例化自定义类加载器并指定类文件路径,然后通过`loadClass`方法加载指定的类。可以在加载类后对其进行相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值