jar包防反编译记录

最新推荐文章于 2024-06-07 07:39:42 发布
最新推荐文章于 2024-06-07 07:39:42 发布
阅读量1k 收藏 3
点赞数
分类专栏: 服务部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38036104/article/details/119039759
版权

java代码防反编译处理

  1. 起因:
    为了防止应用jar包被反编译,泄漏代码。
  2. 解决方案
    • 代码混淆:在原代码层面根据混淆规则混淆,反编译后理解困难看不下去。
    • 应用包加密:对已经打好的jar包进行加密,通过对jar包处理导致不解密的情况下反编译jar包后看不到字节码。
  3. 具体分析
    代码混淆:本文采用ProGuard插件(网上大部分都是这种)
    ProGuard 是可以对 Java 类文件进行压缩、优化、混淆和预验证的工具。
    使用:在pom文件中插入如下配置,调整自己包名可以直接使用。将混淆后的classes文件,移动到原本的jar中即可。
    注意:混淆规则结合项目配置哪些可以混淆哪些不能混淆(比如主启动类),混淆我们自己的classes文件,第三方依赖不需要混淆,需要理解混淆规则才能在混淆后保证项目可以正常运行,有一定的学习成本。。
    混淆规则举例:
    Keep 语法:告诉 ProGuard 那些类名绝对不能变动,那些方法名不能变动等
    • -keep [,modifier,…] class_specification 匹配类名以及指定的方法或字段,为代码入口点。可以单独匹配类或者类和类成员。匹配到的类不会被混淆和删除,匹配到的类成员不会被混淆和删除,方法被当作代码入口点。
    • -keepclassmembers [,modifier,…] class_specification 匹配类名以及规则指定的方法或字段,为代码入口点。但是有个前提:就是必须在压缩阶段被保留的类才可以。
    • -keepclasseswithmembers [,modifier,…] class_specification 它和 -keep 的作用基本一致,但是规则必须完全匹配类名以及类成员才能匹配成功,写错类成员名称或写不存在类成员名称都会导致整条规则失效。
      proGuard过滤器:通过通配符辅助keep写出合适的匹配规则。
      举例:比如类名过滤?,*,**。
      规则引用参考地址:https://blog.smallraw.com/archives/137/
<build>
		 <!-- 编译后的jar名称   可自定义 -->
        <finalName>test-1.2.0-SNAPSHOT</finalName>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
            <!-- 代码混淆插件 -->
            <plugin>
                <dependencies>
                    <dependency>
                        <groupId>net.sf.proguard</groupId>
                        <artifactId>proguard-base</artifactId>
                        <!-- 2019年7月15日    jdk1.8  兼容性还可以 -->
                        <version>6.0.2</version>
                        <scope>runtime</scope>
                    </dependency>
                </dependencies>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <!-- 2019年7月15日    jdk1.8  兼容性还可以 -->
                <version>2.0.14</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆 -->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆 -->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署 -->
                    <attach>true</attach>
                    <!-- 是否混淆 -->
                    <obfuscate>true</obfuscate>
                    <!-- 指定生成文件分类 -->
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    <!-- ProGuard配置参数(可引用cfg配置文件) -->
                    <options>
                        <!-- JDK目标版本1.8-->
                        <option>-target 1.8</option>
                        <!-- 不做收缩(删除注释、未被引用代码) -->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑) -->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员 -->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>
                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆 -->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名,整体混淆会出现各种各样的问题   程序又不会把你该引用的地方引用好   会直接修改类名  参数名的   建议不去除  有这个标签的话     <option>-keep class !com.package.** { *; }</option> 加入这个标签的报包名程序才会修改 -->
                        <option>-keeppackagenames</option>
                        <option>-adaptclassstrings</option>
                        <!-- <option>-keepdirectories</option> -->
                        <!-- 不混淆所有特殊的类 -->
                        <option>-keepattributes
                            Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- This option will save all original methods parameters in files defined
                            in -keep sections, otherwise all parameter names will be obfuscate. -->
                        <option>-keepparameternames</option>
                        <option>-keepclassmembers class * {
                            @org.springframework.beans.factory.annotation.Autowired *;
                            @org.springframework.beans.factory.annotation.Value *;
                            }
                        </option>
                        <!-- 混淆这个包下的类     此处需要更改为自己需要混淆的包名-->
                        <option>-keep class !com.package.service.** { *; }</option>

                        <!-- 不混淆main方法   此处需要更改为自己的启动类路径 -->
                        <option>-keep class com.package.Application { *; }</option>

                        <!-- 不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射 -->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
                        <!-- 不混淆包中的所有类以及类的属性及方法,实体包,混淆了会导致ORM框架及前端无法识别 -->

                        <!-- 不对包类的类名进行混淆,但对类中的属性和方法混淆   -->
                        <!--<option>-keep class com.package.util.** </option>-->
                       <!-- <option>-keep class com.example.service.** </option>-->

                        <option>-dontwarn **</option>
                    </options>
                    <!--class 混淆后输出的jar包 -->
                    <outjar>${project.build.finalName}-pg.jar</outjar>
                    <!-- 混淆时需要引用的java库,这些库的类不会做混淆 -->
                    <libs>
                        <lib>${java.home}/lib/rt.jar</lib>
                        <lib>${java.home}/lib/jce.jar</lib>
                    </libs>
                    <!-- 需要做混淆的jar或目录 -->
                    <injar>classes</injar>
                    <!-- 输出目录 -->
                    <outputDirectory>${project.build.directory}</outputDirectory>
                </configuration>
            </plugin>

        </plugins>
    </build>

基于项目结构比较复杂,采用加密处理。
加密采用的是ClassFinal进行,ClassFinal是一款开源java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,
直接使用:在pom文件中添加如下插件

   <!-- 项目加密-->
           <plugin>
               <groupId>net.roseboy</groupId>
               <artifactId>classfinal-maven-plugin</artifactId>
               <version>1.2.1</version>
               <configuration>
                   <password>000000</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
                   <packages>com.xxx.*</packages>
                   <cfgfiles></cfgfiles>
                   <excludes></excludes>
                   <libjars></libjars>
               </configuration>
               <executions>
                   <execution>
                       <phase>package</phase>
                       <goals>
                           <goal>classFinal</goal>
                       </goals>
                   </execution>
               </executions>
           </plugin>

maven操作:mvn clean package获取加密包

直接启动:

java -javaagent:yourpaoject-encrypted.jar=’-pwd 0000000’ -jar yourpaoject-encrypted.jar

反编译加密后的包会将配置中方法细节隐藏掉,防止偷看。

更多参数配置查看官网说明:https://gitee.com/roseboy/classfinal

等一轮明月
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jar包加密,防止反编译
ddjc123的博客
08-20 1万+
Jar包加密,防止反编译方法XJar加密工具XJar功能特性使用方法(手动执行方式)使用方法(Maven插件方式)exe4j加密工具使用方法jvmti加密工具使用方法参考 XJar加密工具 XJar功能特性 基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露以及反编译。 支持Maven插件 加密过程需要Go环境;加密后生成Go启动器,保护密码不泄露 GitHub: https://github.com/core-lib/xjar 使用方法(
jar包加密防止反编译
11-16
Java加密Jar包和Class文件防止反编译的方法,此为防止反编译程序,亲测可用。如果大神有啥破解方法,希望能与楼主分享下,谢谢。
【Java】java混淆 | jar防止反编译 | allatori反编译
hgSuper的博客
05-21 4520
一、说明 1、众所周知,jar可以通过工具进行反编译 2、若自己实现的算法想要保护起来,又不影响jar的功能调用,可尝试本文描述 二、解决方案 1、直奔工具: Allatori代码混淆 2、常用maven构造项目,举例就用maven了;其他的可参考官网示例,通俗易懂 PS:下载好示例 3、引入需要的jar <dependency> <groupId>allatori</groupId> <artifactId>allato
Spring Boot项目Jar包加密:防止反编译的安全实践
最新发布
qq_53058639的博客
06-07 771
SpringBoot项目Jar包加密是一种有效的安全实践,可以防止源代码被轻易反编译。然而,开发者在选择和实施加密方案时需要综合考虑安全性、性能和维护成本。加密只是安全护的一环,建议将其与其他安全措施结合使用,形成完整的安全体系。未来,随着技术的不断发展,我们也可以期待更多更先进的安全方案出现,为软件开发提供更多保障。希望本文对你在项目中使用SpringBoot进行Jar包加密有所帮助。😊🙏。
java项目jar包加密,防止反编译代码
lqs_user的博客
01-09 4395
文章来源:https://juejin.cn/post/7291846601651273769
教大家防止Jar包反编译
s_156的博客
06-01 4306
方法就是,向Jar注入无效代码(不合法的,或者根本不是代码的字符串)。那么无效的代码又怎么能正确运行呢?答案就是,你要保证你的代码永远不会执行到那一步。我作一个简单的例子说明:我们建立一个项目: package com.TestJar; public class Main { public static void main(String[] args){ System.out.println(Info.g...
利用混淆器ProGuard混淆java类,防止反编译
03-18
- `-repackageclasses`可以改变所有类的包名,使得反编译者更难追踪原始结构。 - `-allowaccessmodification`允许修改访问权限,这在处理依赖项时可能有用。 - `-optimizations`可以开启或关闭特定的优化,比如...
jad反编译工具
11-15
通过将`jadclipse_3.1.0.jar`文件添加到Eclipse的工作空间插件目录,开发者可以在IDE内部直接执行jad的反编译操作,提高工作效率。安装插件后,用户可以右键点击项目中的`.class`文件,选择“Jadclipse”菜单来查看...
Android-Droidefense:高级的Android恶意软件分析框架
08-12
3. **反编译技术**:Droidefense集成了多种反编译工具,如dex2jar、JD-GUI等,将Dalvik字节码转换为Java源代码,使得研究人员能更直观地理解代码逻辑。反编译后的代码可进一步进行人工审查,寻找潜在的恶意意图和...
简单实现jar加密
02-29
4. **安全机制**:为了进一步增强安全性,可能还会添加反调试和反反编译技术,防止恶意用户分析或篡改程序。 5. **注册与授权**:文件名为“jRegister”可能代表了一个注册系统,用于管理软件的授权。可能需要用户...
Baffle, Android apk包res 资源混淆工具.zip
09-18
这样,即使有人通过反编译工具获取到APK的资源文件,他们也会面临一个混乱的资源结构,难以理解和复用这些资源。 使用Baffle进行资源混淆的过程大致包括以下几个步骤: 1. **准备阶段**:首先,开发者需要将项目...
防止jar被反编译 & 不安装jdk运行jar
学习学习学习
02-27 1464
有一种需求,客户不买服务器,要你运行在他的win系统上,然后又不会装JDK,客户又多,作为一名合格的开发又不能闲着没屁事,天天给客户装JDK,所有就有了这篇文章(原理就是把jdk和项目打包一起给他,在写个bat脚本,让他双击直接启动项目)。1.复制jdk下的jre复制你电脑的jre注:如果是jdk9以上版本没有jre,但是有jmods,需要自己手动生成,如下图所示进入jdk所在目录下,通过命令手动生成jre文件。
SpringBoot项目Jar包加密防止反编译详细讲解(值得珍藏)
a342874650的专栏
01-27 4064
本文将介绍如何对 SpringBoot 项目进行 Jar 包加密,以防止反编译。通过使用加密技术,可以保护源代码的安全性,防止恶意攻击者获取敏感信息和业务逻辑。本文将详细介绍加密方法、操作步骤和注意事项,并通过示例代码演示如何实现加密。
jar包加密程序,防止反编译
qq_39879126的博客
05-17 3581
本窗体程序基于开源项目xjar https://gitee.com/core-lib/xjar/tree/2.1.1/src/main/java/io/xjar 1.pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
实用:如何防止你的 jar 被反编译
Java知音
07-08 223
点击关注公众号,实用技术文章及时了解Java作为解释型的语言,其高度抽象的特性意味其很容易被反编译,容易被反编译,自然有防止反编译措施存在。今天就拜读了一篇相关的文章,受益匪浅,知彼知己嘛!!之所以会对java的反编译感兴趣,那是因为自己在学习的过程中,常常需要借鉴一下别人的成果(你懂的...)。或许反编译别人的代码不怎么道德,这个嘛......废话不多说,正文如下:常用...
【安全】JAR包反编译方案
cloverat的博客
03-13 4827
为了防止源码被泄露,一般要对代码进行混淆或者加密,尝试了几种混淆方案,对于部分代码可以混淆,但是对数据结构、数据库操作、映射文件等数据无法混淆,导致大部分代码还是暴露在可以被直接获取的层面。后来找到一个开源工具XJar,可以直接对JAR包进行加密。 加密方案 XJar XJar是Spring Boot JAR 安全加密运行工具,同时支持的原生JAR。 基于对JAR包内资源的加密以及拓展ClassL...
Java jar 如何防止反编译
SharingOfficer的博客
11-21 272
由于Java字节码的抽象级别较高,因此它们较容易被反编译。本节介绍了几种常用的方法,用于保护Java字节码不被反编译。通常,这些方法不能够绝对防止程序被反编译,而是加大反编译的难度而已,因为这些方法都有自己的使用环境和弱点。
java~jar包防止反编译
weixin_45623983的博客
07-04 2049
java~jar包防止反编译
java项目的jar包加密(防止反编译)
热门推荐
u012833261的博客
01-11 5万+
最近给公司写了一个项目,需要给其他公司用,为了不让别人看到源码,将项目打成了jar包,但是jar包反编译工具还是能很轻松的看到源码。所以想到了加密jar包,用的是ProGuard,下载地址:https://sourceforge.net/projects/proguard/files/。       其实jar包加密只是增加了反编译时间,理论上还是能破解的,但是有总比没有好。废话少说,开始吧。
jar包class反编译工具 在线
09-08
Jar包class反编译工具是一种在线工具,可用于将Jar包文件中的class文件进行反编译。 这种工具的主要功能是将编译后的Java字节码文件恢复成可读性较高的Java源代码,方便开发人员进行代码的理解、修改及调试等工作。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值