Java代码混淆技术选型
代码混淆简介
Java是一种跨平台的编程语言,其源码(.java文件)被编译成与平台无关的字节码(.class文件),然后在运行期动态链接。这样,编译后的类文件中将包含有符号表,从而使得Java程序很容易被反编译。相信绝大部分Java开发人员,都曾经用过诸如Jad之类的反编译器,对Java的class 文件进行反编译,从而观察程序的结构与实现细节。如此一来,对于那些需要严格进行知识产权保护的Java应用,如何有效的保护客户的商业投资,是开发人员经常需要面对的问题。有鉴于此,对于商业软件来说,必须选择一种代码混淆工具保护我们的产品。
常见的Java代码混淆技术简介
java混淆器
使用一种或多种处理方式将class文件、java源代码进行混淆处理后生成新的class,使混淆后的代码不易被反编译,被反编译后其代码也是难以阅读和理解。
这类混淆器工具很多,而且也很有成效。最常用的Java混淆工具ProGuard就是基于此原理。
缺点:虽然混淆的代码反编译后不易读懂,但对于有经验的人,还是能找到或计算出你代码中隐藏的敏感内容,而且在很多应用中不是全部代码都能混淆的,往往一些关键的库、类名、方法名、变量名等因使用要求的限制反而还不能混淆。
java加密保护
自定义ClassLoader,将class文件和相关文件加密,运行时由此ClassLoader解密相关文件并装载类,要起到保护作用必须自定义本地代码执行器将自定义ClassLoader和加密解密的相关类和配套文件也保护起来。此种方式能很有效地保护java代码。
缺点:
(1)可以通过替换JRE包中与类装载相关的java类或虚拟机动态库截获java字节码;
(2)相关工具基本都是收费的,若自己开发需要开发自己代码执行器,有一定的开发难度和工作量;
(3)由于自定义了代码执行器,安装包中需要携带自己的JRE环境,Class在加载时必须先解密,对产品性能有影响;
(4)对于由web容器启动的web服务来说,其class文件是由对应web容器的classload加载的,使用成本较高。
提前编译技术(AOT)
将java代码静态编译成本地