classfinal-maven-plugin插件对Java服务端代码进行混淆加密

于 2024-08-07 19:34:34 发布
阅读量910 收藏 12
点赞数 18
分类专栏: java 文章标签: java maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44732146/article/details/140998281
版权

工作原理

ClassFinal-maven-plugin插件通过调用Java Native Interface(JNI)实现对Java字节码的加密。具体来说,它会在编译阶段对类文件进行混淆和加密,然后在运行时动态解密这些类文件。
首先,插件会遍历项目中的所有类文件,并对其进行混淆处理。混淆过程包括重命名类名、方法名、字段名以及改变控制流结构等,目的是使反编译后的代码难以阅读。
接着,插件会对混淆后的类文件进行加密处理。加密过程采用了一种名为CFProtect的算法,该算法基于AES加密标准,具有较高的安全性。加密后的类文件存储为二进制格式,不能直接被Java虚拟机加载。当class被classloader加载时,真正的方法体会被解密注入。 运用的是Java Agent可以去实现字节码插桩、动态跟踪分析。比如skywalking、arms等就是Java Agent技术。
最后,插件会生成一个代理模块(agent module),该模块负责在应用程序启动时加载,并负责解密加密的类文件。代理模块采用JVMTI(Java Virtual Machine Tool Interface)技术实现,可以在运行时监控和控制Java虚拟机的行为。

开源地址,目前已经暂停维护了。

加密

命令加密方式

参数说明:

java -jar classfinal-fatjar-1.2.1.jar -file yourproject.jar \
     -libjars a.jar,b.jar -packages com.yourpackage,com.yourpackage2 \
     -exclude com.yourpackage.Main -pwd yourpassword -Y
  • -file 加密的jar/war完整路径
  • -packages 加密的包名(可为空,多个用","分割)
  • -libjars jar/war包lib下要加密jar文件名(可为空,多个用","分割)
  • -cfgfiles 需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
  • -exclude 排除的类名(可为空,多个用","分割)
  • -classpath 外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
  • -pwd 加密密码,如果是#号,则使用无密码模式加密
  • -code 机器码,在绑定的机器生成,加密后只可在此机器上运行。在待部署机器上,执行java -jar classfinal-fatjar-1.2.1.jar -C命令生成机器码
  • -Y 无需确认,不加此参数会提示确认以上信息

下载classfinal-fatjar-1.2.1.jar(下载地址

加密效果
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描

2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容

3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件

4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行

5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar

6.有密码启动方式,java-javaagent:xxx-encrypted.jar=‘-pwd=密码’-jarxxx-encrypted.jar

结果: 生成 yourpaoject-encrypted.jar,这个就是加密后的jar文件;加密后的文件不可直接执行,需要配置javaagent。

注: 以上示例是直接用参数执行,也可以直接执行 java -jar classfinal-fatjar.jar按照步骤提示输入信息完成加密。

maven插件加密方式

          <plugin>
                <!--
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描  
2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容  
3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件  
4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行  
5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar  
6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar  
-->
                <!-- https://gitee.com/roseboy/classfinal -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>123456</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
<!--packages配置要加入的包名,会把下面的所有类加密-->
             		<packages>com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controller</packages>
             		<cfgfiles>*.yml</cfgfiles>
                    <excludes>org.spring</excludes>
<!--                    <libjars>a.jar,b.jar</libjars>-->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

运行mvn package时会在target下自动加密生成yourpaoject-encrypted.jar。

maven插件的参数名称与直接运行的参数相同,请参考上节的参数说明。

无密码模式

加密时-pwd参数设为#,启动时可不用输入密码; 如果是war包,启动时指定参数 -nopwd,跳过输密码过程。

机器绑定

机器绑定只允许加密的项目在特定的机器上运行;

在需要绑定的机器上执行以下命令,生成机器码

java -jar classfinal-fatjar.jar -C

加密时用-code指定机器码。机器绑定可同时支持机器码+密码的方式加密。

启动加密后的jar

加密后的项目需要设置javaagent来启动,项目在启动过程中解密class,完全内存解密,不留下任何解密后的文件。

解密功能已经自动加入到 yourpaoject-encrypted.jar中,所以启动时-javaagent-jar相同,不需要额外的jar包。

启动jar项目执行以下命令:

java -javaagent:yourpaoject-encrypted.jar='-pwd=0000000' -jar yourpaoject-encrypted.jar


//参数说明
// -pwd      加密项目的密码  
// -pwdname  环境变量中密码的名字

或者不加pwd参数直接启动,启动后在控制台里输入密码,推荐使用这种方式:

java -javaagent:yourpaoject-encrypted.jar -jar yourpaoject-encrypted.jar

使用nohup命令启动时,如果系统支持gui,会弹出输入密码的界面,如果是纯命令行下,不支持gui,则需要在同级目录下的classfinal.txt或yourpaoject-encrypted.classfinal.txt中写入密码,项目读取到密码后会清空此文件。

密码读取顺序已经改为:参数获取密码||环境变量获取密码||密码文件获取密码||控制台输入密码||GUI输入密码||退出

具体操作流程

pom.xml配置

<plugin>
                <!--
                    1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
                    2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
                    3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
                    4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
                    5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar
                    6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar
-->
                <!-- https://gitee.com/roseboy/classfinal -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>123456</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
                    <!--packages配置要加入的包名,会把下面的所有类加密-->
                    <packages>com.zhubayi.classfinaldemo.controller,com.zhubayi.classfinaldemo.entity</packages>
                    <!--                    <cfgfiles>application.properties</cfgfiles>-->
                    <excludes>org.spring</excludes>
                    <!--                    <libjars>a.jar,b.jar</libjars>-->
                    <cfgfiles>*.yml</cfgfiles>
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

使用mvn clean package进行打包
在这里插入图片描述
生成了加密后的jar包。classfinal-demo-0.0.1-SNAPSHOT-encrypted.jar

反编译查看classfinal-demo-0.0.1-SNAPSHOT-encrypted.jar

在这里插入图片描述
在这里插入图片描述

直接使用java -jar 启动

java -jar classfinal-demo-0.0.1-SNAPSHOT-encrypted.jar

发送请求返回数据为空
在这里插入图片描述

  • 启动包加密之后,方法体被清空,保留方法参数、注解等信息。
  • 反编译只能看到方法名和注解,看不到方法体的具体内容。
  • 启动过程中解密class,完全内存解密,不留下任何解密后的文件。

正确启动

无密码启动

java -javaagent:yourproject-encrypted.jar -jar yourproject-encrypted.jar

在这里插入图片描述
在这里插入图片描述

有密码启动

java -javaagent:yourproject-encrypted.jar='-pwd=密码' -jar yourproject-encrypted.jar
胡八一、
关注
  • 18
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xmljava系统源码-classfinal:Java加密工具
06-06
xml java系统源码 ClassFinal 介绍 ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。 Gitee: 项目模块说明 classfinal-core: ClassFinal的核心模块,几乎所有加密代码都在这里; classfinal-fatjar: ClassFinal打包成独立运行的jar包; classfinal-maven-plugin: ClassFinal加密maven插件; 功能特性 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。 运行加密项目时,无需求修改tomcat,spring等源代码。 支持普通jar包、springboot jar包以及普通java web项目编译的war包。 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。 支持maven插件,添加插件后在打包过程中自动加密。 支持加密WEB-INF/lib或BOOT-INF/lib下的
graphql-java-codegen-maven-plugin:graphql-java-codegen的Maven插件
02-04
graphql-java-codegen-maven-plugin就是这样一个插件,能够无缝集成到Maven构建流程中,自动根据GraphQL schema生成Java代码。 这个插件的主要作用包括: 1. **代码生成**:当你的GraphQL schema发生变化时,...
代码编译安全之classfinal-maven-plugin插件
君悅黎心
03-20 3267
ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具
SpringBoot使用classfinal-maven-plugin插件加密Jar包
nov4th的博客
02-26 1379
2、在右侧的maven工具栏中使用install,xxx-encrypted.jar是加密后的jar包。1、在启动类的pom.xml中加入classfinal-maven-plugin插件。3、加密后的jar包不能直接运行,要设置javaagent来启动,启动过程中会解密。class文件只能看到方法名、参数和注解,方法内容被清空。
引入classfinal maven 插件实现对jar包的加密
ykh12345678的博客
04-25 515
可以通过maven的package指令,查看日志,后缀为jar的即为所有需要加密的jar包。在跟pom文件的properties属性中定义classfinal maven插件的属性值。我使用的项目为微服务项目。
ClassFinal字节码加密工具-其他
06-12
classfinal-maven-pluginClassFinal加密maven插件;功能特性:无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。运行加密项目时,无需求修改tomcat,spring等源代码。支持普通jar包、springboot ...
基于Java的smart-doc-maven-plugin官方maven插件设计源码
最新发布
05-26
本项目是基于Java的smart-doc-maven-plugin官方maven插件设计源码,包含43个文件,其中包括27个Java源文件、7个Markdown文档、2个JSON文件、1个gitignore文件、1个LICENSE文件、1个NOTICE文件、1个PNG图片文件、1个...
ClassFinal-java class文件安全加密工具
06-19
ClassFinal通过特定的加密算法和混淆技术,对Java类文件进行处理,使得未经授权的人难以理解或修改加密后的代码Java安全涉及到多个层面,包括数据安全、代码安全、网络安全等。ClassFinal主要关注的是代码安全,...
cobertura-maven-plugin:Cobertura Maven插件
02-04
在`cobertura-maven-plugin-master`这个压缩包中,可能包含了Cobertura Maven插件的源码、文档、示例项目等内容,这对于深入理解插件的工作原理、自定义行为或进行二次开发非常有帮助。你可以通过解压并阅读源码来...
ClassFinal-获取机器码jar包
12-13
使用采用classfinal-maven-plugin插件对jar包加密时获取机器码
ClassFinal是一款java class文件安全加密工具
05-23
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译
破解java加密的rt.jar,在classloader植入破解代码
10-15
破解java加密的rt.jar,在classloader植入破解代码,默认输出到c:/TEMP/classes/目录。使用方法:只要下载本rt.jar,然后替换掉jdk1.8.0_25\jre\lib目录下的rt.jar。然后运行你需要破解的java程序即可,如果你的java程序用了自带的jre,那么替换掉该jre下的rt.java
maven-plugin
weixin_45123573的博客
05-12 231
```java <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> ```
Java 字节码加密工具 ClassFinal
很多时候犯错都是在不知情的情况下发生的
09-08 8521
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。 项目模块说明 classfinal-core:ClassFinalde的核心模块,几乎所有加密代码都在这里; classfinal-fatjar:ClassFinal打包成独立运行的jar包; c...
使用 ClassFinaljava class 文件进行加密防止反编译
悟世君子的博客
10-02 7485
ClassFinal 是一款 java class文件安全加密工具,支持直接加密 jar 包或 war 包,无需修改任何项目代码,兼容 spring-framework;可避免源码泄漏或字节码被反编译特点。
Maven的plugin使用学习
云大牛的博客
11-04 849
maven-compiler-plugin 编译Java源码,一般只需设置编译的jdk版本 &lt;plugin&gt; &lt;groupId&gt;org.apache.maven.plugins&lt;/groupId&gt; &lt;artifactId&gt;maven-compiler-plugin&lt;/artifactId&gt; &lt;versi...
Intellij IDEA 中调试 maven 插件
灵台方寸山斜月三星洞
03-15 1863
(打包成功,但加密后的jar无法正常执行)所以只好硬着头皮来看看源码。名字自己随意,这里要。
classfinal-maven-plugin
04-05
The classfinal-maven-plugin is a Maven plugin that performs bytecode analysis and generates a report of classes and their methods that are marked as final. The plugin can be used to identify potential areas for optimization or refactoring in a Java codebase. The plugin analyzes the bytecode of compiled classes using the ASM library and generates a report in HTML format. The report includes a list of all classes and their methods that are marked as final, as well as information about the location of the class in the codebase. To use the plugin, it must be added to the Maven project's pom.xml file as a build plugin. The plugin can be configured to include or exclude certain classes or packages from the analysis. The generated report can be viewed in a web browser or integrated with a continuous integration tool. Overall, the classfinal-maven-plugin is a useful tool for identifying areas of a codebase that could benefit from optimization or refactoring. By analyzing the bytecode of compiled classes, the plugin provides a more accurate view of the code's behavior than static analysis tools that only analyze source code.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值