Maven 环境下使用 proguard-maven-plugin 插件混淆你的源码

最新推荐文章于 2024-02-24 23:07:16 发布
最新推荐文章于 2024-02-24 23:07:16 发布
阅读量1w 收藏 2
点赞数
分类专栏: Java maven
Java 同时被 2 个专栏收录
97 篇文章 0 订阅
订阅专栏
maven
13 篇文章 0 订阅
订阅专栏
摘要  a、ProGuard(http://proguard.sourceforge.net/) 是比较出色的 Java 代码混淆工具,可以有效的保护与优化你的代码。当然这里说的保护是防止恶意抄袭,通过混淆造成反编译阅读困难。但逻辑与内容并不会加密,仔细分析还是可以获得一些信息。 b、proguard-maven-plugin 是 Maven 中的 ProGuard 插件,可以非常方便的在你做 Maven 打包时进行代码混淆。 c、本文重点介绍 Maven 环境下插件的配置(重点参数),与类路径加载资源问题。
proguard  maven  混淆  jar  java

目录[-]

一、场景介绍

两个工程 Project1,Project2(将被混淆的工程)。Project1 将通过 Maven 依赖配置的方式引用混淆后的 Project2。后面我会详细介绍 pom.xml 的配置。

二、Maven 配置

1、Project1 的 pom.xml

该 pom.xml 比较简单主要通过 classifier 来判断是否使用混淆的 Jar(Project2)

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<? xml version = "1.0" encoding = "UTF-8" ?>
< project xmlns = "http://maven.apache.org/POM/4.0.0"
          xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation = "http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd" >
     < modelVersion >4.0.0</ modelVersion >
 
     < groupId >org.noahx.proguard.example</ groupId >
     < artifactId >project1</ artifactId >
     < version >1.0-SNAPSHOT</ version >
 
     < dependencies >
         < dependency >
             < groupId >org.noahx.proguard.example</ groupId >
             < artifactId >project2</ artifactId >
             < classifier >pg</ classifier > <!--如果不想依赖混淆的包,请注释掉该行-->
             < version >1.0-SNAPSHOT</ version >
         </ dependency >
     </ dependencies >
 
</ project >


2、Project2 的 pom.xml

pom.xml 中配置的 proguard-maven-plugin 来做混淆,详细说明见注释。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
<? xml version = "1.0" encoding = "UTF-8" ?>
< project xmlns = "http://maven.apache.org/POM/4.0.0"
          xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"
          xsi:schemaLocation = "http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd" >
     < modelVersion >4.0.0</ modelVersion >
 
     < groupId >org.noahx.proguard.example</ groupId >
     < artifactId >project2</ artifactId >
     < version >1.0-SNAPSHOT</ version >
 
 
     < build >
         < plugins >
 
             < plugin >
                 < groupId >com.github.wvengen</ groupId >
                 < artifactId >proguard-maven-plugin</ artifactId >
                 < version >2.0.7</ version >
                 < executions >
                     < execution >
                         < phase >package</ phase >
                         < goals >
                             < goal >proguard</ goal >
                         </ goals >
                     </ execution >
                 </ executions >
                 < configuration >
                     < attach >true</ attach >
                     < attachArtifactClassifier >pg</ attachArtifactClassifier >
                     <!-- attach 的作用是在 install 与 deploy 时将生成的 pg 文件也安装与部署 -->
                     < options > <!-- 详细配置方式参考 ProGuard 官方文档 -->
                         <!--<option>-dontobfuscate</option>-->
                         < option >-ignorewarnings</ option > <!--忽略所有告警-->
                         < option >-dontshrink</ option >   <!--不做 shrink -->
                         < option >-dontoptimize</ option > <!--不做 optimize -->
                         < option >-dontskipnonpubliclibraryclasses</ option >
                         < option >-dontskipnonpubliclibraryclassmembers</ option >
 
                         < option >-repackageclasses org.noahx.proguard.example.project2.pg</ option >
                         <!--平行包结构(重构包层次),所有混淆的类放在 pg 包下-->
 
                         <!-- 以下为 Keep,哪些内容保持不变,因为有一些内容混淆后(a,b,c)导致反射或按类名字符串相关的操作失效 -->
 
                         < option >-keep class **.package-info</ option >
                         <!--保持包注解类-->
 
                         < option >-keepattributes Signature</ option >
                         <!--JAXB NEED,具体原因不明,不加会导致 JAXB 出异常,如果不使用 JAXB 根据需要修改-->
                         <!-- Jaxb requires generics to be available to perform xml parsing and without this option ProGuard was not retaining that information after obfuscation. That was causing the exception above. -->
 
                         < option >-keepattributes SourceFile,LineNumberTable,*Annotation*</ option >
                         <!--保持源码名与行号(异常时有明确的栈信息),注解(默认会过滤掉所有注解,会影响框架的注解)-->
 
                         < option >-keepclassmembers enum org.noahx.proguard.example.project2.** { *;}</ option >
                         <!--保持枚举中的名子,确保枚举 valueOf 可以使用-->
 
                         < option >-keep class org.noahx.proguard.example.project2.bean.** { *;}</ option >
                         <!--保持 Bean 类,(由于很多框架会对 Bean 中的内容做反射处理,请根据自己的业务调整) -->
 
                         < option >-keep class org.noahx.proguard.example.project2.Project2 { public void init(); public void
                             destroy(); }
                         </ option >
                         <!-- 保持对外的接口性质类对外的类名与方法名不变 -->
 
                     </ options >
                     < outjar >${project.build.finalName}-pg</ outjar >
                     < libs >
                         < lib >${java.home}/lib/rt.jar</ lib >
                     </ libs >
 
                 </ configuration >
             </ plugin >
 
          </ plugins >
     </ build >
 
</ project >


三、Java 混淆前后内容比较

这里只比较 Project2 类的不同。其它类的比较,请大家使用 jd-gui 等反编译工具进行比较。

1、混淆前的 Project2 类

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
package org.noahx.proguard.example.project2;
 
import org.noahx.proguard.example.project2.dao.TestDao;
import org.noahx.proguard.example.project2.impl.User;
 
/**
  * Created by noah on 8/20/14.
  */
public class Project2 {
 
     public void init() {
         test1();
         test2();
     }
 
     private void test1() {
         Status on = Status.valueOf( "On" );
         switch (on) {
             case On: {
 
             }
             break ;
             case Off: {
 
             }
             break ;
         }
     }
 
     private void test2() {
         TestDao testDao= new TestDao();
         User user= new User();
         user.setUserid( "abc" );
         user.setPassword( "pwd" );
         user.setDescription( "des" );
         testDao.save(user);
 
     }
 
     private void test3() {
     }
 
     private void test4() {
     }
 
     private void throwException() {
         throw new RuntimeException( "hello" );
     }
 
     public void destroy() {
         test3();
         test4();
         throwException();
     }
}


2、混淆后的 Project2 类

所有没有指定 keep 的内容都变为了 a,b,c...,增大了阅读难度。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
package org.noahx.proguard.example.project2;
 
import org.noahx.proguard.example.project2.pg.a;
 
public class Project2
{
   public void init()
   {
     b();
     c();
   }
 
   private void b() {
     b localb = b.valueOf( "On" );
     switch (a.a[localb.ordinal()])
     {
     case 1 :
       break ;
     case 2 :
     }
   }
 
   private void c()
   {
     a locala = new a();
     org.noahx.proguard.example.project2.pg.b localb = new org.noahx.proguard.example.project2.pg.b();
     localb.a( "abc" );
     localb.b( "pwd" );
     localb.c( "des" );
     locala.a(localb);
   }
 
   private void d()
   {
   }
 
   private void e() {
   }
 
   public void a() {
     throw new RuntimeException( "hello" );
   }
 
   public void destroy() {
     d();
     e();
     a();
   }
}


四、类路径中资源加载问题

使用 ProGuard 产生的 Jar 包,会发生无法定位 Jar 中资源的问题。原因不详,我没有太深入研究。

使用 [类名].class.getResource(),Thread.currentThread().getContextClassLoader().getResource(),不论是否以“/”开头都返回 null。没有混淆的 Jar 是没有这个问题的。

我使用了一种直接读取 Jar 中内容的方式来解决。

?
1
2
3
4
5
6
7
8
9
10
11
12
final File jarFile = new File([类名]. class .getProtectionDomain().getCodeSource().getLocation().getPath()); //定位类所在的 Jar 文件
             if (jarFile.isFile()) {
                 final JarFile jar = new JarFile(jarFile);
                 Enumeration<JarEntry> entries = jar.entries();
                 while (entries.hasMoreElements()) {
                     JarEntry entry = entries.nextElement();
                     if (entry.getName().startsWith( "org/noahx" )) {
                         InputStream entryInputStream = jarFile.getInputStream(entry);  //遍历包中的内容来获得资源
                     }
                 }
                 jar.close();
             }

五、总结

使用 proguard-maven-plugin 插件,既保持了 Maven 的依赖模式,又满足了我的混淆需求。其它详细的参数配置,大家可以参考官方文档。

ProGuard 满足了我的需求。至于是好是坏,希望大家不要围绕这点做没有必要的争论,谢谢。

样例程序下载:http://pan.baidu.com/s/1dDGNoDr

SQZHAO
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
proguard-maven-plugin-2.3.1.jar
12-25
修改proguard-maven-plugin插件默认可以对proguard打包后的jar重新打包
SpringBoot + proguard+maven模块实现代码混淆
小酒仙
06-05 3342
基于SpringBoot+Maven模块工程利用proguard组件实现代码混淆
Maven - 代码混淆proguard-maven-plugin vs 代码加密classfinal
最新发布
小工匠
02-24 2578
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。
使用Maven控件proguard-maven-plugin给可执行jar文件混淆
08-14
NULL 博文链接:https://quicker.iteye.com/blog/2321714
proguard-maven-plugin:支持模块ProGuard软件包的ProGuard Maven插件
02-02
ProGuard Maven插件 在您的构建中运行 。 对于用法,请阅读生成的。 开发发生在。 该插件处于成熟状态,因此预计不会进行重大开发更改。 欢迎提出请求。 这是的的继承者。
java6.0源码-code-hidding-plugin:Codehidding-plugin.在proguard-maven-plugin
06-04
java6.0源码 Code Hidding Plugin #说明 在proguard-maven-plugin的基础上修改而来,可以在项目构建过的时候把代码混淆,支持打成jar包和war包。 基本支持Proguard的所有功能。 博客地址: ##使用方法 先进行Maven install 然后在需要混淆代码的工程中加入此插件的依赖 <plugin> <groupId>com.jiujie</groupId> <artifactId>code-hidding-plugin</artifactId> <version>1.0</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <obfuscate>true</obfuscate> <attach>true</attach> <injar>classes</
Spring Boot 代码混淆proguard-maven-plugin使用说明)
m0_57042151的博客
10-25 7383
就是将代码的通过工具使其可读性变差(越差越好😄)
proguard+springboot+maven插件 代码混淆
weixin_42547243的博客
12-11 7516
一 背景 Java web项目部署到服务器上以后,尤其针对是在客户的服务器上部署,很容易被“友商”捞到相关的包,通过反编译的手段,我们的代码几乎等同于裸奔在不可控制的服务器上,产品的设计细节都被一览无余,所以针对给厂商做的服务,我们做一些代码的混淆是很有必要的。 二 步骤 2.1 导入maven插件 通过maven插件的办法的好处就是,在编译过程中混淆代码,尽量避免了给业务上带来的影响。这里混淆代码如下,实际混淆过程中要根据实际业务调整 ...
组件打包常用工具-proguard-maven-plugin
swebin的专栏
08-19 1303
1.proguard-maven-plugin 2.maven-shade-plugin 3.maven-Assembly-plugin 4.onejar-maven-plugin 5.mvaen-jar-plugin和 maven-dependency-plugin。
基于ProGuard-Maven-Plugin的自定义代码混淆插件
热门推荐
connect_me的博客
07-22 1万+
大家可能都会碰到一些代码比较敏感的项目场景,这个时候代码被反编译看到就不好了,这个时候就需要代码混淆插件来对代码进行混淆了。 基于Maven的项目一般会去考虑使用proguard-maven-plugin,但是这个插件仅支持打Jar包不支持打War包。 于是我用空闲时间在proguard-maven-plugin的基础上修改了里面的一部分逻辑,可以在项目构建过的时候把代码混淆,支持打成jar包和war包。 现在贴出来给大家看看。
obfuscation-maven-plugin:一个用于使用qprotect混淆编译文件的Maven插件
03-08
混淆行家插件一个用于使用qprotect混淆编译文件的Maven插件
基于Maven的SpringBoot工程中,如何使用proguard进行Java代码混淆
qq_34227856的博客
03-02 3580
前言代码混淆,是将计算机程序的代码转换成一种功能上等价,但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码,也可以用于程序编译而成的中间代码。执行代码混淆的程序被称作代码混淆器。为什么要做代码混淆?代码混淆的主要目的是为了保护源代码,阻止反向工程。反向工程会带来许多问题,诸如知识产权泄露,程序弱点暴露易受攻击等。使用即时编译技术的语言,如Java、C#所编写的程序更容易受到反向工程的威胁。但是代码混淆并不能真正阻止反向工程,只能增大其难度。因此,对于对安全性要求很高的场合,仅仅使用代码混淆并不能保证
maven打包之代码混淆-防反编译
记录IT技术学习,分享IT学习体验
04-23 3958
配置maven代码混淆插件,防止反编译
Spring boot使用ProGuard实现代码混淆
Blueeyedboy521的博客
11-19 4889
Spring boot使用ProGuard实现代码混淆 SpringBoot 玩一玩代码混淆,防止反编译代码泄露代码混淆常见于安卓的apk安装文件, 服务端的代码因为不易被普通用户接触到, 所以混淆不多。但是某些场景下, 比如:项目需要部署到客户机器上, 就会有泄露代码逻辑的风险。 不过需要知道的是:使用proguard混淆代码只能增加阅读和理解的难度, 并不能百分百保证代码安全。也即是达到让开发人员看到这头痛的代码有99.99999%的冲动放弃阅读,拍桌子说还不如我重写一遍逻辑。附:proGuard官网因
java17使用proguard进行代码混淆的方案
未兆的博客
12-13 2178
proguard进行代码混淆
springboot proguard 代码混淆
g5zhu5896的博客
12-29 6650
后面会给出我的proguard-maven-plugin插件的相关配置 1.混淆后自己全部代码没有被放入混淆后的jar包里(jar\BOOT-INF\classes 里面不包含com) 原因:proguard-maven-plugin插件放到了spring-boot-maven-plugin插件后面,应该是因为spring-boot-maven-plugin放在前面会先执行spring-boot-maven-plugin的repackage再执行proguard-maven-plugin混淆. .
springboot工程(单个maven工程)利用proguard实现代码混淆
小酒仙
06-05 2453
springboot工程利用proguard实现代码混淆使用 proguard 混淆代码只能增加阅读和理解的难度, 并不能百分百保证代码安全。
Proguard模块代码混淆步骤以及遇到的问题
weixin_43937268的博客
09-19 2285
Proguard代码混淆步骤以及遇到的问题
proguard-maven-plugin使用方法
07-14
使用 `proguard-maven-plugin`,您需要在 Maven 项目的 `pom.xml` 文件中进行配置。以下是一些基本的配置步骤: 1. 在 `<build>` 元素下的 `<plugins>` 元素中添加 `proguard-maven-plugin` 插件的配置: ```xml <build> <plugins> <plugin> <groupId>com.github.wvengen</groupId> <artifactId>proguard-maven-plugin</artifactId> <version>2.3.1</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <!-- 配置 ProGuard 规则 --> <proguardVersion>6.2.2</proguardVersion> <options> <option>-keep public class com.example.MyClass</option> <!-- 添加其他 ProGuard 选项 --> </options> </configuration> </plugin> </plugins> </build> ``` 2. 在 `<configuration>` 元素下的 `<options>` 元素中配置 ProGuard 的选项。您可以添加自定义的 ProGuard 规则,例如 `-keep`、`-dontwarn` 等。 3. 在命令行中运行 Maven 打包命令来触发 ProGuard 的执行: ``` mvn clean package ``` 这将使用 `proguard-maven-plugin` 插件对您的代码进行混淆和优化。生成的混淆后的代码将位于 Maven 项目的 `target` 目录下。 请注意,您还可以根据您的项目需求进一步自定义 `proguard-maven-plugin` 的配置。有关更多详细的配置选项和示例,请参考该插件的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值