修改代码和数据
确定程序的执行流程
确定使用的算法
构造欺骗性和应用
窃取知识产权
发起代码级安全攻击
什么是逆向工程?
对Java程序进行逆向工程的过程是这样进行的: 将可执行的类反汇编成中间汇编代码(Intermediate Assembly
Code),然后将汇编代码反编译成字节码的高级抽象(Higher-level
Abstraction),该高级抽象包含大量的源代码,其中包括变量、方法等等。与实际的源代码相比,最大的区别是没有注释。还需要指出的而是,逆向工
程提供的源代码并不一定准确。能提供反编译和反汇编功能的商业软件和免费软件有很多。
下面是一些防止对java可执行文件进行逆向工程和保护源代码的方法:
代码验证:对可执行代码进行评估和验证,包括可信来源、运行阶段的检查、可预期的行为和输出。
加密和解密:在传输过程中对可执行代码进行加密和解密,确保代码在传输过程中不被访问或者篡改。但是这种方法限制了代码的可移植性。
代码混淆(Code
Obfuscation):这种方法使用转换机制修改程序,生成的java代码所包含的引用是模糊的。这样虽然还是能被反编译,但是很难读懂,这个也是最常用的方法。
关于代码混淆,常用的技术有如下:
结构性或布局性变换(Structural ar layout
transformation):通过混淆和重命名的方法和变量的标识符来变换代码的词法结构。
数据变换(Data transformation):改变过程中的数据结构。例如将内存中的局部变量改为全局变量等。
控制变换(Control transformation):改变程序中的流程机制。
防篡改和预防性变换(Tamper-proofing and preventive
transformation):使反编译器无法提取实际程序,并使由其产生的代码无法使用。
字符串加密(String encryption):加密可执行代码中所有的字面字符串,并在运行阶段调用它们时进行解密。
水印(Watermarking):在可执行代码中加入秘密消息,以识别可执行程序的副本,从而发现对代码的篡改。
代码对性能的影响不是很大,却能限制反编译的滥用并提供可移植性,而且不影响部署平台。所以,为了降低逆向工程所带来的风险,代码混淆是一种不错的选择。
但是要知道,世界上没有绝对安全的的系统,所以,要做的还是有很多,比如重视对知识产权的保护,提高人们的素质等等。。。