JVMTI 实现 springboot jar包的加密(防止反编译)

最新推荐文章于 2024-01-27 10:26:42 发布
最新推荐文章于 2024-01-27 10:26:42 发布
阅读量2w 收藏 60
点赞数 5
分类专栏: java基础 文章标签: jar加密 JVMTI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39747279/article/details/90214044
版权

1.什么是反编译?

  • Java语言的一个非常重要的特点就是与平台的无关性。而使用JVM是实现这一特点的关键。
  • JVM的任务就是将Java源代码编译成Java字节码,也就是JVM能够识别的二进制代码,从表面看是将.java文件转化为.class文件。而实际上是将Java源代码转化成一连串二进制数字,这些二进制数字是有格式的,只有JVM能够真确的识别他们到底代表什么意思。
  • 由于Java、.net这样的基于虚拟机技术的语言平台,都是采用了Byte Code的二进制结构,因此很容易将ByteCode转化为“抽象语法树”(简称AST,《编译原理》这门课中的概念),然后采用反编译器就可以将AST转换为代码了。

著名的反编译软件 JD-GUI :下载地址

2.什么是JVMTI加密?

Java虚拟机工具接口(JVMTI)提供了一个编程接口,允许您(软件开发人员)创建可以监视和控制Java编程语言应用程序的软件代理。关于JVMTI的官方说明

通俗的说,就是用C++生成动态链接库(DLL),给你指定的二进制的class文件中插入一段数字,进行篡改,使其无法被JD-GUI用简单的AST抽象语法树进行反编译,在运行 jar 包时,再通过DLL文件,消除那段数字,从而实现解密。

3.具体实现

这个博客内有github源码,以及c++的具体讲解,和普通java项目的加解密的实现。
参考博客:https://blog.csdn.net/wangyangzhizhou/article/details/75316826

本文从java的角度,主要讲springboot项目的加解密。

1. 生成 DLL 动态链接库
2. 使用java项目对jar包进行加密。

  • 2.1 修改 ByteCodeEncryptor.java,加载DLL文件。
    在这里插入图片描述

  • 2.2 修改 JarEncryptor.java,修改成自己的包路径名。
    在这里插入图片描述

  • 2.3 修改成需要加密的 jar 绝对路径。执行main方法。同路径生成 demo2-0.0.1_encrypted.jar(加密后)
    在这里插入图片描述

  • 2.4 使用 jd-gui-1.4.1.jar 验证是否加密。
    在这里插入图片描述

  • 2.5 发布 jar
    在这里插入图片描述
    在这里插入图片描述
    正确的去启动命令:需要加载DLL文件,并且指向启动类。

    java -agentpath:C:\Users\lenovo\Desktop\FeByteCodeEncryptor.dll -cp demo2-0.0.1_encrypted.jar com.wyd.demo2.Demo2Application

    浏览器访问接口:
    在这里插入图片描述

3. springboot打包

常规java项目的jar包

springboot项目的jar包
在这里插入图片描述

如果要加密springboot项目,那是不是将加密路径和解密的路径修改成BOOT-INF/classes,是否也就可以呢。
本人测试了一下,加密是可以的,解密不可以(读不到路径)。

  • 加密时,读取文件时使用的是JarFile,并且继承的是 ZipFile,将读取包的路径打印出来,可以看出来是一层一层读取,只要if判断条件写完整,只要jar内有,始终都是可以读取到,并进行加密的。
  • 解密时,使用的是 jvmtiEventCallbacks 使用c++ 写的语法块,将读取包的路径打印出来,发现并没有读取到BOOT-INF路径,然而就解密失败。下图是部分读取的数据
    在这里插入图片描述
    咨询 sea-boat 技术大佬(十分感谢):
    在这里插入图片描述
    在这里插入图片描述
  • 由此可知:springboot 将启动类(DemoApplication),依赖包(lib),配置文件(application.yml),源码 一起打包到BOOT-INF/classes路径下,违背了java项目常规的系统加载器,所以 jvmtiEventCallbacks 并没有对 springboot 这种特殊打包方式做优化,俺也做不到呀。所以只能改变springboot的打包结构,优化成普通java项目。
4. 使用 maven 插件 org.apache.maven.plugins 修改打包路径。
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.4.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.wyd</groupId>
    <artifactId>demo2</artifactId>
    <version>0.0.1</version>
    <name>demo2</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
        <spring-boot.version>2.1.4.RELEASE</spring-boot.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

<!-- springboot自带的打包插件
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <skip>true</skip>
                </configuration>
            </plugin>
        </plugins>
    </build>-->

    <build>
        <resources>
            <resource>
                <!--指定mapping下的所有xml文件打包在jar中-->
                <targetPath>${project.build.directory}/classes</targetPath>
                <directory>src/main/resources</directory>
                <filtering>true</filtering>
                <includes>
                    <include>mapping/*.xml</include>
                </includes>
            </resource>
            <resource>
                <!--resources下一级的所有.xml .properties文件复制到config目录下-->
                <targetPath>${project.build.directory}/config</targetPath>
                <directory>src/main/resources</directory>
                <filtering>true</filtering>
                <includes>
                    <include>**.xml</include>
                    <include>**.yml</include>
                </includes>
            </resource>
        </resources>
        <plugins>
            <!--maven-dependency插件,将项目所有依赖包放到lib目录下-->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-dependency-plugin</artifactId>
                <executions>
                    <execution>
                        <id>copy-dependencies</id>
                        <phase>package</phase>
                        <goals>
                            <goal>copy-dependencies</goal>
                        </goals>
                        <configuration>
                            <type>jar</type>
                            <includeTypes>jar</includeTypes>
                            <outputDirectory>
                                ${project.build.directory}/lib
                            </outputDirectory>
                        </configuration>
                    </execution>
                </executions>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-jar-plugin</artifactId>
                <configuration>
                    <classesDirectory>target/classes/</classesDirectory>
                    <archive>
                        <!--生成的jar中,不要包含pom.xml和pom.properties这两个文件-->
                        <addMavenDescriptor>false</addMavenDescriptor>
                        <manifest>
                            <mainClass>com.wyd.demo2.Demo2Application</mainClass>
                            <!-- 打包时 MANIFEST.MF文件不记录的时间戳版本 -->
                            <useUniqueVersions>false</useUniqueVersions>
                            <addClasspath>true</addClasspath>
                            <classpathPrefix>lib/</classpathPrefix>
                        </manifest>
                        <manifestEntries>
                            <!--jar中的MANIFEST.MF文件ClassPath需要添加config目录才能读取到配置文件-->
                            <Class-Path>config/</Class-Path>
                        </manifestEntries>
                    </archive>
                </configuration>
            </plugin>
        </plugins>
    </build>


</project>
  • mainClass 指向springboot项目的启动类
    在这里插入图片描述
    在这里插入图片描述

这样springboot项目就成功的将依赖包(lib)和配置文件(cinfig)分离开,变成普通的java项目结构。JVMTI自然可以读取到,并进行加解密。

注意事项
  • 启动 jar 包时,要将 lib和config放置到相同路径。
  • 不能加密 springboot 启动类。启动报错。
  • 如何成功分离配置文件和依赖包,但是源码class没有在最外层,可以用解压软件打开,移动至最外层,不影响使用。
    在这里插入图片描述
  • idea旗舰版集成了 插件 Bytecode Viewer 还是可以不解密看到源码。
    下载了 Bytecode-Viewer-2.9.19.jar 验证 下载地址
    在这里插入图片描述
    看不到源码,只能看到加密后的二进制。
    奇怪的是idea 的插件 Bytecode Viewer 却能看到源码,猜测因为 idea 集成 jvm,直接跳过或者忽略错误 bytecode。
    (有时间研究)
weixin_39747279
关注
  • 5
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 32
    评论
专栏目录
Spring Boot项目Jar包加密详解
fudaihb的博客
07-10 1387
在现代软件开发中,保护应用程序的代码和资源免受未经授权的访问是非常重要的。对于基于Spring Boot的Java应用程序,Jar包通常包含了所有的代码和资源。因此,保护这些Jar包免受逆向工程和非法使用是至关重要的。本文将详细介绍如何对Spring Boot项目的Jar包进行加密,包括基础知识、常用工具和方法、实际案例以及最佳实践。
使用JVMTI实现Java源码加密SpringBoot项目包加密解决方案实践总结
cricket2008的专栏
07-23 1721
本文主要介绍利用JVMTI加密JAVA源码的实践方法以及SpringBoot项目加密的解决方案,并对几种常见的加密方式进行对比分析,JVMTI加密网上已经有很多相似文章,但对于SpringBoot加密的方案及过程中遇到的问题都没有讲的太清晰,针对这个问题,文中着重用一章节内容来分析讨论,相信大家认真读完后会对SpringBoot包的加密问题及其框架运行方式有进一步深入的理解。文中部分代码参考网络示例,如有侵权请告知https。......
使用 JVMTI 实现 jar 包字节码加密
热门推荐
为理想,添砖Java
10-21 1万+
由于 Java 属于解释型语言,在 class 文件被 JVM 加载之前,可以很容易的将其反编译,得到源码。对比网上提供的很多方法,比如使用混淆器或是自定义类加载器,都是基于Java层面的,一样可以被反编译。最后,终于找到一种更有效的解决方案:使用 JVMTI 实现 jar 包字节码加密。   JVMTI 简介 JVMTI(JVM Tool Interface)是 Java 虚拟机所提供的 ...
SpringBoot 玩一玩代码混淆,防止反编译代码泄露
m0_71777195的博客
11-17 673
就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的啥。简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件。其余的看注释,可以配置哪些类不参与混淆,哪些枚举保留,哪些方法名不混淆等等。我给你看,但你反编译看到的不是真正的代码。那如果不想给别人反编译看自己写的代码呢?先看一下我们混淆一个项目代码,要做啥?该篇玩的代码混淆 ,是其中一种手段。build标签里面改动加入一下配置。
SpringBoot项目Jar包进行加密防止反编译
sunjie12311的博客
11-04 1258
最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去,要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来,本文介绍了如何对SpringBoot项目Jar包进行加密防止反编译,需要的朋友可以参考下。
java -jar -d64_java:编写jar包加密工具,防止反编译
weixin_31574149的博客
02-12 300
packagecom.zy.java;importio.xjar.XConstants;importio.xjar.XKit;importio.xjar.boot.XBoot;importio.xjar.key.XKey;import java.awt.*;import javax.swing.*;import java.awt.event.*;import java.io.*;importjav...
Spring Boot项目Jar包加密防止反编译的安全实践
学IT,找陈寒
12-28 1万+
Spring Boot项目Jar包加密是一种有效的安全实践,可以防止源代码被轻易反编译。然而,开发者在选择和实施加密方案时需要综合考虑安全性、性能和维护成本。加密只是安全防护的一环,建议将其与其他安全措施结合使用,形成完整的安全体系。未来,随着技术的不断发展,我们也可以期待更多更先进的安全方案出现,为软件开发提供更多保障。希望本文对你在项目中使用Spring Boot进行Jar包加密有所帮助。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线。
基于jvmtiJava代码加密和解密源码
03-29
jvmti加密源码,包含基于jvmti,利用c++ 编译的动态库,用一定的算法将Java里.class加密的源码代码,以及在tomcat 上完成解密并正常启动的源码,支持spring框架 和springboot,防止反编译
使用C++语言实现基于JVMTI机制的 JAVA 代码 加密保护工具
03-02
众所周知,Java编译后的Jar包和Class文件,可以轻而易举的使用反编译工具(如JD-GUI)进行反编译,拿到源码。为了保护自己发布的Jar包和Class文件,采用的方式大多是混淆方式,这种方式对于Class文件的加密是不彻底...
JavaFX+SpringBoot2.7+JDK17+Launch4j+InnoSetup实现JVMTIJar包加密/H2数据
01-07
javaFX的界面框架有很多,实际业务中我们常常要将界面框架与整体业务框架融为一体,bookmanager将javaFX的界面框架与springboot相结合,并实现jar包加密、数据库加密、安装时在线校验序列号等一系列的过程。...
使用JVMTIjar包加密和解密
03-24
在“使用JVMTIjar包加密和解密”的场景中,我们通常会采取以下步骤: 1. **加密**: 在部署前,将.jar文件的原始字节码加密。这可以通过读取.jar文件,使用一个密钥对字节码进行加密,然后将加密后的字节码替换...
使用xjar 对Spring-Boot JAR加密运行工具,避免源码泄露以及反编译
12-21
目录 1 Xjar 介绍 2 如何使用 xjar v2.06 2.1 导入pomx (可以的话直接看3)  不行接着往下 2.2  2.2    自己去maven 下载jar  2.3  跳过2.1 的废话,直接下载 xjar  和  loadkit 包,并且安装到本地 3 编写代码对已有spring boot jar 进行加密操作 4 懒人方案 5 java 反编译工具 1 Xjar 介绍 Spring Boot JAR 安全加密运行工具,同时支持的原生JAR。 基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露或反编译。 功能
jar包加密防止反编译
11-16
Java加密Jar包和Class文件防止反编译的方法,此为防止反编译程序,亲测可用。如果大神有啥破解方法,希望能与楼主分享下,谢谢。
对java jar包实现混淆加密
04-27
为了保护源代码不被轻易反编译和理解,开发者通常会使用混淆加密技术来增强代码的安全性。本文将深入探讨如何对Java jar包进行混淆加密,以及相关工具的使用。 一、代码混淆的重要性 代码混淆的主要目的是使原始的...
java项目jar包加密防止反编译代码
lqs_user的博客
01-09 4831
文章来源:https://juejin.cn/post/7291846601651273769
SpringBoot项目Jar包加密,防止反编译
weixin_54542328的博客
11-22 793
此方案比对上面的方案来说,就简单了许多。在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间的调用在是否混淆时极其容易出错。只需要在启动类的pom.xml文件中加如下插件即可,需要注意的是,改插件时要放到spring-boot-maven-plugin插件后面,否则不起作用。将此生成好的机器码,放到maven插件中的code里面即可。这样,打包好的项目只能在生成机器码的机器运行,其他机器则启动不了项目。
Jar包加密防止反编译
ddjc123的博客
08-20 1万+
Jar包加密防止反编译方法XJar加密工具XJar功能特性使用方法(手动执行方式)使用方法(Maven插件方式)exe4j加密工具使用方法jvmti加密工具使用方法参考 XJar加密工具 XJar功能特性 基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露以及反编译。 支持Maven插件 加密过程需要Go环境;加密后生成Go启动器,保护密码不泄露 GitHub: https://github.com/core-lib/xjar 使用方法(
SpringBoot项目Jar包加密防止反编译详细讲解(值得珍藏)
最新发布
a342874650的专栏
01-27 4609
本文将介绍如何对 SpringBoot 项目进行 Jar加密,以防止反编译。通过使用加密技术,可以保护源代码的安全性,防止恶意攻击者获取敏感信息和业务逻辑。本文将详细介绍加密方法、操作步骤和注意事项,并通过示例代码演示如何实现加密
SpringBoot 项目 Jar加密防止反编译
Java笔记虾
12-06 162
戳上方蓝字“Java笔记虾”关注我1场景最近项目要求部署到其他公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的启动包进行安全性处理,防止客户直接通过反编译工具将代码反编译出来。2方案第一种方案使用代码混淆采用proguard-maven-plugin插件在单模块中此方案还算简单,但是现在项目一般都是多模块,一个模块依赖多个公共模块。那么使用此方案就比较麻烦,配置复杂,文档难懂,各模块之间...
jvmti加密jar包
06-23
### 回答1: JVMTI是Java虚拟机调试接口的缩写,它是Java平台提供的一组原生接口,可以帮助开发者在Java虚拟机层面参与程序的调试和分析过程。JVMTI可以为开发者提供很多方便的调试工具,比如断点、内存泄漏检查、垃圾回收统计信息等等。但是JVMTI本身并不提供加密jar包的能力,因为它的主要作用是提供开发者在运行时操作虚拟机的接口,而不是加密jar包。 如果您想对Java程序的jar包进行加密或者保护,您可以考虑使用Java加密扩展(JCE)这个Java API。JCE可以帮助您实现加密通信、数字签名和安全密钥管理等功能。JCE的加密算法包括DES、AES、RSA等多种标准算法,也支持其他自定义算法。使用JCE加密jar包可以保护您的程序不被反编译或者恶意利用,同时也可以保护数据的机密性和完整性。 总之,JVMTI和JCE都是Java平台提供的重要接口,但是它们的作用不同,前者主要用于开发和调试,后者则是用于加密和保护数据安全的。如果您需要对Java程序进行加密保护,建议使用JCE这个Java API。 ### 回答2: JVMTI是Java虚拟机工具接口的缩写,是JDK 1.5加入的一项新功能,它提供一组API,可以在运行时监控、检测和管理Java虚拟机和Java应用程序。JVMTI可以被用于加密Java程序的JAR包加密JAR包的目的在于保护Java程序的源代码,防止别人拷贝或查看程序的源代码。使用JVMTI进行JAR包加密的步骤如下: 1. 创建一个新JAR文件,可以使用Java工具命令创建。 2. 将需要加密JAR文件和一个密钥文件放入创建的新JAR文件中。 3. 使用JVMTI API,从Java VM中获取应用程序的字节码,然后使用密钥对其进行加密。 4. 加密后的字节码存入新的JAR文件中,并将原始JAR文件中的其他文件也复制到新的JAR文件中。 5. 加密后的JAR文件可以被用于发布Java程序。 JVMTI加密Jar包可以确保Java程序源代码的安全性。虽然Java编译后会生成字节码,可以进行反编译,但加密后的字节码无法被反编译,从而保护程序的源代码不被泄露。 ### 回答3: JVMTI是Java虚拟机工具接口的缩写,它提供了访问Java虚拟机内部的调试和监控的功能。在Java开发过程中,为了保护Java代码的安全性,我们通常会使用加密技术来保护Java代码,而对于已经被加密的Java代码,我们需要使用JVMTI来进行反调试和监控。JVMTI可以访问Java虚拟机内部的数据结构,可以读写Java类的字节码、常量池、方法表和字段表。因此,我们可以使用JVMTI来解密加密的Java代码,并获取其源代码和调试信息。 对于加密jar包,我们可以使用JVMTI工具来进行解密。首先,我们需要创建一个JVMTI的Agent程序,Agent是一种能够监控和修改Java应用程序的工具,它可以在程序运行时进行操作,可以读取和修改Java类的字节码,同时还可以获取应用程序内部的状态信息。然后,我们需要将Agent程序注入到Java虚拟机中,并使用JVMTI来获取加密jar包的字节码,并进行解密操作。解密完成之后,我们可以将解密后的字节码重新加载到虚拟机中,这样就可以获取到源代码和调试信息了。 总之,JVMTI是Java开发中非常重要的工具,它可以帮助我们进行调试和监控Java应用程序,同时还可以帮助我们解密加密的Java代码。使用JVMTI可以使我们更好地了解Java程序的运行机制,保护Java代码的安全性,并提高我们的开发效率。
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值