前端代码因为需要直接传输到客户端执行,因此代码混淆技术较早的开始发展,当前比较成熟。后端代码长期以来混淆的需求并不突出,然而随着Java代码需要被客户接触到,并不放在公司完全受控的环境,如以apk形式在用户手机上或以应用形式在专有云中,因此后端代码混淆提到了日程中。
成熟的Java混淆工具很多,如下表:
名称 | 授权 | 主页 |
---|---|---|
yGuard | LGPL | http://www.yworks.com/products/yguard |
ProGuard | GPLv2 | https://www.guardsquare.com/en/proguard |
Facebook ProGuard分支 | GPLv2 | https://github.com/facebook/proguard |
DashO | Commercial | https://www.preemptive.com/products/dasho |
Allatori | Commercial | http://www.allatori.com |
Stringer | Commercial | https://jfxstore.com |
Java Antidecompiler | Commercial | http://www.bisguard.com/help/java/ |
Zelix KlassMaster | Commercial | http://www.zelix.com |
也有不少工具因为长期未更新直接不在考虑范围内,如Jode(LGPL、最后更新:2002年)、JavaGuard(LGPLv2,最后更新:2002年)、jarg(开源,最后更新:2003年)。
一般初步学习适用从开源免费的软件开始,那么我们就从yGuard和ProGuard两者来比较,首先看Google搜索:
很显然ProGuard更加活跃。从混淆情况看,既然是混淆工具,混淆上差别不大,yGuard基于Ant Task,因此在maven中需要maven-antrun-plugins来支持,并且需要写ant task脚本。ProGuard有proguard-maven-plugin + 配置文件的形式,更加方便。同时ProGuard有Facebook ProGuard的Folk版本,和DexGuard商业版本两个较活跃的衍生版本,支持整个生态良好发展。因此我们选择ProGuard。
因为我们的应用主要是面向专有云的Java EE应用,因此这里不考虑安卓apk什么事了。复杂的JavaEE应用一般是多module的,可能涉及不同module的jar包依赖、各种写着类名的配置文件,但用到反射的情况并不多,主要是某些AOP、hack之类的。因此需要小心的混淆,了解混淆的每一个配置及可能带来的副作用。这里我们仅仅对代码进行适度的混淆,示例中并没有考虑应用中的反射,但一般场景下已经足够。
假设应用名称是$APP_NAME
,应用名称与IDE里项目名称相同,项目下有一些子模块(Module),名叫module-1、module-2……,应用代码都属于com.company.appname
包下。我们首先创建配置文件在$APP_NAMEtoolsproguardproguard.conf(单独抽到配置文件里,比写到pom.xml里更易读),目录结构大致如下:
$APP_NAME
├module-1
│ └pom.xml
├module-2
│ └pom.xml
├tools
│ └proguard
│ └proguard.conf
└pom.xml
配置文件proguard.conf
内容如下:
# 忽略警告
-ignorewarnings
#打印处理信息,失败时会打印堆栈信息
-verbose
# 保持目录结构
-keepdirectories
#不能混淆泛型、抛出的异常、注解默认值、原始行号等
-keepattributes Signature,Exceptions,*Annotation*,InnerClasses,Deprecated,EnclosingMethod
# 对于包名、类名不进行混淆
-keeppackagenames com.company.appname.**
# 保留public、protected方法不被混淆
-keep public class * {
public protected *;
}
# 保留注解不被混淆
-keep public @interface * {
** default (*);
}
# 保留枚举类不被混淆
-keepclassmembers enum * {
public static **[] values();
public static ** valueOf(java.lang.String);
}
# 保持依赖注入不被混淆
-keepclassmembers class * {
@org.springframework.beans.factory.annotation.Autowired *;
@javax.annotation.Resource *;
}
# 保持RMI调用不被混淆
-keep class * implements java.rmi.Remote {
<init>(java.rmi.activation.ActivationID, java.rmi.MarshalledObject);
}
# 保留JavaBean不被混淆
-keepclassmembers class * implements java.io.Serializable {
static final long serialVersionUID;
private static final java.io.ObjectStreamField[] serialPersistentFields;
private void writeObject(java.io.ObjectOutputStream);
private void readObject(java.io.ObjectInputStream);
java.lang.Object writeReplace();
java.lang.Object readResolve();
}
# 避免类名被标记为final
-optimizations !class/marking/final
然后在$APP_NAME/pom.xml
中加入对proguard-maven-plugin
的定义,避免每个module里都把公共的代码写一遍:
<?xml version="1.0" encoding="UTF-8"?>
<project ...>
....
<build>
....
<pluginManagement>
<plugins>
....
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.0.14</version>
<dependencies>
<dependency>
<groupId>net.sf.proguard</groupId>
<artifactId>proguard-base</artifactId>
<version>5.3.3</version>
<scope>runtime</scope>
</dependency>
</dependencies>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<obfuscate>true</obfuscate>
<proguardInclude>../tools/proguard/proguard.conf</proguardInclude>
</configuration>
</plugin>
....
</plugins>
</pluginManagement>
....
</build>
....
</project>
同时在每一个module的pom.xml
文件里,加入对proguard-maven-plugin
的引用:
<?xml version="1.0" encoding="UTF-8"?>
<project ...>
....
<build>
....
<plugins>
....
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
</plugin>
....
</plugins>
....
</build>
....
</project>
配置文件、pom.xml文件配完,后续开发、打包、上发布系统就和普通的应用没有任何区别了,maven打包完的$filename.jar
所在目录下有一个同名的$filename
.jar.original包是未经混淆的包。
根据前一节中的配置进行混淆,可以看到源文件行号已经无法还原,普通成员变量、本地变量的变量名已经替换成无意义名字,代码结构有很细微的变化不影响结果。经过混淆和优化后,比原始的class文件小了大致23%。
对于不被其他应用代码依赖的应用和需要发布为二方包被别的应用依赖的应用,配置可能不同。二方包里的类名、方法名不可混淆,同时可以通过混淆阻止其他应用通过反射来进行不安全的调用,当然对公共数据结构里的方法不可混淆。对于直接发布到服务器上最终使用的应用,类名、变量名,甚至配置文件都可以进行混淆,对于需要被反射的一些类,方法名甚至类名不能被混淆,如装配时By name和By Type就有很大区别。
比如JavaBean混淆后,类成员变量的名称可以变掉,方法名不变。这时候如果成员变量有注解类似于@JsonIgnore
、@JSONField(serialize=XX)
可能会失效,正确的应该把这些注解写到Setter方法上。
混淆可以优化代码,去除字节码中关联的行号信息,这时候如果出错,日志会相对难调试。这个是双刃剑,要么接受混淆,要么通过控制参数保留行号信息。
《Protect Your Java Code — Through Obfuscators And Beyond》
《Tips for using ProGuard with Spring framework》
《ProGuard Examples》
《ProGuard Usage》
《proguard-maven-plugin》
文章浏览阅读2.5w次,点赞6次,收藏50次。官方解释是,docker 容器是机器上的沙盒进程,它与主机上的所有其他进程隔离。所以容器只是操作系统中被隔离开来的一个进程,所谓的容器化,其实也只是对操作系统进行欺骗的一种语法糖。_docker菜鸟教程
文章浏览阅读5.7k次,点赞3次,收藏14次。该如何避免的,今天小编给大家推荐两个下载Windows系统官方软件的资源网站,可以杜绝软件捆绑等行为。该站提供了丰富的Windows官方技术资源,比较重要的有MSDN技术资源文档库、官方工具和资源、应用程序、开发人员工具(Visual Studio 、SQLServer等等)、系统镜像、设计人员工具等。总的来说,这两个都是非常优秀的Windows系统镜像资源站,提供了丰富的Windows系统镜像资源,并且保证了资源的纯净和安全性,有需要的朋友可以去了解一下。这个非常实用的资源网站的创建者是国内的一个网友。_msdn我告诉你
文章浏览阅读1.2k次。vue2封装对话框el-dialog组件_
文章浏览阅读4.7k次,点赞5次,收藏6次。MFC 文本框换行 标签: it mfc 文本框1.将Multiline属性设置为True2.换行是使用"\r\n" (宽字符串为L"\r\n")3.如果需要编辑并且按Enter键换行,还要将 Want Return 设置为 True4.如果需要垂直滚动条的话将Vertical Scroll属性设置为True,需要水平滚动条的话将Horizontal Scroll属性设_c++ mfc同一框内输入二行怎么换行
文章浏览阅读832次。检查Linux是否是否开启所需端口,默认为6379,若未打开,将其开启:以root用户执行iptables -I INPUT -p tcp --dport 6379 -j ACCEPT如果还是未能解决,修改redis.conf,修改主机地址:bind 192.168.85.**;然后使用该配置文件,重新启动Redis服务./redis-server redis.conf..._redis-server doesn't support auth command or ismisconfigured. try
文章浏览阅读4.9k次。济大数电实验报告_数据选择器及其应用
文章浏览阅读236次。1研究内容消费在生产中占据十分重要的地位,是生产的最终目的和动力,是保持省内经济稳定快速发展的核心要素。预测河南省社会消费品零售总额,是进行宏观经济调控和消费体制改变创新的基础,是河南省内人民对美好的全面和谐社会的追求的要求,保持河南省经济稳定和可持续发展具有重要意义。本文建立灰色预测模型,利用MATLAB软件,预测出2019年~2023年河南省社会消费品零售总额预测值分别为21881...._灰色预测模型用什么软件
文章浏览阅读1.2k次。12.4-在Qt中使用Log4Qt输出Log文件,看这一篇就足够了一、为啥要使用第三方Log库,而不用平台自带的Log库二、Log4j系列库的功能介绍与基本概念三、Log4Qt库的基本介绍四、将Log4qt组装成为一个单独模块五、使用配置文件的方式配置Log4Qt六、使用代码的方式配置Log4Qt七、在Qt工程中引入Log4Qt库模块的方法八、获取示例中的源代码一、为啥要使用第三方Log库,而不用平台自带的Log库首先要说明的是,在平时开发和调试中开发平台自带的“打印输出”已经足够了。但_log4qt
文章浏览阅读786次。全局观思维模型,一个教我们由点到线,由线到面,再由面到体,不断的放大格局去思考问题的思维模型。_计算机中对于全局观的
文章浏览阅读330次。一、CountDownLatch介绍CountDownLatch采用减法计算;是一个同步辅助工具类和CyclicBarrier类功能类似,允许一个或多个线程等待,直到在其他线程中执行的一组操作完成。二、CountDownLatch俩种应用场景: 场景一:所有线程在等待开始信号(startSignal.await()),主流程发出开始信号通知,既执行startSignal.countDown()方法后;所有线程才开始执行;每个线程执行完发出做完信号,既执行do..._countdownluach于cyclicbarrier的用法
文章浏览阅读508次。Prometheus 算是一个全能型选手,原生支持容器监控,当然监控传统应用也不是吃干饭的,所以就是容器和非容器他都支持,所有的监控系统都具备这个流程,_-自动化监控系统prometheus&grafana实战
文章浏览阅读4.7k次。输入关键字,可以通过键盘的搜索按钮完成搜索功能。_react search