Java后端代码混淆应用实践

前言

前端代码因为需要直接传输到客户端执行,因此代码混淆技术较早的开始发展,当前比较成熟。后端代码长期以来混淆的需求并不突出,然而随着Java代码需要被客户接触到,并不放在公司完全受控的环境,如以apk形式在用户手机上或以应用形式在专有云中,因此后端代码混淆提到了日程中。

选型

成熟的Java混淆工具很多,如下表:

名称 授权 主页
yGuard LGPL http://www.yworks.com/products/yguard
ProGuard GPLv2 https://www.guardsquare.com/en/proguard
Facebook ProGuard分支 GPLv2 https://github.com/facebook/proguard
DashO Commercial https://www.preemptive.com/products/dasho
Allatori Commercial http://www.allatori.com
Stringer Commercial https://jfxstore.com
Java Antidecompiler Commercial http://www.bisguard.com/help/java/
Zelix KlassMaster Commercial http://www.zelix.com

也有不少工具因为长期未更新直接不在考虑范围内,如Jode(LGPL、最后更新:2002年)、JavaGuard(LGPLv2,最后更新:2002年)、jarg(开源,最后更新:2003年)。

一般初步学习适用从开源免费的软件开始,那么我们就从yGuard和ProGuard两者来比较,首先看Google搜索:

很显然ProGuard更加活跃。从混淆情况看,既然是混淆工具,混淆上差别不大,yGuard基于Ant Task,因此在maven中需要maven-antrun-plugins来支持,并且需要写ant task脚本。ProGuard有proguard-maven-plugin + 配置文件的形式,更加方便。同时ProGuard有Facebook ProGuard的Folk版本,和DexGuard商业版本两个较活跃的衍生版本,支持整个生态良好发展。因此我们选择ProGuard。

ProGuard快速上手

配置

因为我们的应用主要是面向专有云的Java EE应用,因此这里不考虑安卓apk什么事了。复杂的JavaEE应用一般是多module的,可能涉及不同module的jar包依赖、各种写着类名的配置文件,但用到反射的情况并不多,主要是某些AOP、hack之类的。因此需要小心的混淆,了解混淆的每一个配置及可能带来的副作用。这里我们仅仅对代码进行适度的混淆,示例中并没有考虑应用中的反射,但一般场景下已经足够。

假设应用名称是$APP_NAME,应用名称与IDE里项目名称相同,项目下有一些子模块(Module),名叫module-1、module-2……,应用代码都属于com.company.appname包下。我们首先创建配置文件在$APP_NAMEtoolsproguardproguard.conf(单独抽到配置文件里,比写到pom.xml里更易读),目录结构大致如下:

$APP_NAME
 ├module-1
 │  └pom.xml
 ├module-2
 │  └pom.xml
 ├tools
 │  └proguard
 │      └proguard.conf
 └pom.xml

配置文件proguard.conf内容如下:

# 忽略警告
-ignorewarnings
#打印处理信息,失败时会打印堆栈信息
-verbose

# 保持目录结构
-keepdirectories
#不能混淆泛型、抛出的异常、注解默认值、原始行号等
-keepattributes Signature,Exceptions,*Annotation*,InnerClasses,Deprecated,EnclosingMethod
# 对于包名、类名不进行混淆
-keeppackagenames com.company.appname.**

# 保留public、protected方法不被混淆
-keep public class * {
      public protected *;
}
# 保留注解不被混淆
-keep public @interface * {
    ** default (*);
}

# 保留枚举类不被混淆
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

# 保持依赖注入不被混淆
-keepclassmembers class * {
    @org.springframework.beans.factory.annotation.Autowired *;
    @javax.annotation.Resource *;
}

# 保持RMI调用不被混淆
-keep class * implements java.rmi.Remote {
    <init>(java.rmi.activation.ActivationID, java.rmi.MarshalledObject);
}

# 保留JavaBean不被混淆
-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

# 避免类名被标记为final
-optimizations !class/marking/final

然后在$APP_NAME/pom.xml中加入对proguard-maven-plugin的定义,避免每个module里都把公共的代码写一遍:

<?xml version="1.0" encoding="UTF-8"?>
<project ...>
    ....
    <build>
        ....
        <pluginManagement>
            <plugins>
                ....
                <plugin>
                    <groupId>com.github.wvengen</groupId>
                    <artifactId>proguard-maven-plugin</artifactId>
                    <version>2.0.14</version>
                    <dependencies>
                        <dependency>
                            <groupId>net.sf.proguard</groupId>
                            <artifactId>proguard-base</artifactId>
                            <version>5.3.3</version>
                            <scope>runtime</scope>
                        </dependency>
                    </dependencies>
                    <executions>
                        <execution>
                            <phase>package</phase>
                            <goals>
                                <goal>proguard</goal>
                            </goals>
                        </execution>
                    </executions>
                    <configuration>
                        <obfuscate>true</obfuscate>
                        <proguardInclude>../tools/proguard/proguard.conf</proguardInclude>
                    </configuration>
                </plugin>
                ....
            </plugins>
        </pluginManagement>
        ....
    </build>
    ....
</project>

同时在每一个module的pom.xml文件里,加入对proguard-maven-plugin的引用:

<?xml version="1.0" encoding="UTF-8"?>
<project ...>
    ....
    <build>
        ....
        <plugins>
            ....
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
            </plugin>
            ....
        </plugins>
        ....
    </build>
    ....
</project>

配置文件、pom.xml文件配完,后续开发、打包、上发布系统就和普通的应用没有任何区别了,maven打包完的$filename.jar所在目录下有一个同名的$filename.jar.original包是未经混淆的包。

混淆效果


根据前一节中的配置进行混淆,可以看到源文件行号已经无法还原,普通成员变量、本地变量的变量名已经替换成无意义名字,代码结构有很细微的变化不影响结果。经过混淆和优化后,比原始的class文件小了大致23%。

更多要说

不同类型的应用需要不同对待

对于不被其他应用代码依赖的应用和需要发布为二方包被别的应用依赖的应用,配置可能不同。二方包里的类名、方法名不可混淆,同时可以通过混淆阻止其他应用通过反射来进行不安全的调用,当然对公共数据结构里的方法不可混淆。对于直接发布到服务器上最终使用的应用,类名、变量名,甚至配置文件都可以进行混淆,对于需要被反射的一些类,方法名甚至类名不能被混淆,如装配时By name和By Type就有很大区别。

书写代码时需要考虑混淆后是否影响运行

比如JavaBean混淆后,类成员变量的名称可以变掉,方法名不变。这时候如果成员变量有注解类似于@JsonIgnore@JSONField(serialize=XX)可能会失效,正确的应该把这些注解写到Setter方法上。

需要考虑Debug的便利性

混淆可以优化代码,去除字节码中关联的行号信息,这时候如果出错,日志会相对难调试。这个是双刃剑,要么接受混淆,要么通过控制参数保留行号信息。

扩展阅读

Protect Your Java Code — Through Obfuscators And Beyond
Tips for using ProGuard with Spring framework
ProGuard Examples
ProGuard Usage
proguard-maven-plugin

时间: 2024-10-04 12:54:39

Java后端代码混淆应用实践的相关文章

java代码混淆工具求推荐

问题描述 java代码混淆工具求推荐 java代码混淆比较好用的工具,求推荐,比较常用的管用的,最好有教程,不知道哪里有比较详细的比较帖子.谢谢! 解决方案 BCompare 不用教程

大家有没有用过好点的java代码混淆工具?免费的那种!

问题描述 大家有没有用过好点的java代码混淆工具?免费的那种! 公司分下来的任务,周五就要交,求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!!求助啊!! 解决方案 什么叫代码混淆工具?

关于Java加壳和代码混淆

在C中,进行代码加密,首要经过加壳的方法.所谓加壳,即是先将程序代码加密,然后用特定的程序加载器,将代码解密后加载进内存,这样能够在避免代码的反编译,当然,有加壳东西,也有解壳东西,尽管不能100%避免crack,但仍然给代码增加一层有力的维护. 然而在Java中,维护代码是件很困难的工作,由于class文件十分标准,很容易反编译,且反编译后的代码明晰可读.常见的维护办法是运用代码混淆器,打乱class和function以及变量的姓名,能够搅扰反编译后的代码的可读性.尽管简略提高了代码的安全性,

《Java线程与并发编程实践》—— 第2章 同步 2.1 线程中的问题

第2章 同步 Java线程与并发编程实践 线程交互通常是通过共享变量完成的,当线程之间没有交互时,开发多线程的应用程序会变得简单许多.一旦发生了交互,很多诱发线程不安全(在多线程环境下不正确)的因素就会暴露出来.在这一章中,你将会认识到这些问题,同时也会学习如何正确地使用Java面向同步的特性来克服它们. 2.1 线程中的问题 Java对线程的支持促进了响应式.可扩展应用程序的发展.不过,这样的支持是以增加复杂性作为代价的.如果不多加小心,你的代码就会到处充斥着极难以察觉的bug,而这些bug多

大规模代码构建技术实践

在云效持续集成持续交付专场直播中,阿里技术专家何卫龙为大家带来了<大规模代码构建技术实践>的分享.本次分享主要从持续集成的背景,持续集成平台的演进过程,以及如何进行大规模持续集成构建三部分展开,内容精彩,不容错过. 以下内容根据讲师PPT和视频整理而成. 什么是持续集成? 大师Martin Fowler认为持续集成是一种软件开发实践,在实践中团队开发成员会频繁的进行任务的集成,通常每个成员每天都会集成一次,也就意味着每天可能会发生多次集成.每次集成都通过自动化的构建来验证,从而尽快地发现集成错

读懂Android中的代码混淆

本文为本人的一些实践总结,介绍一些混淆的知识和注意事项.希望可以帮助大家更好的学习和使用代码混淆. 什么是混淆 关于混淆维基百科上该词条的解释为 代码混淆(Obfuscated code)亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为. 代码混淆影响到的元素有 类名 变量名 方法名 包名 其他元素 混淆的目的 混淆的目的是为了加大反编译的成本,但是并不能彻底防止反编译. 如何开启混淆 通常我们需要找到项目路径下app目录下的build.gradle文件 找

&amp;#106avascript代码混淆综合解决方案-&amp;#106avascript在线混淆器

解决|在线 文章来源:javascriptOnlineObfuscator">http://www.BizStruct.cn/JavascriptOnlineObfuscator Javascript 代码混淆的目的 Javascript 是一种解释执行的脚本语言,主要应用于 Web 领域的客户端的浏览器中:由于 Javascript 解释执行的特性,代码必须明文下载到客户端,并且可以很容易的进行调试,使得 Javascript 代码的保护非常困难: 不同的人对 Javascript 代码

Javascript代码混淆综合解决方案

javascript|解决 Javascript 代码混淆的目的 Javascript 是一种解释执行的脚本语言,主要应用于 Web 领域的客户端的浏览器中:由于 Javascript 解释执行的特性,代码必须明文下载到客户端,并且可以很容易的进行调试,使得 Javascript 代码的保护非常困难: 不同的人对 Javascript 代码的保护有不同的看法:有的人辛苦努力的代码,却可以被竞争对手轻易获得,他们就非常希望能有保护 Javascript 代码的方案,但现有的方案可能无法满足他们的要

android app进行代码混淆实例详解

  android app进行代码混淆实例详解         接到一个新的任务,对现有项目进行代码混淆.之前对混淆有过一些了解,但是不够详细和完整,知道有些东西混淆起来还是比较棘手的.不过幸好目前的项目不是太复杂(针对混淆这块来说),提前完成--现总结之. 第一部分 介绍下操作流程(eclipse): 1.打开混淆器:找到项目根目录下的project.properties文件,将"#proguard.config=${sdk.dir}/tools/proguard/proguard-andro