首页 > 编程语言 >Java代码混淆工具:ProGuard

Java代码混淆工具:ProGuard

时间:2024-02-26 20:23:31浏览次数:30  
标签:混淆 Java jar ProGuard proguard java com class imooc

前言

java代码可以反编译,因此有时候要保护自己的知识产权还得费点心思,一般来说有三个思路:

  1. 将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件,Lombok 库就是使用的这种方式(lombok.launch.ShadowClassLoader)。
  2. 使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般;
  3. 代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合,ProGuard 就是一个很好用的代码混淆工具。

使用

这里我们使用 maven 插件的方式

简单maven项目

<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!-- 指定生成文件分类 -->
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    <options>
                        <!-- JDK目标版本11-->
                        <option>-target 11</option>
                        <!--JDK8-->
                        <!--<option>-target 1.8</option>-->
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
                        <option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <lib>${java.home}/jmods</lib>
                        <!--jdk8配置-->
                        <!--<lib>${java.home}/lib/rt.jar</lib>-->
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}-proguard.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>

这里我们使用的 JDK 版本为11。最后生成的文件为 source_code2-1.0-SNAPSHOT-pg.jar,解压之后可以看到具体混淆的文件

遇到的问题

问题1
[proguard] Error: Can't read [/xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar] (No such file or directory: /xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar)

JDK 11 没有 rt.jar 文件,需要改为

<lib>${java.home}/jmods</lib>
问题2
Note: there were 6 unkept descriptor classes in kept class members.
 [proguard]       You should consider explicitly keeping the mentioned classes
 [proguard]       (using '-keep').
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#descriptorclass)
 [proguard] Note: there were 1 unresolved dynamic references to classes or interfaces.
 [proguard]       You should check if you need to specify additional program jars.
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclass)
 [proguard] Note: there were 1 accesses to class members by means of reflection.
 [proguard]       You should consider explicitly keeping the mentioned class members
 [proguard]       (using '-keep' or '-keepclassmembers').
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclassmember)
 [proguard] Warning: there were 1 unresolved references to library class members.
 [proguard]          You probably need to update the library versions.
 [proguard]          Alternatively, you may have to specify the option 
 [proguard]          '-dontskipnonpubliclibraryclassmembers'.
 [proguard]          (https://www.guardsquare.com/proguard/manual/troubleshooting#unresolvedlibraryclassmember)
 [proguard] Error: Please correct the above warnings first.

解决方法:增加如下参数

<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>

SpringBoot项目

如果是 SpringBoot 项目,配置会更复杂,不然项目启动不起来。

<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
<!--                    <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
                    <options>
                        <!-- JDK目标版本11-->
<!--                        <option>-target 11</option>-->
                        <!--JDK8-->
                        <option>-target 1.8</option>
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
                        <option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <!--<lib>${java.home}/jmods</lib>-->
                        <!--jdk8配置-->
                        <lib>${java.home}/lib/rt.jar</lib>
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>
问题1

proguard 插件配置必须放在 springboot 插件前面,不然会将 springboot 的 org.springframework.boot.loader 包下的类也混淆,导致项目启动失败。

java -jar 
Error: Could not find or load main class org.springframework.boot.loader.JarLauncher
问题2
<attach>true</attach>  去掉
<attachArtifactClassifier>pg</attachArtifactClassifier> 去掉
<outjar>${project.build.finalName}.jar</outjar>  修改为这样

最后生成的文件必须为 ${project.build.finalName}.jar,因为后续 springboot 插件会继续处理这个文件。

问题3
Unable to find main class

项目启动类不能混淆,加上如下配置

<option>-keep class com.imooc.sys.manager.BackStageApplication {
                            public static void main(java.lang.String[]);
                            }</option>
问题4
org.springframework.beans.factory.BeanDefinitionStoreException: Failed to parse configuration class [com.imooc.sys.manager.BackStageApplication]; nested exception is org.springframework.context.annotation.ConflictingBeanDefinitionException: Annotation-specified bean name 'c' for bean class [com.imooc.sys.manager.config.c] conflicts with existing, non-compatible bean definition of same name and class [com.imooc.sys.manager.temp.c]

因为不同 package 下的类混淆生成了同名文件,我们也没有自定义 bean 名称,spring 在生成 bean 时就会使用类名,导致重名报错。所以我们需要自定义 beanName 生成器(也有可能涉及其他代码的改造)。

public class BackStageApplication {

    public static void main(String[] args) {
        // SpringApplication.run(BackStageApplication.class, args); // 之前的
        new SpringApplicationBuilder(BackStageApplication.class)
                .beanNameGenerator(new UniqueBeanNameGenerator())
                .run(args);
    }
	public static class UniqueBeanNameGenerator extends AnnotationBeanNameGenerator {
        /**
         * 如果自定义了beanName,就取自定义的,不然取默认的
         * @param definition
         * @return
         */
        @Override
        protected String buildDefaultBeanName(BeanDefinition definition) {
            return definition.getBeanClassName();// 类名全路径
        }
    }
}
问题5
Description:

The bean 'a', defined in class path resource [com/imooc/sys/manager/redis/c.class], could not be registered. A bean with that name has already been defined in class path resource [com/imooc/sys/manager/config/d.class] and overriding is disabled.

Action:

Consider renaming one of the beans or enabling overriding by setting spring.main.allow-bean-definition-overriding=true

beanName 生成器不会兼容 @Bean 注解的情况(不会走 生成器,默认是方法名称),加上如下配置,包含 @Bean 注解的方法不混淆

<option>-keepclassmembers public class * {
                            @org.springframework.context.annotation.Bean *;
                        }</option>
问题6
Caused by: org.apache.ibatis.builder.BuilderException: Error parsing Mapper XML. The XML location is 'URL [jar:file:/Users/xxx/szz_files/java/code_resp/sys-manager/target/sys-manager-1.0-SNAPSHOT.jar!/BOOT-INF/classes!/mapper/RoleAuthorityMapper.xml]'. Cause: org.apache.ibatis.builder.BuilderException: Error resolving class. Cause: org.apache.ibatis.type.TypeException: Could not resolve type alias 'com.imooc.sys.manager.entity.RoleAuthority'.  Cause: java.lang.ClassNotFoundException: Cannot find class: com.imooc.sys.manager.entity.RoleAuthority
        at org.apache.ibatis.builder.xml.XMLMapperBuilder.configurationElement(XMLMapperBuilder.java:123)
        at org.apache.ibatis.builder.xml.XMLMapperBuilder.parse(XMLMapperBuilder.java:95)
        at org.mybatis.spring.SqlSessionFactoryBean.buildSqlSessionFactory(SqlSessionFactoryBean.java:611)

mybatis 的 mapper/实体类不能混淆(且包含其中的属性及方法),加如下配置

<option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
<option>-keep class com.imooc.sys.manager.dao.**{*;}</option>
问题7
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.transaction.annotation.ProxyTransactionManagementConfiguration': Initialization of bean failed; nested exception is java.lang.IllegalArgumentException: error at ::0 can't find referenced pointcut webLog
@Aspect
@Component
public class WebLogAspect {
    @Pointcut("execution(public * com.imooc.online.controller..*.*(..))")
    public void webLog() {}

    @Before("webLog()")
    public void doBefore(JoinPoint joinPoint) throws Throwable {
    }
}

包含 aop 的切入点的类不能混淆,不然找不到 webLog() 方法。

<option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
最终的配置
<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!--                    <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
                    <options>
                        <!-- JDK目标版本11-->
                        <!--                        <option>-target 11</option>-->
                        <!--JDK8-->
                        <option>-target 1.8</option>
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
                        <option>-keepclassmembers public class * {
                            @org.springframework.context.annotation.Bean *;
                        }</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sys.manager.BackStageApplication {
                            public static void main(java.lang.String[]);
                            }</option>
                        <option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
                        <option>-keep class com.imooc.sys.manager.mapper.**{*;}</option>
                        <option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <!--<lib>${java.home}/jmods</lib>-->
                        <!--jdk8配置-->
                        <lib>${java.home}/lib/rt.jar</lib>
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>

总结

使用过程中,坑还是很多的,关于 ProGuard 更多相关配置可以查看 官方文档

参考

官方文档
Java | ProGuard——java代码混淆利器
springboot+proguard+maven 实现代码混淆 看这一篇就够了 原创
Does ProGuard support Java 11?
ProGuard warnings: there were 7 unresolved references to program class members

标签:混淆,Java,jar,ProGuard,proguard,java,com,class,imooc
From: https://www.cnblogs.com/strongmore/p/18026443

相关文章

  • SpringBoot/Java中OCR实现,集成Tess4J实现图片文字识别
    场景TesseractTesseract是一个开源的光学字符识别(OCR)引擎,它可以将图像中的文字转换为计算机可读的文本。支持多种语言和书面语言,并且可以在命令行中执行。它是一个流行的开源OCR工具,可以在许多不同的操作系统上运行。https://github.com/tesseract-ocr/tesseractTess4JTess4......
  • 利用java代码将多张图片合成一张图片
     利用java代码将多张图片合成一张图片 效果展示:   工具类1importcn.hutool.core.collection.CollUtil;2importcn.hutool.core.convert.Convert;3importlombok.extern.slf4j.Slf4j;4importorg.apache.http.util.Asserts;56importjavax......
  • Java - 将TXT文本文件转换为PDF文件
    与TXT文本文件,PDF文件更加专业也更适合传输,常用于正式报告、简历、合同等场合。项目中如果有使用Java将TXT文本文件转为PDF文件的需求,可以查看本文中介绍的免费实现方法。 免费JavaPDF库本文介绍的方法需要用到FreeSpire.PDFforJava,该免费库支持多种操作、转换PDF文档的功......
  • Java基础(四)
    Java基础(四)内容BigInteger类BigDecimal类Arrays类包装类String类的常用方法正则表达式Collection集合1.1BigInteger类概述概述:java.math.BigInteger类是一个引用数据类型,可以用于计算一些大的整数,当超出基本数据类型数据范围的整数运算时就可以使用BigInte......
  • Java 基础变量
    基本数据类型:字符型:char,数字类型:整数型:Byte,short,int,long(long 类型的数据一定要在数值后面加上 L,否则将作为整型解析)         浮点型:float,double布尔型:boolean引用类型:String定义变量,变量作用域包装类型:八种基本类型都有对应的包装类分别为:Byte、Sh......
  • JavaSE的第八步 —— 循环语句
    一、循环循环在Java中主要是依靠两个关键字进行 一个是for关键字有关的,另一个是while关键字有关的循环二、for循环for(初始化条件;判断条件语句;迭代因子){语句块};在for循环执行的时候,首先需要执行第一个分号之前的语句,对判断条件进行初始化,之后对判断条件进行比较,如果判断为......
  • Java对接微信V3支付
    微信支付(V3版本)微信支付前期准备:(官方接口文档)获取商户号:微信商户平台 ->我有PC网站 ->接入微信支付->填写资料,提交微信审核(1-2个工作日)->审核通过后,返回微信支付首页,扫码登录->账户中心 ->个人信息,登录账户(商户号) 获取AppID:申请微信公众号(账号类型:服务号)->申请......
  • JavaScript中的包装类型详解
    JavaScript中的包装类型详解在JavaScript中,我们有基本类型和对象类型两种数据类型。基本类型包括String,Number,Boolean,null,undefined和Symbol。然而,当我们需要在这些基本类型上调用方法时,就需要用到JavaScript的包装类型。什么是包装类型?包装类型是JavaScript中的......
  • Java 使用 itext 向PDF插入数据和图片
    Java使用itext向PDF插入数据和图片一、下载AdobeAcrobatDC二、制作模板1、准备一个word模板,并转换成PDF格式2、使用AdobeAcrobatDC打开PDF文档,并在右侧搜索框搜索表单,点击准备表单 3、点击开始,制作PDF表单 4、扫描完成后如下图,蓝白色框就是可编辑表单......
  • 万字Java进阶笔记总结
    JavaApi字符串String注意:Java中“==”操作符的作用:基本数据类型:比较的是内容。引用数据类型比较的是对象的内存地址。StringBuffer/StringBuilder由于String是字符串是常量,它们的值在创建之后不能更改。如果我们使用这个String频繁进行操作,会有性能问题,这个时候就需要......