`
seawavecau
  • 浏览: 756718 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

代码混淆器 Proguard整理一些资料

 
阅读更多

我们做java开发的一般都会遇到如何保护我们开发的代码问题。java语言由于是基于jvm上面,所以反编译class文件很很容易。假如我们做了一个web程序,并把这个web程序发布给客户。实际上,客户是很容易反编译出我们的源代码出来,包括所有的src文件和jsp文件等等。

   那么,如何保护我们的源代码,实际上,应该有几种方法可以使用:1、使用代码混淆器  2、重载应用服务器的classloader

   对于第一种方法来说,现在外面有很多开源工具可以使用,个人认为最好用的当属proguard莫属。proguard主要是易用易学。而且提供的功能也挺多。下面是个人一点使用心得

   (1)、从网上download proguard工具,proguard工具主要包含是几个jar文件和一些example,下载地址http://proguard.sourceforge.net/

   (2)、将里面的几个jar文件添加到类路径下面。当然,也可以不添加,但是下面在做混淆的时候,必须指定classpath,使在做混淆的过程中,能否访问该类

   (3)、编写一个配置文件,主要是混淆器的一些参数。比如,下面是一个例子
-injars       platform.jar
-outjars      platform_out.jar
-libraryjars  <java.home>/lib/rt.jar
-libraryjars ibatis-common-2.jar
-libraryjars ibatis-dao-2.jar
-libraryjars ibatis-sqlmap-2.jar
-libraryjars junit-3.8.1.jar
-libraryjars d:/j2ee.jar
-libraryjars struts.jar
-libraryjars commons-lang.jar
-libraryjars D:/0working/coreproject/byislib/jasperreports-0.6.1.jar
-libraryjars  commons-beanutils.jar

-printmapping proguard.map
-overloadaggressively
-defaultpackage ''
-allowaccessmodification
-dontoptimize
-keep public class *
{
public protected *;
}
-keep public class org.**
-keep public class it.**

各个参数的含义参考proguard文档,该文档非常详细,上手很容易

OK,到此就完成了代码混淆,打开产生的jar包可以看到,多了好多a、b、c之类的类文件。说明混淆结果已经成功。将原jar删除、运行产生的混淆jar包,一切正常!

常见问题:使用过程中个人遇到了几个问题,开始也是找了很久才解决
   a. 内存溢出异常: 主要是proguard在做混淆的时候,吃了很多内存,因此,在运行混淆器的时候,可以增加内存,比如 java -mx512m .....
  b.栈溢出异常: 主要是proguard在做混淆的时候,会对一些代码进行优化,若遇到一些相对复杂的方法时,可能会抛出此异常。对付的办法是增加配置参数-dontoptimize,如上面的配置例子所示

对于第二种方法,重载服务器的classloader的原理是这样。 首先我们通过一定算法把class文件加密; 然后写我们自己的classloader,替换服务器的classloader。 这样,我们可以读取class文件,通过我们自己的算法反加密成正确的class,然后再次进行load。这个方式还没应用起来,这几天个人正在研究,有什么新成果会在此做一些总结。


ProGuard是一个开源的项目,主页:http://proguard.sourceforge.net/,目前最新的版本是3.3.2.。加载混淆器是非常简单的,只需要解压缩proguard3.3.2.zip,然后在 J2ME->Packing->Obfuscation 标签中选择 Proguard 的安装目录。如下图所示,在这里可以对需要在混淆过程中保留的类名进行配置,MIDlet 类的名称必须保留,以便设备的 Java 运行时环境(JRE)能够找到执行的入口点。
http://images.csdn.net/20050726/image027.jpg,It’s about the above pic.



另一篇文档
ProGuard是一款免费的Java类文件压缩器、优化器和混淆器。它能发现并删除无用类、字段(field)、方法和属性值(attribute)。它也能优化字节码并删除无用的指令。最后,它使用简单无意义的名字来重命名你的类名、字段名和方法名。经过以上操作的jar文件会变得更小,并很难进行逆向工程。这里提到了ProGuard的主要功能是压缩、优化和混淆,下面我就先介绍一下这些概念,然后再介绍ProGuard的基本使用方法。

l         什么是压缩:

Java源代码(.java文件)通常被编译为字节码(.class文件)。而完整的程序或程序库通常被压缩和发布成Java文档(.jar文件)。字节码比Java源文件更简洁,但是它仍然包含大量的无用代码,尤其它是一个程序库的时候。ProGuard的压缩程序操作能分析字节码,并删除无用的类、字段和方法。程序只保留功能上的等价,包括异常堆栈描述所需要的信息。

l         什么是混淆:

通常情况下,编译后的字节码仍然包含了大量的调试信息:源文件名,行号,字段名,方法名,参数名,变量名等等。这些信息使得它很容易被反编译和通过逆向工程获得完整的程序。有时,这是令人厌恶的。例如像ProGuard这样的混淆器就能删除这些调试信息,并用无意义的字符序列来替换所有名字,使得它很难进行逆向工程,它进一步免费的精简代码。除了异常堆栈信息所需要的类名,方法名和行号外,程序只会保留功能上的等价。通过以上的了解,你应该明白为什么需要混淆了。

l         ProGuard支持那些种类的优化:

除了在压缩操作删除的无用类,字段和方法外,ProGuard也能在字节码级提供性能优化,内部方法有:

²        常量表达式求值

²        删除不必要的字段存取

²        删除不必要的方法调用

²        删除不必要的分支

²        删除不必要的比较和instanceof验证

²        删除未使用的代码

²        删除只写字段

²        删除未使用的方法参数

²        像push/pop简化一样的各种各样的peephole优化

²        在可能的情况下为类添加static和final修饰符

²        在可能的情况下为方法添加private, static和final修饰符

²        在可能的情况下使get/set方法成为内联的

²        当接口只有一个实现类的时候,就取代它

²        选择性的删除日志代码

实际的优化效果是依赖于你的代码和执行代码的虚拟机的。简单的虚拟机比有复杂JIT编译器的高级虚拟机更有效。无论如何,你的字节码会变得更小。

仍有一些明显需要优化的技术不被支持:

²        使非final的常量字段成为内联

²        像get/set方法一样使其他方法成为内联

²        将常量表达式移到循环之外

²        Optimizations that require escape analysis



    ProGuard是一个命令行工具,并提供了图形化用户界面,它也可以结合Ant或J2ME Wireless Toolkit使用。通过ProGuard得到的更精简的jar文件意味着只需要更小的存储空间;网络传输更省时;装载速度更快和占用更小的内存空间。另外,ProGuard非常快速和高效,它仅仅只花费几秒钟和几兆的内存在处理程序。它处理的顺序是先压缩,然后优化,最后才进行混淆。The results section presents actual figures for a number of applications.与其他Java混淆器相比,ProGuard的主要优势可能是它的基于模版文件的简单配置。一些直观的命令行选项或一个简单的配置文件已经足够了。例如,下面的配置选项保护了jar文件里的所有applets:

-keep public class * extends java.applet.Applet

用户指南里说明了所有可用的选项,并以大量的例子为你演示这些功能强大的配置选项。



       上面谈到了ProGuard的很多好处,现在我们就来看看如何在程序中使用ProGuard吧,之前也提到了ProGuard可以用命令行、图形界面、Ant等来执行和处理程序,同时也提到了配置文件,下面我们一起来看如何使用:

用命令行执行ProGuard的命令如下:

java –jar proguard.jar options……

具体的选项可以参考ProGuard的用户指南,你也可以把这些属性写在配置文件里;运行时,我们只需要指定这个配置文件就行了,例如:

java –jar proguard.jar @config.pro

而配置文件的格式也是要按照ProGuard提供的格式来写的,这个可以参考ProGuard例子里的配置文件来配置适合你的应用系统的ProGuard配置文件。ProGuard提供了图形界面的配置和运行程序,你可以在界面上配置你想要的参数,然后运行即可。前面提到的要手动写的配置文件也可以用图形界面来配置和生成。

如果你要在Ant里运行ProGuard,只需要添加一一个如下的target即可:

<target name="proguard" depends="init">

       <taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" />

       <proguard configuration="${src.dir}/config.pro" />

</target>

你只需要制定lib.dir和src.dir属性就行了,同样的,这里也用了proguard配置文件,跟上面提到的是一样的。建议大家把ProGuardGUI当成一个生成配置文件的向导来使用,这样我们只需要修改配置文件而不用重新写一个配置文件。

如果你觉得ProGuard还不错,那就快把它加入你的项目里吧。





第三文档
这是一个不应该在开源社区出现的东西,但它的的确确是一个开源的项目,正像它的名字一样,Proguard,即Program Guard(程序卫士),它代表了开源的相对面--代码保护。
  作为JAVA这样的高级语言,编译的产物只是相对源代码的一个概念而已,字节码虽然不像源代码那样易懂,但绝不是不可能进行反编译的,针对JAVA的反编译产品很多,如CAVAJ,JAD等等。面对反编译产品的不断出现,将代码视为财富的那些开发者,又何去何从。
  混淆器正是在这种背景下应运而生,既然不可能完全地将拒绝反编译,那就让他们去反编译吧,只要反编译的结果别人不能直接使用不就行了吗?只要将代码搞混,让别人拿到了反编译的结果也看不懂,甚至不能编译。
  混淆的方法有很多,主要是以下几方面。
更名,将私有类,私有的成员,方法体内部的变量名改名,改成a,b,c等等,甚至1,2,3(代码中不允许不等于成果物中不允许)
改变逻辑的流向,如将if条件取反,if/else对换
等价代码,如将循环改成GOTO
无效代码,插入不可及的无用代码
  Proguard是一个非常优秀的开源的JAVA混淆器,可以在http://proguard.sourceforge.net/下载到,现在就让我一起来看一下Proguard.
  以3.2版为例,释放压缩包,我们看到,作为开源项目就有docs,lib,src,sample文件夹,在此就不一一介绍了。
  进入lib目录,内有proguard.jar,如果要自己有混淆器的外壳,或作ANT插件的话,会用到它,详细情况可以参考Proguard的文档。
  我们要看的是proguardgui.jar,这是Proguard的图形界面,我们使用JDK打开,注意是JDK,不是JRE。

点选Input/Output标签,选择要混淆的JAR包(注意是JAR包),输出JAR包,以及用到的所有类库。
点选Obfuscation标签,选中不需要混淆的类(要被反射的类绝对不能被混淆)
点选Process标签,Process按钮,等着看结果吧。
Proguard中还包括了代码优化和代码整理的功能,不是本文讨论范围,有兴趣的就自己研究吧)
只混淆方面的选项



使用此种方式,如果a-z使用过,会转向aa.class,如下图配置界面
1,4,6,9,10,11,12

源代码
package org.zwm.pub;

public class Bru {

/**
* @param args
*/

public static void main(String[] args) {
// TODO Auto-generated method stub
System.out.println(showMsg());
}
public static String showMsg() {
return "You are my sun";
}
}
反编译后的代码
// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.
// Jad home page: http://www.kpdus.com/jad.html
// Decompiler options: packimports(3)

package org.zwm.pub;

import java.io.PrintStream;

public class Bru
{

    public Bru()
    {
    }

    public static void main(String args[])
    {
        System.out.println(PK0304140008000800fZ());
    }

    public static String PK0304140008000800fZ()
    {
        return "You are my sun";
    }
}




类名不变化,方法名混淆。

分享到:
评论

相关推荐

    proguardGUI使用方法总结

    ProGuardGUI是一款强大的代码混淆与优化工具,主要用于Java项目的代码保护。通过使用该工具,开发者能够有效地缩小应用的大小,并提高其安全性。本文将详细介绍ProGuardGUI的主要功能及其使用方法。 #### 二、...

    jar整理

    而“工具”标签则意味着可能会介绍一些用于管理JAR的实用程序,比如前面提到的Maven和Gradle,还有可能包括如FatJar这样的工具,它能合并多个JAR并生成一个可执行的JAR,或者使用ProGuard进行代码混淆和优化。...

    4.Android面试题整理.rar

    12. **性能优化**:包括绘制优化(避免过度绘制)、资源加载优化、APK瘦身、代码混淆、ProGuard规则配置等。 13. **Android组件间通信**:AIDL(Android接口定义语言)用于进程间通信,Intent、Binder、...

    android开发技巧整理

    13. **混淆优化**:在发布应用时,使用ProGuard或R8进行代码混淆,提高应用的安全性,减少包大小。 14. **AAR库管理**:合理管理项目依赖,避免版本冲突。使用Gradle的exclude规则排除不需要的依赖,或者使用Maven ...

    Android高手进阶整理

    这可能涉及到减少布局层级、避免过度绘制、使用AsyncTask和IntentService进行后台操作、运用ProGuard进行代码混淆以提高应用的安全性和效率。文章可能会详细讲解如何使用Android Profiler工具来定位并解决性能问题。...

    Android小知识整理

    这包括减少图片大小、使用矢量图形、优化布局结构、缓存策略、避免内存泄漏、使用ProGuard进行代码混淆等。通过这些技巧,可以降低APK大小,提高应用加载速度,节省用户流量,同时增强应用的稳定性和安全性。 这些...

    2021年安卓逆向系统培训课程【视频课程】下载整理.zip

    6. **代码混淆与反混淆**:理解混淆的原理和反混淆策略,如使用ProGuard或R8混淆工具。 7. **安全编码实践**:如何编写不易被逆向的代码,防止恶意攻击。 8. **Android权限管理**:理解权限请求的机制及其与逆向工程...

    Android面试题整理

    7. **性能优化**:了解如何通过ProGuard或R8进行代码混淆,提高应用的安全性和运行效率。探讨内存优化、绘制优化和启动速度优化的策略。 8. **多线程与并发**:掌握Android中的线程通信,如使用Handler、Message、...

    Android 开发技巧新整理

    - **ProGuard**:代码混淆工具,用于保护应用安全,减少反编译的风险。 - **Gradle插件**:使用Gradle构建系统自动化打包、签名和发布过程。 - **多渠道打包**:针对不同市场或用户群体定制不同的APK,如Google ...

    Android开发 微博demo(个人整理11)

    11. **测试与性能优化**:为了确保应用的质量,需要进行单元测试、集成测试和性能测试,如使用`JUnit`和`Espresso`进行测试,以及使用`LeakCanary`检测内存泄漏,使用`ProGuard`或`R8`进行代码混淆和优化。...

    安卓知识整理

    通过ProGuard或R8进行代码混淆,减小程序大小。使用GPU Profiler分析图形渲染性能,利用Systrace进行系统级性能分析。 9. **权限管理**:自Android 6.0(Marshmallow)起,应用权限不再是安装时一次性授予,而是...

    Android开发经验整理

    12. **性能优化**:包括内存优化、渲染优化、电量优化等,例如使用ProGuard或R8进行代码混淆,减少APK大小,避免内存泄漏,使用DataBinding或LiveData提升UI绑定效率等。 13. **单元测试与集成测试**:编写测试用例...

    WindowJitter.zip

    开发者可以在此定义哪些类、方法和字段需要保留,以便ProGuard在打包APK时进行代码混淆。 通过分析这个压缩包的内容,我们可以推测这是一个基于Eclipse开发的Android应用项目,提供了完整的源码结构供学习和参考。...

    ant杂事整理

    7. **外部工具集成**:Ant不仅可以处理Java相关的任务,还可以与各种其他工具集成,如JUnit(单元测试)和ProGuard(代码混淆)。 8. **Ant的现代替代品**:虽然Ant在早期Java开发中非常流行,但随着Maven和Gradle...

    jarjar ---hadoop

    5. **代码混淆**:除了上述功能,jarjar还可以与ProGuard等代码混淆工具结合使用,保护代码不被逆向工程,提升代码的安全性。 6. **使用方法**:jarjar通过命令行接口进行操作,开发者可以指定输入的JAR文件、输出...

    BlackDex v3.2.0安卓应用脱壳.txt打包整理.zip

    为了保护源代码和数据,开发者通常会对APK进行混淆、加密或打包,这就是所谓的"壳"。 2. BlackDex功能详解: BlackDex v3.2.0作为一个脱壳工具,它的主要任务是移除这些保护层,使研究人员能够访问原始的DEX文件。...

    O'Reilly.Android.Cookbook.2nd.Edition.2017

    例如,对于性能优化,书中可能会介绍如何使用ProGuard进行代码混淆,或者使用Systrace工具进行性能分析。对于网络通信,可能涉及如何使用OkHttp或Retrofit库实现RESTful API调用。 另外,这本书还关注了跨平台兼容...

Global site tag (gtag.js) - Google Analytics