Java代码混淆工具:ProGuard
前言
java代码可以反编译,因此有时候要保护自己的知识产权还得费点心思,一般来说有三个思路:
- 将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件,Lombok 库就是使用的这种方式(lombok.launch.ShadowClassLoader)。
- 使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般;
- 代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合,ProGuard 就是一个很好用的代码混淆工具。
使用
这里我们使用 maven 插件的方式
简单maven项目
<!-- ProGuard混淆插件-->
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.4.0</version>
<executions>
<execution>
<!-- 混淆时刻,这里是打包的时候混淆-->
<phase>package</phase>
<goals>
<!-- 使用插件的什么功能,当然是混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否将生成的PG文件安装部署-->
<attach>true</attach>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<!-- 指定生成文件分类 -->
<attachArtifactClassifier>pg</attachArtifactClassifier>
<options>
<!-- JDK目标版本11-->
<option>-target 11</option>
<!--JDK8-->
<!--<option>-target 1.8</option>-->
<!-- 不做收缩(删除注释、未被引用代码)-->
<option>-dontshrink</option>
<!-- 不做优化(变更代码实现逻辑)-->
<option>-dontoptimize</option>
<!-- 不路过非公用类文件及成员-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!--不用大小写混合类名机制-->
<option>-dontusemixedcaseclassnames</option>
<!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
<option>-allowaccessmodification</option>
<!-- 确定统一的混淆类的成员名称来增加混淆-->
<option>-useuniqueclassmembernames</option>
<!-- 不混淆所有包名-->
<option>-keeppackagenames</option>
<!-- 需要保持的属性:异常,注解等-->
<option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
<!-- 不混淆所有的set/get方法-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
<option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
<option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>
</options>
<!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
<libs>
<!--jdk11配置-->
<lib>${java.home}/jmods</lib>
<!--jdk8配置-->
<!--<lib>${java.home}/lib/rt.jar</lib>-->
</libs>
<!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
<injar>${project.build.finalName}.jar</injar>
<!--class 混淆后输出的jar包-->
<outjar>${project.build.finalName}-proguard.jar</outjar>
<!-- 输出目录-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
</plugin>
这里我们使用的 JDK 版本为11。最后生成的文件为 source_code2-1.0-SNAPSHOT-pg.jar,解压之后可以看到具体混淆的文件
遇到的问题
问题1
[proguard] Error: Can't read [/xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar] (No such file or directory: /xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar)
JDK 11 没有 rt.jar 文件,需要改为
<lib>${java.home}/jmods</lib>
问题2
Note: there were 6 unkept descriptor classes in kept class members.
[proguard] You should consider explicitly keeping the mentioned classes
[proguard] (using '-keep').
[proguard] (https://www.guardsquare.com/proguard/manual/troubleshooting#descriptorclass)
[proguard] Note: there were 1 unresolved dynamic references to classes or interfaces.
[proguard] You should check if you need to specify additional program jars.
[proguard] (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclass)
[proguard] Note: there were 1 accesses to class members by means of reflection.
[proguard] You should consider explicitly keeping the mentioned class members
[proguard] (using '-keep' or '-keepclassmembers').
[proguard] (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclassmember)
[proguard] Warning: there were 1 unresolved references to library class members.
[proguard] You probably need to update the library versions.
[proguard] Alternatively, you may have to specify the option
[proguard] '-dontskipnonpubliclibraryclassmembers'.
[proguard] (https://www.guardsquare.com/proguard/manual/troubleshooting#unresolvedlibraryclassmember)
[proguard] Error: Please correct the above warnings first.
解决方法:增加如下参数
<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>
SpringBoot项目
如果是 SpringBoot 项目,配置会更复杂,不然项目启动不起来。
<!-- ProGuard混淆插件-->
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.4.0</version>
<executions>
<execution>
<!-- 混淆时刻,这里是打包的时候混淆-->
<phase>package</phase>
<goals>
<!-- 使用插件的什么功能,当然是混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否将生成的PG文件安装部署-->
<attach>true</attach>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<!-- <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
<options>
<!-- JDK目标版本11-->
<!-- <option>-target 11</option>-->
<!--JDK8-->
<option>-target 1.8</option>
<!-- 不做收缩(删除注释、未被引用代码)-->
<option>-dontshrink</option>
<!-- 不做优化(变更代码实现逻辑)-->
<option>-dontoptimize</option>
<!-- 不路过非公用类文件及成员-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!--不用大小写混合类名机制-->
<option>-dontusemixedcaseclassnames</option>
<!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
<option>-allowaccessmodification</option>
<!-- 确定统一的混淆类的成员名称来增加混淆-->
<option>-useuniqueclassmembernames</option>
<!-- 不混淆所有包名-->
<option>-keeppackagenames</option>
<!-- 需要保持的属性:异常,注解等-->
<option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
<!-- 不混淆所有的set/get方法-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
<option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
<option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>
</options>
<!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
<libs>
<!--jdk11配置-->
<!--<lib>${java.home}/jmods</lib>-->
<!--jdk8配置-->
<lib>${java.home}/lib/rt.jar</lib>
</libs>
<!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
<injar>${project.build.finalName}.jar</injar>
<!--class 混淆后输出的jar包-->
<outjar>${project.build.finalName}.jar</outjar>
<!-- 输出目录-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
</plugin>
问题1
proguard 插件配置必须放在 springboot 插件前面,不然会将 springboot 的 org.springframework.boot.loader 包下的类也混淆,导致项目启动失败。
java -jar
Error: Could not find or load main class org.springframework.boot.loader.JarLauncher
问题2
<attach>true</attach> 去掉
<attachArtifactClassifier>pg</attachArtifactClassifier> 去掉
<outjar>${project.build.finalName}.jar</outjar> 修改为这样
最后生成的文件必须为 ${project.build.finalName}.jar,因为后续 springboot 插件会继续处理这个文件。
问题3
Unable to find main class
项目启动类不能混淆,加上如下配置
<option>-keep class com.imooc.sys.manager.BackStageApplication {
public static void main(java.lang.String[]);
}</option>
问题4
org.springframework.beans.factory.BeanDefinitionStoreException: Failed to parse configuration class [com.imooc.sys.manager.BackStageApplication]; nested exception is org.springframework.context.annotation.ConflictingBeanDefinitionException: Annotation-specified bean name 'c' for bean class [com.imooc.sys.manager.config.c] conflicts with existing, non-compatible bean definition of same name and class [com.imooc.sys.manager.temp.c]
因为不同 package 下的类混淆生成了同名文件,我们也没有自定义 bean 名称,spring 在生成 bean 时就会使用类名,导致重名报错。所以我们需要自定义 beanName 生成器(也有可能涉及其他代码的改造)。
public class BackStageApplication {
public static void main(String[] args) {
// SpringApplication.run(BackStageApplication.class, args); // 之前的
new SpringApplicationBuilder(BackStageApplication.class)
.beanNameGenerator(new UniqueBeanNameGenerator())
.run(args);
}
public static class UniqueBeanNameGenerator extends AnnotationBeanNameGenerator {
/**
* 如果自定义了beanName,就取自定义的,不然取默认的
* @param definition
* @return
*/
@Override
protected String buildDefaultBeanName(BeanDefinition definition) {
return definition.getBeanClassName();// 类名全路径
}
}
}
问题5
Description:
The bean 'a', defined in class path resource [com/imooc/sys/manager/redis/c.class], could not be registered. A bean with that name has already been defined in class path resource [com/imooc/sys/manager/config/d.class] and overriding is disabled.
Action:
Consider renaming one of the beans or enabling overriding by setting spring.main.allow-bean-definition-overriding=true
beanName 生成器不会兼容 @Bean 注解的情况(不会走 生成器,默认是方法名称),加上如下配置,包含 @Bean 注解的方法不混淆
<option>-keepclassmembers public class * {
@org.springframework.context.annotation.Bean *;
}</option>
问题6
Caused by: org.apache.ibatis.builder.BuilderException: Error parsing Mapper XML. The XML location is 'URL [jar:file:/Users/xxx/szz_files/java/code_resp/sys-manager/target/sys-manager-1.0-SNAPSHOT.jar!/BOOT-INF/classes!/mapper/RoleAuthorityMapper.xml]'. Cause: org.apache.ibatis.builder.BuilderException: Error resolving class. Cause: org.apache.ibatis.type.TypeException: Could not resolve type alias 'com.imooc.sys.manager.entity.RoleAuthority'. Cause: java.lang.ClassNotFoundException: Cannot find class: com.imooc.sys.manager.entity.RoleAuthority
at org.apache.ibatis.builder.xml.XMLMapperBuilder.configurationElement(XMLMapperBuilder.java:123)
at org.apache.ibatis.builder.xml.XMLMapperBuilder.parse(XMLMapperBuilder.java:95)
at org.mybatis.spring.SqlSessionFactoryBean.buildSqlSessionFactory(SqlSessionFactoryBean.java:611)
mybatis 的 mapper/实体类不能混淆(且包含其中的属性及方法),加如下配置
<option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
<option>-keep class com.imooc.sys.manager.dao.**{*;}</option>
问题7
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.transaction.annotation.ProxyTransactionManagementConfiguration': Initialization of bean failed; nested exception is java.lang.IllegalArgumentException: error at ::0 can't find referenced pointcut webLog
@Aspect
@Component
public class WebLogAspect {
@Pointcut("execution(public * com.imooc.online.controller..*.*(..))")
public void webLog() {}
@Before("webLog()")
public void doBefore(JoinPoint joinPoint) throws Throwable {
}
}
包含 aop 的切入点的类不能混淆,不然找不到 webLog() 方法。
<option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
最终的配置
<!-- ProGuard混淆插件-->
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.4.0</version>
<executions>
<execution>
<!-- 混淆时刻,这里是打包的时候混淆-->
<phase>package</phase>
<goals>
<!-- 使用插件的什么功能,当然是混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<!-- <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
<options>
<!-- JDK目标版本11-->
<!-- <option>-target 11</option>-->
<!--JDK8-->
<option>-target 1.8</option>
<!-- 不做收缩(删除注释、未被引用代码)-->
<option>-dontshrink</option>
<!-- 不做优化(变更代码实现逻辑)-->
<option>-dontoptimize</option>
<!-- 不路过非公用类文件及成员-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!--不用大小写混合类名机制-->
<option>-dontusemixedcaseclassnames</option>
<!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
<option>-allowaccessmodification</option>
<!-- 确定统一的混淆类的成员名称来增加混淆-->
<option>-useuniqueclassmembernames</option>
<!-- 不混淆所有包名-->
<option>-keeppackagenames</option>
<!-- 需要保持的属性:异常,注解等-->
<option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
<!-- 不混淆所有的set/get方法-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<option>-keepclassmembers public class * {
@org.springframework.context.annotation.Bean *;
}</option>
<!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
<option>-keep class com.imooc.sys.manager.BackStageApplication {
public static void main(java.lang.String[]);
}</option>
<option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
<option>-keep class com.imooc.sys.manager.mapper.**{*;}</option>
<option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>
</options>
<!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
<libs>
<!--jdk11配置-->
<!--<lib>${java.home}/jmods</lib>-->
<!--jdk8配置-->
<lib>${java.home}/lib/rt.jar</lib>
</libs>
<!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
<injar>${project.build.finalName}.jar</injar>
<!--class 混淆后输出的jar包-->
<outjar>${project.build.finalName}.jar</outjar>
<!-- 输出目录-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
</plugin>
总结
使用过程中,坑还是很多的,关于 ProGuard 更多相关配置可以查看 官方文档
参考
官方文档
Java | ProGuard——java代码混淆利器
springboot+proguard+maven 实现代码混淆 看这一篇就够了 原创
Does ProGuard support Java 11?
ProGuard warnings: there were 7 unresolved references to program class members
