Java代码混淆工具:ProGuard

前言

java代码可以反编译,因此有时候要保护自己的知识产权还得费点心思,一般来说有三个思路:

  1. 将class文件加密,这个是最安全的,但也费事儿,因为要重写classloader来解密class文件,Lombok 库就是使用的这种方式(lombok.launch.ShadowClassLoader)。
  2. 使用花指令,使得class文件不能反编译(利用反编译工具漏洞);安全性一般;
  3. 代码混淆,提高代码阅读成本;简单易操作,一般采用这种或者与其它方式结合,ProGuard 就是一个很好用的代码混淆工具。

使用

这里我们使用 maven 插件的方式

简单maven项目

<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!-- 指定生成文件分类 -->
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    <options>
                        <!-- JDK目标版本11-->
                        <option>-target 11</option>
                        <!--JDK8-->
                        <!--<option>-target 1.8</option>-->
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
                        <option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <lib>${java.home}/jmods</lib>
                        <!--jdk8配置-->
                        <!--<lib>${java.home}/lib/rt.jar</lib>-->
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}-proguard.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>

这里我们使用的 JDK 版本为11。最后生成的文件为 source_code2-1.0-SNAPSHOT-pg.jar,解压之后可以看到具体混淆的文件

遇到的问题

问题1
[proguard] Error: Can't read [/xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar] (No such file or directory: /xxx/jdk-11.0.11.jdk/Contents/Home/lib/rt.jar)

JDK 11 没有 rt.jar 文件,需要改为

<lib>${java.home}/jmods</lib>
问题2
Note: there were 6 unkept descriptor classes in kept class members.
 [proguard]       You should consider explicitly keeping the mentioned classes
 [proguard]       (using '-keep').
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#descriptorclass)
 [proguard] Note: there were 1 unresolved dynamic references to classes or interfaces.
 [proguard]       You should check if you need to specify additional program jars.
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclass)
 [proguard] Note: there were 1 accesses to class members by means of reflection.
 [proguard]       You should consider explicitly keeping the mentioned class members
 [proguard]       (using '-keep' or '-keepclassmembers').
 [proguard]       (https://www.guardsquare.com/proguard/manual/troubleshooting#dynamicalclassmember)
 [proguard] Warning: there were 1 unresolved references to library class members.
 [proguard]          You probably need to update the library versions.
 [proguard]          Alternatively, you may have to specify the option 
 [proguard]          '-dontskipnonpubliclibraryclassmembers'.
 [proguard]          (https://www.guardsquare.com/proguard/manual/troubleshooting#unresolvedlibraryclassmember)
 [proguard] Error: Please correct the above warnings first.

解决方法:增加如下参数

<!--忽略warn消息-->
<option>-ignorewarnings</option>
<!--忽略note消息-->
<option>-dontnote</option>

SpringBoot项目

如果是 SpringBoot 项目,配置会更复杂,不然项目启动不起来。

<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否将生成的PG文件安装部署-->
                    <attach>true</attach>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
<!--                    <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
                    <options>
                        <!-- JDK目标版本11-->
<!--                        <option>-target 11</option>-->
                        <!--JDK8-->
                        <option>-target 1.8</option>
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sourcecode2.mysql.binlog.** { *; }</option>
                        <option>-keep class com.imooc.sourcecode2.spring.feign.** { *; }</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <!--<lib>${java.home}/jmods</lib>-->
                        <!--jdk8配置-->
                        <lib>${java.home}/lib/rt.jar</lib>
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>
问题1

proguard 插件配置必须放在 springboot 插件前面,不然会将 springboot 的 org.springframework.boot.loader 包下的类也混淆,导致项目启动失败。

java -jar 
Error: Could not find or load main class org.springframework.boot.loader.JarLauncher
问题2
<attach>true</attach>  去掉
<attachArtifactClassifier>pg</attachArtifactClassifier> 去掉
<outjar>${project.build.finalName}.jar</outjar>  修改为这样

最后生成的文件必须为 ${project.build.finalName}.jar,因为后续 springboot 插件会继续处理这个文件。

问题3
Unable to find main class

项目启动类不能混淆,加上如下配置

<option>-keep class com.imooc.sys.manager.BackStageApplication {
                            public static void main(java.lang.String[]);
                            }</option>
问题4
org.springframework.beans.factory.BeanDefinitionStoreException: Failed to parse configuration class [com.imooc.sys.manager.BackStageApplication]; nested exception is org.springframework.context.annotation.ConflictingBeanDefinitionException: Annotation-specified bean name 'c' for bean class [com.imooc.sys.manager.config.c] conflicts with existing, non-compatible bean definition of same name and class [com.imooc.sys.manager.temp.c]

因为不同 package 下的类混淆生成了同名文件,我们也没有自定义 bean 名称,spring 在生成 bean 时就会使用类名,导致重名报错。所以我们需要自定义 beanName 生成器(也有可能涉及其他代码的改造)。

public class BackStageApplication {

    public static void main(String[] args) {
        // SpringApplication.run(BackStageApplication.class, args); // 之前的
        new SpringApplicationBuilder(BackStageApplication.class)
                .beanNameGenerator(new UniqueBeanNameGenerator())
                .run(args);
    }
	public static class UniqueBeanNameGenerator extends AnnotationBeanNameGenerator {
        /**
         * 如果自定义了beanName,就取自定义的,不然取默认的
         * @param definition
         * @return
         */
        @Override
        protected String buildDefaultBeanName(BeanDefinition definition) {
            return definition.getBeanClassName();// 类名全路径
        }
    }
}
问题5
Description:

The bean 'a', defined in class path resource [com/imooc/sys/manager/redis/c.class], could not be registered. A bean with that name has already been defined in class path resource [com/imooc/sys/manager/config/d.class] and overriding is disabled.

Action:

Consider renaming one of the beans or enabling overriding by setting spring.main.allow-bean-definition-overriding=true

beanName 生成器不会兼容 @Bean 注解的情况(不会走 生成器,默认是方法名称),加上如下配置,包含 @Bean 注解的方法不混淆

<option>-keepclassmembers public class * {
                            @org.springframework.context.annotation.Bean *;
                        }</option>
问题6
Caused by: org.apache.ibatis.builder.BuilderException: Error parsing Mapper XML. The XML location is 'URL [jar:file:/Users/xxx/szz_files/java/code_resp/sys-manager/target/sys-manager-1.0-SNAPSHOT.jar!/BOOT-INF/classes!/mapper/RoleAuthorityMapper.xml]'. Cause: org.apache.ibatis.builder.BuilderException: Error resolving class. Cause: org.apache.ibatis.type.TypeException: Could not resolve type alias 'com.imooc.sys.manager.entity.RoleAuthority'.  Cause: java.lang.ClassNotFoundException: Cannot find class: com.imooc.sys.manager.entity.RoleAuthority
        at org.apache.ibatis.builder.xml.XMLMapperBuilder.configurationElement(XMLMapperBuilder.java:123)
        at org.apache.ibatis.builder.xml.XMLMapperBuilder.parse(XMLMapperBuilder.java:95)
        at org.mybatis.spring.SqlSessionFactoryBean.buildSqlSessionFactory(SqlSessionFactoryBean.java:611)

mybatis 的 mapper/实体类不能混淆(且包含其中的属性及方法),加如下配置

<option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
<option>-keep class com.imooc.sys.manager.dao.**{*;}</option>
问题7
Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.transaction.annotation.ProxyTransactionManagementConfiguration': Initialization of bean failed; nested exception is java.lang.IllegalArgumentException: error at ::0 can't find referenced pointcut webLog
@Aspect
@Component
public class WebLogAspect {
    @Pointcut("execution(public * com.imooc.online.controller..*.*(..))")
    public void webLog() {}

    @Before("webLog()")
    public void doBefore(JoinPoint joinPoint) throws Throwable {
    }
}

包含 aop 的切入点的类不能混淆,不然找不到 webLog() 方法。

<option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
最终的配置
<!-- ProGuard混淆插件-->
            <plugin>
                <groupId>com.github.wvengen</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <version>2.4.0</version>
                <executions>
                    <execution>
                        <!-- 混淆时刻,这里是打包的时候混淆-->
                        <phase>package</phase>
                        <goals>
                            <!-- 使用插件的什么功能,当然是混淆-->
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <!-- 是否混淆-->
                    <obfuscate>true</obfuscate>
                    <!--                    <proguardInclude>${basedir}/proguard.cfg</proguardInclude>-->
                    <options>
                        <!-- JDK目标版本11-->
                        <!--                        <option>-target 11</option>-->
                        <!--JDK8-->
                        <option>-target 1.8</option>
                        <!-- 不做收缩(删除注释、未被引用代码)-->
                        <option>-dontshrink</option>
                        <!-- 不做优化(变更代码实现逻辑)-->
                        <option>-dontoptimize</option>
                        <!-- 不路过非公用类文件及成员-->
                        <option>-dontskipnonpubliclibraryclasses</option>
                        <option>-dontskipnonpubliclibraryclassmembers</option>
                        <!--不用大小写混合类名机制-->
                        <option>-dontusemixedcaseclassnames</option>

                        <!-- 优化时允许访问并修改有修饰符的类和类的成员 -->
                        <option>-allowaccessmodification</option>
                        <!-- 确定统一的混淆类的成员名称来增加混淆-->
                        <option>-useuniqueclassmembernames</option>
                        <!-- 不混淆所有包名-->
                        <option>-keeppackagenames</option>

                        <!-- 需要保持的属性:异常,注解等-->
                        <option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
                        <!-- 不混淆所有的set/get方法-->
                        <option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
                        <option>-keepclassmembers public class * {
                            @org.springframework.context.annotation.Bean *;
                        }</option>

                        <!-- 不混淆包下的所有类名,且类中的方法也不混淆-->
                        <option>-keep class com.imooc.sys.manager.BackStageApplication {
                            public static void main(java.lang.String[]);
                            }</option>
                        <option>-keep class com.imooc.sys.manager.entity.**{*;}</option>
                        <option>-keep class com.imooc.sys.manager.mapper.**{*;}</option>
                        <option>-keep @org.aspectj.lang.annotation.Aspect class *{*;}</option>
                        <!--忽略warn消息-->
                        <option>-ignorewarnings</option>
                        <!--忽略note消息-->
                        <option>-dontnote</option>
                    </options>
                    <!-- 添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了 -->
                    <libs>
                        <!--jdk11配置-->
                        <!--<lib>${java.home}/jmods</lib>-->
                        <!--jdk8配置-->
                        <lib>${java.home}/lib/rt.jar</lib>
                    </libs>
                    <!-- 对什么东西进行加载,这里仅有classes成功,毕竟你也不可能对配置文件及JSP混淆吧-->
                    <injar>${project.build.finalName}.jar</injar>
                    <!--class 混淆后输出的jar包-->
                    <outjar>${project.build.finalName}.jar</outjar>
                    <!-- 输出目录-->
                    <outputDirectory>${project.build.directory}</outputDirectory>

                </configuration>
            </plugin>

总结

使用过程中,坑还是很多的,关于 ProGuard 更多相关配置可以查看 官方文档

参考

官方文档
Java | ProGuard——java代码混淆利器
springboot+proguard+maven 实现代码混淆 看这一篇就够了 原创
Does ProGuard support Java 11?
ProGuard warnings: there were 7 unresolved references to program class members

posted @ 2024-02-26 20:10  strongmore  阅读(2395)  评论(2编辑  收藏  举报