0

我正在尝试保护一个 java 程序。我正在使用 CodeGuard,但是当我使用反编译器作为 CAJAV 时,我可以看到我程序的所有代码。我正在使用maven2。

我在 MAVEN 中使用这个 pom.xml:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.templaries</groupId>
  <artifactId>CISExtractor</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>jar</packaging>

  <name>CISExtractor</name>
  <url>http://maven.apache.org</url>
    <build>
        <plugins>   
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.0.2</version>
                <configuration>
                    <source>1.6</source>
                    <target>1.6</target>
                </configuration>
            </plugin>      
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-jar-plugin</artifactId>
                <configuration>
                <archive>
                <manifest>
                    <mainClass>${project.build.mainClass}</mainClass>
                    <addClasspath>true</addClasspath>
                </manifest>
                </archive>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>exec-maven-plugin</artifactId>
                <version>1.1</version>
                <executions>
                <execution>
                <goals>
                <goal>java</goal>
                </goals>
                </execution>
                </executions>
                <configuration>
                <mainClass>${project.build.mainClass}</mainClass>
                </configuration>
            </plugin>
            <plugin>
                <groupId>com.pyx4me</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <executions>
                   <execution>
                       <phase>package</phase>
                       <goals><goal>proguard</goal></goals>
                   </execution>
                </executions>
                <configuration>    
                    <obfuscate>true</obfuscate>
                    <options>                        
                        <option>-allowaccessmodification</option>                        
                        <option>-keep class ${project.build.mainClass} { *; }</option>
                    </options>          
                    <!--<injar>${project.build.finalName}.jar</injar>-->
                    <outjar>${project.build.finalName}-obfuscated.jar</outjar>                        
                    <libs>
                    <lib>${java.home}/lib/rt.jar</lib>
                    </libs>                      
                </configuration>
            </plugin>
        </plugins>
    </build>
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.build.mainClass>com.templaries.corteinglessupermarketextractor.App</project.build.mainClass>
    </properties>

  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>3.8.1</version>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.jsoup</groupId>
      <artifactId>jsoup</artifactId>
      <version>1.6.1</version>
      <type>jar</type>
    </dependency>
      <dependency>
          <groupId>net.sf.opencsv</groupId>
          <artifactId>opencsv</artifactId>
          <version>2.3</version>
      </dependency>
  </dependencies>
</project>
4

1 回答 1

3

混淆并不能阻止人们反编译......它只会使推断原始源代码变得更加困难,例如重命名方法、字段等

哪个更容易理解

public long f1(List<Long> v1) { long v2=0; for (Long v3: v1) v2+=v3; return v2; }

或者

public long calculateTotal(List<Long> values) {
    long runningTotal = 0;
    for (Long value: values) {
        runningTotal += value;
    return runningTotal;
}

你可以通过少量的努力弄清楚第一个是做什么的。除非您处理不太简单的方法,否则缺少行号信息不会过度妨碍理解。

但是更容易推断出它calculateTotal确实按照它所说的那样做,同时f1需要一些理解。

混淆器真正能做的就是在接口或超类契约中不需要它们的方法名称,剥离调试信息(行号)并剥离局部符号表(局部变量名称)。它还可以剥离未使用的方法并更改包名称等。

你只会轻微地阻碍别人复制你的代码。

接下来的事情是所有这些调整可能意味着你的类的外部合同将被打破。在最基本的形式中,有一个你不能破坏的外部契约:你的代码的入口点。

您正在传递参数:<option>-keep class ${project.build.mainClass} { *; }</option>为了告诉混淆器您的项目的入口点是面向外部的入口点。因此,混淆器尊重该请求并保留入口点。

如果你的主类中有很多代码,这意味着混淆器可以减少对代码的隐藏。

解决方案是重构您的代码,以便您的固定入口点只是一个 shim。这使混淆器可以自由移动其他所有内容。

这是一个例子

public class ShimMain {
    public static void main(String[] args) {
        RealMain.main(args);
    }
}

以上内容非常小,您不必担心它不会被混淆,并且让混淆器可以自由移动其他所有内容。

只是不要认为它会停止......甚至取决于你的编码风格,放慢速度,有人决定反转你的代码。

于 2012-10-02T10:53:56.637 回答