자바 개발을 할 때 우리는 일반적으로 우리가 개발한 코드를 어떻게 보호해야 하는지에 대한 문제에 직면하게 됩니다. 자바 언어는 jvm을 기반으로 하기 때문에 클래스 파일을 디컴파일하는 것이 매우 쉽습니다. 웹 프로그램을 만들고 이 웹 프로그램을 고객에게 공개한다고 가정해 보겠습니다. 실제로 고객이 모든 src 파일과 jsp 파일 등을 포함하여 소스 코드를 디컴파일하는 것은 매우 쉽습니다.
따라서 소스 코드를 보호하는 방법에는 실제로 사용할 수 있는 여러 가지 방법이 있어야 합니다. 1. 코드 난독화 도구 사용 2. 애플리케이션 서버의 클래스 로더 오버로드 첫 번째 방법에는 다음과 같은 방법을 사용할 수 있는 오픈 소스 도구가 많이 있습니다
. 야외에서 사용하기에는 개인적으로 프로가드가 가장 좋다고 생각합니다. Proguard는 주로 사용하기 쉽고 배우기 쉽습니다. 그리고 많은 기능을 제공합니다. 다음은 약간의 개인적인 경험입니다
. (1) 인터넷에서 proguard 도구를 다운로드합니다. proguard 도구에는 주로 여러 jar 파일과 몇 가지 예제가 포함되어 있으며 다운로드 주소는 http://proguard.sourceforge.net/입니다
(2). 클래스 경로에 대한 내부 jar 파일이 거의 없습니다. 물론 추가할 수는 없지만 난독화를 할 때 클래스 경로를 지정해야 난독화 과정에서 이 클래스에 접근할 수 있다. (3)
주로 난독화기의 일부 매개변수로 구성 파일을 작성한다. 예를 들어 다음은 예입니다.
-injars platform.jar
-outjars platform_out.jar
-libraryjars <java.home>/lib/rt.jar
-libraryjars ibatis-common-2.jar
-libraryjars ibatis-dao-2.jar
- 라이브러리병 ibatis -sqlmap-2.jar
-libraryjars junit-3.8.1.jar
-libraryjars d:/j2ee.jar
-libraryjars struts.jar
-libraryjars commons-lang.jar
-libraryjars D:/0working/coreproject/byislib/jasperreports-0.6.1.jar
-libraryjars commons -beanutils.jar
-printmapping proguard.map
-overloadaggressively
-defaultpackage ''
-allowaccessmodification
-dontoptimize
-keep public class *
{ public protected *; } -keep public class org.** -keep public class it.** 각각의 의미 매개변수 매우 상세하고 시작하기 쉬운 proguard 문서를 참조하십시오 .이 시점에서 코드 난독화가 완료되었습니다.생성된 jar 패키지를 열면 더 많은 a, b, 및 씨. 난독화 결과가 성공했음을 나타냅니다. 원래 jar를 삭제하고 혼란스러운 jar 패키지를 실행하면 모든 것이 정상입니다! 자주 묻는 질문(FAQ): 사용 중 여러 문제가 발생하여 처음에 해결하는 데 시간이 오래 걸렸습니다.
a. 메모리 오버플로 예외: 가장 큰 이유는 proguard가 난독화를 수행할 때 많은 메모리를 소비하기 때문입니다. 따라서 obfuscator를 실행할 때 java -mx512m .....와 같이 메모리를 늘릴 수 있습니다. b. 스택 오버플로 예외:
주로 proguard가 난독화를 수행할 때 일부 코드를 최적화하지만 상대적으로 복잡한 방법을 만나면 이 예외가 발생할 수 있습니다. 이에 대처하는 방법은 위의 구성 예와 같이 -dontoptimize 구성 매개변수를 늘리는 것이고,
두 번째 방법의 경우 서버의 클래스로더를 오버로드하는 원리는 다음과 같다. 먼저 특정 알고리즘을 통해 클래스 파일을 암호화한 다음 서버의 클래스로더를 대체하기 위해 자체 클래스로더를 작성합니다. 이러한 방식으로 클래스 파일을 읽고 자체 알고리즘을 통해 올바른 클래스로 암호화를 해제한 다음 다시 로드할 수 있습니다. 이 방법은 아직 적용되지 않았는데, 요즘 연구 중인데, 여기에 몇 가지 새로운 결과를 요약해 보겠습니다.
ProGuard는 오픈 소스 프로젝트입니다. 홈페이지: http://proguard.sourceforge.net/, 최신 버전은 4.11입니다. Obfuscator를 로드하는 것은 매우 간단합니다. proguard4.11.zip의 압축을 풀고 J2ME->Packing->Obfuscation 탭에서 Proguard 설치 디렉터리를 선택하면 됩니다. 아래 그림과 같이 여기에서는 난독화 중에 보존해야 할 클래스 이름을 구성할 수 있습니다. 장치의 JRE(Java Runtime Environment)가 실행을 위한 진입점을 찾을 수 있도록 MIDlet 클래스의 이름을 보존해야 합니다.
http://images.csdn.net/20050726/image027.jpg, 위 사진에 관한 내용입니다.
또 다른 문서
ProGuard는 무료 Java 클래스 파일 압축기, 최적화 프로그램 및 난독화 도구입니다. 쓸모없는 클래스, 필드(field), 메소드, 속성값(attribute)을 찾아서 삭제할 수 있습니다. 또한 바이트코드를 최적화하고 불필요한 명령을 제거합니다. 마지막으로 클래스, 필드 및 메서드 이름을 평범하고 의미 없는 이름으로 바꿉니다. 위 작업 후 jar 파일은 작아지고 리버스 엔지니어링이 어려워집니다. 여기서는 ProGuard의 주요 기능이 압축, 최적화, 난독화라고 언급하고 있는데, 아래에서는 이러한 개념을 먼저 소개한 후 ProGuard의 기본 사용법을 소개하겠습니다.
l 압축이란 무엇입니까?
Java 소스 코드(.java 파일)는 일반적으로 바이트코드(.class 파일)로 컴파일됩니다. 완전한 프로그램이나 라이브러리는 일반적으로 Java 아카이브(.jar 파일)로 압축되어 배포됩니다. 바이트코드는 Java 소스 파일보다 더 간결하지만 특히 라이브러리인 경우 여전히 쓸모없는 코드가 많이 포함되어 있습니다. ProGuard의 축소기 작업은 바이트코드를 분석하고 사용되지 않는 클래스, 필드 및 메서드를 제거합니다. 프로그램은 예외 스택 설명에 필요한 정보를 포함하여 기능적 동등성만 유지합니다.
l 난독화란 무엇입니까?
일반적으로 컴파일된 바이트코드에는 소스 파일 이름, 줄 번호, 필드 이름, 메서드 이름, 매개변수 이름, 변수 이름 등 많은 디버깅 정보가 포함되어 있습니다. 이 정보를 사용하면 전체 프로그램을 쉽게 디컴파일하고 리버스 엔지니어링할 수 있습니다. 때로는 역겹습니다. ProGuard와 같은 난독 처리기는 이 디버깅 정보를 제거하고 모든 이름을 의미 없는 문자 시퀀스로 대체하여 리버스 엔지니어링을 매우 어렵게 만들고 무료로 코드를 더욱 단순화할 수 있습니다. 예외 스택 정보에 필요한 클래스 이름, 메서드 이름 및 줄 번호를 제외하고 프로그램은 기능적 동등성만 유지합니다. 위의 이해를 통해 왜 혼란스러워야 하는지 이해해야 합니다.
l ProGuard는 이러한 종류의 최적화를 지원합니다:
압축 작업에서 삭제된 쓸모 없는 클래스, 필드 및 메소드 외에도 ProGuard는 바이트코드 수준에서 성능 최적화를 제공할 수 있습니다. 내부 메소드는 다음과 같습니다. ² 상수 표현식 평가
²
불필요한 필드 액세스 제거
² 불필요한 메소드 호출 제거
² 불필요한 분기 제거
² 불필요한 비교 및 검증 인스턴스
제거 ² 사용하지 않는 코드 제거
² 쓰기 전용 필드 제거
² 사용하지 않는 메소드 매개변수 제거
² 푸시/팝 단순화와 같은 다양한 다양한 구멍 최적화²
가능한 경우 클래스에 정적 및 최종 수정자 추가²
가능한 경우 메소드에 개인, 정적 및 최종 수정자를 추가하십시오 ²
가능하면 get/set 메소드를 인라인으로 만드십시오.
² 인터페이스에 구현 클래스가 하나만 있는 경우 이를 대체하십시오.
² 로그 코드를 선택적으로 삭제하십시오.
실제 최적화 효과는 코드 및 가상 머신에 따라 다릅니다. 코드를 실행합니다. 간단한 가상 머신은 복잡한 JIT 컴파일러를 사용하는 고급 가상 머신보다 더 효율적입니다. 그럼에도 불구하고 바이트코드는 더 작아질 것입니다.
여전히 지원되지 않는 몇 가지 명백한 최적화 기술이 있습니다.
² 최종이 아닌 상수 필드를 인라인으로 만듭니다.
² get/set 메서드와 같은 다른 메서드를 인라인으로 만듭니다
. ² 루프 외부로 상수 표현식을 이동합니다.
² 이스케이프 분석이 필요한 최적화
ProGuard는 명령줄 도구이며 그래픽 사용자 인터페이스를 제공하며 Ant 또는 J2ME Wireless Toolkit과 함께 사용할 수도 있습니다. ProGuard를 통해 얻은 보다 간소화된 jar 파일은 더 적은 저장 공간만 필요하고 네트워크 전송에 소요되는 시간이 더 적으며 로딩이 더 빠르고 메모리 공간을 덜 차지한다는 것을 의미합니다. 또한 ProGuard는 매우 빠르고 효율적이므로 프로그램을 처리하는 데 몇 초와 몇 메가바이트의 메모리만 소요됩니다. 처리 순서는 먼저 압축, 최적화, 마지막으로 난독화입니다. 결과 섹션에는 다양한 애플리케이션에 대한 실제 수치가 나와 있습니다. 아마도 다른 Java 난독 처리기에 비해 ProGuard의 주요 장점은 템플릿 파일을 기반으로 한 간단한 구성일 것입니다. 몇 가지 직관적인 명령줄 옵션이나 간단한 구성 파일이면 충분합니다. 예를 들어, 다음 구성 옵션은 jar 파일의 모든 애플릿을 보호합니다.
-keep public class * 확장 java.applet.Applet
사용자 가이드에서는 사용 가능한 모든 옵션을 설명하고 수많은 예를 통해 이러한 강력한 구성 옵션을 보여줍니다.
위에서 ProGuard의 많은 장점을 언급했으니 이제 프로그램에서 ProGuard를 어떻게 사용하는지 살펴보겠습니다. 또한 ProGuard는 명령줄, 그래픽 인터페이스, Ant 등을 사용하여 프로그램을 실행하고 처리할 수 있다고 언급했습니다. 구성 파일을 언급했는데, 함께 사용하는 방법을 살펴보겠습니다.
명령줄에서 ProGuard를 실행하는 명령은 다음과 같습니다.
java –jar proguard.jar 옵션...
구체적인 옵션은 ProGuard 사용자 가이드를 참조하세요. 구성 파일에 이러한 속성을 쓸 수도 있습니다. 를 실행할 때 이 구성 파일만 지정하면 됩니다(예:
java –jar proguard.jar @config.pro).
구성 파일의 형식도 ProGuard에서 제공하는 형식에 따라 작성해야 하며, 이를 위해 ProGuard 예제의 구성 파일을 참조하여 자신의 응용 시스템에 적합한 ProGuard 구성 파일을 구성할 수 있습니다. ProGuard는 그래픽 인터페이스로 구성 및 실행 프로그램을 제공하며, 인터페이스에서 원하는 매개변수를 구성한 후 실행할 수 있습니다. 앞서 언급한 수동으로 작성되는 구성 파일은 그래픽 인터페이스를 사용하여 구성하고 생성할 수도 있습니다.
Ant에서 ProGuard를 실행하려면 다음 대상 중 하나를 추가
하세요
. dir/proguard/proguard.jar"/><proguardconfiguration="��.����/��������/��������.����”/>< ��������������������="{src.dir}/config.pro" />
</target>
lib.dir과 src만 지정하면 됩니다. dir 속성이면 충분하며, 여기서도 마찬가지로 proguard 설정 파일을 사용하는데 이는 위에서 언급한 것과 같습니다. 구성 파일을 다시 작성하지 않고 구성 파일만 수정하면 되도록 ProGuardGUI를 구성 파일 생성 마법사로 사용하는 것이 좋습니다.
ProGuard가 나쁘지 않다고 생각한다면 빠르게 프로젝트에 추가하세요.
세 번째 문서
는 오픈소스 커뮤니티에 있어서는 안되는 내용이지만 실제로는 그 이름처럼 오픈소스 프로젝트인 Proguard, 즉 오픈소스의 반대말인 Program Guard(프로그램 가드) - 코드 보호 .
JAVA와 같은 고급 언어로서 컴파일된 제품은 소스 코드에 상대적인 개념일 뿐이며, 바이트코드는 소스 코드만큼 이해하기 쉽지는 않지만 디컴파일이 불가능하지는 않습니다. CAVAJ, JAD 등과 같은 JAVA의 경우. 디컴파일된 제품이 계속해서 등장하는 상황에서, 코드를 부로 여기는 개발자들은 어떻게 해야 할까요?
난독화 장치가 나온 것도 이런 배경에서 나온 것인데, 디컴파일을 완전히 거부하는 것은 불가능하므로 디컴파일을 하게 하고, 디컴파일 결과는 타인이 직접 사용할 수 없는 한 괜찮지 않을까요? 코드가 혼동되는 한 다른 사람들은 디컴파일된 결과를 이해하거나 심지어 컴파일할 수도 없습니다.
주로 다음과 같은 측면에서 혼동을 일으키는 방법이 많이 있습니다.
메소드 본문 내부의 프라이빗 클래스, 프라이빗 멤버 및 변수 이름을 a, b, c 등 또는 심지어 1, 2, 3(코드에서 허용되지 않는 것은 제품에서 허용되지 않는 것과 동일하지 않음)으로 이름을 변경합니다. if 조건 반전
, if/else 교체와 같은 논리 흐름 방향 변경
루프를 GOTO
잘못된 코드로 변경, 도달할 수 없는 쓸모없는 코드 삽입과 같은 동등한 코드
Proguard는 http에서 찾을 수 있는 매우 우수한 오픈 소스 JAVA 난독 처리기입니다. :/ /proguard.sourceforge.net/에서 다운로드했습니다. 이제 Proguard를 살펴보겠습니다.
버전 3.2를 예로 들어 압축 패키지를 릴리스하면 오픈 소스 프로젝트로 docs, lib, src, 샘플 폴더는 하나씩 소개되지 않습니다.
lib 디렉토리에 들어가시면 proguard.jar이 있고, 난독화기의 쉘을 갖고 싶으시거나 ANT 플러그인으로 사용하시게 됩니다.자세한 내용은 Proguard 문서를 참고하세요.
우리가 살펴보고자 하는 것은 Proguard의 그래픽 인터페이스인 proguardgui.jar인데, JDK를 사용하여 열었는데, 참고로 JRE가 아니라 JDK입니다.
입력/출력 탭을 클릭하고 혼동하려는 JAR 패키지(JAR 패키지임을 참고)를 선택한 후 JAR 패키지와 사용된 모든 클래스 라이브러리를 출력합니다.
Obfuscation 탭을 클릭하고 혼동하지 않아도 되는 클래스를 선택하고(반영할 클래스는 혼동하지 않아야 함)
Process 탭, Process 버튼을 클릭하고 결과를 기다린다.
Proguard에는 이 글의 범위에 포함되지 않는 코드 최적화 및 코드 구성 기능도 포함되어 있습니다. 관심이 있는 경우 직접 학습해 볼 수 있습니다.) 난독화 옵션만 이 방법을 사용합니다. az를 사용한
경우
에는 아래 구성에 표시된 대로 aa.class로 전환 인터페이스
1,4,6,9,10,11,12
소스 코드
패키지 org.zwm.pub;
public class Bru { /** * @param args */ public static void main(String[] args) { // TODO 자동 생성된 메서드 스텁 System.out.println(showMsg()); } public static String showMsg() { return "You are my sun"; } } 디 컴파일된 코드 // Jad v1.5.8g에 의해 디컴파일됨 Copyright 2001 Pavel Kouznetsov.
// Jad 홈페이지: http://www.kpdus.com/jad.html
// 디컴파일러 옵션: packimports(3)
package org.zwm.pub;
import java.io.PrintStream;
public class Bru
{ public Bru() { } public static ;return "당신은 나의 태양입니다"{ public static String PK0304140008000800fZ()}));({ void main(String args[])
또 다른 예는 모든 사람에게 도움이 되기를 바랍니다.
명령줄에서 ProGuard 명령을 실행합니다. java -jar proguard.jar @proguard.pro proguard.pro 파일은 지정된 혼동 정보입니다.
예: 스윙 애플리케이션:
-injars gimt.jar
-outjars gimt_out.jar
-libraryjars lib/rt.jar
-libraryjars lib/antlr/antlr-2.7.5H3.jar
-libraryjars lib/cglib/cglib-full-2.0.2. jar
-libraryjars lib/db2-connector/db2jcc_license_cu.jar
-libraryjars lib/dom4j/dom4j-1.5.2.jar
-libraryjars lib/encache/ehcache-1.1.jar
-libraryjars lib/hibernate/hibernate3.jar
-libraryjars lib/jakarta -common/commons-beanutils.jar
-libraryjars lib/log4j/log4j-1.2.9.jar
-libraryjars lib/mysql-connector/mysql-connector-java-3.0.17-ga-bin.jar
-libraryjars lib/spring/ spring.jar
-libraryjars lib/db2-connector/db2jcc.jar
-libraryjars lib/jakarta-common/commons-collections-2.1.1.jar
-libraryjars lib/jakarta-common/commons-dbcp-1.2.1.jar
-libraryjars lib/jakarta -common/commons-lang-2.0.jar
-libraryjars lib/jakarta-common/commons-logging-1.0.4.jar
-libraryjars lib/jakarta-common/commons-pool-1.2.jar
-libraryjars lib/spring/spring- mock.jar
-libraryjars lib/j2ee/jta.jar
-libraryjars lib/db2-connector/db2java.zip
-printmapping proguard.map
-overloadaggressively
-defaultpackage ''
-allowaccessmodification
-dontoptimize
-keep public class com.wisdom.tool.MainFrame { 공개 정적 무효 메인(java.lang.String[]);
}
-keep 클래스 * javax.swing.plaf.ComponentUI 확장 { public static javax.swing.plaf.ComponentUI createUI(javax.swing.JComponent); } -keep public class com.wisdom.model.user.* { *; } -keep public class com.wisdom.service.* { *; } -keep public class com.wisdom.service.impl.MenuServiceImpl 약간의 설명: 1. -dontoptimize 옵션은 처음에 추가되지 않으며 때로는 문제가 발생할 수 있습니다. , 위에서 언급한 바와 같이 . 2. 모든 종속 .jar 패키지가 나열됩니다. 3. keep 옵션은 proguard에게 혼동할 필요가 없음을 알려줍니다. a.스윙 응용프로그램의 경우 전체 프로그램의 입력이 혼동될 수 없습니다. b. ComponentUI에서 상속된 클래스의 경우 createUI를 혼동할 수 없습니다. c. 리플렉션 메커니즘을 사용하므로 최대 절전 모드의 도메인 개체인 스프링의 서비스 개체를 사용합니다.