Java代码混淆工具ProGuard

目录

• Java代码混淆工具ProGuard
  • 简介
    • 描述
    • 作用的环境
    • 功能
    • 工作原理
    • 下载
  • 使用时注意事项
    • 版本问题
    • JDK位数问题
    • Java的字节码验证问题
    • 关于使用类似于Hibernate的对象关系映射框架
  • 在Maven项目中 使用ProGuard
    • 引入Proguard 插件
  • 附一张桌面版的截图

Java代码混淆工具ProGuard

由于Java 代码的 class类很容易被反编译，为了保证知识产权有时候需要将代码进行混淆。而ProGuard就提供了混淆Java代码的方法。

简介

描述

ProGuard是Java字节码最受欢迎的优化程序。它能够让Java代码变小90%变快20%。ProGuard通过混淆类名、属性、方法来提供对代码的保护，一次对抗反编译工程。

作用的环境

• 桌面应用
• 嵌入式应用
• 手机应用

功能

当你安装好一个windows桌面版的ProGuard之后，面板上会提示你设置压缩（Shrink）、优化（Optimize） 、混淆（Obfuscate）、预检（Preverify）。

• 压缩：会检测递归地确定哪些class被使用。所有起的类和方法将会被删除
• 优化：将非入口的方法、类设置为私有、静态或者不可更改的，没有使用的变量删除一些方法会被横线划掉。
• 混淆：将那些不是入口点的类、方法重命名。在整个过程中保证入口点确保他们始终能够被原有的名字访问到。
• 预检：对处理后的代码进行预检，确保加载的class文件是可执行的

工作原理

注：图片来源于官网

下载

https://sourceforge.net/projects/proguard/

下载解压后，有多种方式可以运行，以windows下为例

• 可以运行proguardgui.bat文件运行桌面应用

• 在lib下找到proguard.jar，通过执行 java -jar proguard.jar @ input

# 注：这个方法未尝试成功，报如下错误
Error: Can't read [C:Program Files (x86)Javajdk1.8.0_172jrejmodsjava.base.jmod(;;;;;;!**.jar;!module-info.class)] (No such file or directory: C:Program Files (x86)Javajdk1.8.0_172jrejmodsjava.base.jmod)

• 在lib下找到proguardgui.jar，通过执行java -jar proguardgui.jar进入到桌面应用

使用时注意事项

注：下面是碰见的问题

版本问题

一定要使用6.0以上的ProGuard 版本，因为不同的ProGuard版本支持不同的Java版本，目前Proguard6.0 支持 Java9。我再调试过程中遇见的问题是

# log4j部分的lib库使用了Java9,一直报错如下。
Can't read [D:proguardConfigliblog4j-api-2.10.0.jar] (Can't process class [META-INF/versions/9/org/apache/logging/log4j/util/ProcessIdUtil.class] (Unsupported class version number [53.0] (maximum 52.0, Java 1.8)))

JDK位数问题

尽量使用64位的JDK，否则可能会出现栈溢出的错误

Exception in thread "main" java.lang.OutOfMemoryError: Java heap space

Java的字节码验证问题

重新混淆后的class类，在使用tomcat启动项目的时候会报，原因是不符合字节码不符合规范

# java7 在JAVA_OPTS中加入
-XX:-UseSplitVerifier
# java8 中上面的选项被移除了使用如下参数
-noverify
# --------------------------
# 增加之后会跳过字节码的验证，当然程序还能够正常运行的，不需要担心

关于使用类似于Hibernate的对象关系映射框架

model类一定不能混淆，包括类名、属性、以及get set方法。使用如下配置可以做到

-keep class test.model.*  {*;}
#  class test.model.* 保存model包下的所有类名
#  {*;} 保存每个类下的所有属性与方法
#  可以不用保留住类名，要保留的最重要的东西是类中定义的mapping
# 关于配置下面还会有介绍

在Maven项目中 使用ProGuard

注：项目使用的是Maven打包的所以最终使用这个当例子，桌面版的也很简单，就是简单通过可视化界面自动生成了配置文件。

引入Proguard 插件

• pom.xml

<plugin>
				<groupId>com.github.wvengen</groupId>
				<artifactId>proguard-maven-plugin</artifactId>
				<executions>
					<execution>
						<phase>package</phase>
						<goals><goal>proguard</goal></goals>
					</execution>
				</executions>
				<configuration>
					<proguardVersion>6.1.0beta1</proguardVersion>
					<injar>classes</injar>
					<outjar>test.jar</outjar>
					<obfuscate>true</obfuscate>
					<proguardInclude>proguard.conf</proguardInclude>
					<libs>
						<lib>C:/Program Files (x86)/Java/jdk1.8.0_172/jre/lib/rt.jar</lib>
						<lib>C:/Program Files (x86)/Java/jdk1.8.0_172/jre/lib/jce.jar</lib>
					</libs>
				</configuration>
				<dependencies>
					<dependency>
						<groupId>net.sf.proguard</groupId>
						<artifactId>proguard-base</artifactId>
						<version>6.1.0beta1</version>
					</dependency>
				</dependencies>
			</plugin>

注：

1. 一定要使用6.0以上的版本，否则不支持Java9

2. 我测试的时候使用的springboot项目，需要将proguard 插件的位置放在Spring Boot 插件的前面否则会失败。该问题是我记录的问题，写本文的时候又尝试了一下，前后都没有问题。仅供有问题的人参考一下。

• 参数说明

injar:输入文件，可以是[jar][war][folder][aar][ear][zip][apk],我injar是target下的class目录
outjar:导出文件，以上的都可以是导出一个jar
proguardInclude:配置文件位置,配置文件中的配置都可以在pom.xml中用标签的方式写，太乱不建议
libs:使用到的java类库。rt.jar是必须的，我看网上都是dt.jar。官网目前介绍的是rt.jar

注：这里声明一个问题。我在使用 war to war 的过程中一直报栈溢出的错误，我在本地更换64位的jdk之后不会报这个错误，但是一直在执行很长时间没有停止，不知道原因。

• 配置文件proguard.conf

-target 1.8 ##指定java版本号
-dontshrink ##默认是开启的，这里关闭shrink，即不删除没有使用的类/成员
-dontoptimize ##默认是开启的，这里关闭字节码级别的优化
-useuniqueclassmembernames ##对于类成员的命名的混淆采取唯一策略
-adaptclassstrings ## 混淆类名之后，对使用Class.forName('className')之类的地方进行相应替代
-dontusemixedcaseclassnames ## 混淆时不生成大小写混合的类名，默认是可以大小写混合
-dontpreverify
-ignorewarnings
-dontskipnonpubliclibraryclasses ## 不加这个会报错Error: Can't find common super class of [java/lang/StringBuffer] and [org/eclipse/swt/internal/win32/TCHAR]
-keep class com.cisco.bgp.model.*  {*;}

注：几点注意，关闭压缩、关闭优化、关闭预检，否则会出现问题。混淆是不生产大小写混合名称，否则会产生歧义。关闭warning 否则不让通过。

• 配置文件的详细介绍

官网地址 https://www.guardsquare.com/en/products/proguard/manual/usage#iooptions

• 运行mvn命令

mvn package
#以上是我遇到的一些问题，如果还有问题可以再运行mvn package +X 看看具体的信息进行修改

• 显示结果

 [proguard] Preparing output jar [C:WorkflowBGP	arget	est.jar]
 [proguard]   Copying resources from program directory [C:WorkflowBGP	argetclasses] (filtered)
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  14.467 s
[INFO] Finished at: 2019-03-12T10:11:01+08:00
[INFO] ------------------------------------------------------------------------

• 输出文件

如果没有指定injar outjar他会在target目录下生成如下四个文件

gs-rest-service-0.1.0_proguard_base.jar
gs-rest-service-0.1.0.jar.original
proguard_map.txt # 存放混淆前后类、方法的对应关系
proguard_seed.txt # 存放保持不变的类

如果指定injar outjar他会在指定目录下生成如下三个文件

test.jar # 指定的输出文件
proguard_map.txt # 存放混淆前后类、方法的对应关系
proguard_seed.txt # 存放保持不变的类

• 导入war包

由于war to war的过程中一直有问题，我只能讲jar包的里面的类导入到war包中

1. 用解压工作打开混淆后的jar，将混淆后的class类文件夹提取出来
2. 用解压工具打开war包，将war包原有的类文件删除
3. 将提取出的混淆后的class文件夹拖入到war包中
4. 放到tomcat web路径，测试成功

附一张桌面版的截图