代码编译安全之classfinal-maven-plugin插件(1)

最新推荐文章于 2025-11-27 11:08:55 发布
原创 最新推荐文章于 2025-11-27 11:08:55 发布 · 1.7k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #maven #python

该文章已生成可运行项目,

3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件

4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行

5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar

6.有密码启动方式,java-javaagent:xxx-encrypted.jar=‘-pwd=密码’-jarxxx-encrypted.jar

加密方法

直接增加插件即可,写在Springboot的spring-boot-maven-plugin后面即可,注意修改要加密的packages配置

          <plugin>
                <!--
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描  
2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容  
3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件  
4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行  
5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar  
6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar  
-->
                <!-- https://gitee.com/roseboy/classfinal -->
                <groupId>net.roseboy</groupId>
                <artifactId>classfinal-maven-plugin</artifactId>
                <version>1.2.1</version>
                <configuration>
                    <password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
<!--packages配置要加入的包名,会把下面的所有类加密-->
             <packages>com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controller</packages>
<!--                    <cfgfiles>application.properties</cfgfiles>-->
                    <excludes>org.spring</excludes>
<!--                    <libjars>a.jar,b.jar</libjars>-->
                </configuration>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>classFinal</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

实践

加密的效果,将所有的方法内容都清空了

应用启动方法:

java -javaagent:proguard-demo-1.0-SNAPSHOT-encrypted.jar -jar proguard-demo-1.0-SNAPSHOT-encrypted.jar

问题

启动报错

17:39:11.916 [main] DEBUG org.springframework.context.annotation.AnnotationConfigApplicationContext - Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@7b9a4292
17:39:11.923 [main] DEBUG org.springframework.beans.factory.support.DefaultListableBeanFactory - Creating shared instance of singleton bean 'org.springframework.context.annotation.internalConfigurationAnnotationProcessor'
17:39:11.949 [main] ERROR org.springframework.boot.SpringApplication - Application run failed
java.lang.IllegalArgumentException: No auto configuration classes found in META-INF/spring.factories. If you are using a custom packaging, make sure that file is correct.
        at org.springframework.util.Assert.notEmpty(Assert.java:470)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getCandidateConfigurations(AutoConfigurationImportSelector.java:180)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getAutoConfigurationEntry(AutoConfigurationImportSelector.java:123)
        at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector$AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGrouping.getImports(ConfigurationClassParser.java:879)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809)
        at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorHandler.process(ConfigurationClassParser.java:780)
        at org.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:192)
        at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:331)
        at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:247)
        at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:311)
        at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:112)
        at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:746)
        at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:564)
        at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:745)
        at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:420)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:307)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:1317)
        at org.springframework.boot.SpringApplication.run(SpringApplication.java:1306)
        at com.yulang.proguard.demo.ProguardApp.main(ProguardApp.java:19)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.base/java.lang.reflect.Method.invoke(Method.java:566)
        at org.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:49)
        at org.springframework.boot.loader.Launcher.launch(Launcher.java:108)
        at org.springframework.boot.loader.Launcher.launch(Launcher.java:58)
        at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:88)

解决办法,注释掉application的加密和jar包加密就好了

测试

测试启动过程中,除了增加点启动日志,并无什么影响,对于业务日志也没有影响

可以看到日志的行号也不会做任何的变更 ,相比较商用Allatori混淆,默认会混淆行号,导致日志排查起来相当困难

缺点

通过dump仍然能看到源码,但是相对来说,增加了破解的难度

加密解密开销:每次加载类时都需要进行解密操作,这会增加额外的CPU计算时间。如果加密算法复杂度较高,解密过程可能会成为性能瓶颈。

内存消耗:加密后的类文件可能占用更多存储空间,并且在运行时需要更多的内存来存放解密后的字节码数据。

类加载时间:由于增加了解密环节,类加载的时间会有所增加,特别是在启动阶段或大量类需要加载的时候,可能会感受到明显的延迟。

JIT编译:Java虚拟机(JVM)通常会对热点代码进行即时(Just-In-Time,JIT)编译优化以提高执行效率。加密后,JVM可能无法直接识别并优化这些代码,从而影响执行速度。

目前已经暂停维护了,后期如果存在问题,需要自己修复

扩展

多模块项目,只需要在对应模块配置相应的jar包即可

<libjars>
机器绑定

获取机器码jar包:classfinal-fatjar-1.2.1.jar

下载地址:https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar

机器绑定只允许加密的项目在特定的机器上运行;

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

本文章已经生成可运行项目
SpringBoot中整合ClassFinal使用classfinal-maven-plugin插件方式实现jar包加密,允许指定机器运行,防止反编译
BADAO_LIUMANG_QIZHI的博客
06-26 6185
cfgfiles 需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)打包jar包,正常使用mvn打包jar包即可,打包后会再target下生成带后缀-encrypted.jar的jar包。ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,如果交付给三方的jar包避免暴露源码,且只允许在指定机器上运行可使用一些class文件安全加密工具实现加密jar包,
ClassFinal字节码加密工具-其他
06-12
ClassFinal是一款Java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework,可避免源码泄漏或字节码被反编译。 项目模块说明: classfinal-core:ClassFinalde的核心模块,几乎所有加密的代码都在这里; classfinal-fatjar:ClassFinal打包成独立运行的jar包; classfinal-maven-pluginClassFinal加密的maven插件; 功能特性: 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。 运行加密项目时,无需求修改tomcat,spring等源代码。 支持普通jar包、springboot jar包以及普通java web项目编译的war包。 支持spring framework、swagger等需要在启动过程中扫描注解或生成字节码的框架。 支持maven插件,添加插件后在打包过程中自动加密。 支持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。 环境依赖: JDK 1.8 + 本工具使用AES算法加密class文件,密码是保证不被破解的关键,请保存好密码,请勿泄漏。 密码一旦忘记,项目不可启动且无法恢复,请牢记密码。 本工具加密后,原始的class文件并不会完全被加密,只是方法体被清空,保留方法参数、注解等信息,这是为了兼容spring,swagger等扫描注解的框架; 方法体被清空后,反编译者只能看到方法名和注解,看不到方法的具体内容;当class被classloader加载时,真正的方法体会被解密注入。
防止反编译,保护你的SpringBoot项目
小码哥AI、互联网副业项目
12-14 2671
ClassFinal-maven-plugin插件是一个强大的Java字节码加密工具,它可以有效地保护你的Java应用程序不被非法获取或篡改。通过合理配置插件选项,你可以根据实际需求定制加密策略,从而获得更高的安全性。
加密Jar包实战-classfinal
最新发布
zylwoaini的博客
11-27 875
摘要:ClassFinal-maven-plugin是一款Java字节码加密工具(已暂停维护),通过JNI技术实现类文件混淆和AES加密。使用时需在pom.xml配置插件,指定加密包名和配置文件。加密后方法体被清空,仅保留方法签名,需通过javaagent启动解密(支持密码/无密码模式)。其工作原理包括混淆重命名、AES加密、运行时内存解密三个阶段,利用JavaAgent技术实现动态解密。注意该插件不支持SpringBoot 3.2.0+,会导致密码验证失败错误。
使用 ClassFinal 对SpringBoot jar加密加固并进行机器绑定
FAIRYTAIL的博客
01-18 2861
为避免源码泄漏或字节码被反编译,使用ClassFinal 对springboot项目的jar包进行加壳加固。
代码编译安全之classfinal-maven-plugin插件
远方
03-20 5224
ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具
精选资源
xjar-maven-plugin:XJar-Maven-Plugin是对XJar的一个Maven插件封装,实现可通过Maven命令或绑定在Maven的生命周期之中执行,以更便捷的方式集成XJar
01-29
XJar-Maven-Plugin是对的一个Maven插件封装,实现可通过Maven命令或绑定在Maven的生命周期之中执行,从而更加便捷的方式集成了 。 GitHub: : 什么是XJar XJar是基于对JAR包内部资源的加密以及扩展ClassLoader来...
ClassFinal-java class文件安全加密工具
06-19
ClassFinal主要关注的是代码安全,它提供的功能有: 1. **加密**:ClassFinal能够对Java类文件进行加密,使原始字节码变得不可读。这种加密方式通常采用非对称加密算法,如RSA,确保只有拥有正确密钥的用户才能解密...
精选资源
xmljava系统源码-classfinal:Java类加密工具
06-06
classfinal-maven-plugin: ClassFinal加密的maven插件; 功能特性 无需修改原项目代码,只要把编译好的jar/war包用本工具加密即可。 运行加密项目时,无需求修改tomcat,spring等源代码。 支持普通jar包、springboot...
SpringBoot整合ClassFinal JAR包加密_使用classfinal-maven-plugin插件详解
qq_36402747的博客
12-04 4120
开发的项目要求部署到客户公司的服务器上,但是又不想将源码泄露出去。要求对正式环境的JAR包进行安全性处理,防止客户直接通过反编译工具将代码编译出来。
SpringBoot使用classfinal-maven-plugin插件加密Jar包
nov4th的博客
02-26 3579
2、在右侧的maven工具栏中使用install,xxx-encrypted.jar是加密后的jar包。1、在启动类的pom.xml中加入classfinal-maven-plugin插件。3、加密后的jar包不能直接运行,要设置javaagent来启动,启动过程中会解密。class文件只能看到方法名、参数和注解,方法内容被清空。
引入classfinal maven 插件实现对jar包的加密
ykh12345678的博客
04-25 1272
可以通过maven的package指令,查看日志,后缀为jar的即为所有需要加密的jar包。在跟pom文件的properties属性中定义classfinal maven插件的属性值。我使用的项目为微服务项目。
使用 ClassFinal 对SpringBoot jar加密加固并进行机器绑定_spring boot配置打jar包加密classfinal-maven-plugin
m0_60607895的博客
04-09 1188
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~还有大家最喜欢的黑客技术。
SpringBoot 中classfinal-maven-plugin报错org.springframework.core.io.ClassPathResource class is frozen
qq_36402747的博客
12-05 1020
使用classfinal加密打包,由于配置文件引起。
maven-plugin
weixin_45123573的博客
05-12 312
```java <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> ```
ClassFinal-maven-plugin实现jar包加密
xuweilin的博客
11-02 1256
虽然加密 JAR 包内容:在构建 JAR 包之前,使用自定义脚本或工具对类文件进行加密。自定义类加载器:编写一个自定义类加载器,在加载类文件时先解密,然后再进行类定义。@Overridetry {// 从文件读取密钥// 使用自定义类加载器加载类Class<?// ... 使用加载的类。
Intellij IDEA 中调试 maven 插件
灵台方寸山斜月三星洞
03-15 2357
(打包成功,但加密后的jar无法正常执行)所以只好硬着头皮来看看源码。名字自己随意,这里要。
classfinal-maven-plugin加密
10-10
<think>我们正在处理关于classfinal-maven-plugin的查询。用户希望了解该插件的加密方法及相关信息。 根据提供的引用: 引用[1]给出了一个在Maven中配置classfinal-maven-plugin插件的示例。该配置包括: - 插件坐标(groupId, artifactId, version) - 配置项:password(启动密码,但引用中提到对于代码混淆来说,这个密码没什么用,只是一个启动密码)、packages(需要加密的包名,多个用逗号分隔)、excludes(排除的包) - 绑定到package阶段执行 引用[2]提到了应用启动方法:使用-javaagent参数来启动加密后的jar包。 我们还需要结合一般知识来补充: classfinal是一个Java字节码混淆和加密工具,主要功能包括: 1. 混淆:通过重命名类、方法、字段等来增加反编译难度。 2. 加密:对字节码进行加密,运行时通过Java Agent解密,从而保护代码。 加密方法: -Maven项目中集成该插件,配置需要加密的包和排除的包。 - 执行Maven打包命令(如mvn package)时,插件会在package阶段执行,对生成的jar包进行加密处理。 - 加密后的jar包不能直接运行,需要以javaagent方式启动,命令格式为: java -javaagent:加密后的jar文件名.jar -jar 加密后的jar文件名.jar 注意事项: - 加密后的代码在运行时由Java Agent解密,因此需要确保运行环境支持-javaagent参数。 - 排除一些不需要加密的包(如Spring框架的包)可以避免兼容性问题,因为框架的类通常不需要加密,且可能涉及动态代理等机制。 回答结构: 1. 介绍classfinal-maven-plugin的作用。 2. 详细说明配置方法(基于引用[1]的配置示例)。 3. 说明加密后的启动方法(引用[2])。 4. 补充注意事项。 生成相关问题: 根据这个主题,我们可以生成以下问题: 1. 如何验证classfinal-maven-plugin是否加密成功? 2. 排除某些包不加密的原因是什么? 3. classfinal-maven-plugin与其他混淆工具(如ProGuard)相比有什么特点? 4. 加密后的代码是否绝对安全? 注意:由于引用中并没有提供更多细节,我们只能基于已知信息回答。 </think>### ClassFinal-Maven-Plugin 加密方法及相关信息 #### 1. **核心功能与原理** ClassFinal 是一个 Java 字节码混淆和加密工具,通过以下方式保护代码- **字节码加密**:对编译后的 `.class` 文件进行加密,运行时通过 Java Agent 动态解密[^2]。 - **代码混淆**:重命名类/方法/字段名,增加反编译难度(配置中未显式展示但默认支持)[^1]。 - **依赖控制**:禁止反编译工具(如 JD-GUI)直接查看加密后的代码。 #### 2. **配置方法** 在 Maven 的 `pom.xml` 中添加插件配置(基于引用[^1]优化): ```xml <plugin> <groupId>net.roseboy</groupId> <artifactId>classfinal-maven-plugin</artifactId> <version>1.2.1</version> <configuration> <password>#</password> <!-- #表示启动无需密码 --> <packages>com.your.package</packages> <!-- 需加密的包,多个用逗号分隔 --> <excludes>org.spring.*</excludes> <!-- 排除的包(避免框架兼容性问题)--> </configuration> <executions> <execution> <phase>package</phase> <!-- 绑定到Maven打包阶段 --> <goals> <goal>classFinal</goal> <!-- 执行加密目标 --> </goals> </execution> </executions> </plugin> ``` **关键配置说明**: - `password`:若设为具体字符串(如 `123`),启动时需验证密码;`#` 表示跳过密码验证。 - `packages`:指定需加密的业务代码包(如 `com.company.service`)。 - `excludes`:排除框架包(如 Spring),避免因加密导致代理类加载失败。 #### 3. **加密后启动方式** 通过 Java Agent 加载解密模块启动应用[^2]: ```bash java -javaagent:your-app-encrypted.jar -jar your-app-encrypted.jar ``` > **注意**:必须使用 `-javaagent` 参数,否则加密代码无法解密运行。 #### 4. **加密效果验证** - 未加密 JAR:可通过 JD-GUI 直接查看源码。 - 加密后 JAR:反编译工具仅显示乱码或提示 "Class encrypted!"。 #### 5. **注意事项** 1. **兼容性**:避免加密动态代理类(如 Spring AOP),需通过 `<excludes>` 排除相关包。 2. **性能影响**:首次解密可能轻微增加启动时间(约 5%~10%),运行时无显著损耗。 3. **安全性局限**:无法抵御运行时内存 dump 攻击,需配合其他措施(如代码混淆)。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值