基于ProGuard-Maven-Plugin的自定义代码混淆插件

最新推荐文章于 2024-11-20 07:11:02 发布
最新推荐文章于 2024-11-20 07:11:02 发布
阅读量980 收藏
点赞数
介绍了一种基于Maven的代码混淆插件,该插件不仅支持Jar包混淆,还支持War包混淆,有效防止代码被反编译,保护代码安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

大家可能都会碰到一些代码比较敏感的项目场景,这个时候代码被反编译看到就不好了,这个时候就需要代码混淆插件来对代码进行混淆了。

基于Maven的项目一般会去考虑使用proguard-maven-plugin,但是这个插件仅支持打Jar包不支持打War包。

于是我用空闲时间在proguard-maven-plugin的基础上修改了里面的一部分逻辑,可以在项目构建过的时候把代码混淆,支持打成jar包和war包。 

现在贴出来给大家看看。

项目地址
https://github.com/lovethegirl/code-hidding-plugin

修改部分
War包压缩解压的工具类

package com.github.wvengen.maven.proguard;
 
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.OutputStream;
import java.util.Iterator;
 
import org.apache.commons.compress.archivers.ArchiveException;
import org.apache.commons.compress.archivers.ArchiveInputStream;
import org.apache.commons.compress.archivers.ArchiveOutputStream;
import org.apache.commons.compress.archivers.ArchiveStreamFactory;
import org.apache.commons.compress.archivers.jar.JarArchiveEntry;
import org.apache.commons.compress.archivers.zip.ZipArchiveEntry;
import org.apache.commons.compress.utils.IOUtils;
import org.apache.commons.io.FileUtils;
 
/**
 * 处理WAR文件工具类。可压缩或解压缩WAR文件。
 * 
 * @author Xiong Shuhong(shelltea@gmail.com)
 */
public class WarUtils {
    public static void unzip(String warPath, String unzipPath) {
        File warFile = new File(warPath);
        try {
            BufferedInputStream bufferedInputStream = new BufferedInputStream(new FileInputStream(
                warFile));
            ArchiveInputStream in = new ArchiveStreamFactory().createArchiveInputStream(
                ArchiveStreamFactory.JAR, bufferedInputStream);
 
            JarArchiveEntry entry = null;
            while ((entry = (JarArchiveEntry) in.getNextEntry()) != null) {
                File file = new File(unzipPath, entry.getName());
                if (file.exists()) {
                    file.delete();
                }
                if (entry.isDirectory()) {
                    file.mkdir();
                } else {
                    OutputStream out = FileUtils.openOutputStream(file);
                    IOUtils.copy(in, out);
                    out.close();
                }
            }
            in.close();
        } catch (FileNotFoundException e) {
            System.err.println("未找到war文件");
        } catch (ArchiveException e) {
            System.err.println("不支持的压缩格式");
        } catch (IOException e) {
            System.err.println("文件写入发生错误");
        }
    }
 
    public static void zip(String destFile, String zipDir) {
        File outFile = new File(destFile);
        try {
            outFile.createNewFile();
            BufferedOutputStream bufferedOutputStream = new BufferedOutputStream(
                new FileOutputStream(outFile));
            ArchiveOutputStream out = new ArchiveStreamFactory().createArchiveOutputStream(
                ArchiveStreamFactory.JAR, bufferedOutputStream);
 
            if (zipDir.charAt(zipDir.length() - 1) != '/') {
                zipDir += '/';
            }
 
            Iterator<File> files = FileUtils.iterateFiles(new File(zipDir), null, true);
            while (files.hasNext()) {
                File file = files.next();
                ZipArchiveEntry zipArchiveEntry = new ZipArchiveEntry(file, file.getPath().replace(
                    zipDir.replace("/", "\\"), ""));
                out.putArchiveEntry(zipArchiveEntry);
                IOUtils.copy(new FileInputStream(file), out);
                out.closeArchiveEntry();
            }
            out.finish();
            out.close();
        } catch (IOException e) {
            System.err.println("创建文件失败");
        } catch (ArchiveException e) {
            System.err.println("不支持的压缩格式");
        }
    }
}
修改ProGuardMojo.java中的代码,在打包的时候把混淆后的代码打进war包,具体可从Git上把项目down下来查看。
if (attach && !sameArtifact) {
            //操作war解压,等一系列操作
            String absolutePath = outJarFile.getAbsolutePath();
            getLog().info("---absolutePath--" + absolutePath);
            String unzipPath = outJarFile.getParent() + "/proguard-war";
            getLog().info("删除路径" + absolutePath);
            deleteDir(unzipPath);
            File unZipFile = new File(unzipPath);
            unZipFile.mkdir();
            String targetWar = mavenProject.getBuild().getDirectory() + "/"
                               + mavenProject.getBuild().getFinalName() + ".war";
            getLog().info(targetWar);
            WarUtils.unzip(targetWar, unzipPath);
            //删除路径"
            deleteDir(unzipPath + "/WEB-INF/classes");
            WarUtils.unzip(absolutePath, unzipPath + "/WEB-INF/classes");
            outJarFile.delete();
            WarUtils.zip(absolutePath, outJarFile.getParent() + "/proguard-war");
            getLog().info("---absolutePath--" + absolutePath);
            if (useArtifactClassifier()) {
                projectHelper.attachArtifact(mavenProject, attachArtifactType,
                    attachArtifactClassifier, outJarFile);
            } else {
                projectHelper.attachArtifact(mavenProject, attachArtifactType, null, outJarFile);
            }
        }
然后,运行maven install后,可以在仓库目录中看到打出来的混淆过的war包

使用方法

先进行Maven install

然后在需要混淆代码的工程中加入此插件的依赖

      <plugin>
                <groupId>com.jiujie</groupId>
                <artifactId>code-hidding-plugin</artifactId>
                <version>1.0</version>
                <executions>
                    <execution>
                        <phase>package</phase>
                        <goals>
                            <goal>proguard</goal>
                        </goals>
                    </execution>
                </executions>
                <configuration>
                    <obfuscate>true</obfuscate>
                    <attach>true</attach>
                    <injar>classes</injar>
                    <attachArtifactClassifier>pg</attachArtifactClassifier>
                    attach 的作用是在 install 与 deploy 时将生成的 pg 文件也安装与部署
                    <proguardInclude>${basedir}/proguard.conf</proguardInclude>
                    <outjar>${project.build.finalName}-pg</outjar>
                    <libs>
                        <lib>${java.home}/lib/rt.jar</lib>
                        <lib>${java.home}/lib/jsse.jar</lib>
                    </libs>
                    <addMavenDescriptor>false</addMavenDescriptor>
                </configuration>
            </plugin>
在工程根目录下加入工程配置文件proguard.conf

# ----------------------------------  
#  通过指定数量的优化能执行  
#  -optimizationpasses n  
# ----------------------------------  
#-optimizationpasses 3  

# ----------------------------------  
#   混淆时不会产生形形色色的类名   
#   -dontusemixedcaseclassnames  
# ----------------------------------  
#-dontusemixedcaseclassnames
# ----------------------------------  
#      指定不去忽略非公共的库类  
#  -dontskipnonpubliclibraryclasses  
# ----------------------------------  

# ----------------------------------  
#       不预校验  
#    -dontpreverify  
# ----------------------------------  
# -dontpreverify  
#忽略所有告警
-ignorewarnings
#不做 shrink
-dontshrink
#不做 optimize
-dontoptimize


# ----------------------------------  
#      输出生成信息  
#       -verbose  
# ----------------------------------  
-verbose  

#混淆时应用侵入式重载   
#-overloadaggressively   

#优化时允许访问并修改有修饰符的类和类的成员   
#-allowaccessmodification  
#确定统一的混淆类的成员名称来增加混淆   


#这里添加你不需要混淆的类  
#-keep  class com.showjoy.common.cache.** {*;}   
-keepclasseswithmembers class com.showjoy.cart.service.** {  
    <fields>;  
}  
-keepclasseswithmembers class com.showjoy.cart.ui.cart.** {  
    <fields>;  
}  
-keepclassmembers class com.showjoy.cart.CartControllerHandler {  
    <fields>;  
}  
-keepclassmembers class com.showjoy.cart.CartExceptionHandler {  
    <fields>;  
}  
-keep class com.showjoy.cart.util.EncodeUtil {*;}   

#-keep public class * extends  javax.servlet.Servlet  


#-keepdirectories  **  
#-keepattributes **  
#-useuniqueclassmembernames  
#保持源码名与行号(异常时有明确的栈信息),注解(默认会过滤掉所有注解,会影响框架的注解)
-keepattributes SourceFile,LineNumberTable,*Annotation*
#保持包注解类
-keepattributes Signature

#-keepnames class * implements java.io.Serializable  
# ---------保护所有实体中的字段名称----------  
#-keepclassmembers class * implements java.io.Serializable {  
#    <fields>;  
#}  

# --------- 保护类中的所有方法名 ------------  
#-keepclassmembers class * {  
#    public <methods>;  
#}  
ProGuard说明与配置
官网:http://proguard.sourceforge.net/
ProGuard的使用是为了:

1.创建紧凑的代码文档是为了更快的网络传输,快速装载和更小的内存占用.
2.创建的程序和程序库很难使用反向工程.
3.所以它能删除来自源文件中的没有调用的代码
4.充分利用java6的快速加载的优点来提前检测和返回java6中存在的类文件.


参数:
-include {filename} 从给定的文件中读取配置参数
-basedirectory {directoryname} 指定基础目录为以后相对的档案名称
-injars {class_path} 指定要处理的应用程序jar,war,ear和目录
-outjars {class_path} 指定处理完后要输出的jar,war,ear和目录的名称
-libraryjars {classpath} 指定要处理的应用程序jar,war,ear和目录所需要的程序库文件
-dontskipnonpubliclibraryclasses 指定不去忽略非公共的库类。
-dontskipnonpubliclibraryclassmembers 指定不去忽略包可见的库类的成员。


保留选项
-keep {Modifier} {class_specification} 保护指定的类文件和类的成员
-keepclassmembers {modifier} {class_specification} 保护指定类的成员,如果此类受到保护他们会保护的更好
-keepclasseswithmembers {class_specification} 保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在。
-keepnames {class_specification} 保护指定的类和类的成员的名称(如果他们不会压缩步骤中删除)
-keepclassmembernames {class_specification} 保护指定的类的成员的名称(如果他们不会压缩步骤中删除)
-keepclasseswithmembernames {class_specification} 保护指定的类和类的成员的名称,如果所有指定的类成员出席(在压缩步骤之后)
-printseeds {filename} 列出类和类的成员-keep选项的清单,标准输出到给定的文件


压缩
-dontshrink 不压缩输入的类文件
-printusage {filename}
-whyareyoukeeping {class_specification}


优化
-dontoptimize 不优化输入的类文件
-assumenosideeffects {class_specification} 优化时假设指定的方法,没有任何副作用
-allowaccessmodification 优化时允许访问并修改有修饰符的类和类的成员

混淆
-dontobfuscate 不混淆输入的类文件
-printmapping {filename}
-applymapping {filename} 重用映射增加混淆
-obfuscationdictionary {filename} 使用给定文件中的关键字作为要混淆方法的名称
-overloadaggressively 混淆时应用侵入式重载
-useuniqueclassmembernames 确定统一的混淆类的成员名称来增加混淆
-flattenpackagehierarchy {package_name} 重新包装所有重命名的包并放在给定的单一包中
-repackageclass {package_name} 重新包装所有重命名的类文件中放在给定的单一包中
-dontusemixedcaseclassnames 混淆时不会产生形形色色的类名
-keepattributes {attribute_name,...} 保护给定的可选属性,例如LineNumberTable, LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature, and InnerClasses.
-renamesourcefileattribute {string} 设置源文件中给定的字符串常量

因为我们开发的是webwork+spring+hibernate的架构的项目,所有需要很详细的配置。(经过n次失败后总结)


Example:
-injars <project>.jar
-outjars <project>_out.jar
-libraryjars <java.home>/lib/rt.jar
-libraryjars <project.home>/webroot/WEB-INF/lib/webwork.jar
.......

# 保留实现Action接口类中的公有的,友好的,私有的属性 和 公有的,友好的方法。其它的全部压缩,优化,混淆。
# 因为配置文件中的类名是一个完整的类名,如果经过处理后就有可能找不到这个类。
# 属性是jsp页面所需要的,如果经过处理jsp页面就无法得到action中的数据。
-keep public class * implements com.opensymphony.xwork.Action{
public protected private <fields>;
public protected <methods>;
}
# 保留实现了Serializable接口类中的公有的,友好的,私有的成员(属性和方法)
# 这个配置主要是对应实体类的配置。
-keep public class * implements java.io.Serializable{
public protected private *;
}
......
--------------------- 
作者:笔下生灰 
来源:优快云 
原文:https://blog.youkuaiyun.com/connect_me/article/details/51320913 
版权声明:本文为博主原创文章,转载请附上博文链接!

zhousenshan
关注
Maven 项目代码混淆ProGuard 集成指南
AI开发架构师
06-25 1112
你是否遇到过这样的困扰?辛苦开发的 Java 项目打包成 JAR 后,别人用 JD-GUI 等工具轻松反编译,直接“复制粘贴”你的核心代码代码混淆(Code Obfuscation)正是解决这一问题的关键技术。本文聚焦Maven 项目与 ProGuard 的集成,覆盖基础概念、配置流程、实战案例及常见问题,帮你为项目穿上“加密外衣”。本文按“概念→配置→实战→问题”的逻辑展开:先通过故事理解代码混淆的必要性,再拆解 ProGuard 核心功能;接着手把手教你在 Maven 中集成插件,编写混淆规则;
使用Maven控件proguard-maven-plugin给可执行jar文件混淆
08-14
NULL 博文链接:https://quicker.iteye.com/blog/2321714
java6.0源码-code-hidding-plugin:Codehidding-plugin.在proguard-maven-plugin
06-04
java6.0源码 Code Hidding Plugin #说明 在proguard-maven-plugin的基础上修改而来,可以在项目构建过的时候把代码混淆,支持打成jar包和war包。 基本支持Proguard的所有功能。 博客地址: ##使用方法 先进行Maven install 然后在需要混淆代码的工程中加入此插件的依赖 <plugin> <groupId>com.jiujie</groupId> <artifactId>code-hidding-plugin</artifactId> <version>1.0</version> <executions> <execution> <phase>package</phase> <goals> <goal>proguard</goal> </goals> </execution> </executions> <configuration> <obfuscate>true</obfuscate> <attach>true</attach> <injar>classes</
proguard-maven-plugin:支持模块化ProGuard软件包的ProGuard Maven插件
02-02
ProGuard Maven插件 在您的构建中运行 。 对于用法,请阅读生成的。 开发发生在。 该插件处于成熟状态,因此预计不会进行重大开发更改。 欢迎提出请求。 这是的的继承者。
Unity代码混淆加密插件 Obfuscator v2.0.4 最新版
06-29
淘宝花钱买的最新版!需要的拿去! This asset obfuscates your code to make it harder for bad guys to reverse engineer your projects. Specifically designed for Unity, it seamlessly links in with its build process. The top priority of this package is to work straight out of the box with no extra steps required. While other obfuscators can stop a game from working, Beebyte's obfuscator looks for specific Unity related code that must be protected. The contents of your source files are unchanged, the obfuscation targets the compiled assembly. Features: - Supports IL2CPP - Supports Assembly Definition Files (Unity 2017.3+) - Removes Namespaces without any conflicts - Recognises Unity related code that must not be changed - Renames Classes (including MonoBehaviours) - Renames Methods - Renames Parameters - Renames Fields - Renames Properties - Renames Events - String literal obfuscation - Adds fake methods - Easy and extensive customisation using the Unity inspector window - Consistent name translations are possible across multiple builds and developers - Semantically secure cryptographic naming convention for renamed members The asset works for both Unity Free and Unity Pro version 4.2.0 onwards (including Unity 5 & 2017 & 2018). Build targets include Standalone, Android, iOS, WebGL, UWP. Other platforms are not guaranteed or supported but may become supported at a future date. IL2CPP builds are much harder to reverse engineer but strings and member information (class, method names etc) are visible in the global-metadata.dat file. Obfuscation will apply to this file adding further security. Why not complement your security with the Anti-Cheat Toolkit - a great third party asset. For more information about the Obfuscator, please see the FAQ
proguard-maven-plugin-2.3.1.jar
12-25
修改proguard-maven-plugin插件默认可以对proguard打包后的jar重新打包
SpringBoot + proguard+maven多模块实现代码混淆
06-08
基于SpringBoot+Maven多模块工程利用proguard组件实现代码混淆代码demo,代码清晰完整,导入idea或eclipse即可运行。 使用 proguard 混淆代码只能增加阅读和理解的难度, 并不能百分百保证代码安全。常用的应用...
java打包混淆插件proguard
不染心的博客
08-31 1682
博客主要讨论了Spring Boot项目中使用Maven混淆插件的目的(增强安全性、减小体积、保护知识产权)、优缺点(提高安全性、减小包大小、加速加载时间vs调试困难、性能影响、配置复杂、兼容性问题)及可能出现的问题(反射、序列化、第三方库兼容问题、调试困难),并建议在关注安全性且接受调试挑战时考虑使用混淆,否则需重新评估。
使用 ProGuard 混淆你的 Java 代码
步子哥的博客
04-11 1226
ProGuard 是一款流行的 Java 代码混淆工具,可以混淆和优化你的代码,使其更难被反编译和分析。混淆通过重命名类、方法和变量名称来实现,从而增加反编译代码的难度。使用 ProGuard 混淆你的 Java 代码可以增加反编译和分析代码的难度,从而保护你的知识产权。通过使用 Maven 中的。Maven 是一个流行的构建工具,可以轻松地将 ProGuard 集成到你的构建过程中。混淆后,你可以在你的项目中使用混淆后的 JAR 文件。,你可以轻松地将 ProGuard 集成到你的构建过程中。
SpringBoot开发——Jar 包加密防止反编译
最新发布
bjzhang75的博客
11-20 1700
SpringBoot开发——Jar 包加密防止反编译
mvn clean install -> 【混淆、加密】源码
@峰的博客
03-17 2769
最近一段时间没有怎么写原著文章了,转载了不少文章,主要还是因为文章作者写的太好就直接摘抄了。本文算安全方面的应用,在工作过程中应该会有所遇到,主要就是关于程序员完成项目之后对源码的处理,像java开发中就会遇到,为了避免源码被反编译来揣测项目的业务原理,往往都会做一些操作,比如混淆源码【proguard】,如果隐藏方法体【classfinal】,还有直接加密jar包避免被工具直接看到的【xjar】,本文主要介绍这三种方式,接下来是截图和源码的展示,毕竟这是我写作的一贯作风主要还是为了大家更好的观看。
Java maven 环境下使用proguard-maven-plugin 插件混淆代码
热门推荐
云守护的专栏
03-28 1万+
相关链接 http://blog.youkuaiyun.com/zhyhang/article/details/18567409 http://blog.youkuaiyun.com/zhangjianying/article/details/7939593?c=127e3ef14a86fd3afef97eac34257db1 http://my.oschina.net/noahxiao/blog/
Maven 环境下使用 proguard-maven-plugin 插件混淆你的源码
maomaoxmz的博客
05-25 2263
摘要 a、ProGuard(http://proguard.sourceforge.net/) 是比较出色的 Java 代码混淆工具,可以有效的保护与优化你的代码。当然这里说的保护是防止恶意抄袭,通过混淆造成反编译阅读困难。但逻辑与内容并不会加密,仔细分析还是可以获得一些信...
Maven - 代码混淆Proguard踩坑记
小工匠
05-11 9122
ProGuard是一个Java代码混淆工具,它可以让你的Java程序变得更小、更快,同时也更安全。因为Java代码很容易被反编译,所以有时候需要对代码进行混淆,以保护你的知识产权。ProGuard主要做了三件事:压缩代码 - 它会删除程序中没有用到的类、属性和方法,让程序变小。优化代码 - 它会优化代码结构,让程序运行更快。混淆代码 - 它会把类名、属性名和方法名改成难懂的名字,让代码变得很难看懂。
探秘 Code Hidding Plugin:隐藏代码的秘密工具
gitblog_00078的博客
04-24 434
探秘 Code Hidding Plugin:隐藏代码的秘密工具 去发现同类优质开源项目:https://gitcode.com/ 在开发过程中,我们经常需要分享代码片段,但有时不希望完整展示敏感信息,如API密钥、数据库连接等。这就是Code Hidding Plugin发挥作用的地方。它是一款智能代码遮蔽插件,旨在帮助开发者在保持代码可读性的同时,保护关键数据的安全。 项目简介 Code Hi...
插件混淆
weixin_34038293的博客
12-14 403
--摘自《android插件化开发指南》 1.插件不支持加固,宿主可以加固,此外,插件支持签名 2.一个正常的app在混淆时要遵守的规则如下   1)四大组件和Application要在AndroidManifest中声明,所以不能混淆   2)R文件不能混淆,因为有时要通过反射获取资源   3)support的v4和v7包中的类不能混淆--系统的东西,不要随便动   4)实现了Serializa...
Maven WEB 项目使用ProGuard进行混淆,最佳解决方案
很多时候犯错都是在不知情的情况下发生的
03-16 915
Maven WEB 项目使用ProGuard进行混淆,最佳解决方案 近期公司的Android项目做了混淆,虽说对于保护代码并不是100%的,但混淆后的代码可以使那些不法份子难以阅读,这样也能对代码的保护做出贡献。 于是,公司写的一大堆WEB项目也想做保护。但几大问题随之而来: 公司的所有项目全部是Maven项目,网上的混淆方案不是陈旧就是无效 网上的大部分解决方案感觉像是对简单DEMO进行混淆...
Maven插件proguard-maven-plugin实现jar文件混淆教程
Maven构建工具中,可以通过集成proguard-maven-plugin插件来实现对可执行jar文件的混淆。 首先,我们来详细解释一下Maven的概念。Apache Maven是一个项目管理和理解工具,它使用一个项目对象模型(POM)文件来描述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值