关于ProGuard
- ProGuard是一款开源的代码混淆工具,不仅能够混淆代码,而且可以进行代码的压缩和优化等,这里只关注其混淆的功能。
- 代码混淆的原理就是,删除无用代码,使用难懂的类名,方法名,和变量名,来防止逆向工程.
- 如何判断代码的有用还是无用呢,这里涉及到一个entry point的概念,entry point就是不会被ProGuard处理的方法,程序从这里开始遍历。搜索那些类和类的成员在被使用,删除掉那些没被使用的。然后对非entry point的部分进行混淆。
在maven项目中引入ProGuard
在maven中引入plugins。相关配置文件如下
<build>
<plugins>
<plugin>
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.0.11</version>
<executions>
<execution>
<!--混淆时刻,这里是打包的时候混淆-->
<phase>package</phase>
<goals>
<!--使用插件的什么功能,当然是混淆-->
<goal>proguard</goal>
</goals>
</execution>
</executions>
<configuration>
<!--是否将生成的PG文件安装部署-->
<attach>true</attach>
<!--是否混淆-->
<obfuscate>true</obfuscate>
<!--指定生成文件分类-->
<attachArtifactClassifier>pg</attachArtifactClassifier>
<options>
<!--JDK目标版本1.8-->
<option>-target 1.8</option>
<!--不做压缩(删除注释、未被引用代码)-->
<option>-dontshrink</option>
<!--不做优化(变更代码实现逻辑)-->
<option>-dontoptimize</option>
<!--不跳过非公用类文件及成员-->
<option>-dontskipnonpubliclibraryclasses</option>
<option>-dontskipnonpubliclibraryclassmembers</option>
<!--优化时允许访问并修改有修饰符的类和类的成员-->
<option>-allowaccessmodification</option>
<!--使用独特的混淆类的成员名称来增加混淆-->
<option>-useuniqueclassmembernames</option>
<!--不混淆所有包名,本人测试混淆后WEB项目问题实在太多,毕竟Spring配置中有大量固定写法的包名-->
<option>-keeppackagenames</option>
<!--不混淆所有特殊的类-->
<option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,LocalVariable*Table,*Annotation*,Synthetic,EnclosingMethod</option>
<!--不混淆所有的set/get方法,毕竟项目中使用的部分第三方框架(例如Shiro)会用到大量的set/get映射-->
<option>-keepclassmembers public class * {void set*(***);*** get*();}</option>
<option>-keep public class rest.hdfs.HdfsContextListener </option>
ion> -keep public class * implements java.io.Serializable{public protected private *;}</option>
<!--<option>-keep class ** extends Application </option>-->
<!--<option>-keep class **.rest.hdfs.HdfsContextListener.**</option>-->
<option>-dontskipnonpubliclibraryclassmembers</option>
</options>
<outjar>outputjar.war</outjar>
<!--添加依赖,这里你可以按你的需要修改,这里测试只需要一个JRE的Runtime包就行了-->
<libs>
<lib>${java.home}/lib/rt.jar</lib>
</libs>
<!--对什么东西进行加载,这里仅有classes,毕竟你也不可能对配置文件及JSP混淆吧-->
<injar>classes</injar>
<!--输出目录-->
<outputDirectory>${project.build.directory}</outputDirectory>
</configuration>
</plugin>
<plugins>
</build>
- 这样配置完之后,build后会生成target下生成三个文件,class-pg.jar, proguard_map.txt, proguard_seed.txt
- .jar文件为混淆后的classw文件
- map.txt为映射文件
- seed.txt为那些类和变量参与了混淆。
- 由于我需要混淆的是一个war文件,所以这时候,将class-pg.jar中的代码去替换掉war包中的java代码,就完成了对war包的混淆。
- 需要注意的是,很大一部分请情况下,混淆完成的代码是有问题的,对使用了反射的java代码进行混淆,会出现异常,这时候,就需要根据报错信息去查看代码了。