A. java的源代碼隱藏問題
你要的功能其實是Java代碼混淆,如果要了解Java編譯成exe,可以看「參考資料」。
下面一段文字摘自《Java 手機/PDA 程序設計入門》一書,可以做為混淆器性能的大致觀點:
筆者沒用過DashO,所以無法對其作出個人評價。所以現在僅說明筆者曾用過的產品。以筆者的個人觀點,如果就混淆的程度來說,ZKM最好,JAX中等,RetroGuard和ProGuard最差,一分錢一分貨,這是千古不變的道理。如果就功能性而言,ZKM和JAX都不錯,不過,JAX是IBM所開發的產品,因此也繼承了大部分IBM產品的最大特色,就是「功能超強,可是不易使用」,可能光是要看完JAX的設定文件就是一個很大的問題。
下面分別介紹幾種具有代表性的混淆器,對它們的產品性能進行對比。我們使用不同混淆器對同一段java代碼進行混淆,分別列出混淆後代碼反編譯的結果,並給出使用的一些直接體會。
原始java代碼:
public class SimpleBean implements Serializable {
private String[] name = {"name0","name1","name2","name3"};
private List myList = null;
public void SimpleBean() {
myList = new ArrayList(4);
}
public void init_public() {
myList.add("name");
for(int i= 1; i < 4; i++){
init_private(i);
}
}
private void init_private(int j) {
myList.add(name[j]);
}
private void writeObject(java.io.ObjectOutputStream out)
throws IOException {
}
}
一、ProGuard 4.5.1
ProGuard是一款免費的Java類文件壓縮器、優化器和混淆器。它能發現並刪除無用類、欄位(field)、方法和屬性值(attribute)。它也能優化位元組碼並刪除無用的指令。最後,它使用簡單無意義的名字來重命名你的類名、欄位名和方法名。經過以上操作的jar文件 會變得更小,並很難進行逆向工程。eclipse已經把Proguard集成在一起了。它支持腳本控制,可以使用GUI界面,字元串不加密,支持 J2ME。
類似功能的開源混淆器:
RetroGuard yGuard(RetroGuard的一個升級版本) JODE
Jad反編譯混淆後class得到的代碼:
public class SimpleBean
implements Serializable
{
public SimpleBean()
{
a_java_util_List_fld = null;
}
public void SimpleBean()
{
a_java_util_List_fld = new ArrayList(4);
}
public void init_public()
{
a_java_util_List_fld.add("name");
for(int i = 1; i < 4; i++)
{
int j = i;
SimpleBean simplebean = this;
a_java_util_List_fld.add(simplebean.a_java_lang_String_array1d_fld[j]);
}
}
private String a_java_lang_String_array1d_fld[] = {
"name0", "name1", "name2", "name3"
};
private List a_java_util_List_fld;
}
優點:
1、對內部private方法的調用進行了內聯,但基本達不到混淆效果;
2、使用文檔詳盡,混淆選項配置文件的編寫示例多;
3、混淆選項粒度較細,可以使用GUI界面,支持本地方法的保護等;
4、支持j2me,可以集成到Eclipse;
5、開源。
缺點:
1、符號混淆的命名具有提示性,字元串未加密,沒有其它的混淆措施;
2、混淆主要針對Xlet、Midlet等應用,混淆庫文件時配置文件將會很復雜。
二、Jocky
Jocky是金蝶中間件技術領袖袁紅崗先生的個人作品(舊有名稱JOC)。原本是方便Apusic 應用伺服器的開發,現在開放出來,供大家自由使用。Jocky混淆編譯器是在Sun JDK中提供的Java編譯器(javac)的基礎上完成的,修改了其中的代碼生成過程,對編譯器生成的中間代碼進行混淆,最後再生成class文件,這樣編譯和混淆只需要一個步驟就可以完成。也就是說,它是直接從源碼上做文章,這是Jocky與其它混淆編譯器最大的不同之處。另外可以在源程序中插入符號保留指令來控制哪些符號需要保留,將混淆過程與開發過程融合在一起,不需要單獨的混淆選項配置文件。Jocky的上述特點較適合於java類庫的混淆。
Jad反編譯混淆後class得到的代碼:
public class SimpleBean
implements Serializable
{
public SimpleBean()
{
this;
String as[] = new String[4];
as;
as[0] = "name0";
as;
JVM INSTR swap ;
1;
"name1";
JVM INSTR aastore ;
JVM INSTR p ;
JVM INSTR swap ;
2;
"name2";
JVM INSTR aastore ;
JVM INSTR p ;
JVM INSTR swap ;
3;
"name3";
JVM INSTR aastore ;
_$2;
_$1 = null;
return;
}
public void SimpleBean()
{
this;
JVM INSTR new #9 <Class ArrayList>;
JVM INSTR p ;
JVM INSTR swap ;
4;
ArrayList();
_$1;
}
public void init_public()
{
_$1.add("name");
for(int i = 1; i < 4; i++)
_$1(i);
}
private void _$1(int i)
{
_$1.add(_$2[i]);
}
private void writeObject(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String _$2[];
private List _$1;
}
優點:
1、除符號混淆外增加了數據混淆(字元數組初始化);
2、有一些語句反編譯只能得到位元組碼指令;
3、在Sun JDK中提供的Java編譯器(javac)的基礎上完成,編譯和混淆一體完成,不需要先生成class文件再混淆;
4、提供了Eclipse的插件,能夠直接在Eclipse中使用Jocky。
缺點:
1、混淆選項粒度較粗,使用中可能要在具體代碼中添加@preserve指令來實現,工作量大;
2、沒有控制流混淆。
三、Allatori 3.1_demo
Allatori屬於第二代混淆器,具有全方位保護你的知識產權的能力。Allatori具有以下幾種保護方式:命名混淆,流混淆,調試信息混淆,字元串編碼,以及水印技術。對於教育和非商業項目來說這個混淆器是免費的。2.1版本支持war和ear文件格式,並且允許對需要混淆代碼的應用程序添加有效日期。
Jad反編譯混淆後class得到的代碼:
public class SimpleBean
implements Serializable
{
public void init_public()
{
d.add(c.k("{u{0"));
int i = 1;
goto _L1
_L3:
H(i);
++i;
_L1:
4;
JVM INSTR icmplt 21;
goto _L2 _L3
_L2:
}
public void SimpleBean()
{
d = new ArrayList(4);
}
private void H(int a)
{
d.add(c[a]);
}
public SimpleBean()
{
d = null;
}
private void H(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String c[] = {
c.k("\177q\177te"), c.k("\177q\177td"), c.k("\177q\177tg"), c.k("\177q\177tf")
};
private List d;
}
註:c.k是為進行字元串加密額外生成的類c的靜態方法。
優點:
1、設計考慮了庫文件混淆的使用場景;
2、使用文檔詳盡,混淆選項配置文件的編寫示例多;
3、除符號混淆外,還使用了兩種高級的混淆手段:控制混淆(改寫了for循環)和字元串加密(String數組初始化);
4、混淆選項粒度較細,支持本地方法的保護等;
5、支持水印技術,允許對需要混淆的代碼添加有效日期;
6、支持j2me;
缺點:
1、商業軟體(價格附後),對教育和非商業用途免費(網站鏈接是http://www.allatori.com/price.html)。
附:價格情況
SINGLE DEVELOPER LICENSE
1 license $290
2-5 licenses $260
6-10 licenses $230
11+ licenses $200
SITE LICENSE $3750
BUSINESS LICENSE $4850
ANNUAL SUPPORT UPDATE $45
四、Zelix KlassMaster(ZKM)
Zelix KlassMaster是一個來自Zelix Pty Ltd的商業混淆器。官方文檔中關於它的混淆特性的介紹很少。它的保護功能非常強大,可以進行符號混淆和控制混淆,支持字元串的復雜加密保護,堆棧混亂,支持異常重構,支持增量混淆,支持J2ME。Zelix KlassMaster提供試用版本,可以到http://www.zelix.com下載。
五、DashO Pro
DashO Pro 是由Preemptive Solutions開發的商業化的混淆器. 免費的評估版可以到http://www.preemptive.com下載。DashO Pro代碼保護能力強大易用,方便靈活(商業軟體,非開源)。該Java混淆器是Sun的選擇,對於企業級應用,作為其Java開發包的一部分,Sun微系統使用DashO Pro來混淆其加密庫。DashO Pro能夠對ID進行重新命名,使之成為毫無意義的字元;混淆元數據;改變控制流等,所有這些操作使得java代碼被混淆,難於理解。產品特點包括:
領先的Java源碼保護機制;
運用專利Overload-Inction技術對包/類/方法/域進行重命名;
高級的流程式控制制混淆機制;
字元串加密技術;
防止反編譯器生成有用的輸出;
水印軟體;
提高Java源碼效率;
不採用類/方法/域,全面移除常數存儲庫;
類/方法級別的優化,以提高JIT效果;
動態載入檢測到的類;
全面高效的Java源碼的拓展和部署;
支持所有的JDK版本 (JSE, J2EE, J2ME, etc)包括1.5;
自動堆棧跟蹤轉換;
在指定路徑打包或者java jars;
支持任何打包類型的Java內容——程序、庫、applets程序、小伺服器程序、EJB等;支持基於J2ME CLDC的架構,包括MIDP和 iAppli;
支持CLDC預檢驗庫中的類;
可以從指定路徑、Zip壓縮包或者jars中提取;
支持導出100%純粹的Java,並提供驗證;
命令行介面適合集成到構建環境內;
基於XML的配置文件,易於使用;
全面准確的PDF格式用戶指南。
B. 禁止運行所有JAVA腳本怎麼弄
在安全選項卡中選擇「Internet」,就可以針對Internet區域的一些安全選項進行設置。雖然有不同級別的默認設置,不過我們最好根據自己的實際情況親自調整一下。點擊下方的Custom Level(自定義級別)。會出現一個的窗口,這里顯示了所有的IE安全設置。 Download signed ActiveX controls(下載已簽名的ActiveX控制項)。經過第三方的認證機構簽名證明該ActiveX控制項是安全的,並且你可以設置為允許下載這種控制項,除非你不想安裝任何ActiveX控制項,或者你想自己從一些網站下載,例如Windows Update,還有播放Flash的插件等。 Download unsigned ActiveX controls(下載未簽名的ActiveX控制項)。跟經過簽名認證的ActiveX控制項相比,未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用,或禁用,或者設置為詢問,這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控制項。 Initialize & script ActiveX controls not marked as safe(對沒有標記為安全的ActiveX控制項進行初始化和腳本運行)。跟前面的設置類似的,如果你之前都設置為禁用,那麼這個選項同樣禁用就可以,否則可以設置為詢問(建議的設置)或者允許(不建議)來禁止那些為經簽名的控制項運行。 Run ActiveX controls & plug-ins(運行ActiveX控制項和插件)。假設你已經禁止了所有ActiveX控制項和插件的運行,那麼這個選項就可以放心的設置為管理員認可。這里不建議設置為允許。 Script ActiveX controls marked safe for scripting(對標記為可安全執行腳本的ActiveX控制項執行腳本)。這個設置可以設置的跟前面的選項相同。 Active scripting(活動腳本)。現在各種的腳本程序非常流行,通過腳本程序可以建立很多實用的網頁,例如Windows Update網頁,就是通過腳本程序來判斷你需要下載的補丁的。因此如果禁用掉腳本程序,一些網頁將不能正常瀏覽。這里建議你設置為禁用,至於少數重要的但是不能正常瀏覽的網頁,我們將在後面看到解決辦法。 Allow paste operations via script(允許通過腳本進行粘貼操作)。這個選項允許網頁通過腳本把文件復制進你的剪貼板,為了安全考慮最好禁用。
C. 防網頁病毒:JAVA活動內容過濾活動腳本過濾方法或專用軟體,不要網路防火牆
這么說來的話,其實病毒是沒辦法防止的,電腦的文件這么多,怎麼可能是完全完美的呢?所以啊,有想辦法防病毒,不如直接中毒了幹了它,這樣不是更加好啊!建議去學點手殺病毒的方法,這個是永遠不會淘汰的!除非XP不存在!
D. 如何保護Java程序 防止Java反編譯
Java是一種跨平台的、解釋型語言。Java 源代碼編譯中間「位元組碼」存儲於class文件中。Class文件是一種位元組碼形式的中間代碼,該位元組碼中包括了很多源代碼的信息,例如變數名、方法名等。因此,Java中間代碼的反編譯就變得非常容易。目前市場上有許多免費的、商用的反編譯軟體,都能夠生成高質量的反編譯後的源代碼。所以,對開發人員來說,如何保護Java程序就變成了一個非常重要的挑戰。本文首先討論了保護Java程序的基本方法,然後對代碼混淆問題進行深入研究,最後結合一個實際的應用程序,分析如何在實踐中保護Java程序。 反編譯成為保護Java程序的最大挑戰 通常C、C++等編程語言開發的程序都被編譯成目標代碼,這些目標代碼都是本機器的二進制可執行代碼。通常所有的源文件被編譯、鏈接成一個可執行文件。在這些可執行文件中,編譯器刪除了程序中的變數名稱、方法名稱等信息,這些信息往往是由內存地址表示,例如如果需要使用一個變數,往往是通過這個變數的地址來訪問的。因此,反編譯這些本地的目標代碼就是非常困難的。 Java語言的出現,使得反編譯變得非常容易而有效。原因如下:1.由於跨平台的需求,Java的指令集比較簡單而通用,較容易得出程序的語義信息;2.Java編譯器將每一個類編譯成一個單獨的文件,這也簡化了反編譯的工作;3.Java 的Class文件中,仍然保留所有的方法名稱、變數名稱,並且通過這些名稱來訪問變數和方法,這些符號往往帶有許多語義信息。由於Java程序自身的特點,對於不經過處理的Java程序反編譯的效果非常好。 目前,市場上有許多Java的反編譯工具,有免費的,也有商業使用的,還有的是開放源代碼的。這些工具的反編譯速度和效果都非常不錯。好的反編譯軟體,能夠反編譯出非常接近源代碼的程序。因此,通過反編譯器,黑客能夠對這些程序進行更改,或者復用其中的程序。因此,如何保護Java程序不被反編譯,是非常重要的一個問題。 常用的保護技術 由於Java位元組碼的抽象級別較高,因此它們較容易被反編譯。本節介紹了幾種常用的方法,用於保護Java位元組碼不被反編譯。通常,這些方法不能夠絕對防止程序被反編譯,而是加大反編譯的難度而已,因為這些方法都有自己的使用環境和弱點。 隔離Java程序 最簡單的方法就是讓用戶不能夠訪問到Java Class程序,這種方法是最根本的方法,具體實現有多種方式。例如,開發人員可以將關鍵的Java Class放在伺服器端,客戶端通過訪問伺服器的相關介面來獲得服務,而不是直接訪問Class文件。這樣黑客就沒有辦法反編譯Class文件。目前,通過介面提供服務的標准和協議也越來越多,例如 HTTP、Web Service、RPC等。但是有很多應用都不適合這種保護方式,例如對於單機運行的程序就無法隔離Java程序。這種保護方式見圖1所示。 圖1隔離Java程序示意圖 對Class文件進行加密 為了防止Class文件被直接反編譯,許多開發人員將一些關鍵的Class文件進行加密,例如對注冊碼、序列號管理相關的類等。在使用這些被加密的類之前,程序首先需要對這些類進行解密,而後再將這些類裝載到JVM當中。這些類的解密可以由硬體完成,也可以使用軟體完成。 在實現時,開發人員往往通過自定義ClassLoader類來完成加密類的裝載(注意由於安全性的原因,Applet不能夠支持自定義的ClassLoader)。自定義的ClassLoader首先找到加密的類,而後進行解密,最後將解密後的類裝載到JVM當中。在這種保護方式中,自定義的ClassLoader是非常關鍵的類。由於它本身不是被加密的,因此它可能成為黑客最先攻擊的目標。如果相關的解密密鑰和演算法被攻克,那麼被加密的類也很容易被解密。這種保護方式示意圖見圖2。 圖2 對Class文件進行加密示意圖 轉換成本地代碼 將程序轉換成本地代碼也是一種防止反編譯的有效方法。因為本地代碼往往難以被反編譯。開發人員可以選擇將整個應用程序轉換成本地代碼,也可以選擇關鍵模塊轉換。如果僅僅轉換關鍵部分模塊,Java程序在使用這些模塊時,需要使用JNI技術進行調用。 當然,在使用這種技術保護Java程序的同時,也犧牲了Java的跨平台特性。對於不同的平台,我們需要維護不同版本的本地代碼,這將加重軟體支持和維護的工作。不過對於一些關鍵的模塊,有時這種方案往往是必要的。 為了保證這些本地代碼不被修改和替代,通常需要對這些代碼進行數字簽名。在使用這些本地代碼之前,往往需要對這些本地代碼進行認證,確保這些代碼沒有被黑客更改。如果簽名檢查通過,則調用相關JNI方法。這種保護方式示意圖見圖3。 代碼混淆
圖3 轉換成本地代碼示意圖 代碼混淆是對Class文件進行重新組織和處理,使得處理後的代碼與處理前代碼完成相同的功能(語義)。但是混淆後的代碼很難被反編譯,即反編譯後得出的代碼是非常難懂、晦澀的,因此反編譯人員很難得出程序的真正語義。從理論上來說,黑客如果有足夠的時間,被混淆的代碼仍然可能被破解,甚至目前有些人正在研製反混淆的工具。但是從實際情況來看,由於混淆技術的多元化發展,混淆理論的成熟,經過混淆的Java代碼還是能夠很好地防止反編譯。下面我們會詳細介紹混淆技術,因為混淆是一種保護Java程序的重要技術。圖4是代碼混淆的示意圖。
圖4 代碼混淆示意圖 幾種技術的總結 以上幾種技術都有不同的應用環境,各自都有自己的弱點,表1是相關特點的比較。 混淆技術介紹 表1 不同保護技術比較表
到目前為止,對於Java程序的保護,混淆技術還是最基本的保護方法。Java混淆工具也非常多,包括商業的、免費的、開放源代碼的。Sun公司也提供了自己的混淆工具。它們大多都是對Class文件進行混淆處理,也有少量工具首先對源代碼進行處理,然後再對Class進行處理,這樣加大了混淆處理的力度。目前,商業上比較成功的混淆工具包括JProof公司的1stBarrier系列、Eastridge公司的JShrink和4thpass.com的SourceGuard等。主要的混淆技術按照混淆目標可以進行如下分類,它們分別為符號混淆(Lexical Obfuscation)、數據混淆(Data Obfuscation)、控制混淆(Control Obfuscation)、預防性混淆(Prevent Transformation)。 符號混淆 在Class中存在許多與程序執行本身無關的信息,例如方法名稱、變數名稱,這些符號的名稱往往帶有一定的含義。例如某個方法名為getKeyLength(),那麼這個方法很可能就是用來返回Key的長度。符號混淆就是將這些信息打亂,把這些信息變成無任何意義的表示,例如將所有的變數從vairant_001開始編號;對於所有的方法從method_001開始編號。這將對反編譯帶來一定的困難。對於私有函數、局部變數,通常可以改變它們的符號,而不影響程序的運行。但是對於一些介面名稱、公有函數、成員變數,如果有其它外部模塊需要引用這些符號,我們往往需要保留這些名稱,否則外部模塊找不到這些名稱的方法和變數。因此,多數的混淆工具對於符號混淆,都提供了豐富的選項,讓用戶選擇是否、如何進行符號混淆。 數據混淆 圖5 改變數據訪問 數據混淆是對程序使用的數據進行混淆。混淆的方法也有多種,主要可以分為改變數據存儲及編碼(Store and Encode Transform)、改變數據訪問(Access Transform)。 改變數據存儲和編碼可以打亂程序使用的數據存儲方式。例如將一個有10個成員的數組,拆開為10個變數,並且打亂這些變數的名字;將一個兩維數組轉化為一個一維數組等。對於一些復雜的數據結構,我們將打亂它的數據結構,例如用多個類代替一個復雜的類等。 另外一種方式是改變數據訪問。例如訪問數組的下標時,我們可以進行一定的計算,圖5就是一個例子。 在實踐混淆處理中,這兩種方法通常是綜合使用的,在打亂數據存儲的同時,也打亂數據訪問的方式。經過對數據混淆,程序的語義變得復雜了,這樣增大了反編譯的難度。 控制混淆 控制混淆就是對程序的控制流進行混淆,使得程序的控制流更加難以反編譯,通常控制流的改變需要增加一些額外的計算和控制流,因此在性能上會給程序帶來一定的負面影響。有時,需要在程序的性能和混淆程度之間進行權衡。控制混淆的技術最為復雜,技巧也最多。這些技術可以分為如下幾類: 增加混淆控制 通過增加額外的、復雜的控制流,可以將程序原來的語義隱藏起來。例如,對於按次序執行的兩個語句A、B,我們可以增加一個控制條件,以決定B的執行。通過這種方式加大反匯編的難度。但是所有的干擾控制都不應該影響B的執行。圖6就給出三種方式,為這個例子增加混淆控制。 圖6 增加混淆控制的三種方式 控制流重組 重組控制流也是重要的混淆方法。例如,程序調用一個方法,在混淆後,可以將該方法代碼嵌入到調用程序當中。反過來,程序中的一段代碼也可以轉變為一個函數調用。另外,對於一個循環的控制流,為可以拆分多個循環的控制流,或者將循環轉化成一個遞歸過程。這種方法最為復雜,研究的人員也非常多。 預防性混淆 這種混淆通常是針對一些專用的反編譯器而設計的,一般來說,這些技術利用反編譯器的弱點或者Bug來設計混淆方案。例如,有些反編譯器對於Return後面的指令不進行反編譯,而有些混淆方案恰恰將代碼放在Return語句後面。這種混淆的有效性對於不同反編譯器的作用也不太相同的。一個好的混淆工具,通常會綜合使用這些混淆技術。 案例分析 在實踐當中,保護一個大型Java程序經常需要綜合使用這些方法,而不是單一使用某一種方法。這是因為每種方法都有其弱點和應用環境。綜合使用這些方法使得Java程序的保護更加有效。另外,我們經常還需要使用其它的相關安全技術,例如安全認證、數字簽名、PKI等。 本文給出的例子是一個Java應用程序,它是一個SCJP(Sun Certificate Java Programmer)的模擬考試軟體。該應用程序帶有大量的模擬題目,所有的題目都被加密後存儲在文件中。由於它所帶的題庫是該軟體的核心部分,所以關於題庫的存取和訪問就成為非常核心的類。一旦這些相關的類被反編譯,則所有的題庫將被破解。現在,我們來考慮如何保護這些題庫及相關的類。 在這個例子中,我們考慮使用綜合保護技術,其中包括本地代碼和混淆技術。因為該軟體主要發布在Windows上,因此轉換成本地代碼後,僅僅需要維護一個版本的本地代碼。另外,混淆對Java程序也是非常有效的,適用於這種獨立發布的應用系統。 在具體的方案中,我們將程序分為兩個部分,一個是由本地代碼編寫的題庫訪問的模塊,另外一個是由Java開發的其它模塊。這樣可以更高程度地保護題目管理模塊不被反編譯。對於Java開發的模塊,我們仍然要使用混淆技術。該方案的示意圖參見圖7。 圖7 SCJP保護技術方案圖 對於題目管理模塊,由於程序主要在Windows下使用,所以使用C++開發題庫訪問模塊,並且提供了一定的訪問介面。為了保護題庫訪問的介面,我們還增加了一個初始化介面,用於每次使用題庫訪問介面之前的初始化工作。它的介面主要分為兩類: 1. 初始化介面 在使用題庫模塊之前,我們必須先調用初始化介面。在調用該介面時,客戶端需要提供一個隨機數作為參數。題庫管理模塊和客戶端通過這個隨機數,按一定的演算法同時生成相同的SessionKey,用於加密以後輸入和輸出的所有數據。通過這種方式,只有授權(有效)的客戶端才能夠連接正確的連接,生成正確的SessionKey,用於訪問題庫信息。非法的客戶很難生成正確的SessionKey,因此無法獲得題庫的信息。如果需要建立更高的保密級別,也可以採用雙向認證技術。 2. 數據訪問介面 認證完成之後,客戶端就可以正常的訪問題庫數據。但是,輸入和輸出的數據都是由SessionKey所加密的數據。因此,只有正確的題庫管理模塊才能夠使用題庫管理模塊。圖8時序圖表示了題庫管理模塊和其它部分的交互過程。 圖8 題庫管理模塊和其它部分的交互過程圖
E. 【轉】如何保護Java代碼
以下從技術角度就常見的保護措施 和常用工具來看看如何有效保護java代碼:1. 將java包裝成exe 特點:將jar包裝成可執行文件,便於使用,但對java程序沒有任何保護。不要以為生成了exe就和普通可執行文件效果一樣了。這些包裝成exe的程序運行時都會將jar文件釋放到臨時目錄,很容易獲取。常用的工具有exe4j、jsmooth、NativeJ等等。jsmooth生成的exe運行時臨時目錄在exe所在目錄中或是用戶臨時目錄 中;exe4j生成的exe運行時臨時目錄在用戶臨時目錄中;NativeJ生成的exe直接用winrar打開,然後用zip格式修復成一個jar文件,就得到了原文件。如果只是為了使用和發布方便,不需要保護java代碼,使用這些工具是很好的選擇。2. java混淆器特點:使用一種或多種處理方式將class文件、java源代碼進行混淆處理後生成新的class,使混淆後的代碼不易被反編譯,而反編譯後的代碼難以閱 讀和理解。這類混淆器工具很多,而且也很有成效。缺點:雖然混淆的代碼反編譯後不易讀懂,但對於有經驗的人或是多花些時間,還是能找到或計算出你代碼中隱藏的敏感內容,而且在很多應用中不是全部代碼都能混淆的,往往一些關鍵的庫、類名、方法名、變數名等因使用要求的限制反而還不能混淆。3. 隔離java程序到服務端特點:把java程序放到服務端,讓用戶不能訪問到class文件和相關配套文件,客戶端只通過介面訪問。這種方式在客戶/服務模式的應用中能較好地保護java代碼。缺點是:必須是客戶/服務模式,這種特點限制了此種方式的使用范圍;客戶端因為邏輯的暴露始終是較為薄弱的環節,所以訪問介面時一般都需要安全性認證。4. java加密保護特點:自定義ClassLoader,將class文件和相關文件加密,運行時由此ClassLoader解密相關文件並裝載類,要起到保護作用必須自定 義本地代碼執行器將自定義ClassLoader和加密解密的相關類和配套文件也保護起來。此種方式能很有效地保護java代碼。缺點:可以通過替換JRE包中與類裝載相關的java類或虛擬機動態庫截獲java位元組碼。 jar2exe屬於這類工具。5. 提前編譯技術(AOT) 特點:將java代碼靜態編譯成本地機器碼,脫離通用JRE。此種方式能夠非常有效地保護java代碼,且程序啟動比通用JVM快一點。具有代表性的是GNU的gcj,可以做到對java代碼完全提前編譯,但gcj存在諸多局限性,如:對JRE 5不能完整支持、不支持JRE 6及以後的版本。由於java平台的復雜性,做到能及時支持最新java版本和JRE的完全提前編譯是非常困難的,所以這類工具往往採取靈活方式,該用即時編譯的地方還是 要用,成為提前編譯和即時編譯的混合體。缺點:由於與通用JRE的差異和java運用中的復雜性,並非java程序中的所有jar都能得到完全的保護;只能使用此種工具提供的一個運行環境,如果工具更新滯後或你需要特定版本的JRE,有可能得不到此種工具的支持。 Excelsior JET屬於這類工具。6. 使用jni方式保護特點:將敏感的方法和數據通過jni方式處理。此種方式和「隔離java程序到服務端」有些類似,可以看作把需要保護的代碼和數據「隔離」到動態庫中,不同的是可以在單機程序中運用。缺點和上述「隔離java程序到服務端」類似。7. 不脫離JRE的綜合方式保護特點:非提前編譯,不脫離JRE,採用多種軟保護方式,從多方面防止java程序被竊取。此種方式由於採取了多種保護措施,比如自定義執行器和裝載器、加密、JNI、安全性檢測、生成可執行文件等等,使保護力度大大增強,同樣能夠非常有效地保護java代碼。缺點:由於jar文件存在方式的改變和java運用中的復雜性,並非java程序中的所有jar都能得到完全的保護;很有可能並不支持所有的JRE版本。 JXMaker屬於此類工具。8. 用加密鎖硬體保護特點:使用與硬體相關的專用程序將java虛擬機啟動程序加殼,將虛擬機配套文件和java程序加密,啟動的是加殼程序,由加殼程序建立一個與硬體相關的 受保護的運行環境,為了加強安全性可以和加密鎖內植入的程序互動。此種方式與以上「不脫離JRE的綜合方式保護」相似,只是使用了專用硬體設備,也能很好地保護java代碼。缺點:有人認為加密鎖用戶使用上不太方便,且每個安裝需要附帶一個。從以上描述中我們可以看出:1. 各種保護方式都有其優缺點,應根據實際選用2. 要更好地保護java代碼應該使用綜合的保護措施3. 單機環境中要真正有效保護java代碼,必須要有本地代碼程序配合當然,安全都是相對的,一方面看你的保護措施和使用的工具能達到的程度,一方面看黑客的意願和能力,不能只從技術上保護知識產權。總之,在java 代碼保護方面可以採取各種可能的方式,不可拘泥於那些條條框框。
F. java代碼,執行lua腳本!
要在Java上使用Lua腳本,必須有關於Lua腳本解釋器以及Java程序可以訪問這些腳本的相關API,即相關類庫。可以使用一個叫做LuaJava的開源項目,可以在www.keplerproject.org/luajava/ 找到LuaJava的類庫以及源代碼,使用文檔資等