一、java web项目混淆
proguard4.8工具,说是支持war的,可混淆过后少了classes目录了,自然成功不了。网上搜的过程不详说了,最后找着--“J2EE-web工程ProGuard代码混淆07_28”,网址:http://wenku..com/link?url=CxToEqg5QWbz2_--cVqaImGKnLLLTO45u6uD_
根据提示一步步完成。
把web项目打成jar包后用proguard进行混淆,然后把混淆过后的class目录替换发布包war中的对应目录,启动运行是正常的。
主要注意利用proguard生成xxx.pro文件,然后手动加工-keep class WebRoot.WEB-INFO.lib.* 等项目中不需要混淆的包和类。
二、java web项目打成.exe
没找到免费的,这搜到个收费的--Jinstall,试了下功能挺好,
可以加密、集成jdk、tomcat,如果数据库是mysql也集成,其他数据库的话要设置数据库的url.
B. eclipse proguard怎么混淆jar包
android应用程序的混淆打包
1 . 在工程文件project.properties中加入下proguard.config=proguard.cfg , 如下所示:
target=android-8
proguard.config=proguard.cfg
Eclipse会通过此配置在工程目录生成proguard.cfg文件
2 . 生成keystore (如已有可直接利用)
按照下面的命令行 在D:\Program Files\Java\jdk1.6.0_07\bin>目录下,输入keytool -genkey -alias android.keystore -keyalg RSA -validity 100000 -keystore android.keystore
参数意义:-validity主要是证书的有效期,写100000天;空格,退格键 都算密码。
命令执行后会在D:\Program Files\Java\jdk1.6.0_07\bin>目录下生成 android.keystore文件。
3. 在Eclipce的操作
File -> Export -> Export Android Application -> Select project -> Using the existing keystore , and input password -> select the destination APK file
经过混淆后的源代码,原先的类名和方法名会被类似a,b,c。。。的字符所替换,混淆的原理其实也就是类名和方法名的映射。
proguard 自己考一个就行
----------------------------------------------------------------------------------------
proguard 原理
Java代码编译成二进制class 文件,这个class
文件也可以反编译成源代码 ,除了注释外,原来的code 基本都可以看到。为了防止重要code
被泄露,我们往往需要混淆(Obfuscation code , 也就是把方法,字段,包和类这些java
元素的名称改成无意义的名称,这样代码结构没有变化,还可以运行,但是想弄懂代码的架构却很难。 proguard
就是这样的混淆工具,它可以分析一组class 的结构,根据用户的配置,然后把这些class 文件的可以混淆java
元素名混淆掉。在分析class 的同时,他还有其他两个功能,删除无效代码(Shrinking 收缩),和代码进行优化
(Optimization Options)。
缺省情况下,proguard
会混淆所有代码,但是下面几种情况是不能改变java 元素的名称,否则就会这样就会导致程序出错。
一, 我们用到反射的地方。
二,
我们代码依赖于系统的接口,比如被系统代码调用的回调方法,这种情况最复杂。
三, 是我们的java
元素名称是在配置文件中配置好的。
所以使用proguard时,我们需要有个配置文件告诉proguard
那些java 元素是不能混淆的。
proguard 配置
最常用的配置选项
-dontwarn 缺省proguard
会检查每一个引用是否正确,但是第三方库里面往往有些不会用到的类,没有正确引用。如果不配置的话,系统就会报错。
-keep 指定的类和类成员被保留作为 入口
。
-keepclassmembers
指定的类成员被保留。
-keepclasseswithmembers
指定的类和类成员被保留,假如指定的类成员存在的话。
proguard 问题和风险
代码混淆后虽然有混淆优化的好处,但是它往往也会带来如下的几点问题
1,混淆错误,用到第三方库的时候,必须告诉 proguard
不要检查,否则proguard 会报错。
2,运行错误,当code
不能混淆的时候,我们必须要正确配置,否则程序会运行出错,这种情况问题最多。
3,调试苦难,出错了,错误堆栈是混淆后的代码
,自己也看不懂。
为了防止混淆出问题,你需要熟悉你所有的code ,系统的架构
,以及系统和你code的集成的接口,并细心分析。 同时你必须需要一轮全面的测试。 所以混淆也还是有一定风险的。
为了避免风险,你可以只是混淆部分关键的代码,但是这样你的混淆的效果也会有所降低。
常见的不能混淆的androidCode
Android 程序
,下面这样代码混淆的时候要注意保留。
Android系统组件,系统组件有固定的方法被系统调用。
被Android Resource
文件引用到的。名字已经固定,也不能混淆,比如自定义的View 。
Android Parcelable ,需要使用android
序列化的。
其他Anroid 官方建议
不混淆的,如
android.app.backup.BackupAgentHelper
android.preference.Preference
com.android.vending.licensing.ILicensingService
Java序列化方法,系统序列化需要固定的方法。
枚举 ,系统需要处理枚举的固定方法。
本地方法,不能修改本地方法名
annotations 注释
数据库驱动
有些resource 文件
用到反射的地方
如何实施
现在的系统已经配置为混淆时候会保留
Android系统组件
自定义View
Android Parcelable
Android R 文件
Android Parcelable
枚举
各个开发人员必须检查自己的code 是否用到反射
,和其他不能混淆的地方。告诉我来修改配置文件(已经保留的就不需要了)
目前系统部检查的第三方库为
-dontwarn
android.support.**
-dontwarn
com.tencent.**
-dontwarn
org.dom4j.**
-dontwarn
org.slf4j.**
-dontwarn
org.http.mutipart.**
-dontwarn
org.apache.**
-dontwarn
org.apache.log4j.**
-dontwarn
org.apache.commons.logging.**
-dontwarn
org.apache.commons.codec.binary.**
-dontwarn
weibo4android.**
proguard 参数
-include {filename}
从给定的文件中读取配置参数
-basedirectory {directoryname}
指定基础目录为以后相对的档案名称
-injars {class_path}
指定要处理的应用程序jar,war,ear和目录
-outjars {class_path}
指定处理完后要输出的jar,war,ear和目录的名称
-libraryjars {classpath}
指定要处理的应用程序jar,war,ear和目录所需要的程序库文件
-
指定不去忽略非公共的库类。
-
指定不去忽略包可见的库类的成员。
保留选项
-keep {Modifier} {class_specification}
保护指定的类文件和类的成员
-keepclassmembers {modifier}
{class_specification}
保护指定类的成员,如果此类受到保护他们会保护的更好
-keepclasseswithmembers
{class_specification}
保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在。
-keepnames {class_specification}
保护指定的类和类的成员的名称(如果他们不会压缩步骤中删除)
-keepclassmembernames
{class_specification}
保护指定的类的成员的名称(如果他们不会压缩步骤中删除)
-keepclasseswithmembernames
{class_specification}
保护指定的类和类的成员的名称,如果所有指定的类成员出席(在压缩步骤之后)
-printseeds {filename}
列出类和类的成员-keep选项的清单,标准输出到给定的文件
压缩
-dontshrink
不压缩输入的类文件
-printusage
{filename}
-whyareyoukeeping {class_specification}
优化
-dontoptimize
不优化输入的类文件
-assumenosideeffects
{class_specification}
优化时假设指定的方法,没有任何副作用
-allowaccessmodification
优化时允许访问并修改有修饰符的类和类的成员
混淆
-dontobfuscate
不混淆输入的类文件
-printmapping
{filename}
-applymapping {filename}
重用映射增加混淆
-obfuscationdictionary {filename}
使用给定文件中的关键字作为要混淆方法的名称
-overloadaggressively
混淆时应用侵入式重载
-useuniqueclassmembernames
确定统一的混淆类的成员名称来增加混淆
-flattenpackagehierarchy {package_name}
重新包装所有重命名的包并放在给定的单一包中
-repackageclass {package_name}
重新包装所有重命名的类文件中放在给定的单一包中
-dontusemixedcaseclassnames
混淆时不会产生形形色色的类名
-keepattributes {attribute_name,...}
保护给定的可选属性,例如LineNumberTable,
LocalVariableTable, SourceFile, Deprecated, Synthetic, Signature,
and InnerClasses.
-renamesourcefileattribute {string}
设置源文件中给定的字符串常量
解决export打包的报错
这个时候export提示“conversion to Dalvik
format failed with error
1”错误,网上说法有好多种,最后我还是把proguard从4.4升级到4.8就解决了。官方地址是http://proguard.sourceforge.net。上面的配置文件参数可以在这里查阅。
升级办法很简单,就是把android
sdk目录下的tool/proguard目录覆盖一下即可。
打包出来的程序如何调试
一旦打包出来,就不能用eclipse的logcat去看了,这里可以用android
sdk中ddms.bat的tool来看,一用就发现和logcat其实还是一个东西,就是多了个设备的选择。
使用 gson 需要的配置
当Gson用到了泛型就会有报错,这个真给郁闷了半天,提示“Missing
type
parameter”。最后找到一个资料给了一个解决办法,参考:http://stackoverflow.com/questio ...
sing-type-parameter。
另外我又用到了JsonObject,提交的Object里面的members居然被改成了a。所以上面给的东西还不够,还要加上
# 用到自己拼接的JsonObject
-keep class com.google.gson.JsonObject
{ *; }
个人建议减少这些依赖包混淆带来的麻烦,干脆都全部保留不混淆。例如
-keep class com.badlogic.** { *;
}
-keep class * implements
com.badlogic.gdx.utils.Json*
-keep class com.google.** { *;
}
使用libgdx需要的配置
参考http://code.google.com/p/libgdx-users/wiki/Ant
验证打包效果
利用了apktool的反编译工具,把打包文件又解压了看了一下,如果包路径、类名、变量名、方法名这些变化和你期望一致,那就OK了。命令:
apktool.bat d xxx.apk
destdir
配置实例
-injars
androidtest.jar【jar包所在地址】
-outjars
out【输出地址】
-libraryjars
'D:\android-sdk-windows\platforms\android-9\android.jar'
【引用的库的jar,用于解析injars所指定的jar类】
-optimizationpasses
5
-dontusemixedcaseclassnames
【混淆时不会产生形形色色的类名 】
-
【指定不去忽略非公共的库类。 】
-dontpreverify
【不预校验】
-verbose
-optimizations
!code/simplification/arithmetic,!field/*,!class/merging/*
【优化】
-keep public class * extends
android.app.Activity【不进行混淆保持原样】
-keep public class * extends
android.app.Application
-keep public class * extends
android.app.Service
-keep public class * extends
android.content.BroadcastReceiver
-keep public class * extends
android.content.ContentProvider
-keep public class * extends
android.app.backup.BackupAgentHelper
-keep public class * extends
android.preference.Preference
-keep public class
com.android.vending.licensing.ILicensingService
-keep public abstract interface
com.asqw.android.Listener{
public protected ;
【所有方法不进行混淆】
}
-keep public class
com.asqw.android{
public void Start(java.lang.String);
【对该方法不进行混淆】
}
-keepclasseswithmembernames class * {
【保护指定的类和类的成员的名称,如果所有指定的类成员出席(在压缩步骤之后)】
native ;
}
-keepclasseswithmembers class * {
【保护指定的类和类的成员,但条件是所有指定的类和类成员是要存在。】
public (android.content.Context,
android.util.AttributeSet);
}
-keepclasseswithmembers class *
{
public (android.content.Context,
android.util.AttributeSet, int);
}
-keepclassmembers class * extends
android.app.Activity {【保护指定类的成员,如果此类受到保护他们会保护的更好
】
public void
*(android.view.View);
}
-keepclassmembers enum *
{
public static **[]
values();
public static **
valueOf(java.lang.String);
}
-keep class * implements
android.os.Parcelable {【保护指定的类文件和类的成员】
public static final
android.os.Parcelable$Creator *;
}
//不混淆指定包下的类
-keep class
com.aspire.**
C. java代码混淆 哪个好
ProGuard 是一个免费的 Java类文件的压缩,优化,混肴器。它删除没有用的类,字段,版方法与属性。使权字节码最大程度地优化,使用简短且无意义的名字来重命名类、字段和方法 。eclipse已经把Proguard集成在一起了。
D. 在Eclipse的ProGuard(混淆器)设置里,Proguard Keep Expressions的表达式是怎么样的
直接去eclipseme官网下插件,然后配置插件就好了.
然后插件配置知道吗?简单的就是把里面解压出来的分别放到eclipse下对应的目录下去,不然就用link的方式,随便搜索一下的都知道的...
偶也才开始学J2ME呵呵,楼主也好好学吧
E. java的源代码隐藏问题
你要的功能其实是Java代码混淆,如果要了解Java编译成exe,可以看“参考资料”。
下面一段文字摘自《Java 手机/PDA 程序设计入门》一书,可以做为混淆器性能的大致观点:
笔者没用过DashO,所以无法对其作出个人评价。所以现在仅说明笔者曾用过的产品。以笔者的个人观点,如果就混淆的程度来说,ZKM最好,JAX中等,RetroGuard和ProGuard最差,一分钱一分货,这是千古不变的道理。如果就功能性而言,ZKM和JAX都不错,不过,JAX是IBM所开发的产品,因此也继承了大部分IBM产品的最大特色,就是“功能超强,可是不易使用”,可能光是要看完JAX的设定文件就是一个很大的问题。
下面分别介绍几种具有代表性的混淆器,对它们的产品性能进行对比。我们使用不同混淆器对同一段java代码进行混淆,分别列出混淆后代码反编译的结果,并给出使用的一些直接体会。
原始java代码:
public class SimpleBean implements Serializable {
private String[] name = {"name0","name1","name2","name3"};
private List myList = null;
public void SimpleBean() {
myList = new ArrayList(4);
}
public void init_public() {
myList.add("name");
for(int i= 1; i < 4; i++){
init_private(i);
}
}
private void init_private(int j) {
myList.add(name[j]);
}
private void writeObject(java.io.ObjectOutputStream out)
throws IOException {
}
}
一、ProGuard 4.5.1
ProGuard是一款免费的Java类文件压缩器、优化器和混淆器。它能发现并删除无用类、字段(field)、方法和属性值(attribute)。它也能优化字节码并删除无用的指令。最后,它使用简单无意义的名字来重命名你的类名、字段名和方法名。经过以上操作的jar文件 会变得更小,并很难进行逆向工程。eclipse已经把Proguard集成在一起了。它支持脚本控制,可以使用GUI界面,字符串不加密,支持 J2ME。
类似功能的开源混淆器:
RetroGuard yGuard(RetroGuard的一个升级版本) JODE
Jad反编译混淆后class得到的代码:
public class SimpleBean
implements Serializable
{
public SimpleBean()
{
a_java_util_List_fld = null;
}
public void SimpleBean()
{
a_java_util_List_fld = new ArrayList(4);
}
public void init_public()
{
a_java_util_List_fld.add("name");
for(int i = 1; i < 4; i++)
{
int j = i;
SimpleBean simplebean = this;
a_java_util_List_fld.add(simplebean.a_java_lang_String_array1d_fld[j]);
}
}
private String a_java_lang_String_array1d_fld[] = {
"name0", "name1", "name2", "name3"
};
private List a_java_util_List_fld;
}
优点:
1、对内部private方法的调用进行了内联,但基本达不到混淆效果;
2、使用文档详尽,混淆选项配置文件的编写示例多;
3、混淆选项粒度较细,可以使用GUI界面,支持本地方法的保护等;
4、支持j2me,可以集成到Eclipse;
5、开源。
缺点:
1、符号混淆的命名具有提示性,字符串未加密,没有其它的混淆措施;
2、混淆主要针对Xlet、Midlet等应用,混淆库文件时配置文件将会很复杂。
二、Jocky
Jocky是金蝶中间件技术领袖袁红岗先生的个人作品(旧有名称JOC)。原本是方便Apusic 应用服务器的开发,现在开放出来,供大家自由使用。Jocky混淆编译器是在Sun JDK中提供的Java编译器(javac)的基础上完成的,修改了其中的代码生成过程,对编译器生成的中间代码进行混淆,最后再生成class文件,这样编译和混淆只需要一个步骤就可以完成。也就是说,它是直接从源码上做文章,这是Jocky与其它混淆编译器最大的不同之处。另外可以在源程序中插入符号保留指令来控制哪些符号需要保留,将混淆过程与开发过程融合在一起,不需要单独的混淆选项配置文件。Jocky的上述特点较适合于java类库的混淆。
Jad反编译混淆后class得到的代码:
public class SimpleBean
implements Serializable
{
public SimpleBean()
{
this;
String as[] = new String[4];
as;
as[0] = "name0";
as;
JVM INSTR swap ;
1;
"name1";
JVM INSTR aastore ;
JVM INSTR p ;
JVM INSTR swap ;
2;
"name2";
JVM INSTR aastore ;
JVM INSTR p ;
JVM INSTR swap ;
3;
"name3";
JVM INSTR aastore ;
_$2;
_$1 = null;
return;
}
public void SimpleBean()
{
this;
JVM INSTR new #9 <Class ArrayList>;
JVM INSTR p ;
JVM INSTR swap ;
4;
ArrayList();
_$1;
}
public void init_public()
{
_$1.add("name");
for(int i = 1; i < 4; i++)
_$1(i);
}
private void _$1(int i)
{
_$1.add(_$2[i]);
}
private void writeObject(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String _$2[];
private List _$1;
}
优点:
1、除符号混淆外增加了数据混淆(字符数组初始化);
2、有一些语句反编译只能得到字节码指令;
3、在Sun JDK中提供的Java编译器(javac)的基础上完成,编译和混淆一体完成,不需要先生成class文件再混淆;
4、提供了Eclipse的插件,能够直接在Eclipse中使用Jocky。
缺点:
1、混淆选项粒度较粗,使用中可能要在具体代码中添加@preserve指令来实现,工作量大;
2、没有控制流混淆。
三、Allatori 3.1_demo
Allatori属于第二代混淆器,具有全方位保护你的知识产权的能力。Allatori具有以下几种保护方式:命名混淆,流混淆,调试信息混淆,字符串编码,以及水印技术。对于教育和非商业项目来说这个混淆器是免费的。2.1版本支持war和ear文件格式,并且允许对需要混淆代码的应用程序添加有效日期。
Jad反编译混淆后class得到的代码:
public class SimpleBean
implements Serializable
{
public void init_public()
{
d.add(c.k("{u{0"));
int i = 1;
goto _L1
_L3:
H(i);
++i;
_L1:
4;
JVM INSTR icmplt 21;
goto _L2 _L3
_L2:
}
public void SimpleBean()
{
d = new ArrayList(4);
}
private void H(int a)
{
d.add(c[a]);
}
public SimpleBean()
{
d = null;
}
private void H(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String c[] = {
c.k("\177q\177te"), c.k("\177q\177td"), c.k("\177q\177tg"), c.k("\177q\177tf")
};
private List d;
}
注:c.k是为进行字符串加密额外生成的类c的静态方法。
优点:
1、设计考虑了库文件混淆的使用场景;
2、使用文档详尽,混淆选项配置文件的编写示例多;
3、除符号混淆外,还使用了两种高级的混淆手段:控制混淆(改写了for循环)和字符串加密(String数组初始化);
4、混淆选项粒度较细,支持本地方法的保护等;
5、支持水印技术,允许对需要混淆的代码添加有效日期;
6、支持j2me;
缺点:
1、商业软件(价格附后),对教育和非商业用途免费(网站链接是http://www.allatori.com/price.html)。
附:价格情况
SINGLE DEVELOPER LICENSE
1 license $290
2-5 licenses $260
6-10 licenses $230
11+ licenses $200
SITE LICENSE $3750
BUSINESS LICENSE $4850
ANNUAL SUPPORT UPDATE $45
四、Zelix KlassMaster(ZKM)
Zelix KlassMaster是一个来自Zelix Pty Ltd的商业混淆器。官方文档中关于它的混淆特性的介绍很少。它的保护功能非常强大,可以进行符号混淆和控制混淆,支持字符串的复杂加密保护,堆栈混乱,支持异常重构,支持增量混淆,支持J2ME。Zelix KlassMaster提供试用版本,可以到http://www.zelix.com下载。
五、DashO Pro
DashO Pro 是由Preemptive Solutions开发的商业化的混淆器. 免费的评估版可以到http://www.preemptive.com下载。DashO Pro代码保护能力强大易用,方便灵活(商业软件,非开源)。该Java混淆器是Sun的选择,对于企业级应用,作为其Java开发包的一部分,Sun微系统使用DashO Pro来混淆其加密库。DashO Pro能够对ID进行重新命名,使之成为毫无意义的字符;混淆元数据;改变控制流等,所有这些操作使得java代码被混淆,难于理解。产品特点包括:
领先的Java源码保护机制;
运用专利Overload-Inction技术对包/类/方法/域进行重命名;
高级的流程控制混淆机制;
字符串加密技术;
防止反编译器生成有用的输出;
水印软件;
提高Java源码效率;
不采用类/方法/域,全面移除常数存储库;
类/方法级别的优化,以提高JIT效果;
动态加载检测到的类;
全面高效的Java源码的拓展和部署;
支持所有的JDK版本 (JSE, J2EE, J2ME, etc)包括1.5;
自动堆栈跟踪转换;
在指定路径打包或者java jars;
支持任何打包类型的Java内容——程序、库、applets程序、小服务器程序、EJB等;支持基于J2ME CLDC的架构,包括MIDP和 iAppli;
支持CLDC预检验库中的类;
可以从指定路径、Zip压缩包或者jars中提取;
支持导出100%纯粹的Java,并提供验证;
命令行接口适合集成到构建环境内;
基于XML的配置文件,易于使用;
全面准确的PDF格式用户指南。
F. java 代码混淆 用什么命令
Jocky的下载和配置
OperaMasks上的下载链接已经失效,请移步CSDN自行搜索下载
1、下载完成后解压得到名为org.apusic.jocky_1.0.3的文件夹,把这个文件夹放到eclipse根目录的plugins文件夹下(myeclipse和eclipse同理)。
2、重启eclipse,右键一个工程文件,出现Jocky选项说明OK。
3、一般是先进行设置-Jocky Settings,然后进行Jocky Now!。以下是settings界面
Enable Jocky多选框选中
Jocky build file是在项目创建一个xml文件,根据里面的配置进行混淆
Scramble level是进行混淆的代码等级,有none、private、package、protected、public、all,将根据设置对java文件中的相应修饰符修饰的方法代码进行混淆
Target VM是java虚拟机的版本,有1.4和1.5,一般选择1.5
Output directory是输出文件夹,在项目根目录下
点击确认会自动根据项目的设置生成xml文件
4、jocky_build.xml,实际上是一个ant build文件,由系统自动生成,有几处需要说明
<pathelement location="bin"/> <pathelement location="XXX.jar"/>这类标签代表项目编译所需的jar包,由于是自动生成一般不用理睬,如果出现找不到相关的package之类的报错,那么有可能是location路径有问题。如果你安装系统时是用户名设置成了中文名,并且使用了maven,maven的jar包的下载路径设置成了默认${user}/.m2/repository/,那么jocky这里的路径会出现问题,中文名的用户名会乱码或者消失,请修改maven配置xml文件修改下载路径<localRepository>[自己指定的路径]</localRepository> 。
<javac destdir="${jocky.output.dir}/bin" target="${target}" encoding="UTF-8" > 代码中如果有中文名,必须手动设定编码,默认是没有的。
<src path="src"/> 设定源文件的目录,因为有时候我们只想输出src目录下的部分包而不是全部。
G. 求最新,好用的java混淆工具
我用yguard,我觉得还行,至少混淆后,反编译出来的东西基本没法看,而且网上的教程极多。