java混淆之proguard
2019-09-28 本文已影响0人
cnzhanhao
最近一直想写点公共项目,但有的时候又不像别人拿到我们的源码,(拿到的jar包可以反编译),在此背景下产生了这个文章。
proguard的相关知识我就不多介绍了,下面来点我使用的一些记录
<build>
<plugins>
<plugin>
<!-- proguard混淆插件-->
<groupId>com.github.wvengen</groupId>
<artifactId>proguard-maven-plugin</artifactId>
<version>2.0.14</version>
<executions>
<execution>
<!-- 打包的时候开始混淆-->
<phase>package</phase>
<goals><goal>proguard</goal></goals>
</execution>
</executions>
<configuration>
<proguardVersion>${proguard.version}</proguardVersion>
<injar>${project.build.finalName}.jar</injar>
<!--输出的jar-->
<outjar>${project.build.finalName}.jar</outjar>
<!-- 是否混淆-->
<obfuscate>true</obfuscate>
<options>
<option>-target 1.8</option> <!--指定java版本号-->
<option>-dontshrink</option> <!--默认开启,不做收缩(删除注释、未被引用代码)-->
<option>-dontoptimize</option><!--默认是开启的,这里关闭字节码级别的优化-->
<option>-adaptclassstrings</option><!--混淆类名之后,对使用Class.forName('className')之类的地方进行相应替代-->
<option>-ignorewarnings</option><!-- 忽略warn消息,如果提示org.apache.http.* 这个包里的类有问题,那么就加入下述代码:-keep class org.apache.http.** { *; } -dontwarn org.apache.http.**-->
<option>-keep class org.apache.logging.log4j.util.* { *; }</option>
<option>-dontwarn org.apache.logging.log4j.util.**</option>
<option>-keepattributes Exceptions,InnerClasses,Signature,Deprecated,SourceFile,LineNumberTable,*Annotation*,EnclosingMethod</option><!--对异常、注解信息在runtime予以保留,不然影响springboot启动-->
<!--不混淆所有interface接口-->
<option>-keepnames interface **</option>
<option>-keepclassmembers enum * { *; }</option><!--保留枚举成员及方法-->
<option>-keepparameternames</option>
<option>-keepclasseswithmembers public class * {
public static void main(java.lang.String[]);}</option> <!--保留main方法的类及其方法名-->
<!--忽略note消息,如果提示javax.annotation有问题,那麽就加入以下代码-->
<option>-dontnote javax.annotation.**</option>
<option>-dontnote sun.applet.**</option>
<option>-dontnote sun.tools.jar.**</option>
<option>-dontnote org.apache.commons.logging.**</option>
<option>-dontnote javax.inject.**</option>
<option>-dontnote org.aopalliance.intercept.**</option>
<option>-dontnote org.aopalliance.aop.**</option>
<option>-dontnote org.apache.logging.log4j.**</option>
<option>-dontnote module-info</option>
<!--入口程序类不能混淆,混淆会导致springboot启动不了-->
<option>-keep class com.kafang.atgo.restful.WebApp</option>
<option>-keep class com.cnzh.sms.SmsAutoConfiguration</option>
<option>-keepclassmembers class com.kafang.atgo.restful.WebApp{ *;}</option>
<option>-keep interface * extends * { *; }</option>
<!--不混淆所有类,保存原始定义的注释-->
<option>-keepclassmembers class * {
@org.springframework.beans.factory.annotation.Autowired *;
@org.springframework.beans.factory.annotation.Value *;
}
</option>
</options>
<libs>
<!-- 添加依赖 java8-->
<lib>${java.home}/lib/rt.jar</lib>
<lib>${java.home}/lib/jce.jar</lib>
</libs>
</configuration>
<dependencies>
<!-- https://mvnrepository.com/artifact/net.sf.proguard/proguard-base -->
<dependency>
<groupId>net.sf.proguard</groupId>
<artifactId>proguard-base</artifactId>
<version>${proguard.version}</version>
</dependency>
</dependencies>
</plugin>
</plugins>
</build>
其实上面的大部分配置都是网上找到的,只需要根据实际情况增加一点特殊情况就可以。
在我的场景中,我拿发短信这个小starter来做测试。
因为spring boot starter需要注入,如果把这个注入配置类混淆后,就没发使用了。(或者你把spring.factories这个文件里面的内容也按照混淆处理)
在这里就需要把注入的这个配置类放行,即
<option>-keep class com.cnzh.sms.SmsAutoConfiguration</option>
接口被放行了,配置类也放行了,然后使用这个jar包就是和普通的一样了,没有任何区别,只是别人就不好看你的源码了
image.png
嗯,很好,鬼知道上面abcd是啥意思,是不是与其看源码还不如再写一套?恩恩,要的就是这个效果!
