0

1 つの Java プログラムを保護しようとしています。CodeGuard を使用していますが、逆コンパイラを CAJAV として使用すると、プログラムのすべてのコードを見ることができます。私はmaven2を使用しています。

MAVEN でこの pom.xml を使用します。

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.templaries</groupId>
  <artifactId>CISExtractor</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>jar</packaging>

  <name>CISExtractor</name>
  <url>http://maven.apache.org</url>
    <build>
        <plugins>   
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.0.2</version>
                <configuration>
                    <source>1.6</source>
                    <target>1.6</target>
                </configuration>
            </plugin>      
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-jar-plugin</artifactId>
                <configuration>
                <archive>
                <manifest>
                    <mainClass>${project.build.mainClass}</mainClass>
                    <addClasspath>true</addClasspath>
                </manifest>
                </archive>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.codehaus.mojo</groupId>
                <artifactId>exec-maven-plugin</artifactId>
                <version>1.1</version>
                <executions>
                <execution>
                <goals>
                <goal>java</goal>
                </goals>
                </execution>
                </executions>
                <configuration>
                <mainClass>${project.build.mainClass}</mainClass>
                </configuration>
            </plugin>
            <plugin>
                <groupId>com.pyx4me</groupId>
                <artifactId>proguard-maven-plugin</artifactId>
                <executions>
                   <execution>
                       <phase>package</phase>
                       <goals><goal>proguard</goal></goals>
                   </execution>
                </executions>
                <configuration>    
                    <obfuscate>true</obfuscate>
                    <options>                        
                        <option>-allowaccessmodification</option>                        
                        <option>-keep class ${project.build.mainClass} { *; }</option>
                    </options>          
                    <!--<injar>${project.build.finalName}.jar</injar>-->
                    <outjar>${project.build.finalName}-obfuscated.jar</outjar>                        
                    <libs>
                    <lib>${java.home}/lib/rt.jar</lib>
                    </libs>                      
                </configuration>
            </plugin>
        </plugins>
    </build>
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.build.mainClass>com.templaries.corteinglessupermarketextractor.App</project.build.mainClass>
    </properties>

  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>3.8.1</version>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.jsoup</groupId>
      <artifactId>jsoup</artifactId>
      <version>1.6.1</version>
      <type>jar</type>
    </dependency>
      <dependency>
          <groupId>net.sf.opencsv</groupId>
          <artifactId>opencsv</artifactId>
          <version>2.3</version>
      </dependency>
  </dependencies>
</project>
4

1 に答える 1

3

難読化は、人々が逆コンパイルするのを妨げることはありません...たとえば、メソッドやフィールドの名前を変更するなどして、元のソースコードが何であったかを推測するのが難しくなります。

どちらがわかりやすいですか

public long f1(List<Long> v1) { long v2=0; for (Long v3: v1) v2+=v3; return v2; }

また

public long calculateTotal(List<Long> values) {
    long runningTotal = 0;
    for (Long value: values) {
        runningTotal += value;
    return runningTotal;
}

あなたは最初のものが少しの努力で何をするかを理解することができます。行番号情報がなくても、あまり単純でない方法を扱うまで、理解が過度に妨げられることはありません。

しかし、ある程度の理解が必要なcalculateTotalときに、それが言っていることを正確に実行していると推測する方が簡単です。f1

難読化ツールが実際に実行できるのは、インターフェイスまたはスーパークラスコントラクトの一部として不要なメソッド名を削除し、デバッグ情報(行番号)を削除し、ローカルシンボルテーブル(ローカル変数名)を削除することだけです。また、未使用のメソッドを削除したり、パッケージ名を変更したりすることもできます。

誰かがあなたのコードをコピーするのを少しだけ妨げるでしょう。

次のことは、このすべての調整は、クラスの外部契約が破られることを意味する可能性があるということです。最も基本的な形式では、破ることができない外部契約が1つあります。それは、コードのエントリポイントです。

<option>-keep class ${project.build.mainClass} { *; }</option>プロジェクトのエントリポイントが外部向けのエントリポイントであることを難読化ツールに通知するために、パラメータを渡します。したがって、難読化ツールはその要求を尊重し、エントリポイントを保持します。

メインクラスに多くのコードがある場合、これは難読化ツールがそのコードを隠すことが少なくなることを意味します。

解決策は、コードをリファクタリングして、固定エントリポイントが単なるシムになるようにすることです。これにより、難読化ツールは他のすべてを自由に移動できます。

これが例です

public class ShimMain {
    public static void main(String[] args) {
        RealMain.main(args);
    }
}

上記は非常に小さいので、難読化されていないことを心配する必要はなく、難読化ツールは他のすべてを自由に動かすことができます。

それが止まるとは思わないでください...あるいはあなたのコーディングスタイルによっては、速度を落として、誰かがあなたのコードを逆にすることを決心しました。

于 2012-10-02T10:53:56.637 に答える