分享
 
 
 

如何有效的保护JAVA程序

王朝java/jsp·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

目前关于Java程序的加密方式不外乎JAVA模糊处理(Obfuscator)和运用ClassLoader方法进行加密处理这两种方式(其他的方式亦有,但大多是这两种的延伸和变异)。这两种方式不管给JAVA反编译器造成多少困难, 究竟还是有迹可寻,有机可乘的。本文介绍的方法是对ClassLoader方式加密处理的一种改进,使之达到传统二进制程序代码安全。

第一章 流行的加密方式简介

关于JAVA程序的加密方式,一直以来都是以JAVA模糊处理(Obfuscator)为主。这方面的研究结果也颇多,既有模糊器(如现在大名鼎鼎的JODE),也有针对反编译器的"炸弹"(如针对反编译工具Mocha的 "炸弹" Crema和HoseMocha)。模糊器,从其字面上,我们就可以知道它是通过模糊处理JAVA代码,具体的说,就是更换变量名,函数名,甚至类名等方法使其反编译出来的代码变得不可理解。举个例子来说吧。

先将将下面源代码编译成class文件。

public class test

int sortway;

void sort(Vector a)

{

……

}

void setSortWay(int way)

{

……

}

void sort(Vector a, int way)

{

……

}

后通过JODE进行模糊处理后,反编译过来后, 可能变成下列代码。

public class OoOoooOo0Oo0O

int OoOo0oOo0Oo0O;

void OoO0ooOo0Oo0O (Vector OoOoo0Oo0OoOO)

{

……

}

void OoOo00oOoOo0O (int Oo0oooOo0Oo0O)

{

……

}

void OoO0ooOo0Oo0O (Vector OoOoo0Oo0OoOO, int Oo0oooOo0Oo0O)

{

OoOo00oOoOo0O (Oo0oooOo0Oo0O);

OoO0ooOo0Oo0O (OoOoo0Oo0OoOO);

}

其实这只是做到了视觉上的处理,其业务逻辑却依然不变,加以耐心,仍是可以攻破的,假如用在用户身份验证等目的上,完全可以找到身份验证算法而加以突破限制。

而所谓的"炸弹"是针对反编译工具本身的缺陷,这种方法对于特定的反编译工具是非常有效的,然而到目前为止,还没有一个全能型的,对每一种反编译工具皆有效,其局限性是明显的!

另一种方法是采用ClassLoader加密。JAVA虚拟机通过一个称为ClassLoader的对象装来载类文件的字节码,而ClassLoader是可以由JAVA程序自己来定制的。ClassLoader是如何装载类的呢?ClassLoader根据类名在jar包中找到该类的文件,读取文件,并把它转换成一个Class对象。该方法的原理就是,对需加密的类文件我们先行采用一定的方法(可以是PGP, RSA, MD5等方法)进行加密处理,我们可以在读取文件之后,进行解密后,再转换成一个Class对象。

关于ClassLoader工作方式的具体介绍就不在此一一述说了,前面已有文章专题讨论了。

有没有发现,该方法并未解决ClassLoader本身的安全性? 显然,只要反编译了该ClassLoader类,就可以顺藤摸瓜找到其它的类了。可见ClassLoader本身"明码"方式仍然造成一定的不安全性,然而,假如该方法解决了ClassLoader本身的安全性,其不失为一个比较好安全方案。

第二章 ClassLoader加密方式改进

JAVA程序是通过java.exe/javaw.exe来启动的,要对ClassLoader进行解密处理,只能从java.exe/javaw.exe身上着手。

我们先来考察一下JDK的发布路径, 发现JDK的每一个版本都提供了src.jar,用WinZip打开看看, 可以看到一个launcher的路径,里面包含的就是java.exe/javaw.exe的程序代码。哈哈, 这下我们可以随心所欲了。:-)打开java.c看看,里面有一段, 如下:

jstring mainClassName = GetMainClassName(env, jarfile);

if ((*env)->ExceptionOccurred(env)) {

(*env)->ExceptionDescribe(env);

goto leave;

}

if (mainClassName == NULL) {

fprintf(stderr, "Failed to load Main-Class manifest attribute "

"from %s ", jarfile);

goto leave;

}

classname = (char *)(*env)->GetStringUTFChars(env, mainClassName, 0);

if (classname == NULL) {

(*env)->ExceptionDescribe(env);

goto leave;

}

mainClass = LoadClass(env, classname);

(*env)->ReleaseStringUTFChars(env, mainClassName, classname);

} else {

mainClass = LoadClass(env, classname);

}

if (mainClass == NULL) {

(*env)->ExceptionDescribe(env);

status = 4;

goto leave;

}

其中,函数LoadClass见下:

static jclass

LoadClass(JNIEnv *env, char *name)

{

char *buf = MemAlloc(strlen(name) + 1);

char *s = buf, *t = name, c;

jclass cls;

jlong start, end;

if (debug)

start = CounterGet();

do {

c = *t++;

*s++ = (c == ′.′) ? ′/′ : c;

} while (c != ′

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有