代码编译安全之classfinal-maven-plugin插件

见贤思齐

ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具开源地址官网：ClassFinal:Java字节码加密工具 （目前已经暂停维护了）工作原理        ClassFinal-maven-plugin插件通过调用JavaNativeInterface（JNI）实现对Java字节码的加密。具体来说，它会在编译阶段对类文件进行混淆和加密，然后在运行时动态解密这些类文件。        首先，插件会遍历项目中的所有类文件，并对其进行混淆处理。混淆过程包括重命名类名、方法名、字段名以及改变控制流结构等，目的是使反编译后的代码难以阅读。        接着，插件会对混淆后的类文件进行加密处理。加密过程采用了一种名为CFProtect的算法，该算法基于AES加密标准，具有较高的安全性。加密后的类文件存储为二进制格式，不能直接被Java虚拟机加载。当class被classloader加载时，真正的方法体会被解密注入。运用的是JavaAgent可以去实现字节码插桩、动态跟踪分析。比如skywalking、arms等就是JavaAgent技术。        最后，插件会生成一个代理模块（agentmodule），该模块负责在应用程序启动时加载，并负责解密加密的类文件。代理模块采用JVMTI（JavaVirtualMachineToolInterface）技术实现，可以在运行时监控和控制Java虚拟机的行为。加密效果1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar加密方法直接增加插件即可，写在Springboot的spring-boot-maven-plugin后面即可，注意修改要加密的packages配置 net.roseboy1.2.1 # com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controllerorg.spring packageclassFinal实践加密的效果，将所有的方法内容都清空了应用启动方法：java-javaagent:proguard-demo-1.0-SNAPSHOT-encrypted.jar-jarproguard-demo-1.0-SNAPSHOT-encrypted.jar问题启动报错17:39:11.916[main]DEBUGorg.springframework.context.annotation.AnnotationConfigApplicationContext-Refreshingorg.springframework.context.annotation.AnnotationConfigApplicationContext@7b9a429217:39:11.923[main]DEBUGorg.springframework.beans.factory.support.DefaultListableBeanFactory-Creatingsharedinstanceofsingletonbean'org.springframework.context.annotation.internalConfigurationAnnotationProcessor'17:39:11.949[main]ERRORorg.springframework.boot.SpringApplication-Applicationrunfailedjava.lang.IllegalArgumentException:NoautoconfigurationclassesfoundinMETA-INF/spring.factories.Ifyouareusingacustompackaging,makesurethatfileiscorrect.atorg.springframework.util.Assert.notEmpty(Assert.java:470)atorg.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getCandidateConfigurations(AutoConfigurationImportSelector.java:180)atorg.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getAutoConfigurationEntry(AutoConfigurationImportSelector.java:123)atorg.springframework.boot.autoconfigure.AutoConfigurationImportSelector$AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434)atorg.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGrouping.getImports(ConfigurationClassParser.java:879)atorg.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809)atorg.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorHandler.process(ConfigurationClassParser.java:780)atorg.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:192)atorg.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:331)atorg.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:247)atorg.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:311)atorg.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:112)atorg.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:746)atorg.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:564)atorg.springframework.boot.SpringApplication.refresh(SpringApplication.java:745)atorg.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:420)atorg.springframework.boot.SpringApplication.run(SpringApplication.java:307)atorg.springframework.boot.SpringApplication.run(SpringApplication.java:1317)atorg.springframework.boot.SpringApplication.run(SpringApplication.java:1306)atcom.yulang.proguard.demo.ProguardApp.main(ProguardApp.java:19)atjava.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(NativeMethod)atjava.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)atjava.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)atjava.base/java.lang.reflect.Method.invoke(Method.java:566)atorg.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:49)atorg.springframework.boot.loader.Launcher.launch(Launcher.java:108)atorg.springframework.boot.loader.Launcher.launch(Launcher.java:58)atorg.springframework.boot.loader.JarLauncher.main(JarLauncher.java:88)解决办法，注释掉application的加密和jar包加密就好了测试测试启动过程中，除了增加点启动日志，并无什么影响，对于业务日志也没有影响可以看到日志的行号也不会做任何的变更 ，相比较商用Allatori混淆，默认会混淆行号，导致日志排查起来相当困难缺点通过dump仍然能看到源码，但是相对来说，增加了破解的难度加密解密开销：每次加载类时都需要进行解密操作，这会增加额外的CPU计算时间。如果加密算法复杂度较高，解密过程可能会成为性能瓶颈。内存消耗：加密后的类文件可能占用更多存储空间，并且在运行时需要更多的内存来存放解密后的字节码数据。类加载时间：由于增加了解密环节，类加载的时间会有所增加，特别是在启动阶段或大量类需要加载的时候，可能会感受到明显的延迟。JIT编译：Java虚拟机（JVM）通常会对热点代码进行即时（Just-In-Time，JIT）编译优化以提高执行效率。加密后，JVM可能无法直接识别并优化这些代码，从而影响执行速度。目前已经暂停维护了，后期如果存在问题，需要自己修复扩展多模块项目，只需要在对应模块配置相应的jar包即可机器绑定获取机器码jar包：classfinal-fatjar-1.2.1.jar 下载地址：https://repo1.maven.org/maven2/net/roseboy/classfinal-fatjar/1.2.1/classfinal-fatjar-1.2.1.jar机器绑定只允许加密的项目在特定的机器上运行；在需要绑定的机器上执行以下命令，生成机器码java-jarclassfinal-fatjar-1.2.1.jar-C加密时用-code指定机器码。机器绑定可同时支持机器码+密码的方式加密。如果拷贝到其他机器上运行，则会报错启动加密后的jarjava-javaagent:yourpaoject-encrypted.jar='-pwd0000000'-jaryourpaoject-encrypted.jar//参数说明//-pwd加密项目的密码//-pwdname环境变量中密码的名字插件中配置的密码 #后记其他原理类似：https://github.com/core-lib/xjar