Jar包混淆加密

背景

⼀般公司开发的项⽬上线前都会做安全审核，为了保护⼀些私密代码和⼀些敏感信息，均需要加密处理，⽐如各种密码、license处理的等，就⽤到jar包混淆。

混淆⼯具

jar包混淆⼯具挺多的，实现原理不尽相同，这⾥使⽤的，

classfinal介绍

ClassFinal是⼀款java class⽂件安全加密⼯具，⽀持直接加密jar包或war包，⽆需修改任何项⽬代码，兼容spring-framework；可避免源码泄漏或字节码被反编译。

Gitee:

项⽬模块说明

classfinal-core: ClassFinal的核⼼模块，⼏乎所有加密的代码都在这⾥；classfinal-fatjar: ClassFinal打包成独⽴运⾏的jar包；classfinal-maven-plugin: ClassFinal加密的maven插件；

功能特性

⽆需修改原项⽬代码，只要把编译好的jar/war包⽤本⼯具加密即可。运⾏加密项⽬时，⽆需求修改tomcat，spring等源代码。

⽀持普通jar包、springboot jar包以及普通java web项⽬编译的war包。

⽀持spring framework、swagger等需要在启动过程中扫描注解或⽣成字节码的框架。⽀持maven插件，添加插件后在打包过程中⾃动加密。⽀持加密WEB-INF/lib或BOOT-INF/lib下的依赖jar包。⽀持绑定机器，项⽬加密后只能在特定机器运⾏。⽀持加密springboot的配置⽂件。

环境依赖

JDK 1.8 +

使⽤说明

下载加密

执⾏以下命令

java -jar classfinal-fatjar.jar -file yourproject.jar -libjars a.jar,b.jar -packages com.yourpackage,com.yourpackage2 -exclude com.yourpackage.Main -pwd 123456 -Y参数说明

-file 加密的jar/war完整路径

-packages 加密的包名(可为空,多个⽤\分割)

-libjars jar/war包lib下要加密jar⽂件名(可为空,多个⽤\分割)

-cfgfiles 需要加密的配置⽂件，⼀般是classes⽬录下的yml或properties⽂件(可为空,多个⽤\分割)-exclude 排除的类名(可为空,多个⽤\分割)

-classpath 外部依赖的jar⽬录，例如/tomcat/lib(可为空,多个⽤\分割)-pwd 加密密码，如果是#号，则使⽤⽆密码模式加密

-code 机器码，在绑定的机器⽣成，加密后只可在此机器上运⾏-Y ⽆需确认，不加此参数会提⽰确认以上信息

结果: ⽣成 yourpaoject-encrypted.jar，这个就是加密后的jar⽂件；加密后的⽂件不可直接执⾏，需要配置javaagent。

注: 以上⽰例是直接⽤参数执⾏，也可以直接执⾏ java -jar classfinal-fatjar.jar按照步骤提⽰输⼊信息完成加密。maven插件⽅式

在要加密的项⽬pom.xml中加⼊以下插件配置,⽬前最新版本是：1.2.1。

net.roseboy

classfinal-maven-plugin ${classfinal.version}

000000 com.yourpackage,com.yourpackage2 application.yml org.spring a.jar,b.jar

package

classFinal

运⾏mvn package时会在target下⾃动加密⽣成yourpaoject-encrypted.jar。maven插件的参数名称与直接运⾏的参数相同，请参考上节的参数说明。

⽆密码模式

加密时-pwd参数设为#，启动时可不⽤输⼊密码； 如果是war包，启动时指定参数 -nopwd，跳过输密码过程。

机器绑定

机器绑定只允许加密的项⽬在特定的机器上运⾏；在需要绑定的机器上执⾏以下命令，⽣成机器码

java -jar classfinal-fatjar.jar -C

加密时⽤-code指定机器码。机器绑定可同时⽀持机器码+密码的⽅式加密。

启动加密后的jar

加密后的项⽬需要设置javaagent来启动，项⽬在启动过程中解密class，完全内存解密，不留下任何解密后的⽂件。解密功能已经⾃动加⼊到 yourpaoject-encrypted.jar中，所以启动时-javaagent与-jar相同，不需要额外的jar包。启动jar项⽬执⾏以下命令：

java -javaagent:yourproject-encrypted.jar='-pwd 0000000' -jar yourproject-encrypted.jar//参数说明

// -pwd 加密项⽬的密码

// -pwdname 环境变量中密码的名字

或者不加pwd参数直接启动，启动后在控制台⾥输⼊密码，推荐使⽤这种⽅式：

java -javaagent:yourpaoject-encrypted.jar -jar yourproject-encrypted.jar

使⽤nohup命令启动时，如果系统⽀持gui，会弹出输⼊密码的界⾯，如果是纯命令⾏下，不⽀持gui，则需要在同级⽬录下的classfinal.txt或yourpaoject-encrypted.classfinal.txt中写⼊密码，项⽬读取到密码后会清空此⽂件。密码读取顺序已经改为：参数获取密码||环境变量获取密码||密码⽂件获取密码||控制台输⼊密码||GUI输⼊密码||退出

tomcat下运⾏加密后的war

将加密后的war放在tomcat/webapps下， tomcat/bin/catalina 增加以下配置:

//linux下 catalina.sh

CATALINA_OPTS=\"$CATALINA_OPTS -javaagent:classfinal-fatjar.jar='-pwd 0000000'\";export CATALINA_OPTS;

//win下catalina.bat

set JAVA_OPTS=\"-javaagent:classfinal-fatjar.jar='-pwd 000000'\"//参数说明

// -pwd 加密项⽬的密码

// -nopwd ⽆密码加密时启动加上此参数，跳过输密码过程// -pwdname 环境变量中密码的名字

本⼯具使⽤AES算法加密class⽂件，密码是保证不被破解的关键，请保存好密码，请勿泄漏。

密码⼀旦忘记，项⽬不可启动且⽆法恢复，请牢记密码。

本⼯具加密后，原始的class⽂件并不会完全被加密，只是⽅法体被清空，保留⽅法参数、注解等信息，这是为了兼容spring，swagger等扫描注解的框架； ⽅法体被清空后，反编译者只能看到⽅法名和注解，看不到⽅法的具体内容；当class被classloader加载时，真正的⽅法体会被解密注⼊。

为了保证项⽬在运⾏时的安全，启动jvm时请加参数: -XX:+DisableAttachMechanism 。