代码编译安全之classfinal-maven-plugin插件
ClassFinal-maven-plugin插件是一个用于加密Java字节码的工具开源地址官网:ClassFinal: Java字节码加密工具 (目前已经暂停维护了)
工作原理
ClassFinal-maven-plugin插件通过调用Java Native
Interface(JNI)实现对Java字节码的加密。具体来说,它会在编译阶段对类文件进行肴杂和加密,然后在运行时动态解密这些类文件。
首先,插件会遍历项目中的全部类文件,并对其进行肴杂处置惩罚。肴杂过程包括重命名类名、方法名、字段名以及改变控制流结构等,目的是使反编译后的代码难以阅读。
接着,插件会对肴杂后的类文件进行加密处置惩罚。加密过程采用了一种名为CFProtect的算法,该算法基于AES加密标准,具有较高的安全性。加密后的类文件存储为二进制格式,不能直接被Java假造机加载。当class被classloader加载时,真正的方法体会被解密注入
。运用的是Java Agent可以去实现字节码插桩、动态跟踪分析。好比skywalking、arms等就是Java Agent技能。
末了,插件会生成一个署理模块(agent module),该模块负责在应用程序启动时加载,并负责解密加密的类文件。署理模块采用JVMTI(Java
Virtual Machine Tool Interface)技能实现,可以在运行时监控和控制Java假造机的举动。
加密结果
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接实行
5.无暗码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar
6.有暗码启动方式,java-javaagent:xxx-encrypted.jar=‘-pwd=暗码’-jarxxx-encrypted.jar __
加密方法
直接增长插件即可,写在Springboot的spring-boot-maven-plugin后面即可,注意修改要加密的packages配置
<plugin>
<!--
1.加密后,方法体被清空,保留方法参数、注解等信息.主要兼容swagger文档注解扫描
2.方法体被清空后,反编译只能看到方法名和注解,看不到方法体的具体内容
3.加密后的项目需要设置javaagent来启动,启动过程中解密class,完全内存解密,不留下任何解密后的文件
4.启动加密后的jar,生成xxx-encrypted.jar,这个就是加密后的jar文件,加密后不可直接执行
5.无密码启动方式,java-javaagent:xxx-encrypted.jar-jarxxx-encrypted.jar
6.有密码启动方式,java-javaagent:xxx-encrypted.jar='-pwd=密码'-jarxxx-encrypted.jar
-->
<!-- https://gitee.com/roseboy/classfinal -->
<groupId>net.roseboy</groupId>
<artifactId>classfinal-maven-plugin</artifactId>
<version>1.2.1</version>
<configuration>
<password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
<!--packages配置要加入的包名,会把下面的所有类加密-->
<packages>com.yulang.proguard.demo.utils,com.yulang.proguard.demo.controller</packages>
<!-- <cfgfiles>application.properties</cfgfiles>-->
<excludes>org.spring</excludes>
<!-- <libjars>a.jar,b.jar</libjars>-->
</configuration>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>classFinal</goal>
</goals>
</execution>
</executions>
</plugin>
实践
加密的结果,将全部的方法内容都清空了
应用启动 方法:
java -javaagent:proguard-demo-1.0-SNAPSHOT-encrypted.jar -jar proguard-demo-1.0-SNAPSHOT-encrypted.jar
题目
启动报错
17:39:11.916 DEBUG org.springframework.context.annotation.AnnotationConfigApplicationContext - Refreshing org.springframework.context.annotation.AnnotationConfigApplicationContext@7b9a4292
17:39:11.923 DEBUG org.springframework.beans.factory.support.DefaultListableBeanFactory - Creating shared instance of singleton bean 'org.springframework.context.annotation.internalConfigurationAnnotationProcessor'
17:39:11.949 ERROR org.springframework.boot.SpringApplication - Application run failed
java.lang.IllegalArgumentException: No auto configuration classes found in META-INF/spring.factories. If you are using a custom packaging, make sure that file is correct.
at org.springframework.util.Assert.notEmpty(Assert.java:470)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getCandidateConfigurations(AutoConfigurationImportSelector.java:180)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector.getAutoConfigurationEntry(AutoConfigurationImportSelector.java:123)
at org.springframework.boot.autoconfigure.AutoConfigurationImportSelector$AutoConfigurationGroup.process(AutoConfigurationImportSelector.java:434)
at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGrouping.getImports(ConfigurationClassParser.java:879)
at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorGroupingHandler.processGroupImports(ConfigurationClassParser.java:809)
at org.springframework.context.annotation.ConfigurationClassParser$DeferredImportSelectorHandler.process(ConfigurationClassParser.java:780)
at org.springframework.context.annotation.ConfigurationClassParser.parse(ConfigurationClassParser.java:192)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.processConfigBeanDefinitions(ConfigurationClassPostProcessor.java:331)
at org.springframework.context.annotation.ConfigurationClassPostProcessor.postProcessBeanDefinitionRegistry(ConfigurationClassPostProcessor.java:247)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanDefinitionRegistryPostProcessors(PostProcessorRegistrationDelegate.java:311)
at org.springframework.context.support.PostProcessorRegistrationDelegate.invokeBeanFactoryPostProcessors(PostProcessorRegistrationDelegate.java:112)
at org.springframework.context.support.AbstractApplicationContext.invokeBeanFactoryPostProcessors(AbstractApplicationContext.java:746)
at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:564)
at org.springframework.boot.SpringApplication.refresh(SpringApplication.java:745)
at org.springframework.boot.SpringApplication.refreshContext(SpringApplication.java:420)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:307)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1317)
at org.springframework.boot.SpringApplication.run(SpringApplication.java:1306)
at com.yulang.proguard.demo.ProguardApp.main(ProguardApp.java:19)
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
at java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
at java.base/java.lang.reflect.Method.invoke(Method.java:566)
at org.springframework.boot.loader.MainMethodRunner.run(MainMethodRunner.java:49)
at org.springframework.boot.loader.Launcher.launch(Launcher.java:108)
at org.springframework.boot.loader.Launcher.launch(Launcher.java:58)
at org.springframework.boot.loader.JarLauncher.main(JarLauncher.java:88)
办理办法,解释掉application的加密和jar包加密就好了
测试
测试启动过程中,除了增长点启动日志,并无什么影响,对于业务日志也没有影响
https://i-blog.csdnimg.cn/blog_migrate/5f2208338eaa7c88898e1d074507553c.png
可以看到日志的行号也不会做任何的变动 ,相比较商用Allatori肴杂,默认会肴杂行号,导致日志排查起来相当困难
https://i-blog.csdnimg.cn/blog_migrate/87f8c8d504a6f2e140a9e4dbe4cff35b.png
缺点
通过dump仍旧能看到源码,但是相对来说,增长了破解的难度
加密解密开销:每次加载类时都需要进行解密利用,这会增长额外的CPU盘算时间。如果加密算法复杂度较高,解密过程大概会成为性能瓶颈。
内存消耗:加密后的类文件大概占用更多存储空间,而且在运行时需要更多的内存来存放解密后的字节码数据。
类加载时间:由于增长了解密环节,类加载的时间会有所增长,特别是在启动阶段或大量类需要加载的时间,大概会感受到明显的耽误。
JIT编译:Java假造机(JVM)通常会对热点代码进行即时(Just-In-
Time,JIT)编译优化以进步实行效率。加密后,JVM大概无法直接辨认并优化这些代码,从而影响实行速度。
目前已经暂停维护了,后期如果存在题目,需要自己修复
扩展
多模块项目,只需要在对应模块配置相应的jar包即可
<libjars>
呆板绑定
获取呆板码jar包:classfinal-fatjar-1.2.1.jar
下载地址:<https://repo1.maven.org/maven2/net/roseboy/classfinal-
fatjar/1.2.1/classfinal-fatjar-1.2.1.jar>
呆板绑定只答应加密的项目在特定的呆板上运行;
在需要绑定的呆板上实行以下下令,生成呆板码
java -jar classfinal-fatjar-1.2.1.jar -C
加密时用-code指定呆板码。呆板绑定可同时支持呆板码+暗码的方式加密。
https://i-blog.csdnimg.cn/blog_migrate/f0ad4469065c159170123744a198bae0.png
如果拷贝到其他呆板上运行,则会报错
https://i-blog.csdnimg.cn/blog_migrate/476bd688f40c99b627daea4e1bc9467c.png
启动加密后的jar
java -javaagent:yourpaoject-encrypted.jar='-pwd 0000000' -jar yourpaoject-encrypted.jar
//参数说明
// -pwd 加密项目的密码
// -pwdname环境变量中密码的名字
插件中配置的密码
<password>#</password><!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
跋文
其他原理雷同:https://github.com/core-lib/xjar
末了
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,本领越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技能文档(最全中文版)
③项目源码(四五十个风趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习门路图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023暗码学/隐身术/PWN技能手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里
页:
[1]