Jar 包加密

2023-04-16 16:07:43 浏览数 (3)

Jar 包加密

一、分类

主流的加密方式有两种:

  1. 字节码混淆
  2. 字节码转换

1.1 字节码混淆

字节码混淆就是对类名、字段名、方法名进行替换,让其变得无意义,使其他人反编译后很难读懂,但并不影响逻辑。

1.2 字节码转换

字节码转换是指对编译后的class文件进行加密,在类加载的时候再解密。加密直接使用加密算法;解密通过类加载器,基于-agentJava:xxx.jar,通过Premain-ClassInstrumentation注入ClassFileTransformer,然后在ClassFileTransformer中解密。

代码混淆,上手最简单,加密级别比较低,也容易解析;字节码转换相对加密安全系数较高,所以我们采用后者进行加密。

二、开源框架

字节码转换方式有两个主流的开源框架:

  1. XJar
  2. ClassFinal

2.1 XJar

可以避免源码泄露以及反编译。该项目的实现方式是对class文件完全加密,修改了jar中的META-INF/MANIFEST.MF,将原有的Main-Class修改为Jar-Main-Class,并增加Main-Class,启动Main-Class时,在原有类加载器的同级别中增加一个自定义的类加载器,通过该类加载器实现加密文件的解密,然后反射调用Jar-Main-Class对应类的main方法去启动应用。支持SpringBoot应用。

2.2 ClassFinal

整体不错,对SpringBoot支持也好,其逻辑就是基于-agentJava:xxx.jar这一套原理,加密时对class文件做了两次处理,一次是对class文件的字节码完全加密,一次是对class文件混淆,这个混淆是保留成员变量和方法,只对方法的内部实现进行隐藏;解密时,判断如果该类是自己加密过的,就找到加密的字节码进行解密,如果不是自己加密的就跳过。其对class文件混淆,就是方便SpringBoot这种三方框架直接分析class文件。

三、XJar实践

3.1 功能特性

  1. 无代码侵入,只需要把编译好的JAR包通过工具加密即可;
  2. 完全内存解密,降低源码和字节码泄露/反编译的风险;
  3. 支持所有JDK内置加解密算法;
  4. 动态生成Go启动器, 保护密码不泄露;

3.2 使用步骤

首先导入依赖:

代码语言:javascript复制
<project>
    <!-- 设置 jitpack.io 仓库 -->
    <repositories>
        <repository>
            <id>jitpack.io</id>
            <url>https://jitpack.io</url>
        </repository>
    </repositories>
    <!-- 添加 XJar 依赖 -->
    <dependencies>
        <dependency>
            <groupId>com.github.core-lib</groupId>
            <artifactId>xjar</artifactId>
            <version>4.0.2</version>
            <!-- <scope>test</scope> -->
        </dependency>
    </dependencies>
</project>

通过测试类对目标jar包进行加密处理:

代码语言:javascript复制
public class MainTest {
    public static void main(String[] args) throws Exception {
        XCryptos.encryption()
                .from("/Users/wshuo/Developer/demo1/target/demo1-0.0.1-SNAPSHOT.jar")
                .use("io.xjar")
                .include("/com/example/**/*.class")
                .to("/Users/wshuo/Downloads/encrypted.jar");
    }
}

其中use方法里的参数即为用于加密的密码。

可以得到三个文件:

  1. encrypted.jar
  2. xjar.go
  3. xjar_agentable.go

其中第二个是go编写的脚本文件,称之为go启动器,需要在有go开发环境的机器上编译:

代码语言:javascript复制
go build ./xjar.go

编译完成之后会得到一个xjar的可执行文件,如果是windows系统则为xjar.exe

代码语言:javascript复制
sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./demo1-0.0.1-SNAPSHOT.xjar

最后执行该可执行文件即可。

3.3 报错

执行xjar的时候发现报错:

代码语言:javascript复制
Exception in thread "main" java.lang.reflect.InaccessibleObjectException: Unable to make field private final jdk.internal.loader.URLClassPath java.net.URLClassLoader.ucp accessible: module java.base does not "opens java.net" to unnamed module @34340fab
	at java.base/java.lang.reflect.AccessibleObject.checkCanSetAccessible(AccessibleObject.java:354)
	at java.base/java.lang.reflect.AccessibleObject.checkCanSetAccessible(AccessibleObject.java:297)
	at java.base/java.lang.reflect.Field.checkCanSetAccessible(Field.java:178)
	at java.base/java.lang.reflect.Field.setAccessible(Field.java:172)
	at io.xjar.reflection.XReflection.field(XReflection.java:20)
	at io.xjar.boot.XBootClassLoader.<init>(XBootClassLoader.java:41)
	at io.xjar.boot.XJarLauncher.createClassLoader(XJarLauncher.java:31)
	at org.springframework.boot.loader.ExecutableArchiveLauncher.createClassLoader(ExecutableArchiveLauncher.java:109)
	at org.springframework.boot.loader.Launcher.launch(Launcher.java:55)
	at io.xjar.boot.XJarLauncher.launch(XJarLauncher.java:26)
	at io.xjar.boot.XJarLauncher.main(XJarLauncher.java:22)
panic: exit status 1

网上给出相关错误原因,以及解决方案,但是未生效。

https://www.coder.work/article/61641

https://stackoverflow.com/questions/41265266

尝试了以下命令,都不行:

代码语言:javascript复制
sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./encrypted.jar
sudo ./xjar java --permit-illegal-access -jar ./encrypted.jar
sudo ./xjar java --illegal-access -jar ./encrypted.jar

报错如下:

代码语言:javascript复制
Unrecognized option: --illegal-access
Error: Could not create the Java Virtual Machine.
Error: A fatal exception has occurred. Program will exit.
panic: exit status 1

执行下面的命令:

代码语言:javascript复制
sudo ./xjar java --illegal-access=warn --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./encrypted.jar

这段命令的意思是,在启动虚拟机的时候,增加一个选项表示违法访问,出现以下提示信息:

代码语言:javascript复制
Java HotSpot(TM) 64-Bit Server VM warning: Ignoring option --illegal-access=warn; support was removed in 17.0

说明强制非法访问,已经在JDK17中移除了。不可以再使用illegal-access选项来访问JDK的内部元素。

出现这个错误的原因是JDK9往后引入了Java Platform Module System(模块化)的概念,每个模块都是强封装的,而我们启动JAR包需要用到反射去访问目标类,这里提示没有权限;那我们只能在命令里增加参数,来特定打开某些需要打开的包才能正常启动项目,下面的命令增加了启动参数,JAR包可以正常执行。

代码语言:javascript复制
sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED --add-opens java.base/java.lang=ALL-UNNAMED --add-opens java.base/java.net=ALL-UNNAMED -jar ./encrypted.jar

3.4 拓展

如果觉得以上加密操作很麻烦,还需要编写单元测试,XJar还提供了maven插件,可以在打包的同时对jar包进行加密。使用方法如下:

代码语言:javascript复制
<project>
    <!-- 设置 jitpack.io 插件仓库 -->
    <pluginRepositories>
        <pluginRepository>
            <id>jitpack.io</id>
            <url>https://jitpack.io</url>
        </pluginRepository>
    </pluginRepositories>
    <!-- 添加 XJar Maven 插件 -->
    <build>
        <plugins>
            <plugin>
                <groupId>com.github.core-lib</groupId>
                <artifactId>xjar-maven-plugin</artifactId>
                <version>4.0.2</version>
                <executions>
                    <execution>
                        <goals>
                            <goal>build</goal>
                        </goals>
                        <phase>package</phase>
                        <!-- 或使用
                        <phase>install</phase>
                        -->
                        <configuration>
                            <password>io.xjar</password>
                            <!-- optional
                            <algorithm/>
                            <keySize/>
                            <ivSize/>
                            <includes>
                                <include/>
                            </includes>
                            <excludes>
                                <exclude/>
                            </excludes>
                            <sourceDir/>
                            <sourceJar/>
                            <targetDir/>
                            <targetJar/>
                            -->
                        </configuration>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>
</project>

参数名称 命令参数名称 参数说明 类型 缺省值 示例值

password -Dxjar.password 密码字符串 String 必须 任意字符串, 123456

algorithm -Dxjar.algorithm 加密算法名称 String AES/CBC/PKCS5Padding DK内置加密算法, 如:AES/CBC/PKCS5Padding 和 DES/CBC/PKCS5Padding

keySize -Dxjar.keySize 密钥长度 int 128 根据加密算法而定, 56, 128, 256

ivSize -Dxjar.ivSize 密钥向量长度 int 128 根据加密算法而定, 128

sourceDir -Dxjar.sourceDir 源jar所在目录 File ${project.build.directory} 文件目录

sourceJar -Dxjar.sourceJar 源jar名称 String ${project.build.finalName}.jar 文件名称

targetDir -Dxjar.targetDir 目标jar存放目录 File ${project.build.directory} 文件目录

targetJar -Dxjar.targetJar 目标jar名称 String ${project.build.finalName}.xjar 文件名称

includes -Dxjar.includes 需要加密的资源路径表达式 String[] 无 o/xjar/** , mapper/*Mapper.xml , 支持Ant表达式

excludes -Dxjar.excludes 无需加密的资源路径表达式 String[] 无 static/** , META-INF/resources/** , 支持Ant表达式

AES一般指高级加密标准,它是当今使用最广泛的对称分组密码算法之一;DES算法为密码体制中的对称密码体制,又被称为美国数据加密标准。

加密操作的命令就简化为了:

代码语言:javascript复制
mvn xjar:build -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar

和打包操作一起:

代码语言:javascript复制
mvn clean install -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/encrypted

命令执行完成之后会在指定目录出现三个文件:

  1. demo1-0.0.1.xjar
  2. xjar.go
  3. xjar_agentable.go

继续编译go文件:

代码语言:javascript复制
go build ./xjar.go

编译完成之后得到一个xjar文件,执行下面的命令:

代码语言:javascript复制
sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED --add-opens java.base/java.lang=ALL-UNNAMED --add-opens java.base/java.net=ALL-UNNAMED -jar ./demo1-0.0.1.xjar

项目即可正常启动。

四、ClassFinal实践

4.1 功能特性

无需修改原项目代码,只要把编译好的 jar/war 包用本工具加密即可

加密后的 jar 包可直接使用命令运行

支持加密 WEB-INF/lib 或 BOOT-INF/lib 下的依赖 jar 包

支持机器码绑定,仅允许在指定机器上运行

支持加密配置文件

4.2 使用步骤

首先点击下载,得到一个 classfinal-fatjar-1.2.1.jar 文件。

然后执行加密操作:

代码语言:javascript复制
java -jar classfinal-fatjar-1.2.1.jar -file demo1-0.0.1.jar -packages com.example -pwd 123456 -Y

-Y 表示跳过人机交互的提示信息。

参数说明

代码语言:javascript复制
-file        加密的jar/war完整路径
-packages    加密的包名(可为空,多个用","分割)
-libjars     jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles    需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude     排除的类名(可为空,多个用","分割)
-classpath   外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
-pwd         加密密码,如果是#号,则使用无密码模式加密
-code        机器码,在绑定的机器生成,加密后只可在此机器上运行
-Y           无需确认,不加此参数会提示确认以上信息

执行命令:

代码语言:javascript复制
java -javaagent:demo1-0.0.1-encrypted.jar='-pwd 123456' -jar demo1-0.0.1-encrypted.jar

4.3 拓展

同样的,classfinal 也支持使用 maven 插件直接打包执行。

代码语言:javascript复制
<plugin>
    <!-- https://gitee.com/roseboy/classfinal -->
    <groupId>net.roseboy</groupId>
    <artifactId>classfinal-maven-plugin</artifactId>
    <version>1.2.1</version>
    <configuration>
        <password>123456</password>
        <!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
        <packages>com.example</packages>
        <cfgfiles>application.yml</cfgfiles>
        <!--<excludes>org.spring</excludes>-->
        <!--<libjars>a.jar,b.jar</libjars>-->
    </configuration>
    <executions>
        <execution>
            <phase>package</phase>
            <goals>
                <goal>classFinal</goal>
            </goals>
        </execution>
    </executions>
</plugin>

运行 mvn package 时会在 target 下自动加密生成 yourpaoject-encrypted.jar 。

前面提到的绑定机器码,可以使用以下命令在指定机器上获取机器码:

代码语言:javascript复制
java -jar classfinal-fatjar.jar -C

加密时用-code指定机器码。机器绑定可同时支持机器码 密码的方式加密。

和 XJar 方式相比,不需要依赖其他环境,加密后直接运行即可,更加方便快捷。

五、总结

道高一尺,魔高一丈;各种加密方式也只是增加逆向工程的难度。我们在实际使用中,在保护好加密密码的同时,也要用其他手段保护我们的项目。

而且这个 XJar ,使用 Google 搜索的第三条就是 Xjar加密解析

0 人点赞