Jar 包加密
一、分类
主流的加密方式有两种:
- 字节码混淆
- 字节码转换
1.1 字节码混淆
字节码混淆就是对类名、字段名、方法名进行替换,让其变得无意义,使其他人反编译后很难读懂,但并不影响逻辑。
1.2 字节码转换
字节码转换是指对编译后的class文件进行加密,在类加载的时候再解密。加密直接使用加密算法;解密通过类加载器,基于-agentJava:xxx.jar,通过Premain-Class向Instrumentation注入ClassFileTransformer,然后在ClassFileTransformer中解密。
代码混淆,上手最简单,加密级别比较低,也容易解析;字节码转换相对加密安全系数较高,所以我们采用后者进行加密。
二、开源框架
字节码转换方式有两个主流的开源框架:
- XJar
- ClassFinal
2.1 XJar
可以避免源码泄露以及反编译。该项目的实现方式是对class文件完全加密,修改了jar中的META-INF/MANIFEST.MF,将原有的Main-Class修改为Jar-Main-Class,并增加Main-Class,启动Main-Class时,在原有类加载器的同级别中增加一个自定义的类加载器,通过该类加载器实现加密文件的解密,然后反射调用Jar-Main-Class对应类的main方法去启动应用。支持SpringBoot应用。
2.2 ClassFinal
整体不错,对SpringBoot支持也好,其逻辑就是基于-agentJava:xxx.jar这一套原理,加密时对class文件做了两次处理,一次是对class文件的字节码完全加密,一次是对class文件混淆,这个混淆是保留成员变量和方法,只对方法的内部实现进行隐藏;解密时,判断如果该类是自己加密过的,就找到加密的字节码进行解密,如果不是自己加密的就跳过。其对class文件混淆,就是方便SpringBoot这种三方框架直接分析class文件。
三、XJar实践
3.1 功能特性
- 无代码侵入,只需要把编译好的JAR包通过工具加密即可;
- 完全内存解密,降低源码和字节码泄露/反编译的风险;
- 支持所有JDK内置加解密算法;
- 动态生成Go启动器, 保护密码不泄露;
3.2 使用步骤
首先导入依赖:
代码语言:javascript复制<project>
<!-- 设置 jitpack.io 仓库 -->
<repositories>
<repository>
<id>jitpack.io</id>
<url>https://jitpack.io</url>
</repository>
</repositories>
<!-- 添加 XJar 依赖 -->
<dependencies>
<dependency>
<groupId>com.github.core-lib</groupId>
<artifactId>xjar</artifactId>
<version>4.0.2</version>
<!-- <scope>test</scope> -->
</dependency>
</dependencies>
</project>通过测试类对目标jar包进行加密处理:
代码语言:javascript复制public class MainTest {
public static void main(String[] args) throws Exception {
XCryptos.encryption()
.from("/Users/wshuo/Developer/demo1/target/demo1-0.0.1-SNAPSHOT.jar")
.use("io.xjar")
.include("/com/example/**/*.class")
.to("/Users/wshuo/Downloads/encrypted.jar");
}
}其中use方法里的参数即为用于加密的密码。
可以得到三个文件:
- encrypted.jar
- xjar.go
- xjar_agentable.go
其中第二个是go编写的脚本文件,称之为go启动器,需要在有go开发环境的机器上编译:
代码语言:javascript复制go build ./xjar.go编译完成之后会得到一个xjar的可执行文件,如果是windows系统则为xjar.exe。
sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./demo1-0.0.1-SNAPSHOT.xjar最后执行该可执行文件即可。
3.3 报错
执行xjar的时候发现报错:
代码语言:javascript复制Exception in thread "main" java.lang.reflect.InaccessibleObjectException: Unable to make field private final jdk.internal.loader.URLClassPath java.net.URLClassLoader.ucp accessible: module java.base does not "opens java.net" to unnamed module @34340fab
at java.base/java.lang.reflect.AccessibleObject.checkCanSetAccessible(AccessibleObject.java:354)
at java.base/java.lang.reflect.AccessibleObject.checkCanSetAccessible(AccessibleObject.java:297)
at java.base/java.lang.reflect.Field.checkCanSetAccessible(Field.java:178)
at java.base/java.lang.reflect.Field.setAccessible(Field.java:172)
at io.xjar.reflection.XReflection.field(XReflection.java:20)
at io.xjar.boot.XBootClassLoader.<init>(XBootClassLoader.java:41)
at io.xjar.boot.XJarLauncher.createClassLoader(XJarLauncher.java:31)
at org.springframework.boot.loader.ExecutableArchiveLauncher.createClassLoader(ExecutableArchiveLauncher.java:109)
at org.springframework.boot.loader.Launcher.launch(Launcher.java:55)
at io.xjar.boot.XJarLauncher.launch(XJarLauncher.java:26)
at io.xjar.boot.XJarLauncher.main(XJarLauncher.java:22)
panic: exit status 1网上给出相关错误原因,以及解决方案,但是未生效。
https://www.coder.work/article/61641
https://stackoverflow.com/questions/41265266
尝试了以下命令,都不行:
代码语言:javascript复制sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./encrypted.jar
sudo ./xjar java --permit-illegal-access -jar ./encrypted.jar
sudo ./xjar java --illegal-access -jar ./encrypted.jar报错如下:
代码语言:javascript复制Unrecognized option: --illegal-access
Error: Could not create the Java Virtual Machine.
Error: A fatal exception has occurred. Program will exit.
panic: exit status 1执行下面的命令:
代码语言:javascript复制sudo ./xjar java --illegal-access=warn --add-opens java.base/jdk.internal.loader=ALL-UNNAMED -jar ./encrypted.jar这段命令的意思是,在启动虚拟机的时候,增加一个选项表示违法访问,出现以下提示信息:
代码语言:javascript复制Java HotSpot(TM) 64-Bit Server VM warning: Ignoring option --illegal-access=warn; support was removed in 17.0说明强制非法访问,已经在JDK17中移除了。不可以再使用illegal-access选项来访问JDK的内部元素。
出现这个错误的原因是JDK9往后引入了Java Platform Module System(模块化)的概念,每个模块都是强封装的,而我们启动JAR包需要用到反射去访问目标类,这里提示没有权限;那我们只能在命令里增加参数,来特定打开某些需要打开的包才能正常启动项目,下面的命令增加了启动参数,JAR包可以正常执行。
代码语言:javascript复制sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED --add-opens java.base/java.lang=ALL-UNNAMED --add-opens java.base/java.net=ALL-UNNAMED -jar ./encrypted.jar3.4 拓展
如果觉得以上加密操作很麻烦,还需要编写单元测试,XJar还提供了maven插件,可以在打包的同时对jar包进行加密。使用方法如下:
代码语言:javascript复制<project>
<!-- 设置 jitpack.io 插件仓库 -->
<pluginRepositories>
<pluginRepository>
<id>jitpack.io</id>
<url>https://jitpack.io</url>
</pluginRepository>
</pluginRepositories>
<!-- 添加 XJar Maven 插件 -->
<build>
<plugins>
<plugin>
<groupId>com.github.core-lib</groupId>
<artifactId>xjar-maven-plugin</artifactId>
<version>4.0.2</version>
<executions>
<execution>
<goals>
<goal>build</goal>
</goals>
<phase>package</phase>
<!-- 或使用
<phase>install</phase>
-->
<configuration>
<password>io.xjar</password>
<!-- optional
<algorithm/>
<keySize/>
<ivSize/>
<includes>
<include/>
</includes>
<excludes>
<exclude/>
</excludes>
<sourceDir/>
<sourceJar/>
<targetDir/>
<targetJar/>
-->
</configuration>
</execution>
</executions>
</plugin>
</plugins>
</build>
</project>参数名称 命令参数名称 参数说明 类型 缺省值 示例值
password -Dxjar.password 密码字符串 String 必须 任意字符串, 123456
algorithm -Dxjar.algorithm 加密算法名称 String AES/CBC/PKCS5Padding DK内置加密算法, 如:AES/CBC/PKCS5Padding 和 DES/CBC/PKCS5Padding
keySize -Dxjar.keySize 密钥长度 int 128 根据加密算法而定, 56, 128, 256
ivSize -Dxjar.ivSize 密钥向量长度 int 128 根据加密算法而定, 128
sourceDir -Dxjar.sourceDir 源jar所在目录 File ${project.build.directory} 文件目录
sourceJar -Dxjar.sourceJar 源jar名称 String ${project.build.finalName}.jar 文件名称
targetDir -Dxjar.targetDir 目标jar存放目录 File ${project.build.directory} 文件目录
targetJar -Dxjar.targetJar 目标jar名称 String ${project.build.finalName}.xjar 文件名称
includes -Dxjar.includes 需要加密的资源路径表达式 String[] 无 o/xjar/** , mapper/*Mapper.xml , 支持Ant表达式
excludes -Dxjar.excludes 无需加密的资源路径表达式 String[] 无 static/** , META-INF/resources/** , 支持Ant表达式
AES一般指高级加密标准,它是当今使用最广泛的对称分组密码算法之一;DES算法为密码体制中的对称密码体制,又被称为美国数据加密标准。
加密操作的命令就简化为了:
代码语言:javascript复制mvn xjar:build -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/target.xjar和打包操作一起:
代码语言:javascript复制mvn clean install -Dxjar.password=io.xjar -Dxjar.targetDir=/directory/to/save/encrypted命令执行完成之后会在指定目录出现三个文件:
- demo1-0.0.1.xjar
- xjar.go
- xjar_agentable.go
继续编译go文件:
代码语言:javascript复制go build ./xjar.go编译完成之后得到一个xjar文件,执行下面的命令:
代码语言:javascript复制sudo ./xjar java --add-opens java.base/jdk.internal.loader=ALL-UNNAMED --add-opens java.base/java.lang=ALL-UNNAMED --add-opens java.base/java.net=ALL-UNNAMED -jar ./demo1-0.0.1.xjar项目即可正常启动。
四、ClassFinal实践
4.1 功能特性
无需修改原项目代码,只要把编译好的 jar/war 包用本工具加密即可
加密后的 jar 包可直接使用命令运行
支持加密 WEB-INF/lib 或 BOOT-INF/lib 下的依赖 jar 包
支持机器码绑定,仅允许在指定机器上运行
支持加密配置文件
4.2 使用步骤
首先点击下载,得到一个 classfinal-fatjar-1.2.1.jar 文件。
然后执行加密操作:
代码语言:javascript复制java -jar classfinal-fatjar-1.2.1.jar -file demo1-0.0.1.jar -packages com.example -pwd 123456 -Y-Y 表示跳过人机交互的提示信息。
参数说明
代码语言:javascript复制-file 加密的jar/war完整路径
-packages 加密的包名(可为空,多个用","分割)
-libjars jar/war包lib下要加密jar文件名(可为空,多个用","分割)
-cfgfiles 需要加密的配置文件,一般是classes目录下的yml或properties文件(可为空,多个用","分割)
-exclude 排除的类名(可为空,多个用","分割)
-classpath 外部依赖的jar目录,例如/tomcat/lib(可为空,多个用","分割)
-pwd 加密密码,如果是#号,则使用无密码模式加密
-code 机器码,在绑定的机器生成,加密后只可在此机器上运行
-Y 无需确认,不加此参数会提示确认以上信息执行命令:
代码语言:javascript复制java -javaagent:demo1-0.0.1-encrypted.jar='-pwd 123456' -jar demo1-0.0.1-encrypted.jar4.3 拓展
同样的,classfinal 也支持使用 maven 插件直接打包执行。
代码语言:javascript复制<plugin>
<!-- https://gitee.com/roseboy/classfinal -->
<groupId>net.roseboy</groupId>
<artifactId>classfinal-maven-plugin</artifactId>
<version>1.2.1</version>
<configuration>
<password>123456</password>
<!--加密打包之后pom.xml会被删除,不用担心在jar包里找到此密码-->
<packages>com.example</packages>
<cfgfiles>application.yml</cfgfiles>
<!--<excludes>org.spring</excludes>-->
<!--<libjars>a.jar,b.jar</libjars>-->
</configuration>
<executions>
<execution>
<phase>package</phase>
<goals>
<goal>classFinal</goal>
</goals>
</execution>
</executions>
</plugin>运行 mvn package 时会在 target 下自动加密生成 yourpaoject-encrypted.jar 。
前面提到的绑定机器码,可以使用以下命令在指定机器上获取机器码:
代码语言:javascript复制java -jar classfinal-fatjar.jar -C加密时用-code指定机器码。机器绑定可同时支持机器码 密码的方式加密。
和 XJar 方式相比,不需要依赖其他环境,加密后直接运行即可,更加方便快捷。
五、总结
道高一尺,魔高一丈;各种加密方式也只是增加逆向工程的难度。我们在实际使用中,在保护好加密密码的同时,也要用其他手段保护我们的项目。
而且这个 XJar ,使用 Google 搜索的第三条就是 Xjar加密解析
