如何保護Java代碼免受反編譯？

Question

正如我們所知，有很多java反編譯器工具可以將.cl​​ass轉換爲.java文件。

因此，我們需要保護我們的.java文件免受反編譯器的影響。我知道這是一個很大的話題，也許沒有結局。

通常，有兩種方式：混淆器和自定義類加載器。

是否有任何成熟的解決方案或開源框架，它們結合了這兩種方式？

另一個方面與exe4j有關，它將jars包裝到exe文件中，似乎可以保護java代碼，因爲我們可以看到的是exe文件而不是jar文件或類文件。但實際上，當它運行時，它會將所有jar文件分解爲臨時目錄，這意味着很容易獲取反編譯器的類文件。 因此，從exe4j方面保護java代碼的任何考慮？

感謝您的意見和建議。

正在更新

感謝大家的建議或經驗分享。這對我很有幫助。爲了得出結論，我將放棄任何混淆器或定製類加載器加密的東西。因爲最終Java代碼可以在聰明的黑客之前被披露。

我將在編譯時使用C＃語言中的「#ifdef」等技巧刪除一些核心代碼。在Java中，可以使用靜態和最終的布爾類變量來完成相同的工作。 然後編譯的類文件將不包含需要保護的java代碼。

Answer 1

您無法保護反編譯器和惡意用戶的類文件。但是，反編譯器的輸出可能不是有效的java。

最好的方法是記錄你的API（假設這可供你的客戶使用）和應用程序非常好。並讓您的支持人員能夠解決API和應用程序問題。那麼你的客戶將沒有理由想要使用反編譯器來探索爲什麼事情不能正常工作。

Answer 2

軟件即服務。

Answer 3

您可以嘗試開源項目proguard

Answer 4

這是特別有效的唯一辦法就是：把你的程序作爲某種形式的網絡服務，使編譯後的代碼是從來沒有提供對終端用戶機。

下一個最有效的解決方案是實踐中廣泛使用的解決方案，它使您的程序變得如此糟糕以至於沒有人願意使用它，或者花費時間對其進行逆向工程。但我懷疑發生這種情況通常是偶然的。

Answer 5

事實上，不僅Java，Silverlight和Flash也有同樣的問題。任何下載了該軟件包的人都可以解壓然後反編譯來反編譯你的代碼。

我同意Saas將會是最好的解決方案，它擁有Web服務來處理所有底層邏輯並提供數據，爲最終客戶端建立一個相對安全的隔離層來消費數據。

Answer 6

我的建議是，如果您真的認真對待這個問題，那麼您應該只向已簽署具有法律約束力的保密協議的人員發佈演示軟件。如果他們違反了協議，準備去法庭。

通過一切手段，混淆你的演示應用程序等，但不要想象這將阻止一個確定的黑客發現你的應用程序中的「祕密醬油」。從理論上和實踐上來說，不可能是以防止這種情況。如果您使用付費許可模式將軟件貨幣化，盜版是不可避免的。

（實際上，它在理論上是可能的，但只有像TPM一個完全安全的平臺，而這是不適合你的選擇。相信我。）

Answer 7

希望加密的類文件，並使用自定義什麼classloader加載你的類文件？

Answer 8

一切都是可以破解的。只需擁有一份可靠的EULA，並將努力放在那裏，而不是浪費他們去保護代碼的絕望嘗試。

Answer 9

1. 您可以使用混淆器，如ProGard或Ygard，但解密字符串並重命名類，字段和方法並不太複雜。
2. 您可以使用私鑰加密您的類，並使用自定義類加載器在加載到內存之前使用公鑰解密您的類，但修改類加載器以保存到光盤上並不太複雜，所有加載的類。
3. 你可以嘗試崩潰反編譯器。 JAD是最好的反編譯器之一，但是如果您在常量池中添加損壞的條目，則所有由JAD驅動的產品都會崩潰。但是，一些反編譯器仍在工作。

保護軟件的唯一方法是將其部署到SaaS/PaaS中。

但保持一個人的頭腦：大多數人使用反編譯器，因爲他們有技術問題，文檔很差或不存在。編寫一個好的文檔並使用一個可靠的EULA是更好的解決方案。