<pre name="code" class="java">public class SimpleBean implements Serializable {
private String[] name = {"name0","name1","name2","name3"};
private List myList = null;
public void SimpleBean() {
myList = new ArrayList(4);
}
public void init_public() {
myList.add("name");
for(int i= 1; i < 4; i++){
init_private(i);
}
}
private void init_private(int j) {
myList.add(name[j]);
}
private void writeObject(java.io.ObjectOutputStream out)
throws IOException {
}
}
下面一段文字摘自《Java 手機/PDA 程序設計入門》一書,可以做爲混淆器性能的大致觀點:
筆者沒用過DashO,所以無法對其作出個人評價。所以現在僅說明筆者曾用過的產品。以筆者的個人觀點,如果就混淆的程度來說,ZKM最好,JAX中等,RetroGuard和ProGuard最差,一分錢一分貨,這是千古不變的道理。如果就功能性而言,ZKM和JAX都不錯,不過,JAX是IBM所開發的產品,因此也繼承了大部分IBM產品的最大特色,就是“功能超強,可是不易使用”,可能光是要看完JAX的設定文件就是一個很大的問題。
下面分別介紹幾種具有代表性的混淆器,對它們的產品性能進行對比。我們使用不同混淆器對同一段java代碼進行混淆,分別列出混淆後代碼反編譯的結果,並給出使用的一些直接體會。原始java代碼:
public class SimpleBean implements Serializable {
private String[] name = {"name0","name1","name2","name3"};
private List myList = null;
public void SimpleBean() {
myList = new ArrayList(4);
}
public void init_public() {
myList.add("name");
for(int i= 1; i < 4; i++){
init_private(i);
}
}
private void init_private(int j) {
myList.add(name[j]);
}
private void writeObject(java.io.ObjectOutputStream out)
throws IOException {
}
}
一、ProGuard 4.5.1
ProGuard是一款免費的Java類文件壓縮器、優化器和混淆器。它能發現並刪除無用類、字段(field)、方法和屬性值(attribute)。它也能優化字節碼並刪除無用的指令。最後,它使用簡單無意義的名字來重命名你的類名、字段名和方法名。經過以上操作的jar文件 會變得更小,並很難進行逆向工程。eclipse已經把Proguard集成在一起了。它支持腳本控制,可以使用GUI界面,字符串不加密,支持 J2ME。
類似功能的開源混淆器:RetroGuard yGuard(RetroGuard的一個升級版本) JODE
Jad反編譯混淆後class得到的代碼:
<pre name="code" class="java">public class SimpleBean
implements Serializable
{
public SimpleBean()
{
a_java_util_List_fld = null;
}
public void SimpleBean()
{
a_java_util_List_fld = new ArrayList(4);
}
public void init_public()
{
a_java_util_List_fld.add("name");
for(int i = 1; i < 4; i++)
{
int j = i;
SimpleBean simplebean = this;
a_java_util_List_fld.add(simplebean.a_java_lang_String_array1d_fld[j]);
}
}
private String a_java_lang_String_array1d_fld[] = {
"name0", "name1", "name2", "name3"
};
private List a_java_util_List_fld;
}
優點:
1、對內部private方法的調用進行了內聯,但基本達不到混淆效果;
2、使用文檔詳盡,混淆選項配置文件的編寫示例多;
3、混淆選項粒度較細,可以使用GUI界面,支持本地方法的保護等;
4、支持j2me,可以集成到Eclipse;
5、開源。
缺點:
1、符號混淆的命名具有提示性,字符串未加密,沒有其它的混淆措施;
2、混淆主要針對Xlet、Midlet等應用,混淆庫文件時配置文件將會很複雜。
二、Jocky
Jocky是金蝶中間件技術領袖袁紅崗先生的個人作品(舊有名稱JOC)。原本是方便Apusic 應用服務器的開發,現在開放出來,供大家自由使用。Jocky混淆編譯器是在Sun JDK中提供的Java編譯器(javac)的基礎上完成的,修改了其中的代碼生成過程,對編譯器生成的中間代碼進行混淆,最後再生成class文件,這樣編譯和混淆只需要一個步驟就可以完成。也就是說,它是直接從源碼上做文章,這是Jocky與其它混淆編譯器最大的不同之處。另外可以在源程序中插入符號保留指令來控制哪些符號需要保留,將混淆過程與開發過程融合在一起,不需要單獨的混淆選項配置文件。Jocky的上述特點較適合於java類庫的混淆。
Jad反編譯混淆後class得到的代碼:
<pre name="code" class="java">public class SimpleBean
implements Serializable
{
public SimpleBean()
{
this;
String as[] = new String[4];
as;
as[0] = "name0";
as;
JVM INSTR swap ;
1;
"name1";
JVM INSTR aastore ;
JVM INSTR dup ;
JVM INSTR swap ;
2;
"name2";
JVM INSTR aastore ;
JVM INSTR dup ;
JVM INSTR swap ;
3;
"name3";
JVM INSTR aastore ;
_$2;
_$1 = null;
return;
}
public void SimpleBean()
{
this;
JVM INSTR new #9 <Class ArrayList>;
JVM INSTR dup ;
JVM INSTR swap ;
4;
ArrayList();
_$1;
}
public void init_public()
{
_$1.add("name");
for(int i = 1; i < 4; i++)
_$1(i);
}
private void _$1(int i)
{
_$1.add(_$2[i]);
}
private void writeObject(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String _$2[];
private List _$1;
}
優點:
1、除符號混淆外增加了數據混淆(字符數組初始化);
2、有一些語句反編譯只能得到字節碼指令;
3、在Sun JDK中提供的Java編譯器(javac)的基礎上完成,編譯和混淆一體完成,不需要先生成class文件再混淆;
4、提供了Eclipse的插件,能夠直接在Eclipse中使用Jocky。
缺點:
1、混淆選項粒度較粗,使用中可能要在具體代碼中添加@preserve指令來實現,工作量大;
2、沒有控制流混淆。
三、Allatori 3.1_demo
Allatori屬於第二代混淆器,具有全方位保護你的知識產權的能力。Allatori具有以下幾種保護方式:命名混淆,流混淆,調試信息混淆,字符串編碼,以及水印技術。對於教育和非商業項目來說這個混淆器是免費的。2.1版本支持war和ear文件格式,並且允許對需要混淆代碼的應用程序添加有效日期。
Jad反編譯混淆後class得到的代碼:
<pre name="code" class="java">public class SimpleBean
implements Serializable
{
public void init_public()
{
d.add(c.k("{u{0"));
int i = 1;
goto _L1
_L3:
H(i);
++i;
_L1:
4;
JVM INSTR icmplt 21;
goto _L2 _L3
_L2:
}
public void SimpleBean()
{
d = new ArrayList(4);
}
private void H(int a)
{
d.add(c[a]);
}
public SimpleBean()
{
d = null;
}
private void H(ObjectOutputStream objectoutputstream)
throws IOException
{
}
private String c[] = {
c.k("\177q\177te"), c.k("\177q\177td"), c.k("\177q\177tg"), c.k("\177q\177tf")
};
private List d;
}
注:c.k是爲進行字符串加密額外生成的類c的靜態方法。
優點:
1、設計考慮了庫文件混淆的使用場景;
2、使用文檔詳盡,混淆選項配置文件的編寫示例多;
3、除符號混淆外,還使用了兩種高級的混淆手段:控制混淆(改寫了for循環)和字符串加密(String數組初始化);
4、混淆選項粒度較細,支持本地方法的保護等;
5、支持水印技術,允許對需要混淆的代碼添加有效日期;
6、支持j2me;
缺點:
1、商業軟件(價格附後),對教育和非商業用途免費(網站鏈接是<a target=_blank href="http://www.allatori.com/price.html" target="_blank">http://www.allatori.com/price.html</a>)。
附:價格情況
SINGLE DEVELOPER LICENSE
1 license $290
2-5 licenses $260
6-10 licenses $230
11+ licenses $200
SITE LICENSE $3750
BUSINESS LICENSE $4850
ANNUAL SUPPORT UPDATE $45
四、Zelix KlassMaster(ZKM)
Zelix KlassMaster是一個來自Zelix Pty Ltd的商業混淆器。官方文檔中關於它的混淆特性的介紹很少。它的保護功能非常強大,可以進行符號混淆和控制混淆,支持字符串的複雜加密保護,堆棧混亂,支持異常重構,支持增量混淆,支持J2ME。Zelix KlassMaster提供試用版本,可以到<a target=_blank href="http://www.zelix.com/" target="_blank">http://www.zelix.com</a>下載。
五、DashO Pro
DashO Pro 是由Preemptive Solutions開發的商業化的混淆器. 免費的評估版可以到<a target=_blank href="http://www.preemptive.com/" target="_blank">http://www.preemptive.com</a>下載。DashO Pro代碼保護能力強大易用,方便靈活(商業軟件,非開源)。該Java混淆器是Sun的選擇,對於企業級應用,作爲其Java開發包的一部分,Sun微系統使用DashO Pro來混淆其加密庫。DashO Pro能夠對ID進行重新命名,使之成爲毫無意義的字符;混淆元數據;改變控制流等,所有這些操作使得java代碼被混淆,難於理解。產品特點包括:
領先的Java源碼保護機制;
運用專利Overload-Induction技術對包/類/方法/域進行重命名;
高級的流程控制混淆機制;
字符串加密技術;
防止反編譯器生成有用的輸出;
水印軟件;
提高Java源碼效率;
不採用類/方法/域,全面移除常數存儲庫;
類/方法級別的優化,以提高JIT效果;
動態加載檢測到的類;
全面高效的Java源碼的拓展和部署;
支持所有的JDK版本 (JSE, J2EE, J2ME, etc)包括1.5;
自動堆棧跟蹤轉換;
在指定路徑打包或者java jars;
支持任何打包類型的Java內容——程序、庫、applets程序、小服務器程序、EJB等;
支持基於J2ME CLDC的架構,包括MIDP和 iAppli;
支持CLDC預檢驗庫中的類;
可以從指定路徑、Zip壓縮包或者jars中提取;
支持導出100%純粹的Java,並提供驗證;
命令行接口適合集成到構建環境內;
基於XML的配置文件,易於使用;
全面準確的PDF格式用戶指南。
轉自:http://blog.csdn.net/intimater/article/details/6302031
參考文獻:http://blog.csdn.net/vhly/article/details/1496277
