黑客校对 jar 文件

Question

我可以使用哪些技术来使我的“jar”文件进行逆向工程证明？

Answer 1

不要释放它。

Answer 2

不存在所谓的黑客证明。对不起。

编辑评论：

不幸的事实是，无论你设置什么路障，如果诚实地想要进入，他们就会进入。仅仅因为如果他们足够持久，他们就会从程序集中查看你的代码等级。你对此无能为力。

您可以考虑做的是混淆代码，打包 jar 并将所有外部包合并到一个单独的包中，以使生活变得更加困难。然而，无论障碍有多高，我在上一段中的评论仍然适用。

Answer 3

我认为这更多的是强化 jar 的访问路径，而不是其他任何事情。

1. 尝试确定用户上下文
   实际上会执行代码
   这将访问 .jar。锁
   将 jar 的访问权限设置为只读
   仅由该用户访问。你如何做到这一点
   将取决于您是否使用来自的罐子
   一个网络应用程序或一个桌面.exe，它也将
   取决于您正在运行的操作系统
   在下面。
2. 如果可能的话——在罐子上签名并
   验证来自的签名
   可执行代码。这至少会
   告诉你 .jar 是否已经存在
   被篡改。然后你就可以拥有
   一些停止正在执行的应用程序的逻辑
   避免使用 .jar（并记录并显示错误）。
   有关详细信息，请参阅 jarsigner 文档。

Answer 4

我见过一个案例，一家公司编写了一个自定义类加载器，可以解密加密的 jar 文件。类加载器本身使用编译的 JNI 代码，因此解密密钥和算法在二进制库中被相当深度地混淆。

Answer 5

您正在寻找一个“混淆器”（如果您想运送罐子）。许多存在：

http://java-source.net/open-source/obfuscators

您应该意识到，许多混淆技术会删除您可能想要保留的用于故障排除目的的信息 - 考虑来自不可重现情况的堆栈跟踪的价值 - 或实际调试会话。无论您做什么，您的质量测试都应该在要发货的罐子上进行，因为混淆器可能会引入微妙的错误。

如果您确实想隐藏某些内容，请考虑使用 gcj 编译为本机二进制文件。

Answer 6

绝对避免在代码中放置任何敏感数据。例如：

• 密码
• 数据库连接字符串

一种选择是对这些内容进行加密（使用行业标准加密例程；避免自行创建）并将它们放置在外部配置文件或数据库中。

正如其他人所说，部署代码中的任何算法都可以进行逆向工程。

如果需要，可以将敏感算法放置在 Web 服务或其他服务器端代码中。

Answer 7

你无法对其进行逆向工程证明。如果 java 运行时可以读取指令，那么用户也可以。

有些混淆器会使反汇编代码的可读性/理解性降低，从而使逆向工程变得更加困难，但你不能让它变得不可能。