Proguard整理一些資料

我們做java開發的一般都會遇到如何保護我們開發的程式碼問題。java語言由於是基於jvm上面，所以反編譯class檔案很很容易。假如我們做了一個web程式，並把這個web程式釋出給客戶。實際上，客戶是很容易反編譯出我們的原始碼出來，包括所有的src檔案和jsp檔案等等。

那麼，如何保護我們的原始碼，實際上，應該有幾種方法可以使用：1、使用程式碼混淆器 2、過載應用伺服器的classloader

對於第一種方法來說，現在外面有很多開源工具可以使用，個人認為最好用的當屬proguard莫屬。proguard主要是易用易學。而且提供的功能也挺多。下面是個人一點使用心得

（1）、從網上download proguard工具，proguard工具主要包含是幾個jar檔案和一些example，下載地址http://proguard.sourceforge.net/

（2）、將裡面的幾個jar檔案新增到類路徑下面。當然，也可以不新增，但是下面在做混淆的時候，必須指定classpath，使在做混淆的過程中，能否訪問該類

（3）、編寫一個配置檔案，主要是混淆器的一些引數。比如，下面是一個例子 
-injars platform.jar 
-outjars platform_out.jar 
-libraryjars <java.home>/lib/rt.jar 
-libraryjars ibatis-common-2.jar 
-libraryjars ibatis-dao-2.jar 
-libraryjars ibatis-sqlmap-2.jar 
-libraryjars junit-3.8.1.jar 
-libraryjars d:/j2ee.jar 
-libraryjars struts.jar 
-libraryjars commons-lang.jar 
-libraryjars D:/0working/coreproject/byislib/jasperreports-0.6.1.jar 
-libraryjars commons-beanutils.jar

-printmapping proguard.map 
-overloadaggressively 
-defaultpackage '' 
-allowaccessmodification 
-dontoptimize 
-keep public class * 
{ 
public protected *; 
} 
-keep public class org.** 
-keep public class it.**

各個引數的含義參考proguard文件，該文件非常詳細，上手很容易

OK，到此就完成了程式碼混淆，開啟產生的jar包可以看到，多了好多a、b、c之類的類檔案。說明混淆結果已經成功。將原jar刪除、執行產生的混淆jar包，一切正常！

常見問題：使用過程中個人遇到了幾個問題，開始也是找了很久才解決 
a. 記憶體溢位異常： 主要是proguard在做混淆的時候，吃了很多記憶體，因此，在執行混淆器的時候，可以增加記憶體，比如 java -mx512m ..... 
b.棧溢位異常： 主要是proguard在做混淆的時候，會對一些程式碼進行優化，若遇到一些相對複雜的方法時，可能會丟擲此異常。對付的辦法是增加配置引數-dontoptimize，如上面的配置例子所示

對於第二種方法，過載伺服器的classloader的原理是這樣。 首先我們通過一定演算法把class檔案加密； 然後寫我們自己的classloader，替換伺服器的classloader。 這樣，我們可以讀取class檔案，通過我們自己的演算法反加密成正確的class，然後再次進行load。這個方式還沒應用起來，這幾天個人正在研究，有什麼新成果會在此做一些總結。

ProGuard是一個開源的專案，主頁：http://proguard.sourceforge.net/，目前最新的版本是3.3.2.。載入混淆器是非常簡單的，只需要解壓縮proguard3.3.2.zip，然後在 J2ME->Packing->Obfuscation 標籤中選擇 Proguard 的安裝目錄。如下圖所示，在這裡可以對需要在混淆過程中保留的類名進行配置，MIDlet 類的名稱必須保留，以便裝置的 Java 執行時環境（JRE）能夠找到執行的入口點。 
http://images.csdn.net/20050726/image027.jpg，It’s about the above pic.

另一篇文件 
ProGuard是一款免費的Java類檔案壓縮器、優化器和混淆器。它能發現並刪除無用類、欄位（field）、方法和屬性值（attribute）。它也能優化位元組碼並刪除無用的指令。最後，它使用簡單無意義的名字來重新命名你的類名、欄位名和方法名。經過以上操作的jar檔案會變得更小，並很難進行逆向工程。這裡提到了ProGuard的主要功能是壓縮、優化和混淆，下面我就先介紹一下這些概念，然後再介紹ProGuard的基本使用方法。

l 什麼是壓縮：

Java原始碼（.java檔案）通常被編譯為位元組碼（.class檔案）。而完整的程式或程式庫通常被壓縮和釋出成Java文件（.jar檔案）。位元組碼比Java原始檔更簡潔，但是它仍然包含大量的無用程式碼，尤其它是一個程式庫的時候。ProGuard的壓縮程式操作能分析位元組碼，並刪除無用的類、欄位和方法。程式只保留功能上的等價，包括異常堆疊描述所需要的資訊。

l 什麼是混淆：

通常情況下，編譯後的位元組碼仍然包含了大量的除錯資訊：原始檔名，行號，欄位名，方法名，引數名，變數名等等。這些資訊使得它很容易被反編譯和通過逆向工程獲得完整的程式。有時，這是令人厭惡的。例如像ProGuard這樣的混淆器就能刪除這些除錯資訊，並用無意義的字元序列來替換所有名字，使得它很難進行逆向工程，它進一步免費的精簡程式碼。除了異常堆疊資訊所需要的類名，方法名和行號外，程式只會保留功能上的等價。通過以上的瞭解，你應該明白為什麼需要混淆了。

l ProGuard支援那些種類的優化：

除了在壓縮操作刪除的無用類，欄位和方法外，ProGuard也能在位元組碼級提供效能優化，內部方法有：

² 常量表示式求值

² 刪除不必要的欄位存取

² 刪除不必要的方法呼叫

² 刪除不必要的分支

² 刪除不必要的比較和instanceof驗證

² 刪除未使用的程式碼

² 刪除只寫欄位

² 刪除未使用的方法引數

² 像push/pop簡化一樣的各種各樣的peephole優化

² 在可能的情況下為類新增static和final修飾符

² 在可能的情況下為方法新增private, static和final修飾符

² 在可能的情況下使get/set方法成為內聯的

² 當介面只有一個實現類的時候，就取代它

² 選擇性的刪除日誌程式碼

實際的優化效果是依賴於你的程式碼和執行程式碼的虛擬機器的。簡單的虛擬機器比有複雜JIT編譯器的高階虛擬機器更有效。無論如何，你的位元組碼會變得更小。

仍有一些明顯需要優化的技術不被支援：

² 使非final的常量欄位成為內聯

² 像get/set方法一樣使其他方法成為內聯

² 將常量表示式移到迴圈之外

² Optimizations that require escape analysis

ProGuard是一個命令列工具，並提供了圖形化使用者介面，它也可以結合Ant或J2ME Wireless Toolkit使用。通過ProGuard得到的更精簡的jar檔案意味著只需要更小的儲存空間；網路傳輸更省時；裝載速度更快和佔用更小的記憶體空間。另外，ProGuard非常快速和高效，它僅僅只花費幾秒鐘和幾兆的記憶體在處理程式。它處理的順序是先壓縮，然後優化，最後才進行混淆。The results section presents actual figures for a number of applications.與其他Java混淆器相比，ProGuard的主要優勢可能是它的基於模版檔案的簡單配置。一些直觀的命令列選項或一個簡單的配置檔案已經足夠了。例如，下面的配置選項保護了jar檔案裡的所有applets：

-keep public class * extends java.applet.Applet

使用者指南里說明了所有可用的選項，並以大量的例子為你演示這些功能強大的配置選項。

上面談到了ProGuard的很多好處，現在我們就來看看如何在程式中使用ProGuard吧，之前也提到了ProGuard可以用命令列、圖形介面、Ant等來執行和處理程式，同時也提到了配置檔案，下面我們一起來看如何使用：

用命令列執行ProGuard的命令如下：

java –jar proguard.jar options……

具體的選項可以參考ProGuard的使用者指南，你也可以把這些屬性寫在配置檔案裡；執行時，我們只需要指定這個配置檔案就行了，例如：

java –jar proguard.jar @config.pro

而配置檔案的格式也是要按照ProGuard提供的格式來寫的，這個可以參考ProGuard例子裡的配置檔案來配置適合你的應用系統的ProGuard配置檔案。ProGuard提供了圖形介面的配置和執行程式，你可以在介面上配置你想要的引數，然後執行即可。前面提到的要手動寫的配置檔案也可以用圖形介面來配置和生成。

如果你要在Ant裡執行ProGuard，只需要新增一一個如下的target即可：

<target name="proguard" depends="init">

<taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" />

<proguard configuration="${src.dir}/config.pro" />

</target>

你只需要制定lib.dir和src.dir屬性就行了，同樣的，這裡也用了proguard配置檔案，跟上面提到的是一樣的。建議大家把ProGuardGUI當成一個生成配置檔案的嚮導來使用，這樣我們只需要修改配置檔案而不用重新寫一個配置檔案。

如果你覺得ProGuard還不錯，那就快把它加入你的專案裡吧。

第三文件 
這是一個不應該在開源社群出現的東西，但它的的確確是一個開源的專案，正像它的名字一樣，Proguard，即Program Guard（程式衛士），它代表了開源的相對面－－程式碼保護。 
　　作為JAVA這樣的高階語言，編譯的產物只是相對原始碼的一個概念而已，位元組碼雖然不像原始碼那樣易懂，但絕不是不可能進行反編譯的，針對JAVA的反編譯產品很多，如CAVAJ,JAD等等。面對反編譯產品的不斷出現，將程式碼視為財富的那些開發者，又何去何從。 
　　混淆器正是在這種背景下應運而生，既然不可能完全地將拒絕反編譯，那就讓他們去反編譯吧，只要反編譯的結果別人不能直接使用不就行了嗎？只要將程式碼搞混，讓別人拿到了反編譯的結果也看不懂，甚至不能編譯。 
　　混淆的方法有很多，主要是以下幾方面。 
更名，將私有類，私有的成員，方法體內部的變數名改名，改成a,b,c等等，甚至1,2,3(程式碼中不允許不等於成果物中不允許） 
改變邏輯的流向，如將if條件取反，if/else對換 
等價程式碼，如將迴圈改成GOTO 
無效程式碼，插入不可及的無用程式碼 
　　Proguard是一個非常優秀的開源的JAVA混淆器,可以在http://proguard.sourceforge.net/下載到，現在就讓我一起來看一下Proguard. 
　　以3.2版為例，釋放壓縮包，我們看到，作為開源專案就有docs，lib,src,sample資料夾，在此就不一一介紹了。 
　　進入lib目錄，內有proguard.jar，如果要自己有混淆器的外殼，或作ANT外掛的話，會用到它，詳細情況可以參考Proguard的文件。 
　　我們要看的是proguardgui.jar，這是Proguard的圖形介面，我們使用JDK開啟，注意是JDK，不是JRE。

點選Input/Output標籤，選擇要混淆的JAR包（注意是JAR包），輸出JAR包，以及用到的所有類庫。 
點選Obfuscation標籤，選中不需要混淆的類（要被反射的類絕對不能被混淆） 
點選Process標籤，Process按鈕，等著看結果吧。 
Proguard中還包括了程式碼優化和程式碼整理的功能，不是本文討論範圍，有興趣的就自己研究吧） 
只混淆方面的選項 

使用此種方式，如果a-z使用過，會轉向aa.class,如下圖配置介面 
1,4,6,9,10,11,12 

原始碼 
package org.zwm.pub;

public class Bru {

/** 
* @param args 
*/

public static void main(String[] args) { 
// TODO Auto-generated method stub 
System.out.println(showMsg()); 
} 
public static String showMsg() { 
return "You are my sun"; 
} 
} 
反編譯後的程式碼 
// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov. 
// Jad home page: http://www.kpdus.com/jad.html 
// Decompiler options: packimports(3)

package org.zwm.pub;

import java.io.PrintStream;

public class Bru 
{

public Bru() 
{ 
}

public static void main(String args[]) 
{ 
System.out.println(PK0304140008000800fZ()); 
}

public static String PK0304140008000800fZ() 
{ 
return "You are my sun"; 
} 
}

類名不變化，方法名混淆