JAVA 类文件保护分析与研究

【摘 要】：由于 Java 语言面向对象和编译成中间代码执行的特点，其在抗反编译和反盗版方面显得尤其脆弱。本文针对 Java 软件的特点，运用多种方法，综合设计出一个保护 Java 类 文件的方法。

关键词：Class；加密；密钥；代码混淆

1. 引言

目前，Java 编程语言的应用在全世界范围正流行，它广泛的应用在 Internet 的数据库、 多媒体、CGI 及动态网页的制作方面。1999 年在美国对 Java 程序员的需求量首次超过 C++。 经调查统计，Java 语言应用在软件领域占领着举足轻重的地位，为人类科技文明进步奠定了 重要基础。然而，Java 语言却存在着巨大的安全隐患。Java 是一种跨平台的、解释型语言。 第一，Java 源代码编译中间“字节码”存储于 Class 文件中。Class 文件是一种字节码形式的中 间代码，该字节码中包括了很多源代码的信息，例如变量名、方法名等；第二，由于跨平台 的需求，Java 的指令集比较简单通用，较容易得出程序的语义信息；第三，Java 编译器将每 一个类编译成一个单独的文件，这也简化了反编译的工作；第四，Java 的 Class 文件中，仍 然保留所有的方法和变量的名称，可以通过这些名称来访问变量和方法，这些符号往往带有 许多语义信息。因此，Java 程序的这些特点，很容易对不经过处理的 Java 程序进行反编译。 目前，市场上有许多优秀的 Java 反编译工具，能够反编译出非常接近源代码的程序。所以， 对开发人员来说，如何保护 Java 程序就变成一个非常重要的任务。

2. Java 类文件的安全威胁

2.1 Java 的编译
开发 Java 应用程序首先是使用编辑工具编写 Java 的源代码，然后使用编译器编译成虚 拟机可执行的 Class 类文件。编译后生成的类文件是一种有格式的中间代码——字节码文件， 不能在本地机器上独立运行，只能在 Java 虚拟机里解释执行。Java 编译器不对变量和方法 等符号的引用转换为数值引用，也不确定程序执行过程中的内存布局，而是将这些符号的引 用信息保留在类文件中，由解释器在运行过程中创建内存布局，然后再通过查找表来确定一 个变量或方法所在的地址。
从 Java 类文件的结构及其实际数据可知 Java 类文件保留了源代码文件的大部分信息， 如所有的变量和方法等信息。正是由于这个特点，只要在各个平台上实现了各自的 Java 虚 拟机，不用修改 Java 应用程序的源代码就可以在各个平台上运行，真正做到跨平台的特性， 这也是 Java 能够迅速流行起来的重要原因。
2.2 Java 的反编译
反编译是一个将目标代码转换成源代码的过程。而目标代码是一种用语言表示的代 码，这种语言能通过实机或虚拟机直接执行。从本质上说，他需要根据小规模、低层次的行 为来推断大规模、高层次的行为。因此，反编译目标代码并不容易。
在 JDK 中，有一个反编译器 javap，利用该工具可以对 Java 类文件进行反编译。经过
该工具反汇编后得到的结果并不是源代码，但是使用 javap 进行反编译的 Java 类文件可以得 到成员变量、方法、行号以及局部变量名等信息 。在 javap 工具的基础上，一些反编译工 具如 Mocha，WinDis，DjDecompiler 等工具可反编译出和源代码几乎一摸一样的代码。

3. 常用 Java 类文件保护方法

由于 Java 字节码的抽象级别较高，容易被反编译，所以就有了多种防止 Java 字节码被 反编译的方法。
隔离 Java 程序：最简单的方法就是让用户不能够访问到 Java Class 程序，这种方法是最 根本的方法，具体实现有多种方式。
代码混淆：这种方法对 Class 文件进行重新组织和处理，使得处理前后的代码具有相同 的语义，被混淆后的代码很难被反编译。
转换成本地代码：本地代码难以被反编译，开发人员可以选择将整个应用程序或关键模 块转换成本地代码。如果仅仅转换关键模块，在使用这些模块时，需调用 JNI 技术，这将牺
牲 Java 的跨平台特性
加密 Class 文件：为了防止 Class 文件被直接反编译，可以将一些关键的 Class 文件加密
，例如对密钥、加密算法、注册码、序列号管理相关的类等。在使用这些被加密的类之前 先解密，然后再将其装载到 JVM 中。
对比上述几种方法，都存在其自身的优缺点。隔离 Java 程序只能适合网络环境的客户 机/服务器结构或者分布式的环境，对单机运行的程序就无法隔离，而且 Java 程序需要使用 安全机制保护服务器开放接口的使用，服务器的安全成了整个系统安全的焦点。代码本地化， 对于不同的平台，需要维护不同版本的本地代码，这将加重软件支持和维护的工作。对 Class 文件进行加密，在使用时再进行解密，同时将关键加密代码部分进行代码混淆，这样经过双 重处理后，代码的安全性 提高了很多，该方法也是本文研究的重点。

4. Class 文件加密技术

Java 生成的 Class 文件大量暴露在客户端，利用现在的反编译工具可轻易的获取源代码， 下面将讲叙如何有效的保护 Class 文件。
第一，读取本工程的所有待加密 Class 文件，并保存到 byte 型数组中；
public static byte[] symmetricEncrypt(byte[] key, byte[] classData) {…}；方法对读取到的所
有

[1] [2]  下一页