java程序的源代碼很容易被別人偷看,只要有一個反編譯器,任何人都可以分析別人的代碼。本文討論如何在不修改原有程序的情況下,通過加密技術(shù)保護(hù)源代碼。
一、為什么要加密?
對于傳統(tǒng)的c或c++之類的語言來說,要在web上保護(hù)源代碼是很容易的,只要不發(fā)布它就可以。遺憾的是,java程序的源代碼很容易被別人偷看。只要有一個反編譯器,任何人都可以分析別人的代碼。java的靈活性使得源代碼很容易被竊取,但與此同時,它也使通過加密保護(hù)代碼變得相對容易,我們唯一需要了解的就是java的classloader對象。當(dāng)然,在加密過程中,有關(guān)java cryptography extension(jce)的知識也是必不可少的。
有幾種技術(shù)可以“模糊”java類文件,使得反編譯器處理類文件的效果大打折扣。然而,修改反編譯器使之能夠處理這些經(jīng)過模糊處理的類文件并不是什么難事,所以不能簡單地依賴模糊技術(shù)來保證源代碼的安全。
我們可以用流行的加密工具加密應(yīng)用,比如pgp(pretty good privacy)或gpg(gnu privacy guard)。這時,最終用戶在運行應(yīng)用之前必須先進(jìn)行解密。但解密之后,最終用戶就有了一份不加密的類文件,這和事先不進(jìn)行加密沒有什么差別。
java運行時裝入字節(jié)碼的機(jī)制隱含地意味著可以對字節(jié)碼進(jìn)行修改。jvm每次裝入類文件時都需要一個稱為classloader的對象,這個對象負(fù)責(zé)把新的類裝入正在運行的jvm。jvm給classloader一個包含了待裝入類(比如java.lang.object)名字的字符串,然后由classloader負(fù)責(zé)找到類文件,裝入原始數(shù)據(jù),并把它轉(zhuǎn)換成一個class對象。
我們可以通過定制classloader,在類文件執(zhí)行之前修改它。這種技術(shù)的應(yīng)用非常廣泛??在這里,它的用途是在類文件裝入之時進(jìn)行解密,因此可以看成是一種即時解密器。由于解密后的字節(jié)碼文件永遠(yuǎn)不會保存到文件系統(tǒng),所以竊密者很難得到解密后的代碼。
由于把原始字節(jié)碼轉(zhuǎn)換成class對象的過程完全由系統(tǒng)負(fù)責(zé),所以創(chuàng)建定制classloader對象其實并不困難,只需先獲得原始數(shù)據(jù),接著就可以進(jìn)行包含解密在內(nèi)的任何轉(zhuǎn)換。
java 2在一定程度上簡化了定制classloader的構(gòu)建。在java 2中,loadclass的缺省實現(xiàn)仍舊負(fù)責(zé)處理所有必需的步驟,但為了顧及各種定制的類裝入過程,它還調(diào)用一個新的findclass方法。
這為我們編寫定制的classloader提供了一條捷徑,減少了麻煩:只需覆蓋findclass,而不是覆蓋loadclass。這種方法避免了重復(fù)所有裝入器必需執(zhí)行的公共步驟,因為這一切由loadclass負(fù)責(zé)。
不過,本文的定制classloader并不使用這種方法。原因很簡單。如果由默認(rèn)的classloader先尋找經(jīng)過加密的類文件,它可以找到;但由于類文件已經(jīng)加密,所以它不會認(rèn)可這個類文件,裝入過程將失敗。因此,我們必須自己實現(xiàn)loadclass,稍微增加了一些工作量。
二、定制類裝入器
每一個運行著的jvm已經(jīng)擁有一個classloader。這個默認(rèn)的classloader根據(jù)classpath環(huán)境變量的值,在本地文件系統(tǒng)中尋找合適的字節(jié)碼文件。
應(yīng)用定制classloader要求對這個過程有較為深入的認(rèn)識。我們首先必須創(chuàng)建一個定制classloader類的實例,然后顯式地要求它裝入另外一個類。這就強(qiáng)制jvm把該類以及所有它所需要的類關(guān)聯(lián)到定制的classloader。listing 1顯示了如何用定制classloader裝入類文件。
【listing 1:利用定制的classloader裝入類文件】
| 以下為引用的內(nèi)容: // 首先創(chuàng)建一個classloader對象 classloader myclassloader = new myclassloader(); // 利用定制classloader對象裝入類文件 // 并把它轉(zhuǎn)換成class對象 class myclass = myclassloader.loadclass( "mypackage.myclass" ); // 最后,創(chuàng)建該類的一個實例 object newinstance = myclass.newinstance(); // 注意,myclass所需要的所有其他類,都將通過 // 定制的classloader自動裝入 |
如前所述,定制classloader只需先獲取類文件的數(shù)據(jù),然后把字節(jié)碼傳遞給運行時系統(tǒng),由后者完成余下的任務(wù)。
classloader有幾個重要的方法。創(chuàng)建定制的classloader時,我們只需覆蓋其中的一個,即loadclass,提供獲取原始類文件數(shù)據(jù)的代碼。這個方法有兩個參數(shù):類的名字,以及一個表示jvm是否要求解析類名字的標(biāo)記(即是否同時裝入有依賴關(guān)系的類)。如果這個標(biāo)記是true,我們只需在返回jvm之前調(diào)用resolveclass。
【listing 2:classloader.loadclass()的一個簡單實現(xiàn)】
| 以下為引用的內(nèi)容: public class loadclass( string name, boolean resolve ) throws classnotfoundexception { try { // 我們要創(chuàng)建的class對象 class clasz = null; // 必需的步驟1:如果類已經(jīng)在系統(tǒng)緩沖之中, // 我們不必再次裝入它 clasz = findloadedclass( name ); if (clasz != null) return clasz; // 下面是定制部分 byte classdata[] = /* 通過某種方法獲取字節(jié)碼數(shù)據(jù) */; if (classdata != null) { // 成功讀取字節(jié)碼數(shù)據(jù),現(xiàn)在把它轉(zhuǎn)換成一個class對象 clasz = defineclass( name, classdata, 0, classdata.length ); } // 必需的步驟2:如果上面沒有成功, // 我們嘗試用默認(rèn)的classloader裝入它 if (clasz == null) clasz = findsystemclass( name ); // 必需的步驟3:如有必要,則裝入相關(guān)的類 if (resolve && clasz != null) resolveclass( clasz ); // 把類返回給調(diào)用者 return clasz; } catch( ioexception ie ) { throw new classnotfoundexception( ie.tostring() ); } catch( generalsecurityexception gse ) { throw new classnotfoundexception( gse.tostring() ); } } |
共3頁: 上一頁 1 [2] [3] 下一頁
新聞熱點
疑難解答
圖片精選
