对于java应用来说,逆向工程(Reverse Engineering)威胁是众所周知的安全问题,默认情况下,Java编译器生成的字节码包含大量的符号信息,其中包括可执行程序的实际java代码和调试信息,使用逆向工程机制,可以对可执行的java字节码进行反编译和反汇编,得到实际的java源代码,从而突出Java应用程序的漏洞,是攻击者可以执行如下的操作:
什么是逆向工程?
对Java程序进行逆向工程的过程是这样进行的:将可执行的类反汇编成中间汇编代码(Intermediate Assembly Code),然后将汇编代码反编译成字节码的高级抽象(Higher-level Abstraction),该高级抽象包含大量的源代码,其中包括变量、方法等等。与实际的源代码相比,最大的区别是没有注释。还需要指出的而是,逆向工程提供的源代码并不一定准确。能提供反编译和反汇编功能的商业软件和免费软件有很多。
下面是一些防止对java可执行文件进行逆向工程和保护源代码的方法:
代码验证:对可执行代码进行评估和验证,包括可信来源、运行阶段的检查、可预期的行为和输出。
加密和解密:在传输过程中对可执行代码进行加密和解密,确保代码在传输过程中不被访问或者篡改。但是这种方法限制了代码的可移植性。
代码混淆(Code Obfuscation):这种方法使用转换机制修改程序,生成的java代码所包含的引用是模糊的。这样虽然还是能被反编译,但是很难读懂,这个也是最常用的方法。
关于代码混淆,常用的技术有如下:
代码对性能的影响不是很大,却能限制反编译的滥用并提供可移植性,而且不影响部署平台。所以,为了降低逆向工程所带来的风险,代码混淆是一种不错的选择。
但是要知道,世界上没有绝对安全的的系统,所以,要做的还是有很多,比如重视对知识产权的保护,提高人们的素质等等。。。
![[music] Sissel Should It Matter](/wp-content/themes/textdash/img/thumb-medium.png)