proguard混淆器使用指南

下载地址

http://proguard.sourceforge.net/

启动proguard

解压下载的proguard4.4beta3,解压后进入lib文件把proguard.jar拷贝到自己新建的文件夹里如图:

把需要混淆的jar和jar所依赖的包也放到新建的文件夹,都放在一起,如下图。

写一个配置文件,名称自己定,举个简单配置文件例子,内容如下,其中-injars:是你需要混淆的jar,-outjars:是你混淆后输出的jar,-libraryjars:是你混淆的jar需要所依赖的jar包,后面的不在一一说明,可以参考proguard文档,配置文件可以参考文档来对自己混淆的需求来写配置文件。

-injars TheFirstDesktopApplication1.jar

-outjars TheFirstDesktopApplication1_out.jar

-libraryjars <java.home>/lib/rt.jar

-libraryjars appframework-1.0.3.jar

-libraryjars swing-worker-1.1.jar

-printmapping proguard.map

-overloadaggressively

-defaultpackage ''

-allowaccessmodification

-dontoptimize

-keep public class *

{

public protected *;

}

-keep public class org.**

-keep public class it.**

4. 把配置文件保存到你建的文件夹下,如下图。

5.点击开始,运行,输入cmd,进入你建的文件夹下,如下图。

6. 然后输入命令语句:java -jar proguard.Jar @a 然后回车,如下图。

7. 混淆成功,在产生TheFirstDesktopApplication1_out.jar如下图。

混淆器后,利用反编译器对没TheFirstDesktopApplication1_out.jar反编译,多了好多a,b,c之类的类文件,对反编译的java文件是很难编译的,即说明混淆成功。

混淆器原理功能

通常情况下,编译后的字节码仍然包含了大量的调试信息:源文件名,行号,字段名,方法名,参数名,变量名等等。这些信息使得它很容易被反编译和通过逆向工程获得完整的程序。例如像ProGuard这样的混淆器就能删除这些调试信息,并用无意义的字符序列来替换所有名字,使得它很难进行逆向工程,它进一步免费的精简代码。除了异常堆栈信息所需要的类名,方法名和行号外,程序只会保留功能上的等价。

ProGuard介绍

你可以用JB来简单的把JAVA 文件混淆一下,
然后,再发布就是,
你也可以使用。proguard

用法如下:

ProGuard是一款免费的Java类文件压缩器、优化器和混淆器。它能发现并删除无用类、字段(field)、方法和属性值(attribute)。它也能优化字节码并删除无用的指令。最后,它使用简单无意义的名字来重命名你的类名、字段名和方法名。经过以上操作的jar文件会变得更小,并很难进行逆向工程。这里提到了ProGuard的主要功能是压缩、优化和混淆,下面我就先介绍一下这些概念,然后再介绍ProGuard的基本使用方法。

l 什么是压缩:

Java 源代码(.java文件)通常被编译为字节码(.class文件)。而完整的程序或程序库通常被压缩和发布成Java文档(.jar文件)。字节码比 Java源文件更简洁,但是它仍然包含大量的无用代码,尤其它是一个程序库的时候。ProGuard的压缩程序操作能分析字节码,并删除无用的类、字段和方法。程序只保留功能上的等价,包括异常堆栈描述所需要的信息。

l 什么是混淆:

通常情况下,编译后的字节码仍然包含了大量的调试信息:源文件名,行号,字段名,方法名,参数名,变量名等等。这些信息使得它很容易被反编译和通过逆向工程获得完整的程序。有时,这是令人厌恶的。例如像ProGuard这样的混淆器就能删除这些调试信息,并用无意义的字符序列来替换所有名字,使得它很难进行逆向工程,它进一步免费的精简代码。除了异常堆栈信息所需要的类名,方法名和行号外,程序只会保留功能上的等价。通过以上的了解,你应该明白为什么需要混淆了。

l ProGuard支持那些种类的优化:

除了在压缩操作删除的无用类,字段和方法外,ProGuard也能在字节码级提供性能优化,内部方法有:

² 常量表达式求值

² 删除不必要的字段存取

² 删除不必要的方法调用

² 删除不必要的分支

² 删除不必要的比较和instanceof验证

² 删除未使用的代码

² 删除只写字段

² 删除未使用的方法参数

² 像push/pop简化一样的各种各样的peephole优化

² 在可能的情况下为类添加static和final修饰符

² 在可能的情况下为方法添加private, static和final修饰符

² 在可能的情况下使get/set方法成为内联的

² 当接口只有一个实现类的时候,就取代它

² 选择性的删除日志代码

实际的优化效果是依赖于你的代码和执行代码的虚拟机的。简单的虚拟机比有复杂JIT编译器的高级虚拟机更有效。无论如何,你的字节码会变得更小。

仍有一些明显需要优化的技术不被支持:

² 使非final的常量字段成为内联

² 像get/set方法一样使其他方法成为内联

² 将常量表达式移到循环之外

² Optimizations that require escape analysis

ProGuard 是一个命令行工具,并提供了图形化用户界面,它也可以结合Ant或J2ME Wireless Toolkit使用。通过ProGuard得到的更精简的jar文件意味着只需要更小的存储空间;网络传输更省时;装载速度更快和占用更小的内存空间。另外,ProGuard非常快速和高效,它仅仅只花费几秒钟和几兆的内存在处理程序。它处理的顺序是先压缩,然后优化,最后才进行混淆。The results section presents actual figures for a number of applications.与其他Java混淆器相比,ProGuard的主要优势可能是它的基于模版文件的简单配置。一些直观的命令行选项或一个简单的配置文件已经足够了。例如,下面的配置选项保护了jar文件里的所有applets:

-keep public class * extends java.applet.Applet

用户指南里说明了所有可用的选项,并以大量的例子为你演示这些功能强大的配置选项。

上面谈到了ProGuard的很多好处,现在我们就来看看如何在程序中使用ProGuard吧,之前也提到了ProGuard可以用命令行、图形界面、Ant等来执行和处理程序,同时也提到了配置文件,下面我们一起来看如何使用:

用命令行执行ProGuard的命令如下:

java –jar proguard.jar options……

具体的选项可以参考ProGuard的用户指南,你也可以把这些属性写在配置文件里;运行时,我们只需要指定这个配置文件就行了,例如:

java –jar proguard.jar @config.pro

而配置文件的格式也是要按照ProGuard提供的格式来写的,这个可以参考ProGuard例子里的配置文件来配置适合你的应用系统的ProGuard配置文件。ProGuard提供了图形界面的配置和运行程序,你可以在界面上配置你想要的参数,然后运行即可。前面提到的要手动写的配置文件也可以用图形界面来配置和生成。

如果你要在Ant里运行ProGuard,只需要添加一一个如下的target即可:

<target name="proguard" depends="init">

<taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" />

<proguard configuration="${src.dir}/config.pro" />

</target>

你只需要制定lib.dir和src.dir属性就行了,同样的,这里也用了proguard配置文件,跟上面提到的是一样的。建议大家把ProGuardGUI当成一个生成配置文件的向导来使用,这样我们只需要修改配置文件而不用重新写一个配置文件。

如果你觉得ProGuard还不错,那就快把它加入你的项目里吧。

ProGuard工具通过移除不用的代码,用语义上混淆的名字来重命名类、字段和方法等手段来压缩、优化和混淆你的代码。结果是更小的.apk文件,并且更难于被反编译。由于ProGuard能够让你的程序难于被反编译,因此,当你的程序使用了一些机密的信息的时,使用它就显得更加重要。

ProGuard已经集成到Android的编译环境中,因此,用不着手动来触发它。ProGuard只在release模式下编译应用程序才会运行,所以,在debug模式下编译,你就不必处理混淆的代码。是否运行ProGuard是完全可选的,但强烈推荐使用。

这篇文章将描述如何启用和配置ProGuard,以及如何使用retrace工具来解码混淆过的堆栈跟踪信息。

启用ProGuard

当你创建Android工程时,proguard.cfg文件会在工程的根目录自动创建。这个文件定义了ProGuard如何优化和混淆代码,因此,理解如何定制它是非常重要的。默认的配置文件只是覆盖了一些通用的情况,所以,基本上你需要编辑它来满足你的需求。参考后面的“配置ProGuard”章节来了解如何定制ProGuard的相关信息。

启用ProGuard让它跟随Ant或Eclipse编译时一起运行,你需要在<project_root>/default.properties文件中设置proguard.config属性。路径可以是绝对路径或是工程根目录的相对路径。

如果你把proguard.cfg文件放在默认的位置(工程的根目录),你可以像这样来指定它的位置:

proguard.config=proguard.cfg

你还可以把该文件移到任何你想放的位置,然后指定绝对路径:

proguard.config=/path/to/proguard.cfg

当你在release模式下编译你的程序,不管是用ant release还是用Eclipse的导出向导,编译系统都会自动检查proguard.config属性是否设置。如果设置了,ProGuard就会在打包成.apk文件之前,自动处理应用程序的字节码。Debug模式编译,不会触发ProGuard,因为它会使得调试更加复杂累赘。

ProGuard运行结束后,输出以下文件:

dump.txt

描述.apk文件中所有类文件间的内部结构

mapping.txt

列出了原始的类,方法和字段名与混淆后代码间的映射。这个文件很重要,当你从release版本中收到一个bug报告时,可以用它来翻译被混淆的代码。

seeds.txt

列出了未被混淆的类和成员

usage.txt

列出了从.apk中删除的代码

这些文件放在以下文件夹中:

· Ant:<project_root>/bin/proguard

· Eclipse: <project_root>/proguard

注意:每当你在release模式下编译时,这些文件都会被覆盖重写,当然,是被ProGuard工具生成的最新的文件所覆盖。每次你发布你的程序时,都应该保存一份,为了将来能够解码bug报告。

配置 ProGuard

一些情况下,proguard.cfg文件中的默认配置就足够了。然而,有些情况ProGuard也很难正确分析,它可能会删除它认为不用的代码,但实际上正是你的程序所需要的。例如:

l 只在AndroidManifest.xml文件中引用的类

l 由JNI调用的方法

l 动态引用的字段和方法

默认的proguard.cfg文件努力去覆盖通用的情况,但有可能你会遇到如ClassNotFoundException这样的异常,而这正好是由于ProGuard移除了整个类造成的。

你可以修正由于ProGuard移除代码造成的错误,只需要在proguard.cfg文件中添加一行“-keep”。例如:

-keep public class <MyClass>

使用-keep选项时,有一些选项和建议,因此,强烈建议你阅读ProGuard手册来了解更多关于定制配置文件的信息。“Overview of Keep options”和“Examples section”将非常有用。而“Troubleshooting”章节也列出了一些当你的代码被删除时你可能会遇到的一些常见问题。

解码混淆过的堆栈跟踪信息

当混淆后的代码输出一个堆栈信息时,方法名是不可识别的,这使得调试变得很困难,甚至是不可能的。幸运的是,当ProGuard运行时,它都会输出一个<project_root>/bin/proguard/mapping.txt文件,而这个文件中包含了原始的类,方法和字段名被映射成的混淆名字。

retrace.bat脚本(Window)或retrace.sh脚本(Linux,Mac OS X)可以将一个被混淆过的堆栈跟踪信息还原成一个可读的信息。它位于<sdk_root>/tools/proguard文件夹中。执行retrace工具的语法如下:

retrace.bat|retrace.sh [-verbose] mapping.txt [<stacktrace_file>]

例如:

retrace.bat -verbose mapping.txt obfuscated_trace.txt

如果你没有指定<stacktrace_file>,retrace工具会从标准输入读取。

发布程序的调试建议

每次发布程序给用户时,都应该保存一份mapping.txt。这样的话,当用户遇到一个bug并提交一个混淆的堆栈信息,能确保你能调试这个问题。工程的mapping.txt文件在你每次进行release编译时都会被覆盖,所以,你一定要小心的保存你需要的版本。

如何保存mapping.txt文件是你的事。例如,你可以用一个包含版本信息或编译号的名字来重命名文件,或者让其和你的代码一样进行版本控制。

以下面的Test.java文件为例: import java.util.*;

import java.io.*;

public class Test {

public static void main(String[] args) throws Exception {

BufferedReader stdin = new BufferedReader(new InputStreamReader(System.in));

String s = stdin.readLine();

if(s.length()%2==0)

System.out.println(showMsg1());

else

System.out.println(showMsg2());

Flight a = new Flight();

a.setName(s);

System.out.println(a.output());

Bomber b = new Bomber();

b.setName(s);

System.out.println(b.output());

s = stdin.readLine();

StringTokenizer st = new StringTokenizer(s);

int n = Integer.parseInt(st.nextToken());

System.out.println(compute(n));

}

 

public static String showMsg1() {

return "You are my sun1";

}

 

public static String showMsg2() {

return "You are my sun2";

}

 

public static int compute(int n) {

if(n>1)

return n*compute(n-1);

else

return 1;

}

 

public static class Flight{

public Flight(){

}

 

public String output(){

return this.name;

}

 

public void setName(String name){

this.name="Flight:"+name;

}

 

private String name;

}

 

public static class Bomber{

public Bomber(){

}

 

public String output(){

return this.name;

}

 

public void setName(String name){

this.name="Bomber:"+name;

}

 

private String name;

}

}

首先jar cvf a.jar *.class打包程序,然后jad -d d:\ -r -s java d:\*.class反编译程序,生成Test.java文件,通过对比可以发现,它和原来文件的内容基本是相同的。

// Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.

// Jad home page: http://www.kpdus.com/jad.html

// Decompiler options: packimports(3)

// Source File Name: Test.java

import java.io.*;

import java.util.StringTokenizer;

public class Test

{

public static class Bomber

{

public String output()

{

return name;

}

public void setName(String s)

{

name = (new StringBuilder()).append("Bomber:").append(s).toString();

}

private String name;

public Bomber()

{

}

}

public static class Flight

{

public String output()

{

return name;

}

public void setName(String s)

{

name = (new StringBuilder()).append("Flight:").append(s).toString();

}

private String name;

public Flight()

{

}

}

public Test()

{

}

public static void main(String args[])

throws Exception

{

BufferedReader bufferedreader = new BufferedReader(new InputStreamReader(System.in));

String s = bufferedreader.readLine();

if(s.length() % 2 == 0)

System.out.println(showMsg1());

else

System.out.println(showMsg2());

Flight flight = new Flight();

flight.setName(s);

System.out.println(flight.output());

Bomber bomber = new Bomber();

bomber.setName(s);

System.out.println(bomber.output());

s = bufferedreader.readLine();

StringTokenizer stringtokenizer = new StringTokenizer(s);

int i = Integer.parseInt(stringtokenizer.nextToken());

System.out.println(compute(i));

}

public static String showMsg1()

{

return "You are my sun1";

}

public static String showMsg2()

{

return "You are my sun2";

}

public static int compute(int i)

{

if(i > 1)

return i * compute(i - 1);

else

return 1;

}

}

进入Proguard的lib目录,用JDK打开proguardgui.jar,点选Input/Output标签,选择要混淆的JAR包(注意是JAR包),输出JAR包,以及用到的所有类库。

点选Obfuscation标签,选中不需要混淆的类(要被反射的类绝对不能被混淆),一般是1,4,5,9,10,11

,12这几个选项。

a.txt的文件内容为:(混淆函数名)

Gcd

b.txt的文件内容为:(混淆类名)

A

B

点选Process标签,Process按钮,生产b.jar

解压b.jar后,这时的3个class文件分别为A.class、B.class、Test.class;

重新反编译程序jad -d d:\b\ -r -s java d:\b\*.class,生成3个java文件:A.java、B.java、Test.java,具体内容如下:

A.java // Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.

// Jad home page: http://www.kpdus.com/jad.html

// Decompiler options: packimports(3)

public final class A

{

public A()

{

}

public final String Gcd()

{

return Gcd;

}

public final void Gcd(String s)

{

Gcd = (new StringBuilder()).append("Bomber:").append(s).toString();

}

private String Gcd;

}B.java // Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.

// Jad home page: http://www.kpdus.com/jad.html

// Decompiler options: packimports(3)

public final class B

{

public B()

{

}

public final String Gcd()

{

return Gcd;

}

public final void Gcd(String s)

{

Gcd = (new StringBuilder()).append("Flight:").append(s).toString();

}

private String Gcd;

}Test.java // Decompiled by Jad v1.5.8g. Copyright 2001 Pavel Kouznetsov.

// Jad home page: http://www.kpdus.com/jad.html

// Decompiler options: packimports(3)

import java.io.*;

import java.util.StringTokenizer;

public class Test

{

public Test()

{

}

public static void main(String args[])

{

String s;

if((s = (args = new BufferedReader(new InputStreamReader(System.in))).readLine()).length() % 2 == 0)

System.out.println("You are my sun1");

else

System.out.println("You are my sun2");

Object obj;

((B) (obj = new B())).Gcd(s);

System.out.println(((B) (obj)).Gcd());

((A) (obj = new A())).Gcd(s);

System.out.println(((A) (obj)).Gcd());

s = args.readLine();

args = Integer.parseInt((args = new StringTokenizer(s)).nextToken());

System.out.println(Gcd(args));

}

private static int Gcd(int i)

{

if(i > 1)

return i * Gcd(i - 1);

else

return 1;

}

}

通过对比可以发现,它和原来文件的内容有许多出入。

这里只提一下使用proguard需要注意的几个地方:

1、注意版本,如果不是项目需要,最好使用最新稳定版本,这样出错的机会小一些,学习曲线会明显缩短。

2、最好以源码的同编译版本的jvm来启动proguardgui.jar,不要直接用默认的jvm打开。

3、注意proguaardgui启动后默认加载的libraryjar中包含的rt.jar,它的版本和你使用到的jvm版本一致。

4、使用1.4的jvm打开proguard时,注意在optimization选项卡中,不要勾中keep enumerations选项,因为勾中这个选项会导致configration文件中出现java.lang.Enum,这个类

只有在1.5的环境下才有。报错信息如下:

[proguard] Note: the configuration refers to the unknown class 'java.lang.Enum'

[proguard] Note: there were 1 references to unknown classes.

[proguard] You should check your configuration for typos.

5、嵌入ant脚本时,通常会有这么一段

<target name="proguard" depends="init">

<taskdef resource="proguard/ant/task.properties" classpath="${lib.dir}/proguard/proguard.jar" />

<proguard configuration="${src.dir}/config.pro" />

</target>

task.properties在proguard.jar中,保留,config.pro是proguard的配置文件,最好使用proguardgui.jar先生成,然后再根据需求手动修改。