教你一招破解字节码加密


字节码加密的需求

java的字节码是可以反编译的,所以很多时候,做商用产品的时候,防止别人看你的核心代码是一个必要手段,字节码加密的需求就诞生了,本质就是防止别人反编译看代码。加密的方式有很多,不是本文的主要目的。


如何破解字节码加密

只要还是ibm,oracle,hp等通用的jvm,那么字节码加载到内存必须是jvm可以识别的东西。这里简单说一下字节码加载到内存的代码,就是classloader的loadclass方法,里面有详细的class文件到byte的做法,最后依靠defineclass方法加载到内存。下面列举一下urlclassloadclass中调用的findclass方法,主要就是在找到类资源,然后define的过程。

    protected Class<?> findClass(final String name)
        throws ClassNotFoundException
    {
        final Class<?> result;
        try {
            result = AccessController.doPrivileged(
                new PrivilegedExceptionAction<Class<?>>() {
                    public Class<?> run() throws ClassNotFoundException {
                        String path = name.replace('.', '/').concat(".class");
                        Resource res = ucp.getResource(path, false);
                        if (res != null) {
                            try {
                                return defineClass(name, res);
                            } catch (IOException e) {
                                throw new ClassNotFoundException(name, e);
                            }
                        } else {
                            return null;
                        }
                    }
                }, acc);
        } catch (java.security.PrivilegedActionException pae) {
            throw (ClassNotFoundException) pae.getException();
        }
        if (result == null) {
            throw new ClassNotFoundException(name);
        }
        return result;
    }

其实大概也能猜到,字节码解密的地方就在classloader中,defineClass已经是一个native方法了,他已经不能再拆了。这里说的是上面的通用jvm,例如你自己改了openjdk的c++代码,这个是可以做的,不过成本挺大。

这里当然不是在说破解的方法要去找加载的classloader,这样找代码其实挺麻烦的,而且说不定对方在defineclass上做手脚。

这里要介绍一个jvm提供的机制,javaagent。其实看到这里,了解点javaagent的人就会有疑问,javaagent不是主要用来做字节码动态修改的方式吗?其实换个思路,我只要不改字节码而是拿出来,是不是就说明,我破解了他的加密了呢。

如果不了解javaagent的并不影响,因为代码很简单,我们看着,学会操作,慢慢体会。


动手写代码

public static void premain(String args,Instrumentation ins) {
        ins.addTransformer(new ClassFileTransformer() {

            @Override
            public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined,
                    ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
               //bootstrap类加载器加载的不管
                if(loader==null){
                    return null;
                }

                String property = System.getProperty("dumpDir");
                File file =new File(property+"/"+className+".class");
                File parent = new File(file.getParent());
                if(!parent.exists()){
                    parent.mkdirs();
                }
                OutputStream out =null;
                try {
                out =new FileOutputStream(file);
                out.write(classfileBuffer);
                } catch (Exception e) {
                    e.printStackTrace();
                }finally{
                    try {
                        out.close();
                    } catch (IOException e) {
                        e.printStackTrace();
                    }
                }

                return null;
            }
        });
    }
  1. 找个类写上public static void premain(String args,Instrumentation ins),这个是agent的要求,和写main方法是一个道理。

  2. ClassFileTransformer就是我们的主体,加上这个以后,每次类的加载都会走到他的transform方法。

  3. 代码的逻辑通俗易懂就是写文件。最后必须return null,表示此次没有字节码改动。


MANIFEST.MF配置

Manifest-Version: 1.0
Premain-Class: xxx
Can-Redefine-Classes: true

Premain-Class填写主类


运行

java -javaagent:jarpath  -DdumpDir=path  xxx

其实这里主要是加入到jvm启动参数就行,例如tomcat,你可以把-javaagent设置到java_options上。-DdumpDir是我自定义的属性,为了存放dump出来的字节码。


换个角度思考

这就是一个agent使用场景,当不做字节码改造的时候,就可以用来做做字节码还原。以后还没讲其他的用法。

原创首发于慕课网

点赞