Во-первых, если вы ориентируетесь «только» на рынке Windows, есть очень легко предотвратить «.class в .Java» декомпиляции: использовать инструмент, как Excelsior JET, который превратит .jar в . exe.
Это несложное: это невозможно, чтобы получить файл .java обратно, если вы используете Excelsior Jet (так долго все люди говорят «это невозможно предотвратить декомпилирование .class файла»). Конечно, злоумышленник может запустить SoftIce и попытаться проследить свой .exe но это окажется немного сложнее, чем при использовании JAD декомпилировать .class к .java и это, конечно, не позволит найти .java файл назад.
Теперь, возможно, вы тоже нацеливаете OS X и Linux, иначе у вас нет $$$, чтобы отключить Excelsior Jet.
Я пишу коммерческое программное обеспечение, написанное на Java. Это программное обеспечение имеет смысл, если есть подключение к Интернету. Следовательно, мы «защищаем» наше программное обеспечение, среди прочего, участвуя в вычислении на стороне сервера: у нас есть несколько .class, которые не будут работать, если они не сгенерированы с серверной стороны, и мы отправляем их по провод (и то, что отправлено на провод, всегда разные: мы генерируем уникальные, одноразовые файлы .class на стороне сервера).
Это требует подключения к Интернету, но если пользователь не нравится, как наша программа работает, то он может свободно купить один низший продукт нашего конкурента;)
Декомпиляция не будет делать много хорошего: вы активно должны взломать (т. е. воспроизводить то, что происходит на стороне сервера), или вы не сможете его использовать.
Мы используем нашу собственную «обфускацию» строки до мы используем Proguard. Мы также используем инструментарий с исходным кодом (мы могли бы также выполнить байт-код), где мы удаляем много вещей из кода (например, «assert», которые мы комментируем) и вводим случайную «обфускацию потока кода» [программное обеспечение может принимать разные пути все же получают тот же результат, это то, что действительно заставляет программное обеспечение трудно отслеживать]).
Затем мы используем Proguard (который является бесплатным), чтобы сгладить всю нашу иерархию OO и сфотографировать код с уже запутанным кодом и потоком с запутанным кодом.
Таким образом, наш поток:
- строка запутывание
- запутывания случайного код поток
- Proguard
- окончательный .jar, что зависит от .class, которые (по-разному) динамически генерируемых на стороне сервера.
В дополнение к этому мы выпускаем очень регулярное (и автоматическое) обновление, которое всегда позволяет немного изменить нашу схему защиты клиент/сервер (так что с каждой версией гипотитический злоумышленник должен начинать в основном с нуля).
Конечно, это легче бросить полотенце и думать: «нет ничего, что я могу сделать, чтобы сделать жизнь атакующего труднее, потому что JAD может найти файл обратно .java все равно» (что больше, чем очень спорно и вопиюще неправильно в том случае, когда вы используете конвертер .class в .exe для защиты вашего .class от декомпиляции).
Подобный вопрос к вашему - http: // stackoverflow.com/questions/49379/how-to-lock-compiled-java-classes-to-prevent-decompilation –
Вы заинтересованы в предотвращении декомпиляции или защите ваших коммерческих секретов, встроенных в код? – Yuval
@ Yuval - меня интересует и то, и другое ... –