Hi Leute,

wenn ich meine Java Applikationen veräußere, möchte ich gern verhindern, dass mann meine Classfiles decompilieren kann.
Wie, bzw. womit kann ich das bewerkstelligen ?

Es wäre gut, wenn es ein Programm gäbe, welches mir die internen Variablen in der classdatei refactoriert und die Dateinamen.

Habt Ihr da einen Lösungsansatz?

Gruß,
Stefan

[Sym]

Ich wusste gar nicht, dass eine Dekompilation bei Java möglich ist. Hast Du dazu nähere Hinweise?

zumindest werden Namen von Variablen sichtbar, wenn man die .class Dateien in einem Hex Editor öffnet und genau das möchte ich verhindern.
Meine Projekte sind etwas zu umfangreich um die Variablen von Hand zu refactorieren....

Ich hab schonmal ein Decompiller gesehen, weiß nicht mehr genau wie der heißt, den hat man nur die class atei zu füttern gegeben und schwup hatte man den Quelltext, sogar ordentlich formatiert, ...
Zu deinem Problem gabs da nicht ein tool von sun.

Googlet einfach mal nach JAD, das ist der Decompiler und nein man kann den Bytecode nicht verschleiern.

Um deinen code zu verschleiern gibt es sogenannte obfuscatoren.
Suche einfach bei google nach obfuscator.

Aber selbst wenn du sogenannte "obfuscatoren" verwendest bist du nicht davor gefeid das dir einer deine Quellen kopiert.

Denn die gesamten schnittstellen bleiben erhalten, somit braucht es halt nur mehr zeit bis der komplette Quelltext fehlerfrei rekonstruiert ist. Sicher es schreckt viele ab, aber eine endgültige Lösung sind solche "obfuscatoren" nicht.

[Sym]

Zitat:

Zitat von McSnoop

Aber selbst wenn du sogenannte "obfuscatoren" verwendest bist du nicht davor gefeid das dir einer deine Quellen kopiert.

Denn die gesamten schnittstellen bleiben erhalten, somit braucht es halt nur mehr zeit bis der komplette Quelltext fehlerfrei rekonstruiert ist. Sicher es schreckt viele ab, aber eine endgültige Lösung sind solche "obfuscatoren" nicht.

Soweit ich das jetzt überblickt habe, sind die Dinger schon ziemlich gut geworden. Was genau meinst Du denn mit "Schnittstellen"?

"obfuscatoren" ersetzen nur die Identifier (Klassen-, Variablennamen usw.) das erschwert zwar das lesen, aber die Strukturen(Schnittstellen, Interfaces usw.) bleiben ja erhalten, weil ja sonst kein funktionierendes Programm rauskommen würde.

Der "obfuscator" wäre dann "perfekt" wenn er es noch fertig bringen würde die struktur so durcheinander zu bringen das die decompiler nichts damit anfangen könnten, aber das Programm trotzdem noch ausführbar bleibt.

Hier mal ein kleine Auflistung von "obfuscatoren":

2LKit : www.2lkit.com
--------------------------------------------------------------------------------
BLOAT : www.cs.purdue.edu/s3/projects/bloat/
--------------------------------------------------------------------------------
Condensity : www.condensity.com
--------------------------------------------------------------------------------
DashO : www.preemptive.com/tools/index.html
--------------------------------------------------------------------------------
Elixir : http://elexirtech.com/ElixirIDE/
--------------------------------------------------------------------------------
jarg : http://sourceforge.net/projects/jarg
--------------------------------------------------------------------------------
JAX : www.alphaworks.ibm.com/tech/JAX?
--------------------------------------------------------------------------------
JCloak : www.force5.com/JCloak/ProductJCloak.html?
--------------------------------------------------------------------------------
JProofLite : www.jproof.com/?
--------------------------------------------------------------------------------
jPresto : www.s5systems.com/jPresto.htm?
--------------------------------------------------------------------------------
JODE : http://jode.sourceforge.net
--------------------------------------------------------------------------------
Jshrink : www.e-t.com/jshrink.html?
--------------------------------------------------------------------------------
JZipper : www.vegatech.net/jzipper/?
--------------------------------------------------------------------------------
Zelix KlassMaster : www.zelix.com/klassmaster/?
--------------------------------------------------------------------------------
The Marvin Obfuscator : http://drjava.de/obfuscator/?
--------------------------------------------------------------------------------
ProGuard : http://proguard.sourceforge.net
--------------------------------------------------------------------------------
Retroguard : www.retrologic.com
--------------------------------------------------------------------------------
Shroudit : www.lnk.com/products.html?
--------------------------------------------------------------------------------
Smokescreen : www.leesw.com
--------------------------------------------------------------------------------
Saffeine : www.saffeine.com
--------------------------------------------------------------------------------
CodeShield : www.codingart.com/codeshield.html?
--------------------------------------------------------------------------------
JObfuscator : www.jobfuscator.com
--------------------------------------------------------------------------------
JavaGuard : http://sourceforge.net/projects/javaguard/?
--------------------------------------------------------------------------------
JGuard : www.yworks.com/en/products_yguard_about.htm?
-------------------------------------------------------------------------------

Super danke... das war ja mal ne Liste.....

Welcher ist denn empfehlenswert ?

Ich neige allerdings dazu sourceforge Projekte zu preferrieren, da diese nicht nur kostenlos sind, sondern auch lehrreich

[Gottzilla]

Gibt mittlerweile aber auch schon decompiler für die das (fast) kein Problem mehr ist! Jaja der Fortschritt der Technik ...

Zitat:

Zitat von Hobbit_im_Blutrausch

Gibt mittlerweile aber auch schon decompiler für die das (fast) kein Problem mehr ist! Jaja der Fortschritt der Technik ...

so in der art hab ich es ja auch schon beschrieben, es gibt einfach keinen perfekten
"obfuscator"

dieser müsste es irgendwie fertig bringen die strukturen so zu zerlegen das das proggie trotzdem ausfürbar bleibt aber für De-Compiler keinen Sinn machen. =)

aber bis das der stand der technik wird denk ich mal wird noch ein weilchen vergehen. =)

als Decompiler nutze ich :

DJ Java Decompiler

naja und geben gibt es auch noch ne Menge: z.b. JAD (imom wohl der schnellste =))

obfuscatoren: setze ich im mom noch nicht ein, ich lese sehr viel über das thema

bei den Projecten die ich im mom bearbeite macht es keinen Sinn dort die quellen durcheinander zu wurschteln, weil sie eh für alle intern zugänglich sind. =)

Alle nicht internen Personen haben eh keinen zugriff auf die Quellen. =)

[sparrow]

Hallo,

also zum Thema Obfuscator:

Ich verwende ProGuard für meine Handyprogramme.
Allerdings nicht damit der Code verschleiert wird, sondern weil die .class-Datei dadurch kleiner wird. Und bei j2me kämpft man unter Umständen um jedes Byte.

Das DeCompilieren von Java-Programmen ist kein Problem.
FrontEnd ist ein Decompiler, basierend auf JAD, der bei einer .class-Datei ohne Obfuscater unter Umständen sogar wieder die Original Variablennamen wiederherstellt.
Proguard ersetzt Methoden-, Klassen- und Variablennamen komplett und sorgt dabei sogar noch für einen "sauberen" Code, nicht verwendete Methoden werden einfach nicht mit kompiliert.
Außerdem sind hinterher goTo Anweisungen im Quelltext.... lustich.

Aber der Quelltext wird daher nicht unmöglich zu lesen.
Deshalb frage ich ja z. B. im Datenbank-Forum auch nach einer sicheren Möglichkeit Passwörter "hardcoded" im Proggi unterzubringen.

Gruß

Sparrow