对于java应用来说，逆向工程（Reverse Engineering）威胁是众所周知的安全问题，默认情况下，Java编译器生成的字节码包含大量的符号信息，其中包括可执行程序的实际java代码和调试信息，使用逆向工程机制，可以对可执行的java字节码进行反编译和反汇编，得到实际的java源代码，从而突出Java应用程序的漏洞，是攻击者可以执行如下的操作：

修改代码和数据

确定程序的执行流程

确定使用的算法

构造欺骗性和应用

窃取知识产权

发起代码级安全攻击

什么是逆向工程？
对Java程序进行逆向工程的过程是这样进行的：将可执行的类反汇编成中间汇编代码（Intermediate Assembly Code），然后将汇编代码反编译成字节码的高级抽象（Higher-level Abstraction），该高级抽象包含大量的源代码，其中包括变量、方法等等。与实际的源代码相比，最大的区别是没有注释。还需要指出的而是，逆向工程提供的源代码并不一定准确。能提供反编译和反汇编功能的商业软件和免费软件有很多。
下面是一些防止对java可执行文件进行逆向工程和保护源代码的方法：
代码验证：对可执行代码进行评估和验证，包括可信来源、运行阶段的检查、可预期的行为和输出。
加密和解密:在传输过程中对可执行代码进行加密和解密，确保代码在传输过程中不被访问或者篡改。但是这种方法限制了代码的可移植性。
代码混淆（Code Obfuscation）：这种方法使用转换机制修改程序，生成的java代码所包含的引用是模糊的。这样虽然还是能被反编译，但是很难读懂，这个也是最常用的方法。

关于代码混淆，常用的技术有如下：

结构性或布局性变换（Structural ar layout transformation）：通过混淆和重命名的方法和变量的标识符来变换代码的词法结构。

数据变换（Data transformation）：改变过程中的数据结构。例如将内存中的局部变量改为全局变量等。

控制变换（Control transformation）：改变程序中的流程机制。

防篡改和预防性变换（Tamper-proofing and preventive transformation）：使反编译器无法提取实际程序，并使由其产生的代码无法使用。

字符串加密（String encryption）：加密可执行代码中所有的字面字符串，并在运行阶段调用它们时进行解密。

水印（Watermarking）：在可执行代码中加入秘密消息，以识别可执行程序的副本，从而发现对代码的篡改。

代码对性能的影响不是很大，却能限制反编译的滥用并提供可移植性，而且不影响部署平台。所以，为了降低逆向工程所带来的风险，代码混淆是一种不错的选择。

但是要知道，世界上没有绝对安全的的系统，所以，要做的还是有很多，比如重视对知识产权的保护，提高人们的素质等等。。。

作者：博爱老头@博爱老头的草屋
地址：http://www.icnote.com/Protect-our-java-source/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明！