java - 制作商业 Java 软件 (DRM)

Question

我打算制作一些在互联网上销售的软件。我以前只创建过开源，所以我真的不知道如何保护它不被破解并以warez的形式分发。记住我知道两个程序既没有破解也没有真正有用，我决定唯一或多或少可靠的方法可能如下所示:

1. 连接到服务器并提供许可信息和某种硬件摘要信息
2. 如果一切正常，服务器会返回绑定(bind)到特定 PC 的程序的一些关键缺失部分以及 2 天的使用限制
3. 关键的东西没有保存到硬盘，所以每次程序启动都会下载，如果程序运行超过2天，数据会重新下载
4. 如果在不同的计算机上使用相同的信息，请暂停客户帐户

您对此有何看法？这似乎有点限制，但我最好先减少销售量，然后最终免费下载我宝贵的 killer 级应用程序。无论如何，首先我需要一些基本的理论/教程/指南，以确保用户在付费后只使用某个 Java 应用程序，所以请提出一些建议。

谢谢

Answer 1

我在一家销售 protected Java 软件的公司工作。

我不会评论用户认证的方案，但我可以评论在线许可证检查。

不要让它甚至“工作两天”:这就是我盗版大多数软件的方式......虚拟机设置“及时”并在外部设置防火墙，使其不再“打电话回家”(即:只允许它与服务器联系一次，以获取试用 key )，始终从新安装软件和宾果游戏的位置重新镜像，30 天试用(或两天试用)已成为终身试用。我为什么要这样做？当然是学习如何更好地保护我们的应用程序；)(好吧，好吧，我这样做也是为了好玩)

我们在商业 Java 软件中所做的是在每次启动时检查许可证。

我们有数百名客户，但从来没有人提示过。不止一次。我们在每次运行时生成一个唯一的类，每次运行时都会有所不同，这既取决于客户端启动时的独特之处，也取决于服务器端生成的东西。

除了让应用在每次启动时与您的服务器联系之外，这也是收集分析数据的好方法:下载与试用的比率、每次试用的 nb 平均启动等。而且它并不比拥有 Urchin/Google JavaScript 跟踪器更糟糕在每个网页上都是讨厌的。

只需向人们明确说明您的软件执行在线许可证检查:我们有一个巨大的复选框打开或关闭，上面写着:“在线许可证验证:OK/Failed”。就是这样。人们知道有一张支票。如果他们不喜欢它，他们就会去使用劣质的竞争对手产品，生活是美好的。

人们习惯于生活在有线世界中。

由于 Internet 连接中断，您不多久访问一次 GMail？您多久无法访问 Facebook 或 SO，因为您的 Internet 连接中断？

重点是:尽可能多地依赖服务器端进行计算:

• 许可证检查
• 保存用户偏好
• 备份您的应用生成的数据
• 等等

没有人会提示。您将有 0.1% 的用户提示，无论如何您不希望这些用户:他们会提示其他事情并在网上发布有关您的应用程序的负面反馈。您最好让他们根本不使用您的软件并提示它需要始终在线的 Internet 连接(这是您的目标人群的 99.99%，因此他们不会关心提示)，而不是让他们实际使用应用程序，并提示与您的应用程序相关的其他事情。

关于反编译，.class 通常可以反编译回 .java，除非您使用的代码流混淆器可以生成有效的字节码，但无法从 .java 文件生成(因此无法取回有效的字节码) .java 文件)。

字符串混淆器有助于使其更难弄清楚。

源代码混淆器有助于使其更难弄清楚。

像免费的 Proguard 这样的字节码混淆器使得更难(并且生成更快的代码，在移动世界中尤其明显)弄清楚。

如果您只发布 Windows/Linux，那么您可以使用 Java 到 native 的转换器，例如 Excelsior Jet(不是免费的，而且对初创公司来说有点贵，但它会生成您根本无法使用的 native 代码 找到 .java 文件)。

作为一个有趣的旁注，您会看到有人试图弄乱您的在线服务器...在大约 30 名 Beta 测试人员中，我们已经有人(我们知道这是试用的一部分)试图盗版我们的在线服务器。