Так jboss (который сейчас wildfly), да и вообще, почти все appserver'а, в любом случае разархивируют содержимое jar/ear к себе. Хороший способ скрыть всё это - встроить сервер в jar (jetty прекрасно интегрируется, всё запускается из простого jar, в который можно упаковать и содержимое webapp). Ещё можно прикрутить к этой штуке шифрование и загрузчик, который на лету будет распаковывать зашифрованный архив (можно даже в оперативку) и запускать приложуху. Достать .class-файлы и содержимое webapp всё ещё можно, но уже труднее.
Средний