java 无感hook实现（修改jdk）

news2024/11/20 7:21:02

背景

1	`工作需要，需要修改一个java的程序逻辑，之前都是用的frida修改的，但是现在的工作场景，重视效率，所以frida这种重工具被pass了，只能重新选其他工具，初始的时候是想用java本身的一些修改工具的，上网发现了很多。比如cglib,javaassist,asm,byte buddy等；`

java本身hook工具的限制

但是发现，这些都不符合我的应用场景，首先，我这个应用的jar包本身是加密的，需要加载的过程中在自定义的classloader中进行解密才能得到最终的dex文件，而这些工具大多都是通过调用默认的classloader来加载的，直接就会检测当前dex文件不符合文件格式而报错；

有一些可以绕过的，又只能修改未加载的dex；

后来redefineClass绕过了，发现他只能修改部分逻辑，而我要修改的变量是一个private的，redefineClass不能修改函数的签名，即不能增加一个方法来操作这个private变量；

再后来我又绕过了，可以修改了，但是又发现我的判断条件位于上一层，而这个类的实例中所有变量都无法判断我要执行的修改逻辑。。。。

越看问题越多，要修改的逻辑也越多；

同时程序中本身会打印日志，我修改了字节码，那他的日志中打印的行数也会有问题。。。。感觉爆炸了，最后想到通过修改jdk来实现java逻辑的修改。

jdk修改：

为了修改这个，大概了解了下一个实例在内存中的分布以及jdk的实现。

首先想到jdk的类的实现，主要通过两个类来实现，一个是oopDesc，一个是Klass；我是这么理解的，Klass代表一个类的结构，oopDesc代表一个类的实例的结构；这样把实现和实例分离开来，多个类的实例oopDesc也只需要指向同一个Klass结构，这样可以大幅节省空间；

我计划的实现hook修改某个实例的大致流程如下：

1、在实例初始化的时候获取这个实例的地址

2、通过实例指向的Klass结构，找到我想修改的这个变量或方法的偏移地址

3、根据偏移，获取我想要的变量地址

4、在需要修改的地方，修改之前获取的变量地址中的内存数据。

下面一步步来解决：

1、我想修改的是某个实例，那么就在某个实例开始的地方来hook他。实例初始化的流程大概是：

->加载一个类，也就是把dex解析为一个klass类，存储在内存中

->根据klass分配一个指定大小的内存空间

->初始化这个内存空间为一个Oop结构

->根据Klass的定义，初始化成员变量

这里，我是在第二步获取的空间，反正实现就行，后续没跟了。我是用的openjdk17，修改了位于instanceKlass.cpp的allocate_instance函数，其中的oop返回之后，根据函数的入参获取当前的klass 的name，判断是否是自己需要的klass，来定位最终的oop的内存空间

看到这里的判断逻辑，为什么我加了个长度判断，而不是直接精准匹配某个字符串，是因为这里jdk有个问题，我同样新建一个a.b.c.d的类，他这里klass的名字，有的时候是"a.b.c.d",有的时候"a.b.c.d ",tmd多了一个" ",搞了我好久！

2、找偏移，硬核可以直接jdk里面找，我反正就该一个类，所以简单点，通过开启java的配置启动项PrintFieldLayout来设置打印的,可以得到如下的内容:

![图片描述](upload/attach/202309/642739_8XF5TPXE9KZV77H.webp)

这里就是Person在内存中的实例，打个比方，我要修改的是b变量，位于20偏移处，这里是10进制，不是16进制

3、根据偏移地址找到数据。这里借助了工具jhsdb，我从官网下载的jdk里面编译出来的，都是不带这个工具的，正好还下载了graal jdk,他里面是携带的。

jhsdb启动后注入进程，看看上面这个变量的内存分布：

上面是实例的结构，我们想要的b，发现并不是oop的地址加上20，那这里是为什么呢？

因为我想要获取的是一个AtomicInteger类的实例，而不是简单的int实例，存储的是指向相应的实例oop的指针，而非简单的一个int数据。

再看看下面内存的16进制分布吧，20的16进制是0x14,我们偏移一加，得到是0x8adade24，这里我取了四字节，是因为这里jdk采用了一个叫压缩指针的方式来存储实际的oop数据，直接使用0x8adade24 * 8 = 0x456d6f120,就是我要去的实例地址，然后再取这个AtomicInteger的数据的偏移，即可得到实际我要改的那个b的地址；

4 、在最终要修改的时候修改。这里就是我程序的逻辑了，各不一样了

总结

1 2	`这个就是最终的流程了，优势就是不改java逻辑，java程序无法感知应该` `这个markdown不会插图呀。。。算了，也懒得插了`

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1081453.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！