JVMTI 在安卓逆向工程中的应用

原创 于 2025-06-04 16:41:02 发布 · 2.1k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #python #开发语言

JVMTI 在安卓逆向工程中的应用

JVMTI 在安卓逆向工程中扮演着重要角色,尤其是在分析和修改 Java 层应用行为时。以下是其核心应用场景、实现方式及典型工具:

一、核心应用场景
1. 动态代码注入与 hook

通过 JVMTI 可以在运行时修改或拦截 Java 方法,实现:

  • 方法执行监控:记录方法调用参数、返回值、执行时间。
  • 行为篡改:修改方法逻辑(如绕过签名校验、破解会员限制)。
  • 内存数据窃取:获取加密密钥、用户敏感信息等。
2. 内存分析与漏洞挖掘
  • 堆转储(Heap Dump):获取应用运行时的完整内存快照,分析对象引用链。
  • 内存泄漏检测:追踪未释放的对象,定位内存泄漏点。
  • 漏洞利用:通过修改关键对象状态触发漏洞(如空指针、越界访问)。
3. 反调试对抗

分析目标应用的反调试机制(如检测 ptraceDebug.isDebuggerConnected()),并通过 JVMTI 绕过这些检测:

  • 拦截反调试 API 的调用。
  • 修改检测方法的返回值。
4. 类加载与字节码修改
  • 类加载追踪:监控应用加载的所有类,识别加密类或动态加载的代码。
  • 字节码增强:在类加载时修改字节码(如插入日志、去除校验逻辑)。
二、在安卓中的实现方式

JVMTI 在安卓中的应用主要通过以下两种方式实现:

1. Xposed 框架
  • 原理:基于 ART 虚拟机的 JVMTI 接口,通过替换 libart.so 实现全局 hook。
  • 优势:无需 root 设备(Android 7.0+),可 hook 任意 Java 方法。
  • 示例代码(Xposed Module):
    public class XposedHook implements IXposedHookLoadPackage {
    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
        // Hook 目标类的方法
        XposedHelpers.findAndHookMethod(
            "com.example.target.Class",
            lpparam.classLoader,
            "targetMethod",
            String.class,
            new XC_MethodHook() {
                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    // 方法执行前的操作(如修改参数)
                    param.args[0] = "hooked_value";
                }
                
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    // 方法执行后的操作(如获取返回值)
                    XposedBridge.log("Return value: " + param.getResult());
                }
            }
        );
    }
}
2. Frida
  • 原理:基于 JVMTI 和动态代码生成技术,支持 JavaScript 脚本注入。
  • 优势:跨平台(iOS/Android)、无需修改 APK、支持 Java 和 Native 层 hook。
  • 示例脚本(Frida JavaScript):
    Java.perform(function() {
    // 查找目标类
    var targetClass = Java.use("com.example.target.Class");
    
    // Hook 方法
    targetClass.targetMethod.overload("java.lang.String").implementation = function(str) {
        console.log("Before call: " + str);
        var result = this.targetMethod(str);
        console.log("After call: " + result);
        return result;
    };
});
3. 自定义 Native 代理

直接编写基于 JVMTI 的 Native 库,通过 ptraceLD_PRELOAD 注入到目标进程:

// JVMTI Agent 示例(C 语言)
JNIEXPORT jint JNICALL Agent_OnLoad(JavaVM *vm, char *options, void *reserved) {
    jvmtiEnv *jvmti;
    (*vm)->GetEnv(vm, (void **)&jvmti, JVMTI_VERSION_1_2);
    
    // 设置方法进入事件回调
    jvmtiEventCallbacks callbacks = {0};
    callbacks.MethodEntry = &onMethodEntry;
    (*jvmti)->SetEventCallbacks(jvmti, &callbacks, sizeof(callbacks));
    
    // 启用方法进入事件
    (*jvmti)->SetEventNotificationMode(jvmti, JVMTI_ENABLE, JVMTI_EVENT_METHOD_ENTRY, NULL);
    
    return JNI_OK;
}

void JNICALL onMethodEntry(jvmtiEnv *jvmti, JNIEnv* env, jthread thread, jmethodID method) {
    // 获取方法信息并记录
    char *name, *sig;
    (*jvmti)->GetMethodName(jvmti, method, &name, &sig, NULL);
    printf("Enter method: %s %s\n", name, sig);
}
三、典型工具与框架
1. Xposed 框架
  • 功能:全局 Java 方法 hook,支持模块式开发。
  • 局限:需 root 权限,兼容性随 Android 版本下降。
2. Frida
  • 功能:动态代码注入,支持 Java、Native 和 JavaScript 交互。
  • 优势:无需修改 APK,支持非 root 设备(需绕过 SELinux)。
3. IDA Pro + JVMTI 插件
  • 功能:结合 IDA 的反汇编能力与 JVMTI 的运行时分析,用于复杂逆向工程。
4. Dexposed
  • 原理:基于 Dalvik 虚拟机的 JVMTI 接口,已停止维护(仅支持 Android 5.0 以下)。
5. Epic
  • 功能:针对 ART 虚拟机的高性能 Native hook 框架,与 Frida 结合使用。
四、实战案例:破解应用签名校验

假设目标应用通过以下方法进行签名校验:

public boolean verifySignature(Context context) {
    try {
        PackageInfo packageInfo = context.getPackageManager()
            .getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);
        
        // 获取应用签名并验证
        Signature[] signatures = packageInfo.signatures;
        String actualSignature = signatures[0].toCharsString();
        String expectedSignature = "EXPECTED_SIGNATURE_HASH";
        
        return actualSignature.equals(expectedSignature);
    } catch (Exception e) {
        return false;
    }
}

破解方案

  1. 使用 Frida 脚本 hook 签名校验方法

    Java.perform(function() {
    var Context = Java.use("android.content.Context");
    var PackageManager = Java.use("android.content.pm.PackageManager");
    
    // Hook getPackageInfo 方法,返回伪造的 PackageInfo
    PackageManager.getPackageInfo.overload(
        "java.lang.String", "int"
    ).implementation = function(packageName, flags) {
        var original = this.getPackageInfo(packageName, flags);
        
        // 修改 signatures 字段
        if ((flags & PackageManager.GET_SIGNATURES.value) != 0) {
            var Signature = Java.use("android.content.pm.Signature");
            var signatures = Java.array(Signature, [
                Signature.$new("FAKE_SIGNATURE".toCharArray())
            ]);
            original.signatures = signatures;
        }
        
        return original;
    };
});

  2. 使用 Xposed 模块直接返回 true

    XposedHelpers.findAndHookMethod(
    "com.example.app.SecurityUtils",
    lpparam.classLoader,
    "verifySignature",
    Context.class,
    new XC_MethodHook() {
        @Override
        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
            // 强制返回 true
            param.setResult(true);
        }
    }
);
五、挑战与限制

  1. 反逆向措施

    • 代码混淆(如 ProGuard/R8)会增加定位目标方法的难度。
    • 应用可能检测 JVMTI 代理或内存修改(如通过 /proc/self/maps 检查)。

  2. 兼容性问题

    • JVMTI 接口在不同 Android 版本(Dalvik vs. ART)中存在差异。
    • 自定义 JVMTI 代理可能因虚拟机内部结构变化而失效。

  3. 性能开销

    • 频繁的方法 hook 或内存扫描会显著降低应用性能。

  4. 法律风险

    • 未经授权修改商业应用可能违反软件许可协议或相关法律。
六、总结

JVMTI 为安卓逆向工程提供了强大的工具集,尤其在 Java 层分析中占据核心地位。通过动态 hook、内存分析和字节码修改,开发者可以深入理解应用行为并实现各种破解或增强功能。然而,随着 Android 安全机制的不断加强(如 SELinux、ART 虚拟机优化),逆向工作的难度也在增加,需要结合多种技术(如 Native hook、代码注入)和工具(如 Frida、IDA Pro)进行综合分析。

烬柒小云
关注
java 反编译 修补_Java之逆向工程(1) - 反编译、修补和逆向工程技术 读书笔记
weixin_42297904的博客
02-12 237
1、 Java source is not compiled to binary machine code like C/C++ source is.2、 Because the bytecode does not represent the lowest-level machine language, the format of the code closely resembles the ...
JVM技术系列】「逆向ClassLoader加载机制」认识一下线程上下文类加载器实现
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
11-13 489
线程上下文类加载,就是当前线程所拥有的类加载器,可通过 Thread.currentThread() 获取当前线程。 线程上下文类加载器(Thread Context ClassLoader)可以通过java.lang.Thread类的setContextClassLoader()方法设置,创建线程时候未指定的话,则默认从父线程中继承(系统类加载器)。 main方法的主线程上下文类加载器就是sun.misc.Launcher$AppClassLoader
逆向,揭秘JVM
ation_work的专栏
03-27 376
JVM自带的优化功能有哪些?jps jstat  Java堆(Java Heap)是JVM所管理的最大内存区域,也是所有线程共享的一块区域,在JVM启动时创建。  此内存区域存放的都是对象的实例和数组。JVM规范中说到:”所有的对象实例以及数组都要在堆上分配”。  Java堆是垃圾回收器管理的主要区域,百分之九十九的垃圾回收发生在...
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
Java的逆向工程.
02-26
支持MySql数据库,把数据库里的表映射成pojo类和mapper.xml文件,可以映射出单表关系。
透视JAVA——反编译、修补和逆向工程技术
做最好的自己
09-14 959
1.1 技术综述,使用各种方法的时间和目的 表1-1给出了相应章节将要详细论述的技术的概述。 表1-1 技术综述 章 节 技 术 作 用 2 反编译类 ● 恢复丢失的源代码 ● 了解特性和窍门的实现 ● 排除无文档说明的代码中的故障 ● 修复产品或第三方代码中的紧急程序错误 ● 评估自己的代...
jvmti_java_jvmti_
10-04
Java虚拟机工具接口(JVMTI)是Java平台中一个重要的组成部分,它为开发者提供了一种机制,以便与Java虚拟机(JVM)进行交互,监控和影响Java应用程序的运行。JVMTI允许实现诸如性能分析、调试、代码覆盖率测量、...
JVMTI与JNI在JAVA加密技术中的应用与实践
混淆技术通过随机化类名、方法名和变量名来实现,目的是为了隐藏真实的类和方法的结构,使得逆向工程变得更加困难。虽然混淆可以提升代码的安全性,但它并不等同于真正的加密,因为它不改变字节码的结构,只是让...
JVMTI和JNI在JAVA字节码加密中的应用
这对于深入理解JVMTI在JAVA加密中的应用非常有帮助。 标签:“JVMTI JAVA加密”所涵盖的知识点 1. JVMTI应用场景 JVMTI加密技术是一个应用场景,它展示 JVMTI 接口不仅可以用于开发调试工具和性能分析工具,还...
JVMTI与JNI技术在JAVA字节码加密中的应用
在实际应用中,开发者需要根据自身需求进行权衡,同时注重性能和安全的平衡。 综上所述,通过JVMTI对JAVA进行加密是一种先进但复杂的保护措施,它要求开发者对JVMJVMTI接口以及加密算法都有深入的了解。通过这种...
JVMTI与JNI在JAVA字节码加密中的应用及案例分析
### JVMTI在JAVA加密中的应用 使用JVMTI对Java字节码进行加密是一种创新的方法,它主要利用了JVMTI的事件机制和Java代码的可操作性。在Java应用运行时,通过JVMTI可以拦截关键事件,如类加载事件。在类被加载到JVM...
Java字节码反反转练习(java逆向
Onlyone_1314的博客
06-13 523
文章目录(1)、将PasswordVault.jar加入ProGuard作为输入文件,(2)、然后你的得在下面添加文件所依赖的jar包,不然运行的时侯会报错:(3)、新建一个输出文件HYH.jar Java Bytecode Anti-Reversing Exercise Description of the Exercise: Use Java bytecode anti-reversing tools such as ProGuard, SandMark, and CafeBabe on the Ja
Java 逆向工程
qq_39886220的博客
09-19 8474
逆向工程mybatis生成model、mapper、dao文件 前提需要数据库连接的jar包 运行环境使用jdk 我这里使用的是oracle数据库 mysql数据库也是如此 改一下数据库驱动 generatorConfig.xml配置文件 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfigur...
Java逆向工具汇总
lining4711的博客
07-19 3892
1、jd-gui A、可以将apk文件解压,解压之后,可以查看AndroidManisfast文件的源码。 B、可以讲dex文件转换为jar文件,查看java源代码 2、jclasslib A、可以查看class文件的结构,比如方法区、常量池、Fields等。 B、定位到需要修改的常量,可以通过class文件替换的方式(需要自己读取class文件、修改、覆盖到对应的jar包),修
Java逆向基础之函数
weixin_34390996的博客
04-19 185
本文参考http://www.vuln.cn/7115 本文提到的函数(function)和方法(method)为同一个意思例子1,方法名的定义publicclassHalfRandom { publicstaticdoublef() { returnMath.random()/2; } }编译javacHalfRandom.java反编译javap-c-v...
java逆向基础_Java逆向基础之初识Byteman
weixin_42365327的博客
03-02 411
Byteman的是由Jboss发明主要是为了支持多线程和多JVM测试的自动化。Byteman规则语言提供了一组标准的内置操作,这些操作支持特定的上述类别中的任务为了简化测试自动化,Byteman已经与两种流行的测试框架JUnit和TestNG集成在逆向中,我们也可以利用Byteman来帮助我们分析方法的调用环境变量配置BYTEMAN_HOME=C:\byteman-download-4.0.2...
java逆向_Java逆向入门(一)
weixin_30774813的博客
02-12 3515
Java是一门"半编译半解释"型语言.通过使用jdk提供的javac编译器可以将Java源码编译为Java虚拟机(Java Virtual Machine, JVM)可读的字节码(bytecode),即*.class文件.学习字节码可以使你更好的理解Java虚拟机的行为,甚至对学习其它基于Java虚拟机的语言(如:Scala,Clojure,Kotlin等)有很大的帮助入门实际上*.class文件...
JDWP协是什么具体有什么作用
最新发布
07-03
<think>我们被要求回答关于JDWP协议的问题,并参考给定的引用内容。用户的问题是:“我想了解JDWP协议的具体作用和应用场景请问JDWP协议是什么有什么作用” 根据引用内容,我们可以总结如下: 1. JDWP(Java DebugWire Protocol)是Java调试器无线协议,定义了调试器(Debugger)和被调试的Java虚拟机(TargetVM)之间的通信协议(引用[3])。 2. JDWP协议是语言无关的,但TargetVM端的实现必须使用C/C++(因为需要以Agentlibrary形式加载并使用JVMTI接口),而Debugger端可以用任何语言实现(引用[3])。3.JDWP协议按照功能分为18组命令,涉及虚拟机、引用类型、对象、线程、方法、堆栈、事件等操作(引用[1])。4.JDWP协议仅定义数据传输格式,不指定传输方式,因此可以工作在不同的传输方式上(引用[3])。5.JDWP的应用场景主要是Java程序的调试。例如,在Android逆向工程中,可以通过adb转发jdwp端口,然后使用jdb工具连接进行调试(引用[3])。 因此,我们可以这样组织回答:-首先解释JDWP是什么。-然后说明它的作用。-接着介绍它的特点(如语言无关性、传输无关性等)。 -最后描述其应用场景,特别是结合Android调试的例子。同时,根据系统指令,我们需要在行内数学表达式使用$...$,独立公式使用$$...$$,但本问题不涉及数学公式,所以可以忽略。另外,需要生成相关问题。回答结构:1.定义JDWP协议2.JDWP的作用3.JDWP的特点4.应用场景(特别是Android调试的例子)5.生成相关问题注意:在回答中引用段落末尾添加引用标识,例如[^1]。</think>### JDWP协议详解 #### 1. **协议定义与作用** JDWP(Java Debug Wire Protocol)是Java调试器无线协议,定义了**调试器(Debugger)与被调试的Java虚拟机(Target VM)之间的通信规范**。其核心作用包括: - **跨进程通信**:调试器和目标虚拟机运行在不同进程,JDWP实现两者间的数据交互[^3]。 - **调试功能支持**:提供18组命令集,覆盖虚拟机状态监控、对象操作、线程控制、方法调用等调试功能[^1]。 - **传输层抽象**:仅定义数据格式,不限制传输方式(如TCP/Socket),具有高度灵活性[^3]。 #### 2. **技术特点** - **语言无关性**:协议本身与语言解耦,但Target VM端需通过C/C++实现(依赖JVMTI接口),Debugger端可用任意语言实现[^3]。 - **双向连接**:支持Debugger主动连接Target VM,或Target VM等待连接[^4]。 - **调试操作封装**:支持表达式求值、方法调用、对象创建等高级调试操作[^5]。 #### 3. **应用场景** - **Android应用调试**:通过`adb forward`转发JDWP端口,使用`jdb`连接调试进程: ```shell adb jdwp # 获取调试进程PID adb forward tcp:5005 jdwp:<pid> # 端口转发 jdb -attach localhost:5005 # 附加调试 ``` 这是Android逆向分析和动态调试的核心手段[^3]。 - **IDE远程调试**:IntelliJ IDEA/Eclipse等工具通过JDWP协议实现Java远程调试。 - **自动化测试**:结合JDI(Java Debug Interface)实现调试流程自动化。 #### 4. **协议实现** - **ART虚拟机支持**:Android的ART虚拟机完整实现了JDWP协议[^1]。 - **数据类型规范**:定义了`ObjectID`、`ThreadID`等调试专用数据类型[^2]。 - **命令结构**:所有命令包含**命令集ID + 命令ID + 数据包**,例如: ``` [ 命令集(1字节) | 命令ID(1字节) | 数据负载... ] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值