背景:在开发中我们可能需要需要修改Java的class文件来达到修改代码逻辑的目的
1.参考书籍《深入理解Java虚拟机第二版》 第6章-类文件结构 第8章-虚拟机字节码执行引擎 对原理进行比较详细的讲述
2.这两篇文章Class文件结构解析 Class文件分析 很清晰的介绍了Class文件的结构
3.JVM 虚拟机字节码指令表可以作为查询指令的参考
4.Java Language and Virtual Machine Specifications Java语言和虚拟机说明,这是最权威的官方文档有什么网上查不到的可以去这里查找
5.需要的工具为JClasslib可以在release中下载,另外也可以在IntelliJ IDEA中以插件的方式安装
在打开一个Class文件后点击View-->Show ByteCode with JClasslib
然后就可以看到class文件的信息了
一、修改class中的常量值
示例代码
public class Test {
private String mString = "hello world";
public static void main(String[] a) {
Test test = new Test();
System.out.println(test.getString());
System.out.println("a+b = " + test.add(10, 10));
}
public int add(int a, int b) {
return a + b;
}
public String getString() {
return mString;
}
}
Name: 名字 代码中变量的名字
Descriptor: 描述符 代码中变量的类型
Access flags:访问标志 代码中变量的访问权限
0 aload_0
1 invokespecial #1 <java/lang/Object.<init>>
4 aload_0 //加载this引用到栈顶
5 ldc #2 <hello world> //String型常量值从常量池中推送至栈顶
7 putfield #3 <org/fisco/bcos/asset/contract/Test.mString> //赋值hello world给mString
10 return
我们可以通过修改常量hello world的值或者增加常量的方式改变mString的值,这里我们采用的方式是直接修改hello word的值
5 ldc #2 <hello world>
其中#2代表常量池中序号为2的常量,我们去看常量池中的第2个常量,又引用了第40个常量。
第40个常量为UTF8类型,长度为11字节,这就是我们需要进行修改的地方了。用UltraEdit 打开class文件。
从前面的文章中我们知道UTF8常量的结构为CONSTANT_Utf8:1:CONSTANT_Utf8{u1 tag;u2 length;u1 bytes[length];}
所以红框前面的01代表是UTF8 红框中00 0B代表了UTF8的长度也就是11绿框中的则是实际的字符数据,长度为11,翻译过来也就是hello world。如果我们要改为"你好世界" ,就需要转换为UTF8并计算长度,这里用计算在线转换工具来计算。
Java中的中文汉字集中在[0x4E00, 0x9FBB]范围的16bit数值内,需要3个字节存储。所以我们可以在Test.class中这样修改
01 00 0B 68 65 6C 6C 6F 20 77 6F 72 6C 64 //hello world 11个字节
01 00 0C E4 BD A0 E5 A5 BD E4 B8 96 E7 95 8C //你好世界 共12个字节我们需要用UltraEdit16进制插入功能(Ctrl+D)
保存对class文件的修改。回到IDEA中查看class文件
可以看到已经成功把"hello world"改为了"你好世界"
二、修改Class文件中变量的访问权限
通过把mString的private修改为public static使得外界可以进行访问
1.修改mString的Access flags为0x0009 (ACC_PUBLIC | ACC_STATIC)
从Class结构可知我们需要去Filed域查找mString并修改access_flags标记
打开Test的class文件,定位到mString。定位方法,可以根据class文件的结构进行推算,然后在class文件中搜素相应的二进制代码段。
从上图我们可以知道mString的一些二进制特征 access flags代码为
00 02 (access_flags)
00 11 (Name)
00 12 (descriptor_index)
这样我们就找到了mString的代码位置。然后我们把00 02 改为00 09保存修改。
回到IDEA中查看class文件内容
发现mString的访问变为了,但是并没有赋值。
public static String mString;
我们再看下这个地方也是不对的,因为mString已经变成了static不应该用this访问
public String getString() {
return this.mString;
}
从上面可以看到,再修改了mString的访问权限的时候,其赋值和访问方式也是需要进行修改的,不然运行逻辑是有问题的
接下来我们去修改方法中mString的访问方法。
2.修改mString的赋值代码
因为mString是在构造函数中初始化的,因此我们要修改init方法中的代码。
0 aload_0
1 invokespecial #1 <java/lang/Object.<init>>
4 aload_0
5 ldc #2 <你好世界>
7 putfield #3 <org/fisco/bcos/asset/contract/Test.mString>
10 return
从代码中可以看出为mString赋值的代码为
4 aload_0 //将this放到栈顶
5 ldc #2 <你好世界> //将字符串常量"你好世界"放到栈顶
7 putfield #3 <org/fisco/bcos/asset/contract/Test.mString> //给mString赋值
上面的三步相当于执行了this.mString = "你好世界",当我们把mString的访问权限修改为public static的时候就不需要用this了
4 nop //空操作,不将this放到栈顶
5 ldc #2 <你好世界> //将字符串常量"你好世界"放到栈顶
7 putstatic #3 <org/fisco/bcos/asset/contract/Test.mString> //利用pustatic给static类型的mString赋值
搜素的值为
00 01 //(access_flags) access flags 1
00 13 //(name_index) <<init>> 值19
00 14 //(descriptor_index) ()V值20
00 01 //(attributes_count) 只有一个Code属性
00 15 //(attribute_name_index) Code属性的索引值21
我们现在找到了init方法的位置,需要进行修改,下图为Code属性的代码块排序。
00 15 //代表Code属性
00 00 00 39 //代表Code的长度
00 02 //max_stack
00 01 //max_locals
00 00 00 0B //代表字节码长度也就是后面的10个字节为init方法内容
2A //通过查询字节码表为 aload_0 将第一个引用类型本地变量推送至栈顶
B7 //invokespecial 调用超类构建方法, 实例初始化方法, 私有方法
00 01 //代表超类方法常量池索引
2A //aload_0 将this推到栈顶
12 //ldc将int,float或String型常量值从常量池中推送至栈顶
02 //字符串的常量池索引
B5 //putfield 为指定类的实例域赋值
00 03 //变量的索引mString
B1 //return
可以通过JClasslib插件进行辅助分析class代码
由上面的分析可知修改方法为
00 //修改aload_0(2A)为nop(00) 空操作,不将this放到栈顶
12 //ldc #2 <你好世界> //将字符串常量"你好世界"放到栈顶
B3 //将putfied(B5)修改为putstatic(B3) 利用pustatic给static类型的mString赋值
我们到IDEA中可以看到Test的class文件已经变成在构造函数中对mString进行赋值
3.修改mString变量的引用方式代码
getString方法中对mString的引用是利用this.mString的方法,如果不修改在运行时会出现代码错误
例如System.out.println("这是字符串"+mString);就可能会变成System.out.println(new StringBuilder("这是字符串"),this.append(mString))(可能不太准确,但是确实代码逻辑会发生改变),同样我们需要找到所有引用了mString的代码,getString的代码段。
需要搜素的关键代码为
00 01 //(access_flags) access flags 1
00 23 //(name_index) <getString> 值35
00 24 //(descriptor_index) <()Ljava/lang/String;>值20
00 01 //(attributes_count) 只有一个Code属性
00 15 //(attribute_name_index) Code属性的索引值2
再根据上面的Code_attribute结构可以推出
00 00 00 2F //attribute_length
00 01 //max_stack
00 01 //max_locals
00 00 00 05 //code_length为5
2A //aload_0
B4 //getfiled
00 03 //mString
B0 //areturn 从当前方法返回对象引用
因为静态变量的引用不需要this,所以我们需要这样改
00 00 00 2F //attribute_length
00 01 //max_stack
00 01 //max_locals
00 00 00 05 //code_length为5
00 //nop
B2 //getstatic
00 03 //mString
B0 //areturn 从当前方法返回对象引用
保存修改,回到IDEA查看class中代码内容,可以发现getString方法变为直接返回静态变量mString了
三、使用Recaf 进行Class字节码修改
手工对字节码修改有助于我们了解和熟悉class文件的结构,但是操作相对繁琐,需要用到JClasslib查看class文件、UE修改class,然后手工计算和查找,操作起来比较耗时。Recaf是开源的现代Java字节码编辑器,可以方便的对Class文件做一些复杂更改。我们可以在其GitHub仓库中下载最新版。例如我下载的是1.15.10版本
java -jar .\recaf-1.15.10.jar //运行程序
可以通过File-->Load来导入class文件,可以看到通过双击变量或方法就能够直接对Class文件进行编辑
通过右键还可以进行直接修改二进制代码的操作,十分方便
Edit instructions
Edit with assembler
修改完成后我们就可以保存Class文件。虽然Recaf用起来比较方便,但是还是需要我们自己对Class文件的结构、字节码执行原理等有比较好的理解才能确保我们的修改达到预期。
补充:如果我们在方法中添加我们自己的逻辑,我们要同步修改方法的Code_attribute中的attribute_length和code_length属性。同时因为我们添加了自己的逻辑,指令的数量就发生了变化,所以一些跳转逻辑就需要重新计算跳转的地址。
修改前
修改后
如果我们的代码中由异常捕捉(try catch)代码块,那么相应的Code_attribute中的exception_table属性页要进行改变。
修改前
修改后
网友评论