JVMTI 在安卓逆向工程中的应用
JVMTI 在安卓逆向工程中的应用
JVMTI 在安卓逆向工程中扮演着重要角色,尤其是在分析和修改 Java 层应用行为时。以下是其核心应用场景、实现方式及典型工具:
一、核心应用场景
1. 动态代码注入与 hook
通过 JVMTI 可以在运行时修改或拦截 Java 方法,实现:
- 方法执行监控:记录方法调用参数、返回值、执行时间。
- 行为篡改:修改方法逻辑(如绕过签名校验、破解会员限制)。
- 内存数据窃取:获取加密密钥、用户敏感信息等。
2. 内存分析与漏洞挖掘
- 堆转储(Heap Dump):获取应用运行时的完整内存快照,分析对象引用链。
- 内存泄漏检测:追踪未释放的对象,定位内存泄漏点。
- 漏洞利用:通过修改关键对象状态触发漏洞(如空指针、越界访问)。
3. 反调试对抗
分析目标应用的反调试机制(如检测 ptrace、Debug.isDebuggerConnected()),并通过 JVMTI 绕过这些检测:
- 拦截反调试 API 的调用。
- 修改检测方法的返回值。
4. 类加载与字节码修改
- 类加载追踪:监控应用加载的所有类,识别加密类或动态加载的代码。
- 字节码增强:在类加载时修改字节码(如插入日志、去除校验逻辑)。
二、在安卓中的实现方式
JVMTI 在安卓中的应用主要通过以下两种方式实现:
1. Xposed 框架
- 原理:基于 ART 虚拟机的 JVMTI 接口,通过替换
libart.so实现全局 hook。 - 优势:无需 root 设备(Android 7.0+),可 hook 任意 Java 方法。
- 示例代码(Xposed Module):
public class XposedHook implements IXposedHookLoadPackage {@Overridepublic void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {// Hook 目标类的方法XposedHelpers.findAndHookMethod("com.example.target.Class",lpparam.classLoader,"targetMethod",String.class,new XC_MethodHook() {@Overrideprotected void beforeHookedMethod(MethodHookParam param) throws Throwable {// 方法执行前的操作(如修改参数)param.args[0] = "hooked_value";}@Overrideprotected void afterHookedMethod(MethodHookParam param) throws Throwable {// 方法执行后的操作(如获取返回值)XposedBridge.log("Return value: " + param.getResult());}});} }
2. Frida
- 原理:基于 JVMTI 和动态代码生成技术,支持 JavaScript 脚本注入。
- 优势:跨平台(iOS/Android)、无需修改 APK、支持 Java 和 Native 层 hook。
- 示例脚本(Frida JavaScript):
Java.perform(function() {// 查找目标类var targetClass = Java.use("com.example.target.Class");// Hook 方法targetClass.targetMethod.overload("java.lang.String").implementation = function(str) {console.log("Before call: " + str);var result = this.targetMethod(str);console.log("After call: " + result);return result;}; });
3. 自定义 Native 代理
直接编写基于 JVMTI 的 Native 库,通过 ptrace 或 LD_PRELOAD 注入到目标进程:
// JVMTI Agent 示例(C 语言)
JNIEXPORT jint JNICALL Agent_OnLoad(JavaVM *vm, char *options, void *reserved) {jvmtiEnv *jvmti;(*vm)->GetEnv(vm, (void **)&jvmti, JVMTI_VERSION_1_2);// 设置方法进入事件回调jvmtiEventCallbacks callbacks = {0};callbacks.MethodEntry = &onMethodEntry;(*jvmti)->SetEventCallbacks(jvmti, &callbacks, sizeof(callbacks));// 启用方法进入事件(*jvmti)->SetEventNotificationMode(jvmti, JVMTI_ENABLE, JVMTI_EVENT_METHOD_ENTRY, NULL);return JNI_OK;
}void JNICALL onMethodEntry(jvmtiEnv *jvmti, JNIEnv* env, jthread thread, jmethodID method) {// 获取方法信息并记录char *name, *sig;(*jvmti)->GetMethodName(jvmti, method, &name, &sig, NULL);printf("Enter method: %s %s\n", name, sig);
}
三、典型工具与框架
1. Xposed 框架
- 功能:全局 Java 方法 hook,支持模块式开发。
- 局限:需 root 权限,兼容性随 Android 版本下降。
2. Frida
- 功能:动态代码注入,支持 Java、Native 和 JavaScript 交互。
- 优势:无需修改 APK,支持非 root 设备(需绕过 SELinux)。
3. IDA Pro + JVMTI 插件
- 功能:结合 IDA 的反汇编能力与 JVMTI 的运行时分析,用于复杂逆向工程。
4. Dexposed
- 原理:基于 Dalvik 虚拟机的 JVMTI 接口,已停止维护(仅支持 Android 5.0 以下)。
5. Epic
- 功能:针对 ART 虚拟机的高性能 Native hook 框架,与 Frida 结合使用。
四、实战案例:破解应用签名校验
假设目标应用通过以下方法进行签名校验:
public boolean verifySignature(Context context) {try {PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);// 获取应用签名并验证Signature[] signatures = packageInfo.signatures;String actualSignature = signatures[0].toCharsString();String expectedSignature = "EXPECTED_SIGNATURE_HASH";return actualSignature.equals(expectedSignature);} catch (Exception e) {return false;}
}
破解方案:
-
使用 Frida 脚本 hook 签名校验方法:
Java.perform(function() {var Context = Java.use("android.content.Context");var PackageManager = Java.use("android.content.pm.PackageManager");// Hook getPackageInfo 方法,返回伪造的 PackageInfoPackageManager.getPackageInfo.overload("java.lang.String", "int").implementation = function(packageName, flags) {var original = this.getPackageInfo(packageName, flags);// 修改 signatures 字段if ((flags & PackageManager.GET_SIGNATURES.value) != 0) {var Signature = Java.use("android.content.pm.Signature");var signatures = Java.array(Signature, [Signature.$new("FAKE_SIGNATURE".toCharArray())]);original.signatures = signatures;}return original;}; }); -
使用 Xposed 模块直接返回 true:
XposedHelpers.findAndHookMethod("com.example.app.SecurityUtils",lpparam.classLoader,"verifySignature",Context.class,new XC_MethodHook() {@Overrideprotected void afterHookedMethod(MethodHookParam param) throws Throwable {// 强制返回 trueparam.setResult(true);}} );
五、挑战与限制
-
反逆向措施:
- 代码混淆(如 ProGuard/R8)会增加定位目标方法的难度。
- 应用可能检测 JVMTI 代理或内存修改(如通过
/proc/self/maps检查)。
-
兼容性问题:
- JVMTI 接口在不同 Android 版本(Dalvik vs. ART)中存在差异。
- 自定义 JVMTI 代理可能因虚拟机内部结构变化而失效。
-
性能开销:
- 频繁的方法 hook 或内存扫描会显著降低应用性能。
-
法律风险:
- 未经授权修改商业应用可能违反软件许可协议或相关法律。
六、总结
JVMTI 为安卓逆向工程提供了强大的工具集,尤其在 Java 层分析中占据核心地位。通过动态 hook、内存分析和字节码修改,开发者可以深入理解应用行为并实现各种破解或增强功能。然而,随着 Android 安全机制的不断加强(如 SELinux、ART 虚拟机优化),逆向工作的难度也在增加,需要结合多种技术(如 Native hook、代码注入)和工具(如 Frida、IDA Pro)进行综合分析。
相关文章:
JVMTI 在安卓逆向工程中的应用
JVMTI 在安卓逆向工程中的应用 JVMTI 在安卓逆向工程中扮演着重要角色,尤其是在分析和修改 Java 层应用行为时。以下是其核心应用场景、实现方式及典型工具: 一、核心应用场景 1. 动态代码注入与 hook 通过 JVMTI 可以在运行时修改或拦截 Java 方法&…...
极客时间-《搞定音频技术》-学习笔记
极客时间-《搞定音频技术》-学习笔记 语音基础知识 https://www.zhangzhenhu.com/audio/feature.html 序章-0 作者说这个语音技术啊,未来肯定前景大好啊,大家都来学习,然后给出了课程的脑图 音频基础 什么是声音 声音的三要素是指响度、…...
网络攻防技术十三:网络防火墙
文章目录 一、网络防火墙概述1、网络型防火墙(网络防火墙)2、Web应用防火墙3、数据库防火墙4、主机防火墙(个人防火墙)5、网络防火墙的功能 二、防火墙工作原理1、无状态包过滤防火墙2、有状态包过滤防火墙(状态检测/动…...
Express 集成Sequelize+Sqlite3 默认开启WAL 进程间通信 Conf 打包成可执行 exe 文件
代码:express-exe: 将Express开发的js打包成exe服务丢给客户端使用 实现目标 Express 集成 Sequelize 操作 Sqlite3 数据库; 启动 Sqlite3 时默认开启 WAL 模式,避免读写互锁,支持并发读; 利用 Conf 实现主进程与 Ex…...
CppCon 2015 学习:A C++14 Approach to Dates and Times
Big Picture — 日期库简介 扩展 标准库 这个库是对 C 标准库中 <chrono> 的自然延伸,专注于处理“日历”相关的功能(比如年月日、闰年、节假日等),而不仅仅是时间点和时长。极简设计 它是**单头文件(header-on…...
基于CNN的OFDM-IM信号检测系统设计与实现
基于CNN的OFDM-IM信号检测系统设计与实现 摘要 本文详细研究了基于卷积神经网络(CNN)的正交频分复用索引调制(OFDM-IM)信号检测方法。通过在不同信噪比(SNR)和信道条件下进行系统仿真,对比分析了CNN检测器与传统最大似然(ML)检测器的误码率(BER)性能和计算复杂度。实验结果表…...
)
macos常见且应该避免被覆盖的系统环境变量(避免用 USERNAME 作为你的自定义变量名)
文章目录 macos避免用 USERNAME 作为你的自定义变量名macos常见且应该避免被覆盖的系统环境变量 macos避免用 USERNAME 作为你的自定义变量名 问题: 你执行了:export USERNAME“admin” 然后执行:echo ${USERNAME} 输出却是:xxx …...
2024年认证杯SPSSPRO杯数学建模D题(第二阶段)AI绘画带来的挑战解题全过程文档及程序
2024年认证杯SPSSPRO杯数学建模 D题 AI绘画带来的挑战 原题再现: 2023 年开年,ChatGPT 作为一款聊天型AI工具,成为了超越疫情的热门词条;而在AI的另一个分支——绘图领域,一款名为Midjourney(MJÿ…...
深入理解CSS常规流布局
引言 在网页设计中,理解元素如何排列和相互作用至关重要。CSS提供了三种主要的布局方式:常规流、浮动和定位。本文将重点探讨最基础也是最常用的常规流布局(Normal Flow),帮助开发者掌握页面布局的核心机制。 什么是…...
DOCKER使用记录
1、拉取镜像 直接使用docker pull <image>,大概率会出现下面的报错信息: (base) jetsonyahboom:~$ docker pull ubuntu:18.04 Error response from daemon: Get "https://registry-1.docker.io/v2/": net/http: request canceled while …...
MYSQL中常见的函数和使用
字符串函数 CONCAT(str1,str2,...,strN) :用于将多个字符串连接成一个字符串。例如,SELECT CONCAT(SQL, , 函数) ,结果为 “SQL 函数”。 LOWER(str) :将字符串中的所有字母转换为小写。例如,SELECT LOWER(MySQL Fun…...
【深度学习相关安装及配环境】Anaconda搭建虚拟环境并安装CUDA、cuDVV和对应版本的Pytorch,并在jupyter notebook上部署
目录 1. 查看自己电脑的cuda版本2.安装cuda关于环境变量的配置测试一下,安装完成 3.安装cuDVV环境变量的配置测试一下,安装完成 4.创建虚拟环境先安装镜像源下载3.11版本py 5.在虚拟环境下,下载pytorch6.验证是否安装成功7.在jupyter noteboo…...
web3-区块链基础:从区块添加机制到哈希加密与默克尔树结构
区块链基础:从区块添加机制到哈希加密与默克尔树结构 什么是区块链 抽象的回答: 区块链提供了一种让多个参与方在没有一个唯一可信方的情况下达成合作 若有可信第三方 > 不需要区块链 [金融系统中常常没有可信的参与方] 像股票市场,或者一个国家的…...
TCP小结
1. 核心特性 面向连接:通过三次握手建立连接,四次挥手终止连接,确保通信双方状态同步。 TCP连接建立的3次握手 抓包: client发出连接请求; server回应client请求,并且同步发送syn连接; clien…...
django ssh登录 并执行命令
在Django开发环境中,通常不推荐直接通过SSH登录到服务器并执行命令,因为这违背了Django的架构设计原则,即前端与后端分离。Django主要负责处理Web请求、逻辑处理和数据库交互,而不直接执行系统级命令。然而,在某些情况…...
unix/linux,sudo,其高级使用
掌握了sudo的基石,现在是时候向更高阶的技巧和应用进发了!sudo的强大远不止于简单的sudo <command>。它的高级用法能让你在复杂的系统管理和安全场景中游刃有余,如同经验丰富的物理学家巧妙运用各种定律解决棘手问题。 sudo 的高级使用技巧与场景 精细化命令控制与参…...
Python 打包指南:setup.py 与 pyproject.toml 的全面对比与实战
在 Python 开发中,创建可安装的包是分享代码的重要方式。本文将深入解析两种主流打包方法——setup.py 和 pyproject.toml,并通过一个实际项目示例,展示如何使用现代的 pyproject.toml 方法构建、测试和发布 Python 包。 一、setup.py 与 pyp…...
计算机视觉与深度学习 | 基于OpenCV的实时睡意检测系统
基于OpenCV的实时睡意检测系统 下面是一个完整的基于OpenCV的睡意检测系统实现,该系统使用眼睛纵横比(EAR)算法检测用户是否疲劳或瞌睡。 import cv2 import numpy as np import dlib from scipy.spatial import distance as dist import pygame import time# 初始化pygame用…...
python打卡day44@浙大疏锦行
知识点回顾: 预训练的概念常见的分类预训练模型图像预训练模型的发展史预训练的策略预训练代码实战:resnet18 作业: 尝试在cifar10对比如下其他的预训练模型,观察差异,尽可能和他人选择的不同尝试通过ctrl进入resnet的…...
性能优化 - 案例篇:缓存_Guava#LoadingCache设计
文章目录 Pre引言1. 缓存基本概念2. Guava 的 LoadingCache2.1 引入依赖与初始化2.2 手动 put 与自动加载(CacheLoader)2.2.1 示例代码 2.3 缓存移除与监听(invalidate removalListener) 3. 缓存回收策略3.1 基于容量的回收&…...
NiceGUI 是一个基于 Python 的现代 Web 应用框架
NiceGUI 是一个基于 Python 的现代 Web 应用框架,它允许开发者直接使用 Python 构建交互式 Web 界面,而无需编写前端代码。以下是 NiceGUI 的主要功能和特点: 核心功能 1.简单易用的 UI 组件 提供按钮、文本框、下拉菜单、滑块、图表等常见…...
生动形象理解CNN
好的!我们把卷积神经网络(CNN)想象成一个专门识别图像的“侦探小队”,用破案过程来生动解释它的工作原理: 🕵️♂️ 案件:识别一张“猫片” 侦探小队(CNN)的破案流程&am…...
python入门(1)
第一章 第一个python程序 1.1 print函数 print方法的作用 : 把想要输出的内容打印在屏幕上 print("Hello World") 1.2 输出中文 在Python 2.x版本中,默认的编码方式是ASCII编码方式,如果程序中用到了中文,直接输出结果很可能会…...
【PDF提取表格】如何提取发票内容文字并导出到Excel表格,并将发票用发票号改名,基于pdf电子发票的应用实现
应用场景 该应用主要用于企业财务部门或个人处理大量电子发票,实现以下功能: 自动从 PDF 电子发票中提取关键信息(如发票号码、日期、金额、销售方等)将提取的信息整理并导出到 Excel 表格,方便进行财务统计和报销使…...
Hugging Face 最新开源 SmolVLA 小模型入门教程(一)
系列文章目录 目录 系列文章目录 前言 一、引言 二、认识 SmolVLA! 三、如何使用SmolVLA? 3.1 安装 3.2 微调预训练模型 3.3 从头开始训练 四、方法 五、主要架构 5.1 视觉语言模型(VLM) 5.2 动作专家:流匹…...
封闭内网安装配置VSCode Anconda3 并配置 PyQt5开发
封闭内网安装配置VSCode Anconda3 并配置 PyQt5开发 零一 vscode1.1 下载 vscode1.2 下载插件1.3 安装 二 anaconda 32.1 下载2.2 新建虚拟环境1 新建快捷方式,启动base2 新建虚拟环境 3 配置Qt designer3.1 designer.exe和uic.exe3.2 设置插件,3.4 ui文件转为py文件 4使用4.1 …...
大话软工笔记—组合要素2之逻辑
1. 逻辑的概念 逻辑,指的是思维的规律和规则,是对思维过程的抽象。 结合逻辑的一般定义以及信息系统的设计方法,对逻辑的概念进行抽提、定义为三个核心内涵,即:规律、顺序、规则。 (1)规律&a…...
浅谈边缘计算
(꒪ꇴ꒪ ),Hello我是祐言QAQ我的博客主页:C/C语言,数据结构,Linux基础,ARM开发板,网络编程等领域UP🌍快上🚘,一起学习,让我们成为一个强大的攻城狮࿰…...
)
宝塔专属清理区域,宝塔清理MySQL日志(高效释放空间)
1. 删除超过 365 天的积分变更记录 宝塔面板 → 数据库 → 选择数据库 → 点击 管理 进入 phpMyAdmin 后: 选择在用的数据库名 看到顶部的 SQL 点击 输入命令 然后点击执行 DELETE FROM pre_common_credit_log WHERE dateline < UNIX_TIMESTAMP(DATE_SUB(NO…...
7.Demo Js执行同步任务,微任务,宏任务的顺序(3)
一个包含 同步任务、微任务(Promise)、宏任务(setTimeout) 的例子,JS 是怎么调度这些任务的。 🎯 例子代码(建议复制到浏览器控制台运行) console.log(‘同步任务 1’); setTimeo…...