Javassist 动态修改类

已于 2024-06-03 16:14:38 修改
阅读量344 收藏 6
点赞数 4
文章标签: java
于 2024-06-03 16:12:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/139417906
版权

这段代码使用了 Javassist 库来动态修改 com.fasterxml.jackson.databind.node.BaseJsonNode 类,具体来说,它删除了该类的 writeReplace 方法。下面是对这段代码的详细解释:

代码解释

ClassPool classPool = ClassPool.getDefault();
CtClass ctClass = classPool.get("com.fasterxml.jackson.databind.node.BaseJsonNode");
CtMethod ctMethod = ctClass.getDeclaredMethod("writeReplace");
ctClass.removeMethod(ctMethod);
ctClass.toClass();

  1. ClassPool classPool = ClassPool.getDefault();:

    • 获取默认的 ClassPool 对象。ClassPool 是 Javassist 中的一个类,它用于管理已加载的类并提供对这些类进行操作的接口。

  2. CtClass ctClass = classPool.get("com.fasterxml.jackson.databind.node.BaseJsonNode");:

    • 使用类池 classPool 获取指定类 com.fasterxml.jackson.databind.node.BaseJsonNode 的表示对象 CtClassCtClass 是 Javassist 用于表示类的一个抽象类,提供了对类进行操作的方法。

  3. CtMethod ctMethod = ctClass.getDeclaredMethod("writeReplace");:

    • ctClass 对象中获取 writeReplace 方法的表示对象 CtMethodwriteReplace 是 Java 序列化机制中的一个特殊方法,它允许类在序列化时替换为其他对象。

  4. ctClass.removeMethod(ctMethod);:

    • ctClass 对象中移除 writeReplace 方法。这意味着在 BaseJsonNode 类上将不再有这个方法。

  5. ctClass.toClass();:

    • 将修改后的 CtClass 对象转换回 Java 类,这会应用所有的修改并使它们在当前 JVM 会话中生效。

背景与用途

writeReplace 方法

writeReplace 方法在 Java 序列化过程中有特殊作用。当一个对象在序列化时,如果该对象类定义了 writeReplace 方法,序列化机制会调用这个方法,并用其返回值代替原对象进行序列化。这通常用于替换代理对象或敏感数据。

动态修改类

这段代码展示了如何使用 Javassist 动态修改类的方法。这在一些高级应用场景中非常有用,例如:

  • 热部署:在不重启应用程序的情况下修改类的行为。
  • AOP(面向方面编程):在运行时动态地为类添加或修改方法,实现切面功能。
  • 测试:在测试中动态修改类的行为以模拟特定情况。
可能的应用场景

  1. 安全研究与利用

    • 删除 writeReplace 方法可能是为了防止反序列化过程中的替换行为,从而绕过某些安全检查或触发某些漏洞。例如,攻击者可能会移除 writeReplace 方法以防止某些安全机制在反序列化过程中替换对象,从而直接利用反序列化漏洞。

  2. 序列化控制

    • 在一些情况下,开发者可能希望控制对象的序列化过程,以确保序列化和反序列化的行为符合预期。移除 writeReplace 方法可以使对象在序列化时不被替换,从而保持对象的一致性。

安全性与风险

动态修改类的行为是一种强大但也潜在危险的操作。它可能会导致类的行为与预期不符,增加系统的不确定性和错误风险。此外,在生产环境中使用这样的技术需要极其谨慎,因为它可能会破坏现有的应用逻辑,导致意想不到的后果。

在安全研究中,动态修改类常用于分析和利用漏洞,但在生产系统中,应尽量避免使用这类操作,除非有充分的理由和安全保障。

2401_85480529
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Javassist 修改class字节码
11-22
Javassist 提供了java库,用于方便操控Java字节码。功能包括:运行时创建java class,修改class。与其他同工具(asm等)不同的是,Javassist提供了两个层面的API: 1.java代码层 2.字节码层 通过java代码层,开发者即时对字节码不是很熟悉,也可以非常方便快速的完成字节码的修改
运用javassist和annotation修改class的特定method的class byte code
03-23
Javaassist是一个开源库,它允许我们在运行时动态修改或创建Java。这个强大的工具广泛应用于框架、代理生成以及AOP(面向切面编程)等领域。在本文,我们将深入探讨如何结合Javaassist和注解(Annotation)来...
Java动态字节技术之Javassist
zy1992As的博客
03-07 797
这个示例代码创建了一个名为com.example.MyClass的新,并在其添加了一个名为x的整数字段,以及两个访问这个字段的方法setX和getX。最后,创建新的实例,并调用setX方法设置x的值为42,再调用getX方法获取x的值并输出。这个示例代码创建了一个名为com.example.MyClass的新,并在其添加了一个名为hello的公共方法,该方法接受一个字符串参数并输出一条简单的问候语。这表明成功创建了一个新的,并在运行时动态地添加了一个字段和两个方法。
Java笔记:使用javassist修改class文件内方法
liufang_imei的博客
09-24 2655
在工作突然有一个需求。线上运维的一个tomcat的web项目,运行的程序不正常。需要修改代码。可是这个项目代码非常的老,并且公司存储的源代码跟线上的不一致。我了个擦,没有源代码但是还要结局客户的问题。只能到线上将对应程序的class文件拷贝到本地进行修改,每修改一部分就上传到线上覆盖掉之前的class文件,重启tomcat进行测试。(过程想当麻烦)修改class字节码文件用到 IDEA工具来反编译class进行查看代码,javassist工具进行修改
javassist 动态修改 jar 包 class
Primary_wind的专栏
06-23 1848
请注意,Javassist仅在运行时修改的字节码,不会直接修改Jar包文件。如果你需要将修改后的保存到Jar包,你需要在运行时将其另存为新的文件,并将其添加到目标Jar包。使用Javassist,可以通过修改现有的或创建新的来实现动态修改Jar包。需要注意的是,对于受保护的或私有的方法和字段,你需要使用相应的Javassist方法来进行访问和修改。此外,Javassist还提供了丰富的API,可以进行更复杂的操作,如修改的继承关系、添加接口实现等。方法获取了需要修改
Javassist实战-修改现有
weixin_40017062的博客
09-08 2138
已有新增方法 已有新增属性注解 已有新增字段
Javassist动态修改Class对象
最新发布
程序员青菜学厨记
10-23 394
讲了动态代理,JDK的Proxy动态代理是用反射机制来实现,而CGLIB是通过ASM操作字节码来实现,用ASM操作字节码比较复杂,需要熟悉Class文件结构,用Javassist也可以实现修改对象,可以在一个已经编译好的添加新的方法或者修改已有的方法而不需要你对字节码文件有深入的了解,这个功能还是很强大,不仅服务端在做拦截时会用到,Android做热更新也可以用这个,唉,以前做了2年的Andoid现在差不多忘光了。: 是CtClass对象的容器,makeClass方法创建一个CtClass空
Javassist之一秒理解java动态编程
08-25
Javassist是一款字节码编辑工具,可以直接编辑和生成Java生成的字节码,以达到对.class文件进行动态修改的效果。下面将对Javassist的基本概念、动态编程的定义、Javassist的使用方法等进行详细介绍。 动态编程的...
基于javassist进行动态编程过程解析
08-19
通过使用javassist,可以在运行时动态地生成、修改和操作Java,实现了动态编程的功能。 在本文的示例代码,我们创建了一个名为JavassistTest的,用于测试javassist动态编程能力。首先,我们使用ClassPool....
javassistDemo.zip
10-19
这个"javassistDemo.zip"压缩包提供了一个示例,展示了如何利用Javaassist库动态修改Java的方法。在Java应用程序,这种能力非常有用,特别是在进行AOP(面向切面编程)或者在无法重新编译源代码的情况下需要修改...
Android使用Javassist自定义Plugin插件实现字节码修改
故不积跬步无以至千里
04-03 431
Javassist是一个执行字节码操作的库。它可以在一个已经编译好的添加新的方法,或者是修改已有的方法,并且不需要对字节码方面有深入的了解。Javassist 可以绕过编译,直接操作字节码,从而实现代码注入,所以使用Javassist的时机就是在构建工具Gradle将源文件编译成.class文件之后,在将.class打包成dex文件之前。ღ( ´・ᴗ・` )
Javassist】快速入门系列04 使用Javassist更改整个方法体
Vaxue的博客
12-21 1416
上一章我们介绍了使用Javassist实现方法异常处理,学会了Javassist的addCatch()方法使用。本章主要介绍使用Javassist更改整个方法体,setBoday方法的使用。本篇文章介绍了使用Javassist更改整个方法体,学习了Javassist的setBody语句的用法。通过调用CtMethod的setBody方法可以替换整个方法体。
Java-Javassist(字节码修改)
weixin_45203607的博客
04-03 615
AspectJ 扩展了 Java 语言,定义了一系列 AOP 语法,在 JVM 运行需要使用特定的编译器生成遵守 Java 字节码规范的 Class 文件,Spring AOP 使用了 AspectJ。它在指令的层面来操作,所以使用它需要对 JVM 的指令有所了解,门槛较高,CGLIB 就使用了 ASM 技术。CtClass:代表一个 Class 的实例,可以通过的全限定名来获取 CtClass 对象,其包含了对 Class 的各种操作。有其他问题在评论区讨论-或者私信我-收到会在第一时间回复。
Javassist基本用法
weixin_40017062的博客
09-02 2279
Javassist基本用法:ClassPool、CtClass、CtField、CtConstructor、CtMethod、ConstPool
Javassist:使用-javaagent方式实现修改方法内容(打包和非打包方式执行)
编程学习者的博客
06-19 2994
1. 声明 当前内容主要为使用Javassit+(-javaagent)方式实现修改方法体的内容(不修改源码的情况下) 当前内容参考:Javassit官方文档,和部分反编译 主要内容: 使用javassit修改某个的某个方法,实现执行 打成jar包方式执行 pom依赖 <dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <
javassist修改class文件内容
qq_34244426的博客
10-21 1031
1.背景 在某些情况下,无法获取或修改源码情况,我们需要直接修改class字节码文件,以解决项目运行存在的问题。在网上查询一番后,尝试过使用Jclasslib,虽然也很强大,但是对于使用者不是很友好,一方面是直接和字节码打交道,另一方面是只能处理变量值修改等简单的情况。 相比之下,javassist就友好很多,用代码的形式去修改class内容,并且功能也基本满足我们的修改需求。 2.javassist文文档 如果需要深入学习的可以直接在网上找到相应的文文档,方便学习摸索。 3.软件准备 对于反编译的软
使用javassist修改class文件内方法
qq_42426159的博客
10-19 5162
使用javassist修改class文件内方法 在工作突然有一个需求。线上运维的一个tomcat的web项目,运行的程序不正常。需要修改代码。可是这个项目代码非常的老,并且公司存储的源代码跟线上的不一致。 我了个擦,没有源代码但是还要结局客户的问题。只能到线上将对应程序的class文件拷贝到本地进行修改,每修改一部分就上传到线上覆盖掉之前的class文件,重启tomcat进行测试。(过程想当麻烦) 修改class字节码文件用到 IDEA工具来反编译class进行查看代码,javassist工具进行修改
javassist 修改CLASS
06-02
好的,下面是一个简单的示例代码,演示如何使用 Javassist 修改并给其的变量赋值: ```java import javassist.*; public class MyClassModifier { public static void main(String[] args) { try { // 获取池 ClassPool cp = ClassPool.getDefault(); // 获取要修改 CtClass cc = cp.get("com.example.MyClass"); // 获取要修改的变量 CtField field = cc.getDeclaredField("myField"); // 修改变量的值 field.set(null, "new value"); // 保存修改后的 cc.writeFile(); } catch (Exception e) { e.printStackTrace(); } } } ``` 在上面的代码,我们使用 Javassist 获取了一个名为 `com.example.MyClass` 的,然后获取了其的一个名为 `myField` 的变量,并将其值设置为了 `"new value"`。最后,调用 `writeFile()` 方法将修改后的保存到磁盘上。 请注意,以上示例代码仅供参考,具体实现方式可能因您的具体需求而异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值