SandBox中的JavaAgent技术

已于 2024-03-04 12:00:27 修改
阅读量634 收藏 23
点赞数 9
文章标签: java
于 2024-03-02 15:17:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56957320/article/details/136416470
版权

8.1 JavaAgent

Java Agent 是一种强大的技术,在运行时动态修改已加载类的字节码,为应用程序注入额外的功能和行为。

JDK 1.5 支持静态 Instrumentation,基本的思路是在 JVM 启动的时候添加一个代理(javaagent),每个代理是一个 jar 包,其 MANIFEST.MF 文件里指定了代理类,这个代理类包含一个 premain 方法。JVM 在类加载时候会先执行代理类的 premain 方法,再执行 Java 程序本身的 main 方法,这就是 premain 名字的来源。在 premain 方法中可以对加载前的 class 文件进行修改。

8.1.1 应用场景:

代码注入:通过 Java Agent 技术,我们可以在运行时将自定义的字节码注入到已加载的类中。这样可以实现 AOP 编程思想,将通用的逻辑代码动态地注入到目标类中,简化代码的编写和维护。

性能监控:Java Agent 可以用于实时监控应用程序的性能指标,如方法的执行时间、方法的调用次数等。通过在方法的前后插入字节码,我们可以收集这些信息,并进行实时监控、统计和分析,帮助优化和调优应用程序的性能。

调试工具:Java Agent 可以用作调试工具的基础。我们可以通过动态修改字节码,将额外的调试信息插入到目标类中,例如打印方法的参数、返回值等。这样,在调试过程中可以更加方便地获取和分析这些信息,帮助快速定位问题。

安全检查:Java Agent 还可以用于实现安全检查机制。通过对正在加载的类进行拦截和检查,我们可以在运行时进行代码审计、防止恶意代码注入等,提高应用程序的安全性。

8.1.2 启动方式

启动挂载(Agent):

所有的类在加载时都会执行transform,我们在此方法中通过 Instrumentation 增强目标类。

随着JVM启动一起启动(java -javaagent:(jar包名) (方法类名))

premain(): 实现premain方法,并且添加一个自定义transformer,把操作放在自定义的transformer内,该transformer要实现ClassFileTransformer.transform() 主程序运行时:加载每个类前都会进入transform(),可以获取到它的加载器、类名、字节码buffer等

动态挂载(Attach):

动态挂载之后,类加载时都会执行transform,我们在此方法中通过 Instrumentation 增强目标类。

动态挂载前 已经加载的类,都未经历增强的处理。 可通过调用retransformClasses方法,让已加载的类重新加载, 重新加载时也会执行transform,我们在此方法中增强目标类。

在已经运行的JVM进程中,动态的插入。通过attach API调用,在sandbox中执行./sandbox -p pid(目标 jvm 进程 id)是使用的 attach api 方式进行 agent 的挂载

agentmain():对于agentmain也是一样的流程,但多一步inst.retransformClasses()的操作让JVM重新加载修改过的类的字节码,否则修改不会生效 使用com.sun.tools.attach.VirtualMachine进行动态挂载Agent:

 

private void attachAgentToTargetJVM() throws Exception {

List<VirtualMachineDescriptor> virtualMachineDescriptors = VirtualMachine.list();

VirtualMachineDescriptor targetVM = null;

for (VirtualMachineDescriptor descriptor : virtualMachineDescriptors) {

if (descriptor.id().equals(configure.getPid())) {

targetVM = descriptor;

break;

}

}

if (targetVM == null) {

throw new IllegalArgumentException("could not find the target jvm by process id:" + configure.getPid());

}

VirtualMachine virtualMachine = null;

try {

virtualMachine = VirtualMachine.attach(targetVM);

virtualMachine.loadAgent("{agent}", "{params}");

} catch (Exception e) {

if (virtualMachine != null) {

virtualMachine.detach();

}

}

}
 

 

 

 

它的 addTransformer 给 Instrumentation 注册一个 transformer,transformer 是 ClassFileTransformer 接口的实例,这个接口就只有一个 transform 方法,调用 addTransformer 设置 transformer 以后,后续JVM 加载所有类之前都会被这个 transform 方法拦截,这个方法接收原类文件的字节数组,返回转换过的字节数组,在这个方法中可以做任意的类文件改写。
 

8.1.3 JavaAgent使用demo
 

使用premain的方式进行javaAgent的启动(不详细展示对java类的增强demo)
 

首先在一个maven项目中创建我们的核心demo-AgentDemo
 

 

package com.xhz.demo;

 

import java.lang.instrument.Instrumentation;

 

/**

* @version V1.0

* @Author : xiehuizhi

* @create 2023/12/20 14:33

*/

 

public class AgentDemo {

public static void premain(String agentArgs, Instrumentation instrumentation){

 

System.out.println(agentArgs+"============尊贵的xxxx===============");

 

}

public static void premain(String agentArgs){

System.out.println(agentArgs+"============尊贵的xxxx================");

}

}

 

 
 

 

创建完成之后可以手动在resources中创建MANIFEST.MF文件(也可以在pom中配置)
 

 

Manifest-Version: 1.0
 

Premain-Class: com.xhz.demo.AgentDemo
 

Can-Redefine-Classes: true
 

Can-Retransform-Classes: true
 

 
 

pom配置:
 

 

<plugins>

<plugin>

<groupId>org.apache.maven.plugins</groupId>

<artifactId>maven-jar-plugin</artifactId>

<version>3.1.2</version>

<configuration>

<archive>

<manifestEntries>

<Premain-Class>club.throwable.permain.PermainAgent</Premain-Class>

<Can-Redefine-Classes>true</Can-Redefine-Classes>

<Can-Retransform-Classes>true</Can-Retransform-Classes>

</manifestEntries>

</archive>

</configuration>

</plugin>

</plugins>
 

然后要实现agent的功能,需要将你的项目打成jar包
 

打包命令:mvn clean package
 

 

然后新建一个可以启动的Main类
 

 

package Utils;

 

/**

* @version V1.0

* @Author : xiehuizhi

* @create 2023/12/20 14:29

*/

 

public class Main {

public static void main(String[] args) {

System.out.println("流量回放");

}

}
 

 
 

在springboot启动项增加启动参数
 

 

 

 

 

8.2 Sandbox启动与Agent挂载的流程
 

 

sandbox-spy:这个包里的代码是一系列的模板代码,后期Sandbox会通过ASM框架将这些代码转化成字节码增加到业务代码的字节码当中,实现对业务代码的增强功能
 

但spy类为什么要被BootstrapClassLoader加载呢?我们不仅要增强业务代码,也要增强JDK里面的代码,将spy添加到BootstrapClassLoader的类路径,只要不破坏双亲委托机制,都能够被spy类增强,这是一种比较保险的做法。
 

8.3 JVM-SandBox实现字节码增强
 

一般的Spring AOP:实现业务切面,针对于JAVA后端应用也需要AOP
 

JVM-Sandbox的设计目的是实现一种在不重启、不侵入目标JVM应用情况下的AOP解决方案。
 

 

 

Jvm-SandBox字节码增强流程梳理:
 

8.3.1 增强过程
 

 

 

8.3.2 实现字节码增强逻辑
 

 

 

通过AsmMethods接口获取Sandbox自定义Spy类完成字节码增强
 

 

 

spy增强的静态方法
 

 

 

 

JavaAgent的本质就是字节码增强,这章主要介绍了Sandbox字节码增强功能的核心逻辑,包括增强逻辑、SandboxClassFileTransformer类形变器、Spy增强的静态方法。

                

        

        

    




    

      

        

            

              
                
                  我会有心仪offer
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    9
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    23
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
java-sandbox

				
			

			

				

					03-18
				

			

		

		

			
				
java-sandbox

			
		

	



                

              
                



	

		

			

				
					
Java探针-Java Agent技术入门实例

				
			

			

				

					river106的博客
				

				

					02-16
					
					2503
					
				

			

		

		

			
				
一、简介

java agentjava命令的一个参数。参数 javaagent 可以用于指定一个 jar 包,并且对该 java 包有2个要求:

这个 jar 包的MANIFEST.MF 文件必须指定 Premain-Class 项。
	Premain-Class 指定的那个类必须实现 premain()方法。
重点就在 premain 方法,从字面上理解,就是运行在 main 函数之前的的...

			
		

	



                


  
              

                


	

		

			

				
					
javasandbox:简单的java沙箱,用于尝试和与朋友共享代码

				
			

			

				

					07-11
				

			

		

		

			
				
沙盒
简单的 Java 沙盒,用于尝试和与朋友共享代码。
 目前正在研究一些 Java
例子
创造型
 抽象工厂
 建造者
 工厂方法
 延迟初始化
 多通
 对象池
 原型
 资源获取
 单身人士
结构的
 适配器
 桥
 合成的
 装饰器
 正面
 蝇量级
 前端控制器
 模块
 代理人
 包装器
行为的
 黑板
 责任链
 命令
 口译员
[xs] 迭代器
 调解员
 瞬间
 空对象
 观察员
 仆人
 规格
 状态
 战略
 模板方法
 游客

			
		

	





	

		

			

				
					
JVM SandBox实现原理详解

				
			

			

				

					bhegi_seg的博客
				

				

					04-19
					
					4785
					
				

			

		

		

			
				
1、什么是JVM SandBox
JVM SandBox(沙箱)实现了一种非侵入式运行期的AOP解决方案。JVM SandBox属于基于Instrumentation的动态编织类的AOP框架,可以在不重启应用的情况下,在运行时完成目标方法的增强和替换,同时沙箱以及沙箱的模块可以随时加载和卸载
主要特性如下:

无侵入:目标应用无需重启也无需感知沙箱的存在
类隔离:沙箱以及沙箱的模块不会和目标应用的类相互干扰
可插拔:沙箱以及沙箱的模块可以随时加载和卸载,不会在目标应用留下痕迹
多租户:目标应用可以同时挂载不

			
		

	



		

			
		



	

		

			

				
					
JVM-Sandbox--测试技术引流回放的应用

				
			

			

				

					Gamble6
				

				

					05-21
					
					1421
					
				

			

		

		

			
				
这样,在Sandbox就可以调用新的类和方法,从而实现Mock的功能。、故障模拟、动态日志、行链路获取等等工具,就算我开发完成了,这些工具底层实现原理相同,同时使用,要怎么消除这些工具之间的影响,怎么保证这些工具动态加载,怎么保证动态加载/卸载之后不会影响其他工具,怎么保证在工具有问题的时候,快速消除影响,代码还原。系统间的异常模拟可以使用的工具很多,可是系统内的异常模拟怎么办,加开关或是用AOP在开发系统实现,好想开发一个更优雅的异常模拟工具,既能模拟系统间的异常,又能模拟系统内的异常。

			
		

	





	

		

			

				
					
JVM Sandbox入门详解

					
最新发布

				
			

			

				

					听得到微笑的博客
				

				

					05-27
					
					6796
					
				

			

		

		

			
				
在日常开发,经常会接触到面向AOP编程的思想,我们通常会使用Spring AOP来做统一的权限认证、异常捕获返回、日志记录等工作。之所以使用Spring AOP来实现上述功能,是因为这些场景本质上来说都是与业务场景挂钩的,但是具有一定的抽象程度,并且绝大多数业务逻辑类都已经被Spring容器托管了。

			
		

	





	

		

			

				
					
java的沙箱安全机制

				
			

			

				

					sj8921202的博客
				

				

					11-23
					
					1935
					
				

			

		

		

			
				
java的沙箱安全机制
转自 “狂神说”
一、介绍
Java安全模型的核心就是java沙箱sandbox,将java代码限定在jvm特定的运行范围,并严格限制代码对本地系统资源访问,这样来保证代码的有效隔离,防止对本地系统造成破坏。
所有java程序运行都可以指定沙箱,可以定制安全策略。
java将执行程序分成本地代码和远程代码,本地代码默认可信任,远程不受信任。JDK1.0时,非授信的远程代码的安全完全依赖于沙箱机制。
如此严格的安全机制给程序扩展带来障碍,因此后续1.1版本做了改进,增加了安全策略,允

			
		

	





	

		

			

				
					
java10-sandbox:Java 10沙箱

				
			

			

				

					05-18
				

			

		

		

			
				
Java10沙箱我在Java 10的试用版。编译并运行在收藏夹终端打开项目并运行以下命令: javac -d "./out/http" $(find . -path \*http/\*.java) javac -d "./out/bootstrap" -p "./out/http" $(find . -path \*...

			
		

	





	

		

			

				
					
spring-sandbox-java

				
			

			

				

					03-22
				

			

		

		

			
				
spring-sandbox-java

			
		

	





	

		

			

				
					
java-sandbox:Java游乐场

				
			

			

				

					06-27
				

			

		

		

			
				
java-沙盒Java游乐场

			
		

	





	

		

			

				
					
java-sandbox:这是一个Java沙箱,主要用于试验与CoreJava相关的构造

				
			

			

				

					02-09
				

			

		

		

			
				
java-sandbox:这是一个Java沙箱,主要用于试验与CoreJava相关的构造

			
		

	





	

		

			

				
					
java_sandbox

				
			

			

				

					05-10
				

			

		

		

			
				
本书“ Java 8经验丰富的程序员指南”的任务解决方案Cay S. Horstman  以及其他一些使用Java和Spring的游戏;)  2016年1月

			
		

	





	

		

			

				
					
Sandbox 入门(打包、安装、启动、调试、日志)

				
			

			

				

					xiaolyuh的专栏
				

				

					11-09
					
					2119
					
				

			

		

		

			
				
JVM-SANDBOX(沙箱)实现了一种在不重启、不侵入目标JVM应用的AOP解决方案。
SANDBOX 入门(打包、安装、启动、调试)

			
		

	





	

		

			

				
					
阿里精准测试开源贡献奖 Jvm-Sandbox

				
			

			

				

					所寫即所思|一个阿里质量人对测试的所感所悟。
				

				

					04-30
					
					1108
					
				

			

		

		

			
				
阿里的Jvm-Sandbox是一款Java应用沙箱,。在这个环境,程序只能访问被授权的资源和功能,而不能访问其他系统资源。沙箱技术的目的是为了保护系统安全和稳定性,同时也可以提供更好的应用程序开发和测试环境。通过将程序隔离在一个独立的环境,可以避免它访问到不该访问的资源和数据,从而降低了安全风险。在软件开发领域,沙箱技术经常被用于应用程序的测试和调试,以及恶意软件的研究和分析等工作。通过使用沙箱技术,开发者可以在一个安全的环境测试应用程序,检查其运行是否正常,并找出可能存在的问题和漏洞。

			
		

	





	

		

			

				
					
Jvm-Sandbox原理分析-Sandbox的启动-01

				
			

			

				

					Mr_Xu12308的博客
				

				

					05-19
					
					1289
					
				

			

		

		

			
				
Jvm-Sandbox的启动(一):sandbox.sh脚本分析
Sandbox的启动是通过其内置的shell脚本 sandbox.sh 开始执行的,一切的开始皆可从该脚本探寻出结果。脚本有一定的代码量,大概有400+行,这里将该脚本分为如下几个部分进行讲解:

1、变量定义过程
这个过程首先预定义了接下来即将使用的一些变量。代码如下:
# 定义sandbox的home目录,并为其赋值
typeset SANDBOX_HOME_DIR
[[ -z ${SANDBOX_HOME_DIR} ]] &&

			
		

	





	

		

			

				
					
java 沙箱机制_浅析沙箱机制(Sandboxie)

				
			

			

				

					weixin_42363303的博客
				

				

					02-16
					
					888
					
				

			

		

		

			
				
每个人都可能听说过以太坊的智能合约正在沙盒运行。那沙盘究竟是什么?本文将带您了解这种机制的奥秘。1.为什么需要沙盒机制?默认情况下,应用程序可以访问计算机上的所有资源,例如CPU,内存,文件系统,网络等。但这不安全。如果您随意操作资源,可能会损坏其他应用程序正在使用的资源,或导致数据泄漏。为了解决这个问题,通常有两种解决方案:(1)为程序分配一个有限的帐户:使用操作系统的权限管理机制来限制(2)...

			
		

	





	

		

			

				
					
JavaAgent-SandBox

				
			

			

				

					weixin_34200628的博客
				

				

					05-09
					
					664
					
				

			

		

		

			
				
1.前言
之前初步学习了javaAgent,并做了一份总结《JavaAgent学习笔记》。然后在看到《JVM-Sandbox 基于JVM的非侵入式运行期AOP解决方案》之后,接触到了集团的sandBox。并尝试使用这种有真正应用场景的运行时AOP框架。
2.SandBox简介
sandBox是集团开发的一种非侵入式的运行时AOP解决方案,它能动态地将你要...

			
		

	





	

		

			

				
					
jvm-sandbox:基础了解及demo演示

				
			

			

				

					一个Tester的博客
				

				

					01-04
					
					2129
					
				

			

		

		

			
				
jvm-sandbox:基础了解及demo演示

			
		

	





	

		

			

				
					
iframe sandbox如何使用

				
			

			

				

					05-12
				

			

		

		

			
				
`<iframe>` 的 `sandbox` 属性是一个布尔属性,它用于指定在该 `iframe` 加载的文档应该以何种方式运行。该属性的值可以是以下之一或多个值的组合:

- `allow-forms`:指定在 `iframe` 可以提交表单。
- `allow-modals`:指定在 `iframe` 可以显示模态对话框。
- `allow-pointer-lock`:指定在 `iframe` 可以使用 Pointer Lock API。
- `allow-popups`:指定在 `iframe` 可以打开新窗口。
- `allow-same-origin`:指定在 `iframe` 可以加载与父文档具有相同源的文档。
- `allow-scripts`:指定在 `iframe` 可以执行脚本。
- `allow-top-navigation`:指定在 `iframe` 可以导航到顶级浏览上下文。

如果 `sandbox` 属性的值为空字符串或未指定,则默认情况下不会应用任何限制。

以下是一个示例,展示了如何在 `iframe` 使用 `sandbox` 属性:

```html
<iframe src="https://example.com" sandbox="allow-forms allow-scripts"></iframe>
```

在上面的示例,`sandbox` 属性指定了 `allow-forms` 和 `allow-scripts` 两个值,表示在 `iframe` 可以提交表单和执行脚本,但是其他功能都被禁用。请注意,`sandbox` 属性的值是一个空格分隔的字符串,其的值的顺序并不重要。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值