java安全--字节码校验

最新推荐文章于 2024-05-17 18:18:32 发布
最新推荐文章于 2024-05-17 18:18:32 发布
阅读量6.4k 收藏 7
点赞数 3
分类专栏: j2ee 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18377515/article/details/79590773
版权

1.先来了解下字节码校验在类加载流程中的位置

        当类加载器将新加载的Java平台类的字节码传递到虚拟机时,这些字节码首先要接受校验器的校验。校验器负责检查那些无法执行的明显有破坏性的操作。除了系统类之外,其他类都要被校验。

2.字节码校验器主要做的事情

  • 变量要在使用之前进行初始化
  • 方法调用与对象引用类型之前要匹配
  • 访问私有数据和方法的规则没有被违背
  • 对本地变量的访问落在运行时堆栈内
  • 运行时堆栈没有溢出

3.例子(来源Java核心技术卷二)

package verifier;

public class VerifierTest {
    public static void main(String[] args)
    {
        System.out.println("1 + 2 == " + fun());
    }

    /**
     * A function that computes 1 + 2.
     * @return 3, if the code has not been corrupted
     */
    public static int fun()
    {
        int m;
        int n;
        m = 1;
        n = 2;
        // use hex editor to change to "m = 2" in class file
        int r = m + n;
        return r;
    }
}

步骤1:编译VertifierTest.java类


步骤2:使用javap查看编辑器如何编译fun方法


fun方法对应的16进制值《The Java Virtual Machine Specification》中有写


使用UltraEdit编辑找到对应的字节码


步骤三:将指令3的istore_1改为istore_0,也就是说,将16进制编辑器中的3C改为3B并保存文件,然后运行

VerifierTest程序

修改之前效果图修改之前效果图

修改之后效果图

这里可以看到虚拟机发现了修改,校验没有通过

步骤4:使用-noverify运行程序,表面上看返回了个随机数


githubshareing
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Bytecode验证器
weixin_45332030的博客
02-10 161
对Bytecode验证器的讲解 https://zhuanlan.zhihu.com/p/69827280
java 字节码校验_如何在JVM中验证字节码?
weixin_31446915的博客
03-07 862
甲骨文自己有一个关于它如何工作的小片段页面here.基本上,JRE不信任JDK。这是因为它不知道哪个JDK编译器创建了类文件。在验证之前,它将类文件视为恶意文件。在此基础上,字节码验证是防止Sun称之为“恶意编译器”的必要步骤。Sun自己的Java编译器确保Java源代码不违反安全规则,但是,当应用程序导入代码片段时,它实际上并没有违反安全规则。知道如果代码片段遵循Java语言规则以确保安全。换句...
Java优雅的实现参数校验
最新发布
weixin_51779902的博客
05-17 1073
JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。
学习 Java字节码验证
夏末
10-20 1034
一个class文件被加载到JVM内存后,首先要经过字节码验证,验证通过,再确定哪些代码是解释执行的,哪些代码是即时编译执行的(即时编译:Just In Time 简写JIT); 1.字节码验证: 检查class文件的把呢不能和jvm版本是否兼容 检查代码是否会破坏系统完整性 检查代码是否有栈溢出的情况 检查当前代码参数类型是否正确 ... ... 2.解释执行: jvm将class字节码文件解释成计算机可以执行的代码 如果所有代码都是这样执行的话,效率会比较慢 3.JIT即时编译.
JVM-字节码的作用
Vencilii
12-05 419
什么是编译? 对于Java而言,编译是指将java代码编译为字节码(class)的过程,使用javac来对java文件进行编译。 为什么会有字节码java虚拟机统一了文件存储格式,那就是字节码,所有的操作系统平台的JVM都使用这种统一的格式。JVM不强调你使用哪种语言编写程序,只要最后的程序能够翻译成JVM能够识别、加载、并运行的字节码格式即可,所以JVM能够做到跨平台和语言无关性,由此催生s...
java 字节码校验_一个通不过Java字节码校验的例子
weixin_42532473的博客
02-17 475
一般我们写Java源码,用Java编译器编译出.class文件,是不会碰到校验失败的状况的,因为正常的 Java编译器都会小心对待生成的代码。所以,想要看到校验失败的状况,很容易的一个办法就是自己生成 不合法的字节码。 这里我用了ObjectWeb的ASM来生成字节码。可一般我们写Java源码,用Java编译器编译出.class文件,是不会碰到校验失败的状况的,因为正常的 Java编译器都会小心对...
基于Java开发的校验码工具.zip
04-10
【标题】基于Java开发的校验码工具是一个实用的桌面应用程序,专为计算字符串和文件的校验码而设计。该工具集成了MD5、SHA1和CRC32这三种常用的校验算法,以确保数据的完整性和一致性。 【MD5】MD5(Message-Digest...
Java实现SHA-1算法实例
09-03
SHA-1(Secure Hash Algorithm 1)是一种广泛使用的散列函数,它能够将任意...尽管如此,理解如何在Java中实现SHA-1仍然是有价值的,因为很多遗留系统仍然在使用它,同时学习这个过程也能帮助理解更复杂的安全机制。
行业分类-设备装置-基于JAVA字节码插桩和JAVA方法挂钩检测JAVA沙箱逃逸攻击.zip
09-12
为了防止这种攻击,开发者可以利用Java字节码插桩和方法挂钩技术来增强应用的安全性。本文将深入探讨这两种技术以及如何在实际应用中使用它们来检测和防止Java沙箱逃逸攻击。 字节码插桩(Bytecode instrumentation...
一种混合模式的Java卡内字节码校验算法.pdf
01-01
这篇论文提出了一种混合模式的Java卡内字节码校验算法,旨在解决Java智能卡安全体系统结构中的字节码校验问题。该算法基于控制流程树(CFT)字节码校验算法,引入缓存策略,提高了时间和空间效率。 首先,Java卡...
JAVA生成MD5校验
08-08
了解并掌握在Java中生成MD5校验码是基础的编程技能,尤其在处理文件校验、数据安全等领域。但是需要注意的是,由于MD5的安全性问题(容易出现碰撞),现在更多地使用SHA-256等更安全的散列算法。
java基础:字节码验证
lalala_dxf的博客
11-03 1020
编写好的java代码,编译成class文件(字节码)后,在被JVM加载到内存中的时候,是需要做字节码验证的。 过程如下(加载到内存的途径有很多,这里描述的是通过网络,也可以是通过本地磁盘): 一个class文件被加载到JVM内存之后,首先要经过字节码验证,主要包含: 检查当前class文件的版本和JVM的版本是否兼容 检查当前代码是会破坏系统的完整性 检查当前代码是否有栈溢出的情况 检查当前代码中的参数类型是否正确 检查当前代码中的类型转换操作是否正确 验证通过过,再确定哪些代码是解释执行的,哪些代码
【学习笔记】JVM
OAOII的博客
12-22 624
typora-root-url: img\JVM_img JVM 1.常见问题 ●请你谈谈你对JVM的理解? java8虚拟机和之前的变化更新? ●什么是OOM,什么是栈溢出StackOverFlowError? 怎么分析? ●JVM的常用调优参数有哪些? ●内存快照如何抓取,怎么分析Dump文件? ●谈谈JVM中,类加载器你的认识 2.JVM的位置 ​ JVM 上承开发语言,下接操作系统,它的中间接口就是字节码。 与硬件没有直接交互。 3.JVM的体系结构 99%的JVM调优都是在堆(方法区、堆).
JAVA的编译过程
a874493738的博客
07-29 4688
        JAVA中的编译器和解释器:            Java中引入了虚拟机的概念,即在机器和编译程序之间加入了一层抽象的虚拟的机器。这台虚拟的机器在任何平台上都提供给编译程序一个的共同的接口。编译程序只需要面向虚拟机,生成虚拟机能够理解的代码,然后由解释器来将虚拟机代码转换为特定系统的机器码执行。在Java中,这种供虚拟机理解的代码叫做字节码(即扩展名为.class的文件),它不...
到底什么是字节码?有什么好处?
DYFNB的博客
06-25 2084
java里的字节码什么是字节码字节码有什么好处 什么是字节码 字节码是在程序运行的时候,由java文件编译成.class文件,就是字节码文件.我们也可以写一段代码然后复制在一个文档里,改成java文件,接下来在命令行运行 javac 文件名…java 编译成.class文件 java 文件名 运行.class文件 注意文件名和类名一致 字节码有什么好处 java语言通过字节码的方式,解决了解释性语言执行效率低的问题,也保留了解释性语言可以移植的特点,.class文件不用重新编译就可以在其他的计算机系统上
Java】一篇文章让你了解字节码是什么
程序员徐小白的博客
05-15 3537
1. 先来说一下什么是机械码 机械码就是cpu能够直接读取并运行的代码,它是用**二进制编码**表示的,也叫做机械指令码。在编写这种代码时,需要**主动地去控制cpu**的一切资源,而且需要记住全部指令所做的动作,十分的麻烦,当然这也是计算机的底层代码,处理开发计算机的专业人员之外,已经很少人去研究了。 2.字节码 字节码是一种**中间状态**的**二进制文件**,是由源码编译过来的,可读性没有源码的高。cpu并不能直接读取字节码,在java中,字节码**需要经过JVM转译**成机械码之后,cpu
Java安全——语言安全结构
多头注意力探索Now
06-29 231
java语言层面的安全结构设计说明
java16进制字节码转字符串
05-31
Java中,将16进制字节码转换为字符串可以使用以下代码: ```java public static String hexToString(String hex) { String str = ""; for (int i = 0; i (); i += 2) { String s = hex.substring(i, i + 2); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值