app逆向-ratel框架-通过Java的反射机制主动调用Java类函数

最新推荐文章于 2024-08-23 15:54:50 发布
最新推荐文章于 2024-08-23 15:54:50 发布
阅读量493 收藏 7
点赞数 7
分类专栏: app逆向随笔 文章标签: java python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010226586/article/details/136537600
版权

文章目录

一、前言

Java的反射机制是指在运行时动态地获取类的信息以及操作类的属性、方法、构造函数等的能力。通过反射机制,可以在程序运行时检查类的结构,获取类的字段、方法、注解等信息,调用类的方法,以及动态创建类的实例,而无需在编译时确定这些信息。

二、实现方法

1、对静态函数的主动调用

// 步骤一先通过这个app的classloader拿到类实例,(只有这个app的classloader才能加载这个app的类)
Class<?> ClassMysteryBox = lpparam.classLoader.loadClass("com.example.myapplication.MysteryBox");
// 步骤二通过实例拿到方法
Method staticMethod = ClassMysteryBox.getDeclaredMethod("staticMethod", String.class, int.class);
staticMethod.setAccessible(true);
// 步骤三通过方法进行调用
Object zhangsan = staticMethod.invoke(ClassMysteryBox, "张三", 1000);
Log.d(TAG, "handleLoadPackage: zhangsan = " + zhangsan);

// 1.2 对实例方法进行主动调用 public String instanceMethod(String name,int price){
// 步骤一先调用目标方法的无参的默认的构造函数
Object instance = ClassMysteryBox.newInstance();
Method instanceMethod = ClassMysteryBox.getDeclaredMethod("instanceMethod", String.class, int.class);
Object lisi = instanceMethod.invoke(instance, "李四", 200);
Log.d(TAG, "handleLoadPackage: lisi = " + lisi);

2、ratel框架-对静态函数的主动调用

// 2.1 静态方法的调用 方法一:public static Object callStaticMethod(Class<?> clazz, String methodName, Object... args) {
Object o = RposedHelpers.callStaticMethod(ClassMysteryBox, "staticMethod", "张三", 200);
Log.d(TAG, "handleLoadPackage: o = " + o);
// 方法二(需要自己写参数类型):public static Object callStaticMethod(Class<?> clazz, String methodName, Class<?>[] parameterTypes, Object... args) {
Object o1 = RposedHelpers.callStaticMethod(ClassMysteryBox, "staticMethod", new Class<?>[]{String.class, int.class}, "张三", 200);
Log.d(TAG, "handleLoadPackage: o1 = " + o1);

3、对实例方法进行主动调用(无参)

// 步骤一先调用目标方法的无参的默认的构造函数
Object instance = ClassMysteryBox.newInstance();
Method instanceMethod = ClassMysteryBox.getDeclaredMethod("instanceMethod", String.class, int.class);
Object lisi = instanceMethod.invoke(instance, "李四", 200);
Log.d(TAG, "handleLoadPackage: lisi = " + lisi);

4、对实例方法进行主动调用(有参)

// private MysteryBox(String brand){
Constructor<?> declaredConstructor = ClassMysteryBox.getDeclaredConstructor(int.class);
Object instance1 = declaredConstructor.newInstance(222222);
Log.d(TAG, "handleLoadPackage: instance1 = " + instance1);
Object wangwu = instanceMethod.invoke(instance1, "王五", 600);
Log.d(TAG, "handleLoadPackage: wangwu = " + wangwu);

5、ratel框架-对实例方法进行主动调用(有参/无参)

// public static Object newInstance(Class<?> clazz, Object... args) {
// public static Object newInstance(Class<?> clazz, Class<?>[] parameterTypes, Object... args) {
// 无参构造函数实例化
Object o2 = RposedHelpers.newInstance(ClassMysteryBox);
Log.d(TAG, "handleLoadPackage: o2 = " + o2);

Object instance5 = RposedHelpers.newInstance(ClassMysteryBox, "测试");
Log.d(TAG, "handleLoadPackage: instance5 = " + instance5);

6、内部类的方法主动调用(有参)

// 通过类加载器加载目标类
Class<?> classInnerClass = lpparam.classLoader.loadClass("com.example.myapplication.MysteryBox$InnerClass");
// 获取构造函数进行类实例
Constructor<?> declaredConstructor1 = classInnerClass.getDeclaredConstructor();
declaredConstructor1.setAccessible(true);
Object instance2 = declaredConstructor1.newInstance();
// 获取类的方法
Method innerClassMethod = classInnerClass.getDeclaredMethod("innerClassMethod", String.class, int.class);
innerClassMethod.setAccessible(true);
// 进行方法调用
Object zhaoliu = innerClassMethod.invoke(instance2, "赵六", 300);
Log.d(TAG, "handleLoadPackage: zhaoliu = " + zhaoliu);

7、ratel框架-内部类函数主动调用(有参)

Class<?> aClass = RposedHelpers.findClass("com.example.myapplication.MysteryBox$InnerClass", lpparam.classLoader);
Object o3 = RposedHelpers.callMethod(RposedHelpers.newInstance(aClass), "innerClassMethod", "赵六", 200);
Log.d(TAG, "handleLoadPackage: o3 = " + o3);

8、JNI函数主动调用

// 1.4 对于JNI函数的处理(native)
Class<?> NativeLib = lpparam.classLoader.loadClass("com.example.myapplication.NativeLib");
Constructor<?> constructor = NativeLib.getConstructor();
constructor.setAccessible(true);
Object instance3 = constructor.newInstance();
Method nativeMethod = NativeLib.getDeclaredMethod("nativeMethod");
// native和private方法都要设true才能访问
nativeMethod.setAccessible(true);
Object result = nativeMethod.invoke(instance3);
Log.d(TAG, "handleLoadPackage: result = " + result);

9、ratel框架-JNI函数主动调用

// 2.4 JNI函数的处理
Object instance6 = RposedHelpers.newInstance(RposedHelpers.findClass("com.example.myapplication.NativeLib", lpparam.classLoader));
Object nativeMethod1 = RposedHelpers.callMethod(instance6, "nativeMethod");
// 这里打印出来的依然是没有经过生命周期处理后的值,因为这是直接new的activity的实例,不会经过oncreate的处理
Log.d(TAG, "handleLoadPackage: nativeMethod1 = " + nativeMethod1);

三、完整代码

package com.example.plugintest;

import android.os.Bundle;
import android.util.Log;

import com.virjar.ratel.api.rposed.IRposedHookLoadPackage;
import com.virjar.ratel.api.rposed.RC_MethodHook;
import com.virjar.ratel.api.rposed.RposedHelpers;
import com.virjar.ratel.api.rposed.callbacks.RC_LoadPackage;

import java.lang.reflect.Constructor;
import java.lang.reflect.Method;

public class InvokeEntry implements IRposedHookLoadPackage {
    private static final String TAG = "pluginTest->";

    @Override
    public void handleLoadPackage(RC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
        System.out.println(TAG + "包名是什么:" + lpparam.packageName);
        if (lpparam.packageName.equals("com.example.myapplication")){
            Log.d(TAG, "handleLoadPackage: hook success");
            // 1. 利用Java的反射机制完成对于类函数的主动调用
            // 1.1 对静态函数的主动调用 public static String staticMethod(String name,int price){
            // 步骤一先通过这个app的classloader拿到类实例,(只有这个app的classloader才能加载这个app的类)
            Class<?> ClassMysteryBox = lpparam.classLoader.loadClass("com.example.myapplication.MysteryBox");
            // 步骤二通过实例拿到方法
            Method staticMethod = ClassMysteryBox.getDeclaredMethod("staticMethod", String.class, int.class);
            staticMethod.setAccessible(true);
            // 步骤三通过方法进行调用
            Object zhangsan = staticMethod.invoke(ClassMysteryBox, "张三", 1000);
            Log.d(TAG, "handleLoadPackage: zhangsan = " + zhangsan);

            // 1.2 对实例方法进行主动调用 public String instanceMethod(String name,int price){
            // 步骤一先调用目标方法的无参的默认的构造函数
            Object instance = ClassMysteryBox.newInstance();
            Method instanceMethod = ClassMysteryBox.getDeclaredMethod("instanceMethod", String.class, int.class);
            Object lisi = instanceMethod.invoke(instance, "李四", 200);
            Log.d(TAG, "handleLoadPackage: lisi = " + lisi);

            // 如果采用有参的构造函数
            // private MysteryBox(String brand){
            Constructor<?> declaredConstructor = ClassMysteryBox.getDeclaredConstructor(int.class);
            Object instance1 = declaredConstructor.newInstance(222222);
            Log.d(TAG, "handleLoadPackage: instance1 = " + instance1);
            Object wangwu = instanceMethod.invoke(instance1, "王五", 600);
            Log.d(TAG, "handleLoadPackage: wangwu = " + wangwu);

            // 1.3 内部类的处理
            // 通过类加载器加载目标类
            Class<?> classInnerClass = lpparam.classLoader.loadClass("com.example.myapplication.MysteryBox$InnerClass");
            // 获取构造函数进行类实例
            Constructor<?> declaredConstructor1 = classInnerClass.getDeclaredConstructor();
            declaredConstructor1.setAccessible(true);
            Object instance2 = declaredConstructor1.newInstance();
            // 获取类的方法
            Method innerClassMethod = classInnerClass.getDeclaredMethod("innerClassMethod", String.class, int.class);
            innerClassMethod.setAccessible(true);
            // 进行方法调用
            Object zhaoliu = innerClassMethod.invoke(instance2, "赵六", 300);
            Log.d(TAG, "handleLoadPackage: zhaoliu = " + zhaoliu);

            // 1.4 对于JNI函数的处理(native)
            Class<?> NativeLib = lpparam.classLoader.loadClass("com.example.myapplication.NativeLib");
            Constructor<?> constructor = NativeLib.getConstructor();
            constructor.setAccessible(true);
            Object instance3 = constructor.newInstance();
            Method nativeMethod = NativeLib.getDeclaredMethod("nativeMethod");
            // native和private方法都要设true才能访问
            nativeMethod.setAccessible(true);
            Object result = nativeMethod.invoke(instance3);
            Log.d(TAG, "handleLoadPackage: result = " + result);

            // 1.5 处理1.4存在的问题:像1.4那样new MainActivity实例是不会走oncreate等等的生命周期,所以在各生命周期中做的赋值或修改操作将无法
            // 出现在新实例中。于是我们不需要自己new,而是hook它本来存在的那个
            //RposedHelpers.findAndHookMethod(NativeLib, "onCreate", Bundle.class, new RC_MethodHook() {
            //    @Override
            //    protected void afterHookedMethod(MethodHookParam param) throws Throwable {
            //        super.afterHookedMethod(param);
            //        // 获得真实运行在app中的实例
            //        Object thisObject = param.thisObject;
            //        Object invoke = nativeMethod.invoke(thisObject);
            //        Log.d(TAG, "afterHookedMethod: 真实返回值为:" + invoke);
            //    }
            //});

            // 通过平头哥框架完成函数的主动调用
            // 2.1 静态方法的调用 方法一:public static Object callStaticMethod(Class<?> clazz, String methodName, Object... args) {
            Object o = RposedHelpers.callStaticMethod(ClassMysteryBox, "staticMethod", "张三", 200);
            Log.d(TAG, "handleLoadPackage: o = " + o);
            // 方法二(需要自己写参数类型):public static Object callStaticMethod(Class<?> clazz, String methodName, Class<?>[] parameterTypes, Object... args) {
            Object o1 = RposedHelpers.callStaticMethod(ClassMysteryBox, "staticMethod", new Class<?>[]{String.class, int.class}, "张三", 200);
            Log.d(TAG, "handleLoadPackage: o1 = " + o1);

            // 2.2 实例函数的调用
            // public static Object newInstance(Class<?> clazz, Object... args) {
            // public static Object newInstance(Class<?> clazz, Class<?>[] parameterTypes, Object... args) {
            // 无参构造函数实例化
            Object o2 = RposedHelpers.newInstance(ClassMysteryBox);
            Log.d(TAG, "handleLoadPackage: o2 = " + o2);

            Object instance5 = RposedHelpers.newInstance(ClassMysteryBox, "测试");
            Log.d(TAG, "handleLoadPackage: instance5 = " + instance5);

            // 2.3 内部类的处理
            Class<?> aClass = RposedHelpers.findClass("com.example.myapplication.MysteryBox$InnerClass", lpparam.classLoader);
            Object o3 = RposedHelpers.callMethod(RposedHelpers.newInstance(aClass), "innerClassMethod", "赵六", 200);
            Log.d(TAG, "handleLoadPackage: o3 = " + o3);

            // 2.4 JNI函数的处理
            Object instance6 = RposedHelpers.newInstance(RposedHelpers.findClass("com.example.myapplication.NativeLib", lpparam.classLoader));
            Object nativeMethod1 = RposedHelpers.callMethod(instance6, "nativeMethod");
            // 这里打印出来的依然是没有经过生命周期处理后的值,因为这是直接new的activity的实例,不会经过oncreate的处理
            Log.d(TAG, "handleLoadPackage: nativeMethod1 = " + nativeMethod1);
        }
    }
}
我是花臂不花
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
github项目ratelJAVA实现斗地主
awsl_6699的博客
04-11 1001
github项目推荐:ratel 技术栈:Netty 码云:https://gitee.com/ainilili/ratel Github:https://github.com/ainilili/ratel 相关介绍:https://github.com/ainilili/ratel/blob/master/PROTOCO_CN.md 一、项目介绍 Ratel 是一个可以在命令行中玩斗地主的项目。 可以使用小巧的jar包在拥有JVM环境的终端中进行游戏,支持人人对战和人机对战两种模式,丰富你的空闲时间!
安卓逆向_6 --- Dalvik 字节码、Smali 详解
墨鱼菜鸡
07-11 1426
CTF Wiki smali:https://ctf-wiki.org/android/basic_operating_mechanism/java_layer/smali/smali/ 深入理解 Dalvik 字节码指令及 Smali 文件:https://blog.csdn.net/dd864140130/article/details/...
github项目的JAVA项目Ratel,基于Netty实现
qq_41874544的博客
07-27 1085
Ratel DOS窗口斗地主
app逆向-ratel框架-AES,DES,MD5,SHA1加密算法java hook程序
花臂不花Home
03-07 631
AES(高级加密标准)、DES(数据加密标准)、MD5(消息摘要算法5)和SHA-1(安全哈希算法1)都是常见的加密算法,用于数据加密和哈希计算。
Java构建工具
蹊源的奇思妙想的博客
09-30 2673
Ant和Maven都是基于Java的构建工具 Ant的特点: a.没有一个约定的目录结构,即没有明确ant做什么,什么时候做(没有生命周期); b.没有集成依赖管理 c.使用build.xml进行管理 Maven的特点: a.拥有约定你知道代码放在那里,放到哪里去 b.拥有生命周期 :可以自动执行编译,测试,打包等构建过程 c.拥有依赖管理,仓库管理 d.使用pom.xml进行管理 Maven 有...
java反射调用函数
qq_39432715的博客
05-08 369
第一步 建立一个,这个里放着要调用函数 package com.lzb.base.test; import java.util.Map; public class TestFunction { public int subtraction(int x,int y){ return x-y; } } 第二步 创建一个调用subtraction函数,添加m...
app逆向-ratel框架-JavaJava Native Interface函数hook
花臂不花Home
02-24 769
Java中,JNI(Java Native Interface)函数是用于与本地代码(通常是用C或C++编写的)进行交互的函数。这些函数允许Java应用程序调用本地代码,并且可以在本地代码中访问Java对象和调用Java方法。
app逆向-平头哥框架ratel使用
花臂不花Home
02-21 1830
平头哥(ratel)是⼀个Android逆向分析⼯具套件,他提供⼀系列渐进式app逆向分析⼯具。同时平头哥也是⼀个app⼆次开发的沙箱环境,⽀持在免root环境下hook和重定义app功能。项⽬地址: https://github.com/virjarRatel
安卓逆向-new-sec6-4 Java反射相关知识以及平头哥框架hook构造函数 | App发布测试版本感染
Samsam的博客
01-26 2290
反射机制
xmljava系统源码-ratel:在非root环境下,使用xposed,且不依赖于其他虚拟化容器环境。使得xposed有二次分包的能力
06-05
java系统源码 ratel 项目介绍 在非root环境下,使用xposed,且不依赖于其他虚拟化容器环境。使得xposed有二次分包的能力。 原理 ratel本身是一个嵌入式沙盒,或者是一个加壳机,他可以给指定一个apk加壳,但是这个壳...
XRSNMP.rar(破解版)(X-RATEL OPCSERVER)
06-12
X-RATEL OPCSERVER 只能GET数据,不能SET数据,解压后,将带有XR图标的三个文件覆盖到安装目录下,即可永久使用,XRATEL SNMP SERVER MONITOR显示30天试用期,没有关系。
ratel-1.2.1.zip
07-17
斗地主我想大家都会玩吧,但是不知道大家有没有在命令行内玩过斗地主。 这个项目是基于Netty实现的一款命令行斗地主游戏,在下班后或者工作闲暇之余,你都可以肆无忌惮的在命令行中玩斗地主~
java外包源码-Awesome-SGX-Open-Source:有助于利用英特尔SGX技术的开源项目
06-05
java源码源码很棒的新交所开源项目 如果您认为此列表有帮助,希望您很乐意加星! 学术会议收藏: 运行时框架 产业龙头项目 微软 OpenEnclave: 微软机密联盟框架: 阿帕奇茶壶: 蚂蚁金服: 下一代 Occlum,针对...
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 554
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 792
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
笔记redis
风止的博客
08-22 1079
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
@Transactional中使用线程锁导致了锁失效与解决方案
liuruiaaa的博客
08-23 770
@Transactional中使用线程锁导致了锁失效与解决方案
Java学习_18_Stream流
qq_41136689的博客
08-23 1210
博客仅记录个人学习进度和一些查缺补漏。学习内容:BV17F411T7Ao流的出现让数据处理从几十行代码缩减到一两行就能实现,简化了很多集合数组的操作。
ratel平头哥(android hook工具)
06-22
平头哥工具旨在为开发人员提供一种简单的方法,以便轻松地重载不同的,添加自定义函数,或者随时监视应用程序中发生的任何事件。 总的来说,Ratel平头哥是一个功能丰富且易于使用的Android Hook工具,它为开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是花臂不花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值