手把手教你写一个Java Agent,实现“免费激活”

前言

相信很多人都“免费激活”过 IDEA吧,在IDEA 的vmoptions配置里,加行配置就行:


image.png

或者是这样“拖到IDEA窗口中”的形式:


image.png

image.png

再或者用过一些APM工具,在JVM启动脚本上增加了-javaagent:/path/to/apm-agent.jar,就可以自动进行追踪。再或者用过Arthas之类的JVM诊断工具,这些工具都是通过Java Agent的技术去实现的。**

比如上面说的“免费激活”,其实就是在运行时期修改了验证license的相关代码。JAVA 里 Agent 这么强大的功能,你难道不打算自己亲自写一个试试吗?

基础知识

Java Agent 算是JVM的一个插件,以一个Jar包的形式存在。可以做到在运行时期,修改你的字节码文件,从而达到增强、修改等效果,通过 JVM 提供的 Instrumentation API来实现。

第一个 Java Agent

一个Java Agent,由以下几个组件构成:

image.png
  • Agent Class - Agent的功能类
  • Packaging - 在MANIFEST.MF文件中定义Agent Class的位置和方式
  • “装载点”,比如-javaagent:<jarfile>[=arguments],指定加载的agent.jar文件

废话不多说,下面正式开始编写这个Agent

1. 创建Agent Class

首先要创建一个Agent Class,这个Class作为我们Agent插件的入口类。配置好-javaagent后,JVM在启动时会执行我们Agent Class的premain方法

import java.lang.instrument.Instrumentation;

public class Agent {
  public static void premain(String args, Instrumentation instrumentation){
    ClassLoggerTransformer transformer = new ClassLoggerTransformer();
    instrumentation.addTransformer(transformer);
  }
}

premain方法中,除了args参数,还有一个instrumentation对象。这个是Java Agent的核心对象,通过该对象可以注册ClassFileTransformer

**ClassFileTransformer **就是负责字节码转换的核心接口了,已注册的ClassFileTransformer可以拦截JVM中所有类的加载,并且可以获取到已加载类的字节码,来看一下这个接口的源码:

public interface ClassFileTransformer {
    byte[]
    transform(  ClassLoader         loader,
                String              className,//className,全类名(包括路径,"/"分割)
                Class<?>            classBeingRedefined,//类定义转换时的Class对象,初始加载时为空
                ProtectionDomain    protectionDomain,//protection...
                byte[]              classfileBuffer)//加载的Class字节码数据
        throws IllegalClassFormatException;
}

2. 定义一个Transformer

了解了ClassFileTransformer接口之后,现在来写一个ClassLoggerTransformer实现类。为了简单,这个实现类只有一个功能:将已加载的字节码转储到文件中


public class ClassLoggerTransformer implements ClassFileTransformer {
    
    //返回值是替换的字节码数据
  @Override
  public byte[] transform(ClassLoader loader,
                          String className,
                          Class<?> classBeingRedefined,
                          ProtectionDomain protectionDomain,
                          byte[] classfileBuffer) throws IllegalClassFormatException {
    try {
      Path path = Paths.get("classes/" + className + ".class");
      //将字节码数据classfileBuffer,存储到classes目录下,以.class文件作为后缀
      Files.write(path, classfileBuffer); 
    } catch (Throwable ignored) { // ignored, don’t do this at home kids
    } finally { return classfileBuffer; }
  }
}

好了,第一个Agent 的功能代码部分已经完成了,下面需要 Agent 解决入口的配置

3. 构建 agent.jar

现在我们需要将代码构建成一个Jar,并且Jar内的MANIFEST.MF文件中,需要包含Agent Class的配置,最终我们的MANIFEST.MF文件应该是这样:

Manifest-Version: 1.0
Premain-Class: com.github.kongwu.agentsamples.firstagent.Agent//Agent Class的全类名
Can-Redefine-Classes: true //允许重新定义
Can-Retransform-Classes: true //允许运行时转换

通过Maven的构建插件,很容易完成MANIFEST.MF文件的配置:

<plugin>
  <groupId>org.apache.maven.plugins</groupId>
  <artifactId>maven-jar-plugin</artifactId>
  ...
  <configuration>
    <archive>
      <manifestFile>src/main/resources/META-INF/MANIFEST.MF</manifestFile>
    </archive>
  </configuration>
  ...
</plugin>

只需要在项目的src/main/resources/META-INF/路径下,增加一个MANIFEST.MF的模板,模板文件里按照上面介绍的定义即可,最后mvn clean package就可以构建出我们的agent jar了(默认目录在${projectpath}/target/),这个jar包内会包含我们上面的MANIFEST.MF模板文件

好了,大功告成,我们第一款Agent已经开发完了,下面来测试一下:

## 随便找个项目,或者可执行的jar包

## 默认的启动方式,直接java -jar
java -jar first-app.jar

## 启动时添加我们刚才构建的first-agent.jar
java -javaagent:/path/to/first-agent.jar -jar first-app.jar

增加agent运行后,所有运行时期加载的Class的字节码,就会转储到我们的classes目录下了

如果你是在 IDEA 中运行,也可以在Run/Debug Configurations面板中,add vm options


image.png

上面这个例子好像有点过于简单,只是“拦截”了字节码数据进行了转储,并没有进行字节码的修改。其实ClassFileTransformer.transform的返回值,就是我们要替换的数据;只需要在transform方法中返回新的字节码数据,就可以做到增强/替换类了(不过这个增强/替换是有一些限制的,比如不能修改方法签名之类的,本文不做过多介绍)

介绍完了基本的Agent实现,下面来学习一个Agent的实际例子:通过Agent来“免费激活”

通过Agent 实现“免费激活”

前言中提到的,IDEA“免费激活”的工具也是通过Agent实现的,其实基本原理很简单,就是写一个Agent,动态修改验证license的那些代码而已。

比如我们使用一款需要授权许可证的Java 软件,其内部验证许可证的代码是下面这段(伪代码)

public boolean verifyLicense(String encryptedLicense){
    //请求服务器验证许可……
    boolean passed = licenseServer.verifyLicense(encryptedLicense);
    if(!passed){
        //do sth
    }
    return passed;
}

那么我们只需要通过Agent,动态的来修改这个verifyLicense方法,将验证结果修改为直接通过,就可以绕过这个许可验证机制了,还不用修改原始Jar包

public boolean verifyLicense(String encryptedLicense){
    //修改后,直接返回true
    return true;
}

那么怎么修改这个类方法呢?

有两种方式:

  1. 提前解压jar包,反编译那个Class文件,得到Java文件后修改verifyLicense方法后重新编译
  2. 在ClassFileTransformer实现中,通过传入的该类字节码数据,使用一些字节码操作工具进行修改

本文例子为了简单,使用第一种方式,提前反编译、修改,再保存重新编译的Class文件到Agent 项目里:

只需要创建一个ClassFileTransformer,进行这个验证许可证Class的替换:


import java.io.IOException;
import java.io.InputStream;
import java.lang.instrument.ClassFileTransformer;
import java.lang.instrument.IllegalClassFormatException;
import java.security.ProtectionDomain;

public class HackVerifierClassFileTransformer implements ClassFileTransformer {

    @Override
    public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
        //只替换这个验证的类 - LicenseVerifier
        if(className.equals("com/github/kongwu/agentsamples/firstagent/verifierapp/LicenseVerifier")){
            return loadHackClassBuffer(loader);
        }
        return null;
    }

    private byte[] loadHackClassBuffer(ClassLoader loader) {
        //反编译 -> 修改 -> 重新编译的LicenseVerifier.class 文件,换个后缀防止被JVM自动加载
        try (InputStream input = loader.getResourceAsStream("LicenseVerifier.classdata")){
            int n;
            ByteArrayOutputStream outputBuffer = new ByteArrayOutputStream();
            byte[] buffer = new byte[4096];//4k
            //-1 : end of file
            while (-1 != (n = input.read(buffer))) {
                outputBuffer.write(buffer,0,n);
            }
            return outputBuffer.toByteArray();
        }catch (IOException e){
            System.err.println("load the hackfile failed!");
            return null;
        }
    }
}

然后在Agent Class中,注册这个HackVerifierClassFileTransformer

import java.lang.instrument.Instrumentation;

public class Agent {
  public static void premain(String args, Instrumentation instrumentation){
    HackVerifierClassFileTransformer transformer = new HackVerifierClassFileTransformer();
    instrumentation.addTransformer(transformer);
  }
}

最后只需要像上面那样,配置下MANIFEST.MF的生成,然后构建Agent Jar包,就完成了我们这个“免费激活”的Agent 插件

以后运行该 Java 软件时,只需要增加-javaagent:/path/to/hack-agent.jar,就实现了“免费激活”

## 默认的启动方式,直接java -jar
java -jar verifier-app.jar

## 启动时添加我们刚才构建的agent.jar
java -javaagent:/path/to/hack-agent.jar -jar verifier-app.jar

文中例子完整的代码在https://github.com/kongwu-/agent-samples,有需要的同学可以自行下载

常用的字节码操作类库

以上的几个字节码操作类库,最推荐的是ByteBuddy,使用方式上最简单

总结

本文介绍的这个“免费激活”的方式,仅用于学习交流,不要用于一些非法的场景,做一个遵纪守法的好公民,不然会被请去喝茶就不太好了……

原创不易,转载请在开头著名文章来源和作者。如果我的文章对您有帮助,请点赞/收藏/关注鼓励支持。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,552评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,666评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,519评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,180评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,205评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,344评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,781评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,449评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,635评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,467评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,515评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,217评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,775评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,851评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,084评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,637评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,204评论 2 341

推荐阅读更多精彩内容