Frida - Java 应用程序在替换方法后冻结

// 我正在尝试使用 frida api 替换桌面 Java 应用程序中的 StringBuilder 构造器实现

Java.perform(() => {
    
    const StringBuilder = Java.use('java.lang.StringBuilder')；
    // 我们需要替换 .$init() 而不是 .$new()，因为 .$new() = .alloc() + .init()
    const ctor = StringBuilder.$init.overload('java.lang.String')；
    ctor.implementation = function (arg) {
        console.log(arg); return this.$init(arg)；
    };
    console.log('[+] new StringBuilder(java.lang.String) hooked')；

});

当然，你可以实现从 Java 反编译器中获取类名和方法名，并在运行时替换其实现或者让 JVM 调用你的方法而不是目标方法。Frida 是一个很好的工具，但是你需要注意一些细节才能避免应用程序冻结。

出现应用程序冻结的原因很可能是因为你在替换后的实现中调用了 this.$init(arg)，这会造成无限递归，最终导致堆栈溢出。

这里提供几种解决方案：

1. 调用原始实现：

• 在 Frida 中，你可以使用 ctor.call(this, arg) 来调用原始的构造函数实现。
• 这种方法可以避免无限递归，但你需要确保你的代码逻辑不会因为调用原始实现而产生问题。

```javascript Java.perform(() => { const StringBuilder = Java.use('java.lang.StringBuilder'); const ctor = StringBuilder.$init.overload('java.lang.String');

   ctor.implementation = function (arg) {
       console.log(arg); 
       // 调用原始构造函数
       return ctor.call(this, arg);
   };

   console.log('[+] new StringBuilder(java.lang.String) hooked');

}); ```

2. 避免递归调用：

• 如果你需要修改构造函数的参数或者返回值，可以尝试在不调用 this.$init(arg) 的情况下实现。
• 例如，你可以直接操作 StringBuilder 对象的内部状态，或者返回一个新的 StringBuilder 对象。

```javascript Java.perform(() => { const StringBuilder = Java.use('java.lang.StringBuilder'); const ctor = StringBuilder.$init.overload('java.lang.String');

   ctor.implementation = function (arg) {
       console.log("Original argument:", arg);
       // 修改参数
       arg = arg + " (Modified by Frida)"; 
       // 调用原始构造函数，但不使用 this.$init(arg)
       ctor.call(this, arg);  
       // 返回修改后的 this
       return this; 
   };

   console.log('[+] new StringBuilder(java.lang.String) hooked');

}); ```

3. 使用 Java Agent:

• Frida 适用于动态修改，但如果你需要更稳定和可控的方式来替换方法实现，可以考虑使用 Java Agent。
• Java Agent 可以在 JVM 启动时加载，并使用字节码操作库（如 Byte Buddy 或 Javassist）修改类和方法的定义。

```java // 使用 Byte Buddy 的示例 public class MyAgent { public static void premain(String agentArgs, Instrumentation inst) { new AgentBuilder.Default() .type(ElementMatchers.named("java.lang.StringBuilder")) .transform((builder, type, classLoader, module) -> builder.constructor(ElementMatchers.takesArguments(String.class)) .intercept(MethodDelegation.to(MyInterceptor.class)) ).installOn(inst); }

   public static class MyInterceptor {
       public static void intercept(@Argument(0) String arg) {
           System.out.println("Intercepted StringBuilder constructor with argument: " + arg);
           // 在这里实现你的逻辑
       }
   }

} ```

你需要将代码编译成 jar 文件，并在启动 Java 应用程序时使用 -javaagent 参数指定 agent jar 的路径。

请根据你的需求选择合适的解决方案，并在修改代码前仔细测试，确保不会影响应用程序的正常功能。