Java Class文件修改

背景：在开发中我们可能需要需要修改Java的class文件来达到修改代码逻辑的目的
1.参考书籍《深入理解Java虚拟机第二版》 第6章-类文件结构 第8章-虚拟机字节码执行引擎 对原理进行比较详细的讲述
2.这两篇文章Class文件结构解析 Class文件分析 很清晰的介绍了Class文件的结构
3.JVM 虚拟机字节码指令表可以作为查询指令的参考
4.Java Language and Virtual Machine Specifications Java语言和虚拟机说明，这是最权威的官方文档有什么网上查不到的可以去这里查找
5.需要的工具为JClasslib可以在release中下载，另外也可以在IntelliJ IDEA中以插件的方式安装

在打开一个Class文件后点击View-->Show ByteCode with JClasslib

然后就可以看到class文件的信息了

一、修改class中的常量值

示例代码

public class Test {
    private String mString = "hello world";
    public static void main(String[] a) {
        Test test = new Test();
        System.out.println(test.getString());
        System.out.println("a+b = " + test.add(10, 10));
    }
    public int add(int a, int b) {
        return a + b;
    }
    public String getString() {
        return mString;
    }
}

我们想要把Test文件中的mString变量值“hello world” 修改为 "你好世界"，Java中字符串。通过JClasslib可看Test.class中mString变量的信息。

Name: 名字 代码中变量的名字
Descriptor: 描述符 代码中变量的类型
Access flags:访问标志 代码中变量的访问权限

类变量的初始化过程是在类的构造方法中执行的，我们来看下Methods中类的构造方法init中的逻辑。

 0 aload_0     
 1 invokespecial #1 >  
 4 aload_0      //加载this引用到栈顶
 5 ldc #2    //String型常量值从常量池中推送至栈顶
 7 putfield #3   //赋值hello world给mString
10 return

我们可以通过修改常量hello world的值或者增加常量的方式改变mString的值，这里我们采用的方式是直接修改hello word的值

5 ldc #2 

其中#2代表常量池中序号为2的常量，我们去看常量池中的第2个常量，又引用了第40个常量。

第40个常量为UTF8类型，长度为11字节，这就是我们需要进行修改的地方了。用UltraEdit 打开class文件。

从前面的文章中我们知道UTF8常量的结构为
CONSTANT_Utf8：1：CONSTANT_Utf8{u1 tag;u2 length;u1 bytes[length];}
所以红框前面的01代表是UTF8 红框中00 0B代表了UTF8的长度也就是11绿框中的则是实际的字符数据，长度为11，翻译过来也就是hello world。如果我们要改为"你好世界" ,就需要转换为UTF8并计算长度，这里用计算在线转换工具来计算。

Java中的中文汉字集中在[0x4E00, 0x9FBB]范围的16bit数值内，需要3个字节存储。所以我们可以在Test.class中这样修改

01 00 0B 68 65 6C 6C 6F 20 77 6F 72 6C 64   //hello world 11个字节
01 00 0C E4 BD A0 E5 A5 BD E4 B8 96 E7 95 8C //你好世界 共12个字节我们需要用UltraEdit16进制插入功能（Ctrl+D）

保存对class文件的修改。回到IDEA中查看class文件

可以看到已经成功把"hello world"改为了"你好世界"

二、修改Class文件中变量的访问权限

通过把mString的private修改为public static使得外界可以进行访问

1.修改mString的Access flags为0x0009 (ACC_PUBLIC | ACC_STATIC)

从Class结构可知我们需要去Filed域查找mString并修改access_flags标记

打开Test的class文件,定位到mString。定位方法，可以根据class文件的结构进行推算，然后在class文件中搜素相应的二进制代码段。

从上图我们可以知道mString的一些二进制特征 access flags代码为

00 02 （access_flags）
00 11 (Name)  
00 12 (descriptor_index)

这样我们就找到了mString的代码位置。然后我们把00 02 改为00 09保存修改。

回到IDEA中查看class文件内容

发现mString的访问变为了,但是并没有赋值。

public static String mString;

我们再看下这个地方也是不对的，因为mString已经变成了static不应该用this访问

public String getString() {
    return this.mString;
}

从上面可以看到，再修改了mString的访问权限的时候，其赋值和访问方式也是需要进行修改的，不然运行逻辑是有问题的
接下来我们去修改方法中mString的访问方法。

2.修改mString的赋值代码

因为mString是在构造函数中初始化的，因此我们要修改init方法中的代码。

 0 aload_0
 1 invokespecial #1 >
 4 aload_0
 5 ldc #2 <你好世界>
 7 putfield #3 
10 return

从代码中可以看出为mString赋值的代码为

 4 aload_0   //将this放到栈顶
 5 ldc #2 <你好世界>   //将字符串常量"你好世界"放到栈顶
 7 putfield #3  //给mString赋值

上面的三步相当于执行了this.mString = "你好世界",当我们把mString的访问权限修改为public static的时候就不需要用this了

 4 nop   //空操作，不将this放到栈顶
 5 ldc #2 <你好世界>   //将字符串常量"你好世界"放到栈顶
 7 putstatic #3  //利用pustatic给static类型的mString赋值

用UE打开Test的class文件，通过init方法特征进行代码搜索，可以定位到init方法的位置。

搜素的值为

00 01 //(access_flags)        access flags 1
00 13  //(name_index)        <> 值19
00 14 //(descriptor_index)  ()V值20 
00 01 //(attributes_count) 只有一个Code属性
00 15 //(attribute_name_index) Code属性的索引值21

我们现在找到了init方法的位置，需要进行修改，下图为Code属性的代码块排序。

00 15  //代表Code属性
00 00 00 39 //代表Code的长度
00 02 //max_stack
00 01 //max_locals
00  00 00  0B //代表字节码长度也就是后面的10个字节为init方法内容
2A  //通过查询字节码表为  aload_0    将第一个引用类型本地变量推送至栈顶
B7  //invokespecial 调用超类构建方法, 实例初始化方法, 私有方法
00 01 //代表超类方法常量池索引
2A   //aload_0 将this推到栈顶
12   //ldc将int,float或String型常量值从常量池中推送至栈顶
02  //字符串的常量池索引
B5 //putfield   为指定类的实例域赋值
00 03  //变量的索引mString
B1 //return

可以通过JClasslib插件进行辅助分析class代码

由上面的分析可知修改方法为

00 //修改aload_0(2A)为nop(00)  空操作，不将this放到栈顶
12 //ldc #2 <你好世界>   //将字符串常量"你好世界"放到栈顶
B3 //将putfied(B5)修改为putstatic(B3) 利用pustatic给static类型的mString赋值

我们到IDEA中可以看到Test的class文件已经变成在构造函数中对mString进行赋值

3.修改mString变量的引用方式代码

getString方法中对mString的引用是利用this.mString的方法，如果不修改在运行时会出现代码错误
例如System.out.println("这是字符串"+mString);就可能会变成System.out.println(new StringBuilder("这是字符串"),this.append(mString))（可能不太准确，但是确实代码逻辑会发生改变），同样我们需要找到所有引用了mString的代码，getString的代码段。

需要搜素的关键代码为

00 01 //(access_flags)        access flags 1
00 23  //(name_index)         值35
00 24 //(descriptor_index)  <()Ljava/lang/String;>值20 
00 01 //(attributes_count) 只有一个Code属性
00 15 //(attribute_name_index) Code属性的索引值2

再根据上面的Code_attribute结构可以推出

00 00 00 2F //attribute_length
00 01 //max_stack
00 01 //max_locals
00 00 00 05 //code_length为5
2A //aload_0
B4 //getfiled 
00 03 //mString
B0 //areturn    从当前方法返回对象引用

因为静态变量的引用不需要this，所以我们需要这样改

00 00 00 2F //attribute_length
00 01 //max_stack
00 01 //max_locals
00 00 00 05 //code_length为5
00 //nop
B2 //getstatic 
00 03 //mString
B0 //areturn    从当前方法返回对象引用

保存修改，回到IDEA查看class中代码内容，可以发现getString方法变为直接返回静态变量mString了

三、使用Recaf 进行Class字节码修改

手工对字节码修改有助于我们了解和熟悉class文件的结构，但是操作相对繁琐，需要用到JClasslib查看class文件、UE修改class，然后手工计算和查找，操作起来比较耗时。Recaf是开源的现代Java字节码编辑器，可以方便的对Class文件做一些复杂更改。我们可以在其GitHub仓库中下载最新版。例如我下载的是1.15.10版本

java -jar .\recaf-1.15.10.jar //运行程序

可以通过File-->Load来导入class文件,可以看到通过双击变量或方法就能够直接对Class文件进行编辑

通过右键还可以进行直接修改二进制代码的操作，十分方便

Edit instructions

Edit with assembler

修改完成后我们就可以保存Class文件。虽然Recaf用起来比较方便，但是还是需要我们自己对Class文件的结构、字节码执行原理等有比较好的理解才能确保我们的修改达到预期。

补充：如果我们在方法中添加我们自己的逻辑，我们要同步修改方法的Code_attribute中的attribute_length和code_length属性。同时因为我们添加了自己的逻辑，指令的数量就发生了变化，所以一些跳转逻辑就需要重新计算跳转的地址。

修改前

修改后

如果我们的代码中由异常捕捉(try catch)代码块，那么相应的Code_attribute中的exception_table属性页要进行改变。

修改前

修改后