使用sa-jdi.jar dump 内存中的class

最新推荐文章于 2024-03-30 10:41:57 发布
转载 最新推荐文章于 2024-03-30 10:41:57 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/hac425/p/9416705.html
文章标签:

#java #操作系统

本文介绍了一种从运行中的Java进程中Dump特定类文件的方法。通过使用sd-jdi.jar工具包中的ClassDump实用程序,结合自定义过滤器,能够有效地提取指定前缀的类文件字节码,并保存为.class文件,便于进一步分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在分析一个 jar 包时发现他把关键类采用了运行时使用 classloader 的方式加载了。懒得分析算法了,可以使用 jdk 自带的工具 dump 出需要的class.

正文

从运行的java进程里dump出运行中的类的class文件的方法,所知道的有两种

  • 用agent attatch 到进程,然后利用 Instrumentation和 ClassFileTransformer就可以获取 到类的字节码了。

  • 使用 sd-jdi.jar里的工具

本文介绍的就是使用 sd-jdi.jar 来dump. sd-jdi.jar里自带的的 sun.jvm.hotspot.tools.jcore.ClassDump 可以把类的class内容dump到文件里。

ClassDump 里可以设置两个 System properties

  • sun.jvm.hotspot.tools.jcore.filter Filter的类名
  • sun.jvm.hotspot.tools.jcore.outputDir 输出的目录
示例

首先写一个 filter


import sun.jvm.hotspot.tools.jcore.ClassFilter;
import sun.jvm.hotspot.oops.InstanceKlass;
import sun.jvm.hotspot.tools.jcore.ClassDump;
public class MyFilter implements ClassFilter {
    @Override
    public boolean canInclude(InstanceKlass kls) {
        String klassName = kls.getName().asString();
        return klassName.startsWith("com/fr/license/selector/");
    }
}

代码很显而易见了, 作用是 dump 所有 以 com/fr/license/selector/ 开头的 类的· 字节码。

然后编译成class文件

要使用这个首先需要把 sa-jdi.jar 加到 javaclasspath 里。

paste image

进入 刚刚写的 filter 类的class文件的目录下。执行


java  -Dsun.jvm.hotspot.tools.jcore.filter=MyFilter  -Dsun.jvm.hotspot.tools.jcore.outputDir=d:\dump  sun.jvm.hotspot.tools.jcore.ClassDump 5308

MyFilter 改为你自己的类名, 5308 为目标 java进程的 pid(可以使用 jps 查看)。然后就会在 d:\dump 产生相应的 class 文件。

问题解决

  • 如果直接点击应用的 exe, 来启动应用,使用 jps 获取到的 pid, 可能没有办法附加, 所以我们要找到启动的命令, 比如 bat脚本里面。

  • 一般大型应用会自带 jre, 我们要使用上面的技术,替换 jre,为我们的,才能正常dump, 否则会出现版本不匹配。

  • windows下还需把 sawindbg.dll 放到 jre/bin/ 和java.exe 同目录下。否则可能会遇到 加载不了这个 dll 的问题。

paste image

最后

搞java应用第一步还是找到启动的命令,便于后面的分析。一般别使用 exe启动应用

转载于:https://www.cnblogs.com/hac425/p/9416705.html

sa-jdi查看jvm中加载的类或其他资源
SHELLCODE_8BIT的博客
09-05 632
【代码】sa-jdi查看jvm中加载的类或其他资源。
从JVM中dump出动态代理生成的class
liwei2633的专栏
10-18 2073
由于动态代理生成的class是直接以二进制的方式加载进内存中的,并没有对应的.class文件生成,所以如果想通过反编译工具查看动态代理生成的代码需要通过特殊的手段来处理。方案一设置运行环境变量,运行后会把class文件生成在classpath目录下//动态代理时生成class文件 System.getProperties().put("sun.misc.ProxyGenerator.saveGene
sa-jdi.jar
xiaomin1991222的专栏
12-22 1076
sa-jdi.jar是HotSpot自带的底层调试支持,Serviceability Agent的实现。它的来龙去脉请参考2001年的一篇报告:http://static.usenix.org/event/jvm01/full_papers/russell/russell_html/ SA意义上的agent跟JVMTI/Java agent不是同一个层次上的。 现有的SA实现只支持“snapsh...
java进程里dump出类的class文件的小工具--dumpclass
热门推荐
横云断岭的专栏
04-09 1万+
Serviceability Agent想要查看一些被增强过的类的字节码,或者一些AOP框架的生成类,就需要dump出运行时的java进程里的字节码。从运行的java进程里dump出运行中的类的class文件的方法,所知道的有两种 用agent attatch 到进程,然后利用Instrumentation和ClassFileTransformer就可以获取 到类的字节码了。 使用sd-jdi.ja
如何dump出一个Java进程里的类对应的Class文件?
Script Ahead, Code Behind
08-03 1075
如何dump出一个Java进程里的类对应的Class文件? 大家可能对JVM很好奇,想看看运行中某时刻上JVM里各种内部数据结构的状态。可能有人想看堆上所有对象都有哪些,分别位于哪个分代之类;可能有人想看当前所有线程的stack trace;可能有人想看一个方法是否被JIT编译过,被编译后的native代码是怎样的。对Sun HotSpot JVM而言,这些需求都有现成的API可以满足——通...
【网络安全】Agent内存马的自动分析与查杀
HBohan的博客
02-25 1780
前言 出发点是Java Agent内存马的自动分析与查杀,实际上其他内存马都可以通过这种方式查杀 本文主要的难点主要是以下三个,我会在文中逐个解答 如何dump出JVM中真正的当前的字节码 如何解决由于LAMBDA表达式导致非法字节码无法分析的问题 如何对字节码进行分析以确定某个类是内存马 背景 对于Java内存马的攻防一直没有停止,是Java安全领域的重点 回顾Tomcat或Spring内存马:Filter和Controller等都需要注册新的组件 针对于需要注册新组件的内存马查杀起来比较容易:
Java虚拟机的显微镜 Serviceability Agent 介绍
Tomcat那些事儿
03-21 735
古代,习武之人都会找自己称心如意的兵器,悟空甚至远到龙宫去寻宝。刘关张结义之后马上 DIY 自己称手的兵器。 我们开发人员也是一样,我们在问题的分析诊断过程中,Debugging和Troubleshooting工具起了很大的作用,有一个称手的工具,能节省大量的精力,快速解决原本需要耗费许久的工作。 当然,已经有大量的工具可以用于问题分析诊断,比如我们前面介绍过的两款: ...
借HSDB来探索HotSpot VM的运行时数据.gist1
08-03
%JAVA_HOME%/lib/sa-jdi.jar sun.jvm.hotspot.HSDB`则启动HSDB。 HSDB是HotSpot虚拟机的调试桥,它可以连接到正在运行的JVM并提供对堆、栈、方法等的检查。在HSDB会话中,`universe`命令显示了堆的参数和状态。这里...
Java虚拟机相关工具
mg0324的专栏
08-20 1406
本文主要是为了介绍虚拟机相关的工具,包括故障处理、性能监控和一些其他工具。
sa-jdi.jar.zip
09-26
git-2.19.0-64-bit,
jdk添加源码(rt.jar,tools.jar,sa-jdi.jar)
agapple
05-24 522
背景 以前debug jdk源码的时候,一直苦于没有源码,无法更加深入的了解一些机制。 这几天在看文章的时候,看到了两篇文章,让我眼前一亮阿   文章链接: http://www.iteye.com/topic/869992 http://hllvm.group.iteye.com/group/topic/24553 首先下载jdk 源码,我选的是sun jdk source:...
过滤器类Filter Classes
覃苛林谈谈编程啦
07-08 702
调度程序过滤器,在配置定义为类名时,应该扩展类DispatcherFilter提供路由CakePHP的目录。让我们创建一个简单的滤波器响应特定的URL文本“Hello World”:App::uses('DispatcherFilter', 'Routing'); class HelloWorldFilter extends DispatcherFilter { public $prio
第八节——dumpclass使用教程
weixin_42424330的博客
08-18 1251
dumpclass使用教程一、下载地址二、使用教程三、使用脚本快捷启动 一、下载地址 点击跳转至免费下载页面 二、使用教程 第一步:启动web项目 第二步:查看web项目进程号 使用win+R调出命令行窗口,输入cmd,回车,输入jps 第三步:将dumpclass.jar放在"jdk1.8.0_171\bin"目录下 第四步: 三、使用脚本快捷启动 ...
内存马检测排查手段
A1_3_9_7的博客
03-30 3311
内存马是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存马因其隐蔽性等优点从而越来越盛行。
JDK中各种Jar包说明
weixin_42408447的博客
08-06 2828
jdk
Java运行时进程指定类数据段获取方案
攻城老湿的博客
12-07 749
本文提供如何获取运行时Java程序加载的数据段内容方法和原理分析,通过dumpclass工具,结合jdk底层sa-jdi工具。可以实现对指定类的class字节码获取的功能。通过获取到的字节码,通过jad等反编译工具可以得到Java源代码,为分析代码提供帮助。 1 获取原理分析 使用dumpclass工具获取运行时类字节码 # 1.在该jar程序中,主要实现了类过滤器,以及对类字符串模式匹配...
JVM运行时数据区——方法区
码说芯语的博客
03-05 1534
栈、堆、方法区的交互关系、设置方法区大小、OOM、方法区的内部结构、方法区的演进细节、方法区的垃圾回收
没有sa-jdi.jar
最新发布
01-31
### 解决Java项目中缺失`sa-jdi.jar`文件的方法 当遇到Java项目中缺少`sa-jdi.jar`的情况时,通常是因为该库未被正确配置或路径设置不正确。以下是几种可能的解决方案: #### 1. 设置环境变量 确保已正确定义了`JAVA_HOME`环境变量指向正确的JDK安装目录[^2]。这一步对于确保所有依赖于JDK工具链的应用程序都能正常工作至关重要。 #### 2. 添加至类路径 如果是在命令行下执行,则可以在启动应用程序之前通过 `-classpath` 参数指定 `sa-jdi.jar` 的位置;如果是IDE内开发,则需进入项目的构建路径设置界面,手动添加此Jar包到工程的Library列表里。 #### 3. 使用Maven或Gradle管理依赖 推荐采用自动化构建工具如 Maven 或 Gradle 来管理第三方库。这样不仅简化了版本控制还减少了人为错误的可能性。下面是一个简单的例子展示如何在pom.xml中声明对`sa-jdi.jar`(假设它存在于公共仓库)的依赖关系: ```xml <dependency> <groupId>com.sun.jdmk</groupId> <artifactId>jmxtools</artifactId> <version>1.2.1</version> </dependency> ``` 需要注意的是,由于`sa-jdi.jar`并非公开发布的标准组件,因此有时可能无法直接从中央仓库获取。此时可以考虑下载官方提供的二进制分发版并按照上述方式本地引入。 #### 4. 安装完整的JDK套件 某些情况下,单独安装特定版本的 JDK 可能会遗漏一些辅助性的工具集。建议重新安装最新稳定版本的 Oracle JDK 或 OpenJDK ,以确保获得全部必要的支持文件[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值