frida的JavaScript API按功能划分了许多模块，frida-java具体实现了其中的Java模块，提供了Java Runtime相关的API。我们知道JNI连接了native世界和java世界，而frida-java相当于实现了一个js世界到java世界的单向通道。利用frida-java，我们可以使用js代码实现：调用java方法、创建java对象、对java函数进行hook等操作。

frida-java源码结构如下:

接下来通过下面两个问题来分析frida-java源码：

总的来说frida-java通过两步实现js世界到java世界的单向通道，首先利用frida-gum提供的js接口操作native世界，然后再基于jni连通到java世界。

主要步骤如下：

利用frida-gum中提供的Module、Memory、NativeFunction等模块，可以实现查找、调用、hook导出函数；读写、分配内存等操作。如下面例子所示, 可以在js代码中调用native函数。

想要使用JNI连通java世界，首先需要获取的就是JavaVM，frida-java通过调用JNI_GetCreatedJavaVMs来获取JavaVM，Dalvik虚拟机和ART虚拟机均实现了该函数。核心代码如下:

此时获取的vm只是JavaVM的一个指针，在此基础上frida-java还会构造一个VM对象，该对象相当于在js层实现了一个JavaVM的代理对象，封装了一些JavaVM的方法，如getEnv，其中vm.handle中保存的是原始的JavaVM对象。

VM的初始化过程为首先获取JavaVM的指针（通过JNI_GetCreatedJavaVMs调用），然后读取JavaVM的虚函数表，获得JavaVM的一些重要方法，并在js层包装一层，这样就在js层实现了一个JavaVM的代理，可以通过调用VM.getEnv来实现native层的JavaVM.getEnV调用。

获取到JavaVM后，就可以通过将当前线程与JavaVM相关联，然后得到JNIEnv对象，进行后续操作。上述工作由VM.perform完成，看下VM.perform源码：

和JavaVM一样，frida-java也会在js层为JNIEnv建立一个代理，具体在env.js实现

和JNI操作方式一样，我们在native层获得了JNIEnv后，要想操作java类，可以通过调用env->findClass来获得java类的class引用。但是这里有个问题，因为frida-java所在的线程是通过pthread_create创造的，然后通过AttachCurrentThread获取的JNIEnv，此时FindClass只会从系统的classloader开始查找，所以app自身的类是无法通过env->findClass来获取。因此需要手工的获取到加载该app的classloader。Java.perform在调用VM.perform之前会先获取加载该app的classloader，并保存到classFactory.loader。

frida-java使用Java.use来获得java类的class引用，Java.use(className),返回java类的一个wrapper,在js世界里，用该wrapper来操作对应的java类。Java.use直接调用了classFactory.use,代码如下：

借助于该wrapper，可以对java类进行操作，如调用构造函数创建对象。该wrapper的初始化过程如下：

借助于该wrapper的$init方法，就可以创建java对象。

frida-java采用常见的Dalvik Hook方案，将待hook的java函数修改为native函数，当调用该函数时，会执行自定义的native函数。但是和其他hook框架不同的是，使用frida时，我们hook的代码是js实现的，所以有一个基于js代码生成native函数过程。具体hook实现代码如下：

hook后执行的native函数就是用implement函数实现的，该函数时最终调用frida-node的new NativeCallback接口实现将js函数转换为native函数。

常见的ART Hook方法为：替换方法的入口点，即ArtMethod的entry_point_from_quick_compiledcode，并将原方法的信息备份到entry_point_fromjni。替换后的入口点，会重新准备栈和寄存器，执行hook的方法。

frida-java采用的hook方法，我在其他地方并未遇见过，其原理为：首先将方法native化，然后将ArtMethod的entry_point_fromjni替换为hook的方法，并将entry_point_from_quick_compiledcode替换为art_quick_generic_jni_trampoline。当调用被hook的方法时，首先会跳转到art_quick_generic_jni_trampoline，该函数会做一些jni调用的准备，然后跳转到ArtMethod结构的entry_point_fromjni所指向的hook方法，这样就完成了一次hook。完成art hook的源码如下：

然后看下art_quick_generic_jni_trampoline源码，art_quick_generic_jni_trampoline主要负责jni调用的准备，包括堆栈的设置，参数的设置等。个人能力有限只能大概看看流程。

主要是将调用约定转换为c的调用约定，将参数准备好，然后调用artQuickGenericJniTrampoline,该函数源码如下：

笔记分析的还是很粗糙的，发出来是希望可以抛砖引玉，可以在论坛看到更多frida的文章，如有错误，恳请大佬指出。

var friendlyFunctionName = new NativeFunction(friendlyFunctionPtr, 'void', ['pointer', 'pointer']);
var returnValue = Memory.alloc(sizeOfLargeObject);
friendlyFunctionName(returnValue, thisPtr);

//lib/android.js
const vms = Memory.alloc(pointerSize);
const vmCount = Memory.alloc(jsizeSize);
checkJniResult('JNI_GetCreatedJavaVMs', temporaryApi.JNI_GetCreatedJavaVMs(vms, 1, vmCount));
if (Memory.readInt(vmCount) === 0) {
  return null;
}
temporaryApi.vm = Memory.readPointer(vms);

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)