前言

Android應用中JNI代碼，是作為本地方法運行的。而大部分情況下，這些JNI方法均需要傳遞Dalvik虛擬機實例作為第一個參數。例如，你需要用虛擬機實例來創建jstring和其他的Java對象、查找類或成員變量等。大部分情況下，在你用JNI接口從Java層調用Native層中的代碼時，你并不需要在native代碼中自己初始化一個Dalvik虛擬機實例。但是，如果你在搞逆向或者寫exp，你總是需要鉆研各種非常規的情況。

最近，我在逆向時需要在native代碼中手動創建虛擬機實例用于在JNI接口函數中傳遞Java對象。在本文中，我將分享我是如何實現這種方法的。

標準方法

在JNI中創建JVM虛擬機實例的官方文檔在地址How to Create a JVM Instance in JNI。但是，不幸的是這種方法在Android上面是不能正常運行的，因為jint JNI_CreateJavaVM(JavaVM**, JNIEnv**, void*)函數不是導出函數，無法直接調用。假如你不熟悉這個方法的話，可以根據它的名字在jni.h文件中查找一下，確認是否是導出函數。在我這里，jni.h文件位于android-sdk/ ndk-bundle/platforms/android-9/arch-x86/usr/include/jni.h。相關代碼如下：

如果你嘗試編譯調用上述截圖中函數的代碼，你可能會得到下面的錯誤：

官方文檔中介紹的如何創建JVM的方法在這里可以用來理解上述的API函數和它們的選項和參數的用途。如果你想在Android中使用這些方法，你必須顯示從so庫中調用這些方法。

官方文檔中介紹的如何初始化虛擬機的類路徑，在此處是非常有用的。其內容如下：

上面的配置，設置當前的類路徑為當前目錄(.)。如果你想要虛擬機訪問系統或者app的類，這是必須設置的。實驗表明，將該值設置為一個目錄并不會起作用。我嘗試將其設置為/data/local/tmp，同時在該目錄下放置了一個dex文件、含有dex文件的jar包和apk文件。只有在設置jar包、dex文件或apk文件的全路徑時，上述選項才起作用。奇怪的是，當類路徑中沒有一個合法的文件時，系統類(例如java.lang.String)都不能訪問。換句話說，除非類路徑中至少有一個文件，否則語句(*env)->FindClass(env, "java.lang.String")返回0，甚至java.lang.String這樣定義在框架中的類都無法訪問。

為了測試，下面將一個apk文件push到模擬器或真機設備中。

JavaVMOption的使用如下：

你現在可以使用FindClass函數來加載系統或者app的類。此外，如果你需要加載本地庫到你的虛擬機中，例如在靜態初始化器中加載一個庫文件，你可以使用optionString = "-Djava.library.path=/data/local/tmp"這樣的設置。這有個樣例代碼。

UniccUnlock方法

從文件UniccUnlock.cpp中，展示了另外一種創建虛擬機的類似技巧。我不敢說我完全理解了它在做什么，但是其中吸引我的是get_transaction_code部分。下面是它的做的事：

代碼看起來像是根據成員值判斷當前設備是否已經解鎖或者是解鎖方法是否成功。反正我是不很確定，不過我也就想抽取其中創建虛擬機的代碼而已。

該方法是通過在庫文件libnativehelper.so或者libdvm.so中加載創建虛擬機相關的方法。但是，下面幾行代碼看起來很奇怪：

任何地方都無法找到這幾個方法的文檔說明。不過，發現這些方法調用的人相當聰明。如果不調用這些方法，你就會得到下面奇怪的錯誤信息：

除了這幾個奇怪的方法，這種方式創建虛擬機對我很好使。但是，我想知道_ZN13JniInvocationC1Ev方法都做了什么，在不同版本間的Android系統中是否可移植。我的直覺告訴我，硬編碼的方法名可能會導致在不同的設備或者Android版本間的不兼容性。

Surfaceflinger 方法

最終，我在谷歌的Surfaceflinger服務的源碼中找到了：DdmConnection.cpp。

它默認查找了在libdvm.so中的函數JNI_CreateJavaVM。它沒有調用方法_ZN13JniInvocation，而是調用了庫libandroid_runtime.so中的Java_com_android_internal_util_WithFramework_registerNatives方法。registerNatives方法的內容在此描述了。

同時，感興趣的是創建虛擬機的選項：

這些選項在這篇文檔中詳細描述了。根據文檔，它僅僅用于調試JVM時使用。

同時，我注意到它JNI的版本是1_4，但是我設置為1_6了，因為谷歌的樣例代碼中就是這樣設置的。下面就是jni.h中支持的版本號:

最后，我使用上面的方式來創建虛擬機，因為它來自谷歌，具有很好的健壯性和兼容性。

最終代碼

下面就是最終的創建虛擬機的代碼：

下面是其使用方法：