前言
最近在看frida的使用,就阅读了一下官方文档在此记录一下。此篇内容:https://frida.re/docs/functions/
内容讲的是用frida hook C语言编写的控制台程序,我用的C编译器Dev C++: https://wwx.lanzoui.com/iIEQlmddw7c
第一个例子:hello.exe
exe代码,将这个代码命名为hello.c用dev打开编译一下会生成hello.exe。打开让他一直运行,并记录打印的f函数地址
#include <stdio.h>
#include <unistd.h>
void f(int n)
{
printf ("Number: %d\n", n);
}
int main(int argc, char * argv[])
{
int i = 0;
printf ("f() is at %p\n", f);
while (1)
{
f (i++);
sleep (1);
}
}
hook 获取函数参数
也可以获取函数返回值,onEnter下面加个onLeave就行。将下面的代码命名为hooktest1.py
from __future__ import print_function
import frida
import sys
#device = frida.get_device_manager().enumerate_devices()
local = frida.get_local_device()
# a = local.get_process('hello.exe')
# print(a)
session = local.attach("hello.exe")
script = session.create_script("""
Interceptor.attach(ptr("%s"), {
onEnter: function(args) {
send(args[0].toInt32());
}
});
""" % int(sys.argv[1], 16))
def on_message(message, data):
print(message)
script.on('message', on_message)
script.load()
sys.stdin.read()
接着命令行运行python hooktest1.py f函数地址
,f函数地址为hello.exe打印的函数地址。你会发现函数参数会被打印的终端,说明hook成功了。
hook修改参数
modifytest1.py
import frida
import sys
session = frida.attach("hello.exe")
script = session.create_script("""
Interceptor.attach(ptr("%s"), {
onEnter: function(args) {
args[0] = ptr("1337");
}
});
""" % int(sys.argv[1], 16))
script.load()
sys.stdin.read()
接着命令行运行python modifytest1.py f函数地址
,你会发现hello.exe打印的内容变成了1337,不在的递增了。当你Ctrl+C停止py脚本的时候,打印的内容又是原来的内容。
hook调用函数
calltest1.py
import frida
import sys
session = frida.attach("hello.exe")
script = session.create_script("""
var f = new NativeFunction(ptr("%s"), 'void', ['int']);
f(1911);
f(1911);
f(1911);
""" % int(sys.argv[1], 16))
script.load()
接着命令行运行python calltest1.py f函数地址
,你会发现hello.exe多打印了三个1911。很明显NativeFunction这个对象就是调用其他程序的函数,第一个参数为函数地址,第二个参数为函数返回值,第三个参数为函数参数列表。
第二个例子:hi.exe
c语言代码,和第一个例子的唯一区别只是f函数的参数变成了字符串
#include <stdio.h>
#include <unistd.h>
int f(const char * s)
{
printf ("String: %s\n", s);
return 0;
}
int main(int argc, char * argv[])
{
const char * s = "Testing!";
printf ("f() is at %p\n", f);
printf ("s is at %p\n", s);
while (1)
{
f (s);
sleep (1);
}
}
hook修改字符串
from __future__ import print_function
import frida
import sys
session = frida.attach("hi.exe")
script = session.create_script("""
//创建字符串对象
var st = Memory.allocUtf8String("TESTMEPLZ!");
var f = new NativeFunction(ptr("%s"), 'int', ['pointer']);
//调用函数
f(st);
""" % int(sys.argv[1], 16))
def on_message(message, data):
print(message)
script.on('message', on_message)
script.load()
和上面一样的运行,一样的效果,只是需要在js代码中自定义字符串对象。
其他
官网还有个例子是hook修改socket连接端口,不过给的C代码是运行在Linux系统的。我也不懂C,就无法测试了。