Frida05 - 高级API用法

最新推荐文章于 2024-06-23 20:14:18 发布
最新推荐文章于 2024-06-23 20:14:18 发布
阅读量575 收藏 8
点赞数 15
分类专栏: Frida 文章标签: 前端 java 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135059753
版权

参考文档

https://api-caller.com/2019/03/30/frida-note/

https://frida.re/docs/javascript-api/#frida

数组打印

测试代码:

private static class Bean {
    String a;
    int b;
    float c;
}

private void test() {
    Bean[] beans = new Bean[3];
    beans[0] = new Bean();
    beans[0].a = "a";
    beans[0].b = 1;
    beans[0].c = 1f;

    beans[1] = new Bean();
    beans[1].a = "b";
    beans[1].b = 2;
    beans[1].c = 2f;

    beans[2] = new Bean();
    beans[2].a = "c";
    beans[2].b = 2;
    beans[2].c = 3f;

    Arrays.toString(beans);
}

想要 hook Arrays.toString() 方法很简单:

function main() {
    Java.perform(function () {

        Java.use("java.util.Arrays").toString.overload('[Ljava.lang.Object;').implementation = function (x) {
            var result = this.toString(x);
            console.log("params=", x);
            console.log("result=", result)
            return result
        }

    })
}

setImmediate(main)

输出的结果很多:

可以看到,输出的数组里是一个对象,那有没有什么好办法将对象转成字符串显示出来呢?

答案就是Gson,所以使用开发的思想来做逆向是很重要的。

项目里面不一定引入了Gson,所以我们需要自己编译一个gons库,放到手机里面,然后使用frida加载一下就可以使用了。

加载外部DEX

var dexPath = "/data/local/tmp/r0gson.dex";
Java.openClassFile(dexPath).load();

已经有大佬编译好了的dex,我们可以直接用:

https://github.com/r0ysue/AndroidSecurityStudy/blob/master/FRIDA/r0gson.dex.zip

为了避免类重复,还特意换了包名,具体可看:

https://bbs.kanxue.com/thread-259186.htm

重新写脚本:

function main() {
    Java.perform(function () {

        Java.use("java.util.Arrays").toString.overload('[Ljava.lang.Object;').implementation = function (x) {
            var result = this.toString(x);
            if (x.length > 0 && x[0].getClass().getName() == "com.example.demo2.MainActivity$Bean") {
                Java.openClassFile("/data/local/tmp/r0gson.dex").load();
                const gsonClass = Java.use('com.r0ysue.gson.Gson');
                for (var i=0; i<x.length; i++) {
                    console.log("entry=", gsonClass.$new().toJson(x[i]));
                }
            }
            return result;
        }

    })
}

setImmediate(main)

看下输出结果:

Spawned `com.example.demo2`. Resuming main thread!                      
[Pixel::com.example.demo2]-> entry= {"a":"a","b":1,"c":1.0}
entry= {"a":"b","b":2,"c":2.0}
entry= {"a":"c","b":2,"c":3.0}

构造数组

有时候为了替换返回值,需要一个数组类型,可以使用如下方式,构造一个数组:

const values = Java.array('int', [ 1003, 1005, 1007 ]);

const JString = Java.use('java.lang.String');
const str = JString.$new(Java.array('byte', [ 0x48, 0x65, 0x69 ]));

类型转换

测试代码:

Father father = new Father();
Son son = new Son();
Father father2 = new Son();

脚本:

Java.choose('com.example.demo2.Father', {
    onMatch: function (instance) {
        console.log('found instance', instance);
        var son = Java.cast(instance, Java.use('com.example.demo2.Son'))
        console.log('cast instance', son.test());
    }, onComplete: function () { }

})

Java.choose('com.example.demo2.Son', {
    onMatch: function (instance) {
        console.log('found instance', instance);
        var father = Java.cast(instance, Java.use('com.example.demo2.Father'))
        console.log('cast instance', father.test());
    }, onComplete: function () { }

})

输出结果:

found instance com.example.demo2.Father@daf1aad
found instance com.example.demo2.Son@c7d41e2
cast instance Son
found instance com.example.demo2.Son@2341973
cast instance Son
Error: Cast from 'com.example.demo2.Father' to 'com.example.demo2.Son' isn't possible
    at cast (frida/node_modules/frida-java-bridge/lib/class-factory.js:131)
    at cast (frida/node_modules/frida-java-bridge/index.js:270)
    at onMatch (/demo2.js:20)
    at _chooseObjectsArtPreA12 (frida/node_modules/frida-java-bridge/lib/class-factory.js:298)
    at <anonymous> (frida/node_modules/frida-java-bridge/lib/class-factory.js:250)
    at vt (frida/node_modules/frida-java-bridge/lib/android.js:573)

符合直觉,子类可以转成父类类型,但是调用的方法还是子类的。

注册一个类

有时候,我们想做一个AOPhook的时候,就需要实现一个接口,我们可以使用 registerClass 方法来做到。

测试代码:

public interface IBook {

    String id();

    int size();

    boolean test(int input);

}

// -------------------------

public class SimpleBook implements IBook {

    @Override
    public String id() {
        return UUID.randomUUID().toString();
    }

    @Override
    public int size() {
        return 100;
    }

    @Override
    public boolean test(int input) {
        Log.e("SimpleBook", "input = " + input);
        return false;
    }

}

// -------------------------

IBook book = new SimpleBook();

脚本代码:

Java.registerClass({
    name: 'com.example.demo2.SimpleBook2',
    implements: [Java.use('com.example.demo2.IBook')],
    fields: {
        proxy: 'com.example.demo2.IBook',
    },
    methods: {
        '<init>': [{
            returnType: 'void',
            argumentTypes: ['com.example.demo2.IBook'],
            implementation: function (proxy) {
                this.$super.$init();
                this.proxy.value = proxy;
            }
        }],
        id() {
            return this.proxy.value.id();
        },
        size() {
            return this.proxy.value.size();
        },
        test(input) {
            this.proxy.value.test(input);
            return true;
        },
    }
})

Java.choose('com.example.demo2.MainActivity', {
    onMatch: function (instance) {
        console.log('found MainActivity instance', instance);
        var oldBook = instance.book.value;
        instance.book.value = Java.use('com.example.demo2.SimpleBook2').$new(oldBook);
        console.log('book test id = ', instance.book.value.id());
        console.log('book test size = ', instance.book.value.size());
        console.log('book test result = ', instance.book.value.test(1));
    }, onComplete: function () { }

})

这里我们注册了一个类,com.example.demo2.SimpleBook2,并且实现了一个代理类,将 MainActivity 的字段替换之后,我们就可以让代理类来托管逻辑,做很多操作。

打印Map

与开发时的写法是一样的:

var result = "";
var keyset = map.keySet();
var it = keyset.iterator();
while(it.hasNext()){
    var keystr = it.next().toString();
    var valuestr = map.get(keystr).toString();
    result += valuestr;
}

Non-ASCII 方法名处理

比如说

int ֏(int x) {
    return x + 100;
}

甚至有一些不可视, 所以可以先编码打印出来, 再用编码后的字符串去 hook。

var methods = Java.use('com.example.demo2.MainActivity').class.getDeclaredMethods();
for (var i in methods) {
    console.log('origin method name -> ' + methods[i].toString());
    console.log('encode method name ->' + encodeURIComponent(methods[i].toString().replace(/^.*?\.([^\s\.\(\)]+)\(.*?$/, "$1")));
}

Java.use('com.example.demo2.MainActivity')[decodeURIComponent("%D6%8F")].implementation = function() {
    console.log('method invoke');
    return 200;
}

二手的程序员
关注
专栏目录
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2229
一、简介: 本节为延伸内容, 本节使用APP为攻防世界: APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选中代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Native层
kfyzjd2008的博客
03-02 1451
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native层。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
【安卓逆向】frida api文档JavaScript API 中文翻译 双语对照 带csdn目录
最新发布
zzxx191z的博客
06-23 2599
JavaScript 代码可以使用名为 cm 的全局变量来访问 CModule 对象,但只有在调用 rpc.exports.init() 之后,因此请根据那里的 CModule 执行任何初始化。虽然 send() 是异步的,但发送单条消息的总开销并未针对高频进行优化,因此这意味着 Frida 将多个值批处理到单个 send() 调用中,具体取决于是需要低延迟还是高吞吐量。提供的回调对性能有重大影响。但是,在挂钩热函数时,可以将 Interceptor 与 CModule 结合使用,以实现 C 中的回调。
Frida常用api大全
onejane
12-04 3743
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 动静态函数主动调用 静态函数 use function static() { Java.perform(function () {//只要是java的代码都要跑在Java.perform里面 Java.use("com.example.junior.util.Utils").dip2px.implementation = function (context, float) {
Frida学习笔记
kernweak的博客
06-07 2292
准备工作 使用kali 时间改成中国时区 dpkg-reconfigure tzdata 加入中文字体 apt upgrde 如果报错,解决方法: 下载最新key添加到keylist wget -q -O - https://archive.kali.org/archive-key.asc | apt-key add apt install xfonts-intl-chinese apt install ttf-wqy-microhei 可以装一些好用的小工具; htop jnettop 安装py环境
Python库 | frida-15.0.0-py3.8-win-amd64.egg
02-21
4. **API接口**:Frida提供了一套丰富的API,可以方便地与Python、Node.js、C++等语言集成,为开发者提供了广泛的可能性。 **使用Frida进行调试和逆向工程** 1. **进程注入**:使用Frida,你可以将脚本注入到任意...
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(一)
kfyzjd2008的博客
02-10 1980
一、环境: 1、安装frida的已root手机 2、课程配套的apk文件 二、需具备的知识点: 1、在命令行执行frida的hook脚本 frida -U {APP包名} -l {脚本文件} 2、命令行像文本框输入文本 adb shell input test "文本内容" #手机文本框获取焦点后运行 三、课程内容 1、通过提示字符串在jadx中找到对应的判断位置 2、找到判断的代码 3、找到调用的函数 4、编写hook代码 function hook_jav..
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(八)APP启动时进行hook
kfyzjd2008的博客
02-18 883
此节可开始使用APP为:kgb-messenger.apk 本节知识点: APP启动时进行HOOK,命令如下: frida -U --no-pause -f com.tlamb96.spetsnazmessenger -l hook.js //关键命令 --no-pause -f java使用的系统命令库地址为: java.lang.* 例如:Java.use("java.lang.System"); java中R为前缀的资源内容可以在以下路径中查找,例如字符资源: jadx中 资源文
frida -- Java
HURUWO的技术博客
11-01 353
Java 操作java层代码的对象 Java.available 该函数一般用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机,咱们来看代码示例! Java.androidVersion Java.enumerateLoadedClasses Java.perform Java.use Java.choose Java.cast Java.array Java.registerClass(spec) Java.vm 参考文章 https://www.anquanke.com/post/
Frida常见错误解决方案
全栈工程师
04-06 711
frida常见错误解决方案
Frida调用系统的类和函数
小龙在线
12-29 1265
如果要打开一个Activity,可以用系统自带的startActivity。具体如何调用,可以去http://aospxref.com/查看具体的Android源码。 调用方法跟普通的方法一样。 function call_startActivity() { Java.perform(function() { var ActivityThread = Java.use("android.app.ActivityThread"); var application
Frida 主动设置静态成员变量和非静态成员变量的值
小龙在线
12-31 3470
package com.github.androiddemo.Activity; import android.content.Intent; import android.util.Log; public class FridaActivity3 extends BaseFridaActivity { private static boolean static_bool_var = false; private boolean bool_var = false; private
学习笔记-Frida构造数组,对象,Map和类参数
人饭子的博客
11-11 3080
Frida构造数组,对象,Map和类参数 数组/(字符串)对象数组/gson/Java.array 对象/多态,强转Java.cast 接口interface,Java.register 枚举,泛型,List,Map,Set,迭代打印 重要思路:开发时如何打印,frida中也是如何打印 non-ascii 方法名 hook 0x01 1.app代码: Log.d("SimpleArra...
Frida API进阶(1)
helloworlddm的博客
08-30 2600
在前面的文章中介绍了Frida基本API的使用,在这篇文章中介绍一些更加强大的API。同时简单介绍下HOOK 系统函数的利器frida-trace。 内存,内存还是内存。 Java对象 Java对象 Java是极其重要的API。无论想对so层亦或java层进行拦截,通常都须编Java.perform。 Java.available: 该函数一般用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机 Java.androidVersion: 显示Android系统版本号 Java.enumera
frida安装教程及案例
weixin_42671384的博客
07-27 5896
什么是frida frida是一款代码注入工具,它可以实现hook一个方法,让其返回我们需要的值。这是我刚接触这工具的理解。 如何安装 网上的教程可以说是百花齐放,相得益彰,下面的 教程将教你如何手动安装,而非自动化。为什么不使用自动化呢?手动安装速度更快,可以避免很多如证书错误, 网络延迟等一系列外在因素,造成安装失败的结果。 第一步,下载egg文件到用户目录下 我电脑是mac,使用的版本是1...
android 函数调用跟踪,[原创]使用 frida 追踪android方法调用_超级醒目
weixin_30099269的博客
05-25 2402
点击"测试"按钮,触发onClick点击事件,调用test方法,test方法内部又分别调用了gainAge和gainEnjoy方法。方法的调用层级、参数和返回值,都一目了然。使用frida调试是相当happy!!!本次测试项目包名是com.example.king.testappsflyer,frida的js脚本主要代码:varlogContentArray=newArray();var...
Frida java高级使用
weixin_43357549的博客
02-09 2210
frida java高级使用 第一个重点:frida动态加载第三方dex文件 注意:为什么需要动态加载第三方dex文件 因为我们可以将我们需要的工具函数打包到这个dex文件中 方便我们使用其中的工具函数 进行值的计算和返回校验, 这个dex文件中可以写任意的工具函数。 实现方式: 1.在android studio中编写我们的工具函数,然后进行编译打包,在目录下build\intermediates\javac\debug\classes\com\example\dynamicloadde
frida用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 6822
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
Android hook神器frida(一)
weixin_34038293的博客
07-14 589
运行环境 ● Python – latest 3.x is highly recommended ● Windows, macOS, or Linux安装方法使用命令 sudo pip install frida或从https://build.frida.re/frida/下载以cat命令为例,检查frida是否正确安装: $ cp /bin/cat /tmp/cat $ /tmp/c...
frida --version
04-17
根据提供的引用内容,你可以通过以下步骤来获取frida的版本号: 1. 下载相应版本的frida-service包到手机上。 2. 使用命令`frida --version`查看frida的版本号。 3. 使用命令`adb shell getprop ro.product.cpu.abi`查看手机的位数。 4. 前往Frida的GitHub页面(Releases · frida/frida · GitHub)下载与手机位数相符的frida-server压缩包,确保不要下载错误的版本。 请注意,这些步骤是根据提供的引用内容进行推断的,具体操作可能会有所不同。[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二手的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值