Frida05 - 高级API用法

最新推荐文章于 2024-05-31 10:04:55 发布
最新推荐文章于 2024-05-31 10:04:55 发布
阅读量502 收藏 8
点赞数 15
分类专栏: Frida 文章标签: 前端 java 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/135059753
版权

参考文档

https://api-caller.com/2019/03/30/frida-note/

https://frida.re/docs/javascript-api/#frida

数组打印

测试代码:

private static class Bean {
    String a;
    int b;
    float c;
}

private void test() {
    Bean[] beans = new Bean[3];
    beans[0] = new Bean();
    beans[0].a = "a";
    beans[0].b = 1;
    beans[0].c = 1f;

    beans[1] = new Bean();
    beans[1].a = "b";
    beans[1].b = 2;
    beans[1].c = 2f;

    beans[2] = new Bean();
    beans[2].a = "c";
    beans[2].b = 2;
    beans[2].c = 3f;

    Arrays.toString(beans);
}

想要 hook Arrays.toString() 方法很简单:

function main() {
    Java.perform(function () {

        Java.use("java.util.Arrays").toString.overload('[Ljava.lang.Object;').implementation = function (x) {
            var result = this.toString(x);
            console.log("params=", x);
            console.log("result=", result)
            return result
        }

    })
}

setImmediate(main)

输出的结果很多:

可以看到,输出的数组里是一个对象,那有没有什么好办法将对象转成字符串显示出来呢?

答案就是Gson,所以使用开发的思想来做逆向是很重要的。

项目里面不一定引入了Gson,所以我们需要自己编译一个gons库,放到手机里面,然后使用frida加载一下就可以使用了。

加载外部DEX

var dexPath = "/data/local/tmp/r0gson.dex";
Java.openClassFile(dexPath).load();

已经有大佬编译好了的dex,我们可以直接用:

https://github.com/r0ysue/AndroidSecurityStudy/blob/master/FRIDA/r0gson.dex.zip

为了避免类重复,还特意换了包名,具体可看:

https://bbs.kanxue.com/thread-259186.htm

重新写脚本:

function main() {
    Java.perform(function () {

        Java.use("java.util.Arrays").toString.overload('[Ljava.lang.Object;').implementation = function (x) {
            var result = this.toString(x);
            if (x.length > 0 && x[0].getClass().getName() == "com.example.demo2.MainActivity$Bean") {
                Java.openClassFile("/data/local/tmp/r0gson.dex").load();
                const gsonClass = Java.use('com.r0ysue.gson.Gson');
                for (var i=0; i<x.length; i++) {
                    console.log("entry=", gsonClass.$new().toJson(x[i]));
                }
            }
            return result;
        }

    })
}

setImmediate(main)

看下输出结果:

Spawned `com.example.demo2`. Resuming main thread!                      
[Pixel::com.example.demo2]-> entry= {"a":"a","b":1,"c":1.0}
entry= {"a":"b","b":2,"c":2.0}
entry= {"a":"c","b":2,"c":3.0}

构造数组

有时候为了替换返回值,需要一个数组类型,可以使用如下方式,构造一个数组:

const values = Java.array('int', [ 1003, 1005, 1007 ]);

const JString = Java.use('java.lang.String');
const str = JString.$new(Java.array('byte', [ 0x48, 0x65, 0x69 ]));

类型转换

测试代码:

Father father = new Father();
Son son = new Son();
Father father2 = new Son();

脚本:

Java.choose('com.example.demo2.Father', {
    onMatch: function (instance) {
        console.log('found instance', instance);
        var son = Java.cast(instance, Java.use('com.example.demo2.Son'))
        console.log('cast instance', son.test());
    }, onComplete: function () { }

})

Java.choose('com.example.demo2.Son', {
    onMatch: function (instance) {
        console.log('found instance', instance);
        var father = Java.cast(instance, Java.use('com.example.demo2.Father'))
        console.log('cast instance', father.test());
    }, onComplete: function () { }

})

输出结果:

found instance com.example.demo2.Father@daf1aad
found instance com.example.demo2.Son@c7d41e2
cast instance Son
found instance com.example.demo2.Son@2341973
cast instance Son
Error: Cast from 'com.example.demo2.Father' to 'com.example.demo2.Son' isn't possible
    at cast (frida/node_modules/frida-java-bridge/lib/class-factory.js:131)
    at cast (frida/node_modules/frida-java-bridge/index.js:270)
    at onMatch (/demo2.js:20)
    at _chooseObjectsArtPreA12 (frida/node_modules/frida-java-bridge/lib/class-factory.js:298)
    at <anonymous> (frida/node_modules/frida-java-bridge/lib/class-factory.js:250)
    at vt (frida/node_modules/frida-java-bridge/lib/android.js:573)

符合直觉,子类可以转成父类类型,但是调用的方法还是子类的。

注册一个类

有时候,我们想做一个AOPhook的时候,就需要实现一个接口,我们可以使用 registerClass 方法来做到。

测试代码:

public interface IBook {

    String id();

    int size();

    boolean test(int input);

}

// -------------------------

public class SimpleBook implements IBook {

    @Override
    public String id() {
        return UUID.randomUUID().toString();
    }

    @Override
    public int size() {
        return 100;
    }

    @Override
    public boolean test(int input) {
        Log.e("SimpleBook", "input = " + input);
        return false;
    }

}

// -------------------------

IBook book = new SimpleBook();

脚本代码:

Java.registerClass({
    name: 'com.example.demo2.SimpleBook2',
    implements: [Java.use('com.example.demo2.IBook')],
    fields: {
        proxy: 'com.example.demo2.IBook',
    },
    methods: {
        '<init>': [{
            returnType: 'void',
            argumentTypes: ['com.example.demo2.IBook'],
            implementation: function (proxy) {
                this.$super.$init();
                this.proxy.value = proxy;
            }
        }],
        id() {
            return this.proxy.value.id();
        },
        size() {
            return this.proxy.value.size();
        },
        test(input) {
            this.proxy.value.test(input);
            return true;
        },
    }
})

Java.choose('com.example.demo2.MainActivity', {
    onMatch: function (instance) {
        console.log('found MainActivity instance', instance);
        var oldBook = instance.book.value;
        instance.book.value = Java.use('com.example.demo2.SimpleBook2').$new(oldBook);
        console.log('book test id = ', instance.book.value.id());
        console.log('book test size = ', instance.book.value.size());
        console.log('book test result = ', instance.book.value.test(1));
    }, onComplete: function () { }

})

这里我们注册了一个类,com.example.demo2.SimpleBook2,并且实现了一个代理类,将 MainActivity 的字段替换之后,我们就可以让代理类来托管逻辑,做很多操作。

打印Map

与开发时的写法是一样的:

var result = "";
var keyset = map.keySet();
var it = keyset.iterator();
while(it.hasNext()){
    var keystr = it.next().toString();
    var valuestr = map.get(keystr).toString();
    result += valuestr;
}

Non-ASCII 方法名处理

比如说

int ֏(int x) {
    return x + 100;
}

甚至有一些不可视, 所以可以先编码打印出来, 再用编码后的字符串去 hook。

var methods = Java.use('com.example.demo2.MainActivity').class.getDeclaredMethods();
for (var i in methods) {
    console.log('origin method name -> ' + methods[i].toString());
    console.log('encode method name ->' + encodeURIComponent(methods[i].toString().replace(/^.*?\.([^\s\.\(\)]+)\(.*?$/, "$1")));
}

Java.use('com.example.demo2.MainActivity')[decodeURIComponent("%D6%8F")].implementation = function() {
    console.log('method invoke');
    return 200;
}

二手的程序员
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Native层
kfyzjd2008的博客
03-02 1327
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native层。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2087
一、简介: 本节为延伸内容, 本节使用APP为攻防世界: APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选中代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
frida-trace:通过Frida声明式跟踪API
05-06
弗里达·痕迹 通过声明式跟踪API。 例子 const trace = require ( 'frida-trace' ) ; const func = trace . func ; const argIn = trace . argIn ; const argOut = trace . argOut ; const retval = trace . retval ; const types = trace . types ; const pointer = types . pointer ; const INT = types . INT ; const POINTER = types . POINTER ; const UTF8 = types . UTF8 ; trace ( { module : 'libsqlite3.dylib' , functions : [
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
strongR-frida-android 按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_server.patch frida-core 0003-pipe_linjector.patch frida-core 0004-io_frida_agent_so.patch frida-core 0005-symbol_frida_agent_main.patch frida-core 0006-thread_gum_js_loop.patch frida-core
这恐怕是学习Frida最详细的笔记了
热门推荐
成小新的博客
07-07 1万+
转载自Sakura的博客:https://eternalsakura13.com/2020/07/04/frida title: Frida Android hook categories: Android逆向 致谢 本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。 Frida环境 https://github.com/frida/frida pyenv python全版本随机切换,这里提供macOS上的配置方法 brew update bre.
Frida Internal - Part 2: 核心组件 frida-core
有价值炮灰
04-30 3890
前文已经介绍了 frida 中的核心组件 frida-gum 以及对应的 js 接口 gum-js,但仅有这些基础功能并不能让 frida 成为如此受欢迎的 Instrumentation (hook) 框架。为了实现一个完善框架或者说工具,需要实现许多系统层的功能。比如进程注入、进程间通信、会话管理、脚本生命周期管理等功能,屏蔽部分底层的实现细节并给最终用户提供开箱即用的操作接口。而这一切的实现都在 frida-core 之中,正如名字所言,这其中包含了 frida 相关的大部分关键模块和组件,比如 fr
frida-server-15.2.2-android-x86_64.xz
08-04
frida-server手机版安装压缩包,x86 64位架构
frida-server-15.2.2-android-x86.xz
08-04
frida-server手机版安装压缩包,x86 32位架构
frida-server-14.2.18-android.zip
06-24
测试,安全,爬虫工程师
一个Frida框架入门级实例
weixin_43767456的博客
04-06 700
一个Friday框架入门级实例 Frida框架是一款很强大的Hook工具。本文介绍一个入门级别的Friday框架Hook安卓java层普通方法的案例。 HOOK对象 本文要Hook的对象是我自己写的一个测试APP。图1是该APP的运行界面。 其代码如下: public class MainActivity extends AppCompatActivi...
一篇文章带你领悟 Frida 的精髓(基于安卓8.1)
墨鱼菜鸡
07-11 454
转载(一篇文章带你领悟Frida的精髓(基于安卓8.1)):https://www.freebuf.com/articles/system/190565.html 《Frida操作手册》:https://github.com/hookmaster/frida-all-in-one Frida github 地址:https://github.com/...
frida-api学习笔记
qq_53861867的博客
11-24 1048
这个函数允许你在运行时获取当前应用程序中加载的所有 Java 类,从而进行后续的分析、监控或 Hook 操作。这个函数通常用于在 Frida 脚本中创建一个继承自 Java 类的新的 JavaScript 类。那它都支持type呢?用于确保当前线程已附加到 JavaVM,并提供一个上下文,使得你可以在 Java 运行时环境中执行代码,实现对 Java 类和方法的动态分析和修改。用于通过扫描 Java VM 堆中的对象实例,枚举指定类的实例。fields:(可选)对象,指定要公开的每个字段的名称和类型。
Frida hook/invoke iOS以及内存搜刮和黑盒调用
大数据安全技术学习
07-27 1万+
终于学到了Frida的部分,在本篇中我们将从objection这款自动化hook框架的源码出发,学习使用Frida内置的ApiResolver搜刮器来枚举内存中的所有符号,包括所有类/所有方法/所有重载,再对其进行hook后输出参数调用栈返回值,并且对参数与返回值进行修改,以实现修改函数逻辑的目的。
Vue3实战笔记(52)—Vue 3封装持仓分析饼图
山花的博客
05-30 526
接上文,封装持仓分析饼图。封装好几个组件,用于后续开发。把忧愁煮成茶,让它在心间慢慢沉淀,剩下的,便是清甜的回味。
前端开发记录
最新发布
qq_25806839的博客
05-31 165
【代码】前端开发记录。
记录一次前端页面崩溃的产生及处理
weixin_51123079的博客
05-30 512
记录一次前端页面崩溃的产生及处理
vue 笔记03
m0_47045804的博客
05-30 870
vue挂载以后把所有内容手抄一份就叫做虚拟dom 假设你要操作dom 等一下先不要操作真实dom, 先修改我这个手抄的虚拟的DOM 改完了么?如果我们需要一个变量 这个变量的值是根据data里面某个值或者某几个值的变化而变化的时候,那么我们就需要用到vue里面的computed计算属性。data里面定义的数据无法直接互相访问 因为加载到data的时候还没有产生当前的vue对象。return 返回的结果就是当前计算属性的值。回调函数的参数就是过滤原本的值return 返回过滤的新值。
web前端三大主流框架
低调做人,低调编码,神码都是浮云
05-30 941
Web前端三大主流框架介绍:Angular、React、Vue
frida --version
04-17
2. 使用命令`frida --version`查看frida的版本号。 3. 使用命令`adb shell getprop ro.product.cpu.abi`查看手机的位数。 4. 前往Frida的GitHub页面(Releases · frida/frida · GitHub)下载与手机位数相符的frida...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值