Frida0D - hook JNIEnv 相关函数

于 2024-09-11 15:03:17 发布
阅读量327 收藏 9
点赞数 5
分类专栏: Frida 文章标签: java 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5right/article/details/142140417
版权

NewStringUTF

看一个例子:

    private external fun stringFromJNI(): String

    private external fun registerNativeStringFromJNI(): String

JNIEXPORT jstring JNICALL registerNativeStringFromJNI(
        JNIEnv *env,
        jobject clazz) {
    std::string hello = "Hello from C++ registerNativeStringFromJNI";
    return env->NewStringUTF(hello.c_str());
}

extern "C" JNIEXPORT jstring JNICALL
Java_com_aprz_myapplication_MainActivity_stringFromJNI(
        JNIEnv *env,
        jobject clazz) {
    std::string hello = "Hello from C++";
    return env->NewStringUTF(hello.c_str());
}

目标

使用 frida hook NewStringUTF 函数,拿到参数与返回值,并尝试修改参数与返回结果。

查找符号

编译后,查看 so 函数符号表:

 objdump -tT libhookjnienv.so > s.txt
 
 -----
  -t, --syms               Display the contents of the symbol table(s)
  -T, --dynamic-syms       Display the contents of the dynamic symbol table

搜索NewStringUTF发现了两个结果,是同一个符号:

000000000001e408  w    F .text 0000000000000034              _ZN7_JNIEnv12NewStringUTFEPKc
000000000001e408  w   DF .text 0000000000000034  Base        _ZN7_JNIEnv12NewStringUTFEPKc

如果发现有多个符号,可以去https://demangler.com/ 网站看看这个符号对应的具体方法是什么,比如上面的符号解出来就是:

_JNIEnv::NewStringUTF(char const*)

namespace 是对的上的,说明是我们需要hook的符号。

编写脚本

export function hook_jni_env() {
    var hook_jni_env = Process.getModuleByName("libhookjnienv.so");
    var new_string_utf = hook_jni_env.base.add(0x1e408);
    Interceptor.attach(new_string_utf, {
        onEnter: function (args) {
            console.log("jni env = ", args[0]);
            console.log("char * arg = ", args[1]);
        }, onLeave: function (retval) {
            console.log("jstring = ", retval);
        }
    });
}

查看输出

[Pixel::com.aprz.myapplication ]-> jni env =  0x76851126c0
char * arg =  0x7ff3d2c6a1
jstring =  0x71

使用Frida提供的JNIEnv来打印参数和返回结果

我们可以使用 frida提供的 JJNIEnv来获取 jstirng与 char * 类型的值。

Java.vm.getEnv().getStringUtfChars()

export function hook_jni_env() {
    var hook_jni_env = Process.getModuleByName("libhookjnienv.so");
    var new_string_utf = hook_jni_env.base.add(0x1e408);
    Interceptor.attach(new_string_utf, {
        onEnter: function (args) {
            console.log("jni env = ", args[0]);
            console.log("char * arg = ", args[1].readCString());
        }, onLeave: function (retval) {
            console.log("jstring = ", Java.vm.getEnv().getStringUtfChars(retval, false).readCString());
            retval.replace(Java.vm.getEnv().newStringUtf("nihao"));
        }
    });
}

查看输出

[Pixel::com.aprz.myapplication ]-> jni env =  0x76851126c0
char * arg =  Hello from C++
jstring =  Hello from C++

注意,我们 hook 了 JNIEnv 的 newStringUTF 函数,一般情况下需要注意死循环,比如inlinehook,但是这里使用 frida 提供的不需要担心这个问题,有点神奇。

打印堆栈

我们可以直接使用frida提供的方法:

export function hook_jni_env() {
    var hook_jni_env = Process.getModuleByName("libhookjnienv.so");
    var new_string_utf = hook_jni_env.base.add(0x1e408);
    Interceptor.attach(new_string_utf, {
        onEnter: function (args) {
            console.log("jni env = ", args[0]);
            console.log("char * arg = ", args[1].readCString());
            console.log('CCCryptorCreate called from:\n' +
                Thread.backtrace(this.context, Backtracer.ACCURATE)
                    .map(DebugSymbol.fromAddress).join('\n') + '\n');
        }, onLeave: function (retval) {
            console.log("jstring = ", Java.vm.getEnv().getStringUtfChars(retval, false).readCString());
            retval.replace(Java.vm.getEnv().newStringUtf("nihao"));
        }
    });
}

查看输出

可以自己比较一下Backtracer.FUZZY 和 Backtracer.ACCURATE 的区别。

[Pixel::com.aprz.myapplication ]-> jni env =  0x76851126c0
char * arg =  Hello from C++
CCCryptorCreate called from:
0x7591e3a330 libhookjnienv.so!Java_com_aprz_myapplication_MainActivity_stringFromJNI+0x50
0x75ffd52354 libart.so!art_quick_generic_jni_trampoline+0x94
0x75ffd49338 libart.so!art_quick_invoke_stub+0x228
0x75ffd58068 libart.so!_ZN3art9ArtMethod6InvokeEPNS_6ThreadEPjjPNS_6JValueEPKc+0xf8
0x75ffef6bc4 libart.so!_ZN3art11interpreter34ArtInterpreterToCompiledCodeBridgeEPNS_6ThreadEPNS_9ArtMethodEPNS_11ShadowFrameEtPNS_6JValueE+0x184
0x75ffef1abc libart.so!_ZN3art11interpreter6DoCallILb0ELb0EEEbPNS_9ArtMethodEPNS_6ThreadERNS_11ShadowFrameEPKNS_11InstructionEtPNS_6JValueE+0x3a4
0x76001b7620 libart.so!MterpInvokeDirect+0x194
0x75ffd43918 libart.so!mterp_op_invoke_direct+0x18
0x76001b8158 libart.so!MterpInvokeStatic+0x48c
0x75ffd43998 libart.so!mterp_op_invoke_static+0x18
0x76001b8158 libart.so!MterpInvokeStatic+0x48c
0x75ffd43998 libart.so!mterp_op_invoke_static+0x18
0x76001b6d88 libart.so!MterpInvokeInterface+0x6e8
0x75ffd43a18 libart.so!mterp_op_invoke_interface+0x18
0x76001b5568 libart.so!MterpInvokeVirtual+0x5b4
0x75ffd43818 libart.so!mterp_op_invoke_virtual+0x18

jstring =  Hello from C++

可以看到还是比较准确的。

想到 frida 可以注入 so,所以也可以考虑编译一个打印堆栈的 so,然后调用方法。

RegisterNatives

对这个函数的 hook,前一篇文章已经贴了一段代码了,这里简单分析一下就ok。

  function getNativeAddress(idx) {
    return env.handle.readPointer().add(idx * pSize).readPointer();
  }

上面,我们采用的是查询符号的地址,然后hook的方式。但是这里更加巧妙,它利用了 JNIENV 的源码相关知识。

JNIEnv 是一个结构体,整个结构体看成一个表,第 215 项对应的就是  RegisterNatives ,所以我们可以直接用指针计算偏移。

getNativeAddress(215)

因为,JNIEnv 结构是不会变化的,所以这个相当实用。

同样的,在处理参数的时候,RegisterNatives 接收一个JNINativeMethod 结构体指针,我们也可以利用指针来获取整个结构体的字段信息。

console.log("[RegisterNatives]method counts :", args[3]);
var env = args[0];
var jclass = args[1];
var class_name = Java.vm.tryGetEnv().getClassName(jclass);
var methods_ptr = ptr(args[2]);
var method_count = parseInt(args[3]);
for (var i = 0; i < method_count; i++) {
    var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
    var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
    var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));
    var name = Memory.readCString(name_ptr);
    var sig = Memory.readCString(sig_ptr);
    var find_module = Process.findModuleByAddress(fnPtr_ptr);
    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));
}

二手的程序员
关注
专栏目录
frida进行hook的常用定位招数大全
云霄IT的博客
07-13 1998
【代码】frida进行hook的常用定位招数大全。
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串
最新发布
08-30
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串。 参考:https://blog.csdn.net/u013170888/article/details/141724349
Frida 静态分析和Hook Native函数
小龙在线
12-29 1550
Java调用so package com.gdufs.xman; import android.app.Application; import android.util.Log; public class MyApp extends Application { public static int m = 0; public native void initSN(); public native void saveSN(String str); public nati
frida so Hook 调用JNIEnv函数
weixin_33743248的博客
05-21 3624
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var nativePointer = Module.findExportByName("libhello.so", "Java_com_xiaojianbang_app_NativeHelper_helloFromC") ...
Android逆向——过frida检测+so层算法逆向
热门推荐
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
Android逆向-frida hook 脚本- hook webview
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
frida-server-14.2.18-android.zip
06-24
标签中的"爬虫 frida hook android"进一步强调了Frida在Android环境下的hook功能对于爬虫开发的重要性。Hook技术可以拦截并修改应用内部函数调用,这对于理解和操纵APP的内部逻辑非常有用,特别是在数据抓取和分析中...
frida-android-hook:该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值
05-12
Frida Android挂钩 该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值 对于iOS平台: : 环保操作系统支持 作业系统 支持的 著名的 苹果系统 :check_mark_button: 主要的 Linux :check_mark_button:...
frida-hook-snippets:不太勤奋
05-17
3. **Hook 技术**:通过 `Interceptor.attach()` 函数Frida 允许开发者在函数调用前或调用后插入自定义逻辑,进行 hook 操作。 4. **进程通信**:Frida 可以跨进程通信,这对于调试多进程应用或服务非常有用。 5. ...
Native开发与逆向第三篇 - hook JNI函数NewStringUTF
u013170888的博客
08-30 482
Pixel 3a::com.mycode.nativehello ]-> env : 0x7d44041250 param1 Hello from C++ , 这是动态注册。addr_NewStringUTF retval : Hello from C++ , 这是动态注册。目标是hook NewStringUTF 打印字符串。运行打印结果:参数和返回值都正常打印出来字符串。
3.frida Native层Hook
高新园养鸡场
03-12 2430
测试用例 本次的hook代码都用 frida-tools方式 书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改,不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml
安卓逆向入门之使用frida框架简单Hook native层的函数
muzico425的博客
09-06 464
公众号:菜鸟学Python编程作者:悦来客栈的老板请读者先完成第一篇中的例子再来学习这一篇,初探安卓逆向神器Frida‍都是比较简单的东西,像我这种初学者先找找逆向...
frida hook so JNIEnv函数hook
weixin_33704591的博客
05-21 895
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ function hexToBytes(str) { var pos = 0; var len = str.length; if (len % 2 != 0) { ...
Android Hook程序,对库函数进行HOOK
D.K专栏
08-16 6437
1、Hook原理 Hook技术,其本质就是劫持函数的调用,但是由于处于Linux用户态,每个进程都有自己独立的进程空间,所以必须先注入到所要Hook的进程空间,修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向进程注入so库,从而达到监控以及远程进程关键函数挂钩。 Hook技术的难点,并不在Hook技术,如何找到函数的入
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 3695
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
APP逆向 day18某站逆向 part3
往日情怀酿作酒
07-24 1442
因为之前被封,所以很久才更新,今天这个主要是后面的两个hook脚本很重要,app逆向是真的难,真的难找,很大一部分比的就是大家的hook代码。
金三银四 某招聘软件登录及搜索接口
04-07 1218
解决了登录和搜索的问题就可以越快的编写爬虫程序了,账号风控的话可能还需要多账号.本章主要就是介绍一下webview的滑块,以及so的逆向,虽然你看我上面说的似乎挺简单的,但是到你自己独立去弄一个app的so的时候没有别人写的分析文章可能就有些吃力了,所以还是需要自己多练,毕竟这个也只能算是个比较简单的自写算法,也没有混淆什么的.说到混淆就必须看看这个图了,上图,自行欣赏!知识星球微信公众号技术交流群。
利用Frida实现Android SO导出函数遍历的Hook脚本
使用Frida进行hook操作通常涉及到注入脚本到目标应用的进程中,并使用其提供的API来监控和操纵函数调用和返回。在这种情况下,enum_func.py脚本被设计用于遍历安卓平台中共享对象(so文件)中的所有导出函数。在安卓...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值