🛫 系列文章导航
Android系列教程
- 【Frida】【Android】01_手把手教你环境搭建 https://blog.csdn.net/kinghzking/article/details/136986950
- 【Frida】【Android】02_JAVA层HOOK https://blog.csdn.net/kinghzking/article/details/137008446
- 【Frida】【Android】03_RPC https://blog.csdn.net/kinghzking/article/details/137050967
- 【Frida】【Android】04_Objection安装和使用 https://blog.csdn.net/kinghzking/article/details/137071768
- 【Frida】【Android】05_Objection实战 https://blog.csdn.net/kinghzking/article/details/137071826
windows系列
- 【Frida】 00_简单介绍和使用 https://blog.csdn.net/kinghzking/article/details/123225580
- 【Frida】 01_食用指南 https://blog.csdn.net/kinghzking/article/details/126849567
- 【Frida】 02_常见API示例及功能函数封装(snippets) https://blog.csdn.net/kinghzking/article/details/136903974
- 【Frida】 03_初识frida-node https://blog.csdn.net/kinghzking/article/details/136685316
- 【Frida】 04_Frida中使用TypeScript脚本(采坑) https://blog.csdn.net/kinghzking/article/details/136772475
- 【Frida】 05_读取扫雷游戏的数据 https://blog.csdn.net/kinghzking/article/details/136781623
- 【Frida】 06_分析扫雷游戏的数据,显示地雷位置 https://blog.csdn.net/kinghzking/article/details/136685316
- 【Frida】 07_让系统重新绘制指定窗口 https://blog.csdn.net/kinghzking/article/details/136829854
- 【Frida】 08_将目标窗口切换到前台 https://blog.csdn.net/kinghzking/article/details/136837275
- 【Frida】 09_获取软件窗口位置,设置鼠标指针位置 https://blog.csdn.net/kinghzking/article/details/136854052
- 【Frida】10_用鼠标自动标记棋盘上的雷区(一键过关) https://blog.csdn.net/kinghzking/article/details/136854020
实战
- 【frida-实战】“一行”代码教你获取WeGame平台中所有的lua脚本 https://blog.csdn.net/kinghzking/article/details/125590584
- 【Frida-实战】EA游戏平台的文件监控(PsExec.exe提权) https://blog.csdn.net/kinghzking/article/details/130512479
导读
frida是Greasemonkey公司(该公司的网红产品网络神器油猴子,可以通过“油猴脚本”,自由定制网页,实现你想要的各种功能)开发的一款
跨平台
逆向全家桶动态代码检测
工具。
它允许您将JavaScript或您自己的库的片段注入Windows,macOS,GNU / Linux,iOS,Android和QNX上的原生应用程序。 Frida还为您提供了一些基于Frida API构建的简单工具。 这些可以根据您的需要进行调整,或被作为使用API的示例。
安装
- 安装最新版本的Python3.x,本教程使用的是Python3.7.1的64位版本(再之前的版本的确会有问题)。
- 执行指令pip install frida-tools安装即可。
frida安装后Scripts目录内容如下:
frida-tools工具使用
这些 Frida 工具和可执行文件在应用程序分析和安全研究中具有广泛的应用。以下是它们的简要示例用法:
frida-ls-devices.exe:
示例用法:frida-ls-devices.exe
说明:用于列出当前连接到计算机的所有设备的详细信息,包括设备 ID、类型、名称等。
frida-ps.exe:
示例用法:frida-ps.exe -U
说明:用于列出指定设备上正在运行的进程的信息,包括进程 ID、名称、PID 等。
frida.exe:
示例用法:frida.exe -U -l my_script.js com.yemao.demo
说明:Frida 的主要执行文件,用于加载和执行 Frida 脚本,与目标应用程序进行交互等。frida-trace.exe:
示例用法:frida-trace.exe -U -i “open*” com.yemao.demo
说明:用于在目标应用程序中跟踪特定函数的调用信息,帮助分析函数的调用情况。frida-compile.exe:
示例用法:frida-compile.exe -o compiled_script.js original_script.js
说明:用于将原始的 JavaScript 脚本编译成可执行的 Frida 脚本,以便在目标应用程序内执行。frida-create.exe:
示例用法:frida-create [options] -t agent|cmodule
说明:用于创建一个新的 Frida 脚本模板文件,可以选择不同的语言和模式进行创建。frida-ls.exe:
示例用法:frida-ls [options] [FILE]…
说明:用于列出当前连接到计算机的所有设备的基本信息,方便查看当前可用的设备列表。
frida-itrace.exe:
示例用法:frida-itrace.exe -U com.yemao.demo
说明:用于在 iOS 设备上进行跟踪、调试和修改应用程序,提供类似于 strace 的功能。frida-kill.exe:
示例用法:frida-kill.exe -f com.yemao.demo
说明:用于终止指定应用程序的 Frida 进程,方便重新启动和调试。frida-discover.exe:
示例用法:frida-discover.exe -U com.yemao.demo
说明:用于在指定应用程序中自动发现可用的函数或方法,帮助分析应用程序的结构。
实战
一、枚举进程模块
- 打开notepad.exe。(注意:32位和64位都可以的,frida考虑的还挺全的)
- 下面脚本保存为enumerate_modules.py,并执行命令
python enumerate_modules.py
:
import frida
def on_message(message, data):
print("[on_message] message:", message, "data:", data)
session = frida.attach("notepad.exe")
script = session.create_script("""'use strict';
rpc.exports.enumerateModules = function () {
return Process.enumerateModulesSync();
};
""")
script.on("message", on_message)
script.load()
print([m["name"] for m in script.exports.enumerate_modules()])
- 运行结果如下所示:
['NOTEPAD.EXE', 'ntdll.dll', 'kernel32.dll', ......]
二、frida-trace直接hook函数recv*
frida-trace是一个动态跟踪函数调用的工具。官网使用twitter程序作为目标程序,国内无法使用,所以我们这里使用python作为目标进程(python程序调用urllib来模拟发包),具体操作如下:
- 打开python.exe,查看进程id为16196。
- 执行命令frida-trace -i “recv*” 16196。
- 在python.exe中一次输入import urllib和f = urllib.urlopen(‘https://baidu.com’)
- 执行结果如下图所示:
我们可以看到frida-trace在目录/__handlers__/WS2_32.dll
下创建了recv.js和recvfrom.js文件,frida-trace也实现了hook函数recv的功能。
三、hook Qt应用程序打印日志
ps:Qt程序如果不熟悉的,可以不考虑Qt打印日志函数的调用关系。
我们编写个Qt程序,其中点击按钮触发循环打印数字的逻辑。如下面的代码,其使用的是qDebug宏,宏展开是QMessageLogger的一个类,再查看QMessageLogger可以发现内部最终调用了QTextStream类的各种重载操作符<<。
#define qDebug QMessageLogger(QT_MESSAGELOG_FILE, QT_MESSAGELOG_LINE, QT_MESSAGELOG_FUNC).debug
void MainWindow::on_pushButton_clicked()
{
qDebug() << 9999;
for(int i = 0; i < 10; ++i)
{
qDebug() << i;
}
}
查看Qt5Core.dll导出函数,查找QTextStream系列函数,通过demumble解析gcc编译的C++函数,我们发现_ZN11QTextStreamlsEi就是我们要找的函数QTextStream::operator<<(int)。
启动测试程序Demo.exe。执行命令****frida-trace -i “_ZN11QTextStreamlsEi” Demo.exe**。点击Button按钮,触发函数调用,最终打印出如下内容:
总结
方便快捷
:frida纯脚本实现hook等操作,免去了编译的问题。自动分析
:frida自动分析可执行文件内容,分析关键api很方便。支持通配符
:frida可以一次执行多个函数hook。工具丰富
:frida全家桶拥有多个工具,如frida-trace等,让分析工作更方便了。
参考资料
- 官网安装教程
- 官网快速入门教程
- 官网frida-trace介绍
- qq群:夜猫逐梦技术交流裙/953949723
**ps:**文章中内容仅用于技术交流,请勿用于违规违法行为。