import frida, sys
jscode = """
setImmediate(function () {
send("start");
//遍历模块找基址
Process.enumerateModules({
onMatch: function (exp) {
if (exp.name == 'libdemo.so') {
send('enumerateModules find');
send(exp.name + "|" + exp.base + "|" + exp.size + "|" + exp.path);
send(exp);
return 'stop';
}
},
onComplete: function () {
send('enumerateModules stop');
}
});
//hook导出函数
var exports = Module.enumerateExportsSync("libdemo.so");//这里的exports和IDA 中Exports窗口的函数列表是一样的
for(var i=0;i<exports.length;i++){
send("name:"+exports[i].name+" address:"+exports[i].address);
}
//通过模块名直接查找基址
var baseSOFile = Module.findBaseAddress("libdemo.so");
Interceptor.attach(baseSOFile.add(0x00001270),{//0x00001270是需要hook的方法的基地址,在IDA中可以看到,这里IDA查看如果是thumb指令参数为0x00001270+1,arm指令是0x00001270
onEnter: function(args) {
//console.log(Memory.readCString(args[0]));
//console.log(Memory.readUtf16String(args[3]));
console.log(args[2]); //第3个参数对应JAVA层中的第1个参数,这里JAVA层有3个参数
console.log(args[3]);
console.log(args[4]);
},
onLeave: function(retval){
}
});
});
"""
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
process = frida.get_usb_device().attach('com.qianyu.demo')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()
如有问题,请私信。
tL+8vMr1vbvB96Osx+vO8NPD09q3x7eo08PNvqGjDQoNCsTmz/LP4LnYv86zzKGiSlOyubu3vrO/zrPMoaJKQVZBz+C52L/Os8zI59Do0qrSsr/J0tTBqs+1UVGhow0KDQrX99XfIFFRIDQwNDU0MDIyOQ==
学习了frida,是不是还不会hook so文件,这是一个简单的DEMO,可以提供学习使用。