Frida Hook 常用函数、java 层 hook、so 层 hook、RPC、群控

最新推荐文章于 2024-07-27 18:58:25 发布
最新推荐文章于 2024-07-27 18:58:25 发布
阅读量4.1k 收藏 38
点赞数 1
文章标签: java rpc python 开发语言 网络协议
全网优质文章转载收藏,均不代表本人立场!
本文链接:https://blog.csdn.net/lyshark_lyshark/article/details/125848105
版权
本文详细介绍了 Frida Hook 的使用,包括使用 IDE 如 VSCode、PyCharm 的智能提示,JS 单步调试,以及基础的 Frida 代码完成。重点讲解了 Java 层和 SO 层的 Hook,如枚举类加载器、JNI 函数、内部类和动态加载的 Dex 文件。此外,还涵盖了 RPC 的实现、群控软件的运用,以及 Frida 的多种 Hook 方法,如拦截函数调用、修改参数和返回值。文章还提供了丰富的实例代码和参考链接,是 Frida Hook 实践的全面指南。
摘要由CSDN通过智能技术生成

From:Frida hook 常用函数分享:https://www.52pojie.cn/thread-1196917-1-1.html
From:Frida Hook Android 常用方法:https://blog.csdn.net/zhy025907/article/details/89512096

Frida 使用:https://zhuanlan.zhihu.com/p/339504595

Frida 官方手册 - 函数 Hook:https://blog.csdn.net/freakishfox/article/details/78289293
Frida Java Hook 详解:代码及示例 (上):https://www.secpulse.com/archives/132082.html

写 APP爬虫会需要用到哪些工具呢?https://zhuanlan.zhihu.com/p/63899519

风控要略——互联网业务反欺诈之路主要分为洞察黑产、体系构建、实战教程和新的战场4个部分

使用 IDE 编写 frida js 时智能提示

工欲善其事,必先利其器。编写 frida js 时让 IDE 智能提示

方法 1:

  • git clone https://github.com/oleavr/frida-agent-example.git
  • cd frida-agent-example/,执行命令 npm install
  • 然后使用 VSCode、pycharm、idea 等 IDE 打开此工程,在 agent 目录下编写 JavaScript 代码时就会有智能提示。

JS单步调试

https://bbs.pediy.com/thread-265160.htm

能愉快的单步调试 frida 的 js 脚本,可以方便不少。首先运行 frida 脚本

frida -l </Users/name/path/test.js> --debug --runtime=v8 <port/name>

或者

session = dev.attach(app.pid)
script = session.create_script(jscode, runtime="v8")
session.enable_debugger()

启动后会回显 Inspector 正在监听 9229 默认端口

Chrome Inspector server listening on port 9229

chrome

打开 chrome://inspect, 点击 Open dedicated DevTools for Node。

此时 debug 已经连接,切换至 Sources,按 Command + P 加载要调试的脚本,即可下断调试了。

pycharm

首先安装 Node.js 插件,重启。添加调试器 Attaching to Node.js/Chrome,端口默认即可。Attach to 应选择 Node.js < 8 started with --debug, 下面的自动重连选项可选可不选。

触发断点需要在 debug 窗口切换到 script 选项卡,右键要调试的脚本,选择 Open Actual Source,在新打开的 Actual Source 窗口设置好断点后,需要再取消/启用一次所有断点作为激活,发现断点上打上对勾才真正可用了。

接下来就可以愉快的调试了

优缺点

  1. 用 Chrome 调试支持的更为顺滑,调试脚本自动重加载,断点也能正确响应。
  2. 用 PyCharm 调试断点有时需要手动激活有点麻烦,但可以使用PyCharm 的Debug 窗口和快捷键。
  3. PyCharm 使用 ts 环境调试时,可以直接在ts文件上下断,也不需要手动激活断点。

方法 2:

https://bbs.pediy.com/thread-258513.htm

基础 frida 代码完成

frida 代码提示插件。如果你安装了 Frida, 不管你熟不熟悉 nodejs 的生态, 肯定已经安装好了

npm install @types/frida-gum

你需要在你编写注入 js 文件的目录下运行 ( 可以不事先创建 package.json,只是会出现一条警告 )

然后使用可以TypeScript代码完成功能的编辑器 ( 比如 vscode、pycharm、idea ) 打开js文件即刻。

"基础 frida 代码完成" 就可以补全 frida js 代码,如果想要 类成员函数及成员变量的类型等功能,可以安装插件 frida-tsplugin 

下载并安装插件 frida-tsplugin 

在任意目录下:git clone https://github.com/tacesrever/frida-tsplugin ,然后在 frida-tsplugin 目录下运行:

npm install
npm run compile

frida-tsplugin 特性

  1. 可以识别 Java.use 和 Java.cast
  2. 可以追踪变量赋值传递
  3. 可以识别并追踪类成员函数及成员变量的类型
  4. 可以根据重载函数的参数类型识别对应的重载函数
  5. 可以识别 someJavaFunction[.overload(...)].implementation = function(...) {...} 函数块中的参数类型和this类型

ps. 对于未能追踪到的类型, 可以使用 Java.cast 来为其做一个声明

了解更多:http://www.yxfzedu.com/rs_show/115

Frida 简单汇总

内部类的调用

因为是内部类,所以需要在 "类名后面使用$加内部类的名字" 去引用

//获取内部类的类包
var clazzInner = Java.use("com.example.demo.Activity.MainActivity4$InnerClasses");
//getDeclaredMethods(); 获取声明当前类的方法,一般用于内部类的枚举
var all_method = clazzInner.class.getDeclaredMethods();

枚举 类加载器

一般用于判断 当前类中有多少函数和类 配合console.log() 在onMatch中 将函数和类全部打印出来

//只有一个参数就是回调函数 回调函数中包括 onMatch(instance),onComplete();
Java.enumerateClassLoaders({callback})

//在函数后加上.$className 就可以获取类名
onMatch(instance) // "实例对象" 或者 "找到的函数名" 或者 "获取类名"
console.log(instance.getDynamicDexCheck().$className)
this.$init(key); // 也可以直接使用this调用自己 这样就可以打印调用自身后key的值 一般用于查找flags

列举 加载的类

enumerateLoadedClasses({}) // 一般用于枚举类的加载

打开一个 dex 文件

Java.openClassFile("path");
Java.load(); // 加载打开的dex文件一般都是组合使用

获取 name.so 的基地址

var Base = Module.findBaseAddress("libmyjni.so");
// 查找按名称导出 俩个参数 参数1: 导出文件,参数2: 导出文件中的函数名
var n2 = Module.findExportByName("xxx.so","n2")

拦截对目标函数的调用 Interceptor

Interceptor.attach(n2,{
    onEnter : function(argc){   
        // argc 表示 n2函数的参数 argc是一个数组 可以由[x]去表示出来导出函数的参数
        console.log(" address: ",argc[0],argc[1],argc[3]);
        },
    onLeave : function(retval){ 
        // retval 返回值
    }
})

JNI 函数、libart.so

在 android 8.0 中所有的 JNI 函数都在 libart 的 so 里面,所以直接 hook libart.so 遍历寻找要找的JNI 函数名。

// 一般用于查找native层的JNI函数,返回一个模块,其地址或名称相匹配所指定的一个。
// 如果找不到此类模块, 则函数将返回null
var module = Process.findModuleByName("libart.so"); 

// enumerateSymbols 是 枚举模块的符号 
// 枚举模块的符号,   一般这两个组合使用,来寻找 JNI 函数并且拿到JNI函数的符号(NameString)
var symbols = module.enumerateSymbols();  

// 一般用于判断 当前的符号中 是否有"art"这个字符  
if(name.indexOf("art") >= 0)

以可写的方式打开 path File

var file = new File("/sdcard/reg.dat","w");

setImmediate(main)

为什么要使用 setImmediate 去调用 main 函数 ?

为了防止这个发生,要么在函数 setImmediate 中给你的脚本添加一层包装,要么export them as rpc。Frida中的RPC默认不会超时,一旦你修改了脚本,setImmediate 就会自动返回它,因此这相当方便。

FridaContainer 脚本集分享

From:https://bbs.pediy.com/thread-265160.htm

FridaContainer 整合了网上流行的和平时常用的 frida 脚本,为逆向工作提效之用。

地址:https://github.com/deathmemory/FridaContainer

反反调试 anti-anti-debug

整理了一些普通反调试的绕过或定位的方法。因为很多反调试的手段是通过读取各个状态文件,查找特征字符串来判断是否被调试,而读取文件内容又通常都用到了 fgets 函数,如此我们就直接 hook 此函数加入过滤规则就能过滤掉许多反调试检测。

例如:/proc/<pid>/status 检测 TracerPid: 0 、 State: S (sleeping) 、 SigBlk: 0000000000001204 ,/proc/<pid>/stat 检测 t (tracing stop)/proc/<pid>/wchan 检测 SyS_epoll_wait 等

Hook fgets 后,触发时首先获取一下 LR 寄存器的值,保存一下现场,之后返回信息时可以把 LR 带出来,方便定位。然后调用原函数,对赋值的 buffer 进行过滤就可以了。

FridaContainer 调用:FCAnd.anti.anti_debug();

小结:当上面的方法无法绕过反调试时,可以再 Hook 一些常用的退出函数来定位反调点,比如 hook exitkill ,再总结出一些其他过反调的方法,思路类似。

anti-ssl-pinning

我们也在 FridaContainer 里面集成了 Frida 版的 JustTrustMe 来过 SSL Pinning 检测。

此部分代码主要借鉴了:https://codeshare.frida.re/@akabe1/frida-multiple-unpinning/

支持 20 种类库的SSL 验证绕过:

  • TrustManager (Android < 7)
  • TrustManagerImpl (Android > 7)
  • OkHTTPv3 (quadruple bypass)
  • Trustkit (triple bypass)
  • Appcelerator Titanium
  • OpenSSLSocketImpl Conscrypt
  • OpenSSLEngineSocketImpl Conscrypt
  • OpenSSLSocketImpl Apache Harmony
  • PhoneGap sslCertificateChecker
  • IBM MobileFirst pinTrustedCertificatePublicKey (double bypass)
  • IBM WorkLight (ancestor of MobileFirst) HostNameVerifierWithCertificatePinning (quadruple bypass)
  • Conscrypt CertPinManager
  • CWAC-Netsecurity (unofficial back-port pinner for Android<4.2) CertPinManager
  • Worklight Androidgap WLCertificatePinningPlugin
  • Netty FingerprintTrustManagerFactory
  • Squareup CertificatePinner [OkHTTP<v3] (double bypass)
  • Squareup OkHostnameVerifier [OkHTTP v3] (double bypass)
  • Android WebViewClient (double bypass)
  • Apache Cordova WebViewClient
  • Boye AbstractVerifier

FridaContainer 调用:FCAnd.anti.anti_ssl_unpinning();

小结:主要的出发点就是想摆脱 Xposed 框架,调试时减少被检测的风险,要绕过检测只绕 Frida 一个就好了。

dump dex

这里的 dump dex 是 dump 二代壳,通过 hook art so 的 art::DexFile::OpenCommon (_ZN3art7DexFile10OpenCommonEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_PNS0_12VerifyResultE) dump 动态加载的 dex 文件。通过 frida 动态加载自定义的 dex,在 dex 中实现类的枚举和主动加载,来尝试加载所有的类,使其触发 dex 动态加载,再通过之前的 hook ,将加载的 dex dump 下来。

FridaContainer 调用:FCAnd.dump_dex_common();

也有通过搜索内存的方式将 dex dump 出来  https://github.com/hluwa/FRIDA-DEXDump

multi-dex

有时候遇到动态加载的 dex 又不是用的 application 的 loader ,Java.use 可能会提示找不到类,遇到这种情况可以用修改 java loader 的方式来应对。
比如遇到利用 InMemoryDexClassLoader 来加载内存中的 dex 时,可以 Hook 它,当其触发时先走原流程,让其动态加载 dex ,然后利用此时的 loader object 修改 Java.classFactory.loader,再使用 Java.use 来获取类就可以了,使用后记得恢复现场,否则会崩溃。

动态加载实例:

完整代码: 

function anti_InMemoryDexClassLoader(callbackfunc) {
    //  dalvik.system.InMemoryDexClassLoader
    const InMemoryDexClassLoader = Java.use('dalvik.system.InMemoryDexClassLoader');
    InMemoryDexClassLoader.$init.overload('java.nio.ByteBuffer', 'java.lang.ClassLoader')
        .implementation = function (buff, loader) {
        this.$init(buff, loader);
        var oldcl = Java.classFactory.loader;
        Java.classFactory.loader = this;
        callbackfunc();
        Java.classFactory.loader = oldcl; // 恢复现场
    }
}

使用:

FCAnd.anti.anti_InMemoryDexClassLoader(function(){
    const cls = Java.use('find/same/multi/dex/class');
    ...
});

frida 的 java 反射调用

有时 dex 使用了一些非常规的动态加载方式,找 loader 定位起来也比较麻烦。假设我们只想调用某 jni 函数,看输入输出值的话,还可以用 frida java 反射的方式调用。

整体调用流程:

// 获取 so 基址
var base = Module.findBaseAddress('libxxxx.so');
// 根据偏移获取 jni 函数地址
var jnifunc_ptr = libsgmainso.add(0xE729);
// 声明 jni 函数
var jnifunc = new NativeFunction(jnifunc_ptr, 'pointer', ['pointer', 'pointer', 'int', 'pointer']);
// ********* 拼装 obj *********
// JNIEnv
var env = Java.vm.getEnv();
// 调用
var retval = jnifunc(env.handle,  ptr(0),  10401,  obj);

拼装 Obj:

// staticVaMethod 实现 Integer.valueOf(7)
const Integer_jcls = env.findClass('java/lang/Integer');
const Integer_valueOf = env.getStaticMethodId(Integer_jcls, 'valueOf', '(I)Ljava/lang/Integer;');
const invorkeStaticOjbectMethod = env.staticVaMethod('pointer', ['int']);
var pIn2 = invorkeStaticOjbectMethod(env.handle, Integer_jcls, Integer_valueOf, 7);
// 利用 constructor | vaMethod 组装 HashMap obj
// new HashMap().put('INPUT', 'xxxxxxxxxx')
const HashMap_jcls = env.findClass('java/util/HashMap');
const invokeHashmap_constructor = env.constructor([]);
const HashMap_init = env.getMethodId(HashMap_jcls, '<init>', '()V');
var HashMap_obj = invokeHashmap_constructor(env.handle, HashMap_jcls, HashMap_init);
const HashMap_put = env.getMethodId(HashMap_jcls, 'put', '(Ljava/lang/Object;Ljava/lang/Object;)Ljava/lang/Object;');
const invokeOjbectMethod = env.vaMethod('pointer', ['pointer', 'pointer']);
invokeOjbectMethod(env.handle, HashMap_obj, HashMap_put, env.newStringUtf('INPUT'), env.newStringUtf('xxxxxxxxxx'));

上面都是在反射调用的角度简单介绍了 staticVaMethodvaMethodconstructor 的使用方法。

trace java methods

用 Frida 也可以实现 java 层的 trace 。
因为基于 Frida 框架,如果直接 trace 所有的类效率太慢,也容易崩溃。所以这里是以白名单的方式实现的。核心方法就是枚举所有类,按过滤名单,匹配需要 trace 的类,Hook 目标类的所有方法(可指定),在方法被调用时,将其入参和返回值记录下来。

核心逻辑:遍历所有类,Hook 白名单中的类及方法。

调用方式:

/**
 * java 方法追踪
 * @param clazzes 要追踪类数组 ['M:Base64', 'E:java.lang.String'] ,类前面的 M 代表 match 模糊匹配,E 代表 equal 精确匹配
 * @param whitelist 指定某类方法 Hook 细则,可按白名单或黑名单过滤方法。
 *                  { '类名': {white: true, methods: ['toString', 'getBytes']} }
 * @stackFilter 按匹配字串打印堆栈。如果要匹配 bytes 数组需要十进制无空格字串,例如:"104,113,-105"
 */
FCAnd.traceArtMethods(
    ['M:MainActivity', 'E:java.lang.String'],
    {'java.lang.String': {white: true, methods:['substring', 'getChars']}},
    "match_str_show_stacks"
);
  • 支持精确/模糊匹配类名
  • 支持某类按白名单方式 trace 方法
  • 支持匹配到指定值时收集栈信息

具体实现:

Java.enumerateLoadedClassesSync().forEach((curClsName, index, array) => {
    dest_cls.forEach((destCls) => {
        // 按规则匹配是否需要 trace
        if (match(destCls, curClsName)) {
            // trace 核心方法
            traceArtMethodsCore(curClsName);
            return false; // end forEach
        }
    });
});
// Hook 核心逻辑
function traceArtMethodsCore(clsname: string) {
    let cls = Java.use(clsname);
    // 枚举方法
    let methods = cls.class.getDeclaredMethods();
    methods.forEach(function (method: any) {
        ...
        // 枚举重载
        let methodOverloads = cls[methodName].overloads;
        methodOverloads.forEach(function (overload: any) {
            ...
            // Hook
            overload.implementation = function () {
                // ... send entry msg
                // 利用 js 参数特性 arguments ,调用原函数以适配所有 Hook 方法的传参
                const retval = this[methodName].apply(this, arguments);
                // ... send exit msg
                return retval;
            }
        }
    }
}

通过 python/android/traceLogCleaner.py 脚本收集 trace 日志,将回传的日志按线程格式化输出日志,并且对字节数组,尝试进行 string 和 hex 转换以方便搜索。

格式化 trace 效果:

单条日志:

小结:

  • 优点:用 Frida 做 java 方法级的 trace ,优点就是方便、灵活、轻量级。
  • 缺点:限于 Frida 框架,该方式效率较低,trace 方法过多容易崩溃,所以无法做全量 trace。

推荐用于轻量级的 Java 方法 trace 可以有效的定位核心算法。

jni hook & trace

利用 Frida 的 Java.vm.getEnv() 获取 JNIEnv 指针,再根据 jni 结构体函数偏移,可以获取到各个 jni 函数地址,之后就可以根据需要进行 Hook 了。
例如

  • 可以将其封装成更便捷的获取各 jni 函数地址的功能,方便 Hook

核心逻辑:

// 列出 JNI 函数数组
const jni_struct_array = [
    "reserved0",
    "reserved1",
    "reserved2",
    "reserved3",
    "GetVersion",
    "DefineClass",
    "FindClass",
    "FromReflectedMethod",
    ...
];
// 获取 JNIEnv 地址
var env = Java.vm.getEnv();
var env_ptr = env.handle.readPointer();
// 根据函数名计算索引偏移
var offset = jni_struct_array.indexOf(func_name) * Process.pointerSize;
// 读取函数地址
jnienv_addr.add(offset).readPointer();
// Hook
Interceptor.attach(addr, callbacksOrProbe);

应用:

FCAnd.jni.hookJNI('NewStringUTF', {
    onEnter: function (args) {
      ...
    }
});
  • 可以 Hook RegistNatives 来获取动态注册的 jni 函数地址
export function hook_registNatives() {
    const tag = 'fridaRegstNtv';
    Jni.hookJNI("RegisterNatives", {
        onEnter: function (args) {
            var env = Java.vm.getEnv();
            var p_size = Process.pointerSize;
            var methods = args[2];
            var methodcount = args[3].toInt32();
            // 获取类名
            var name = env.getClassName(args[1]);
            DMLog.i(tag, "==== class: " + name + " ====");
            DMLog.i(tag, "==== methods: " + methods + " nMethods: " + methodcount + " ====");
            /** 根据函数结构原型遍历动态注册信息
             typedef struct {
                const char* name;
                const char* signature;
                void* fnPtr;
             } JNINativeMethod;
             jint RegisterNatives(JNIEnv* env, jclass clazz, const JNINativeMethod* methods, jint nMethods)
             */
            for (var i = 0; i < methodcount; i++) {
                var idx = i * p_size * 3;
                var fnPtr = methods.add(idx + p_size * 2).readPointer();
                const module = Process.getModuleByAddress(fnPtr);
                if (module) {
                    const modulename = module.name;
                    const modulebase = module.base;
                    var logstr = "name: " + methods.add(idx).readPointer().readCString()
                        + ", signature: " + methods.add(idx + p_size).readPointer().readCString()
                        + ", fnPtr: " + fnPtr
                        + ", modulename: " + modulename + " -> base: " + modulebase;
                    if (null != modulebase) {
                        logstr += ", offset: " + fnPtr.sub(modulebase);
                    }
                    DMLog.i(tag, logstr);
                }
                else {
                    DMLog.e(tag, 'module is null');
                }
            }
        }
    });
}

返回效果

==== class: com.xxxx.class.name ====
==== methods: 0xcd52d428 nMethods: 41 ====
[INFO][fridaRegstNtv]: name: initialize, signature: ()V, fnPtr: 0xcd50b6bd, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x66bd
[INFO][fridaRegstNtv]: name: onExit, signature: ()V, fnPtr: 0xcd50b6c7, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x66c7
[INFO][fridaRegstNtv]: name: getMMKVWithID, signature: (Ljava/lang/String;ILjava/lang/String;)J, fnPtr: 0xcd50b6d1, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x66d1                  
[INFO][fridaRegstNtv]: name: encodeBool, signature: (JLjava/lang/String;Z)Z, fnPtr: 0xcd50b76d, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x676d
[INFO][fridaRegstNtv]: name: decodeBool, signature: (JLjava/lang/String;Z)Z, fnPtr: 0xcd50b7bf, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x67bf
[INFO][fridaRegstNtv]: name: encodeInt, signature: (JLjava/lang/String;I)Z, fnPtr: 0xcd50b80f, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x680f
[INFO][fridaRegstNtv]: name: decodeInt, signature: (JLjava/lang/String;I)I, fnPtr: 0xcd50b85b, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x685b
[INFO][fridaRegstNtv]: name: encodeLong, signature: (JLjava/lang/String;J)Z, fnPtr: 0xcd50b8a5, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x68a5
[INFO][fridaRegstNtv]: name: decodeLong, signature: (JLjava/lang/String;J)J, fnPtr: 0xcd50b8f7, modulename: libxxxx.so -> base: 0xcd505000, offset: 0x68f7
[INFO][fridaRegstNtv]: name: encodeFloat,
最低0.47元/天 解锁文章
「已注销」
关注
frida入门总结
windy_ll的博客
03-11 2129
一、Frida概述     Frida是一款轻量级HOOK框架,可用于多平台上,例如android、windows、ios等。     frida分为两部分,服务端运行在目标机上,通过注入进程的方式来实现劫持应用函数,另一部分运行在系统机器上。     frida接口支持js、python、c等。     Frida官方github地址为:frida官方github地址     PS:虽然百度...
Frida使用 hook
ShenZ的博客
09-05 1100
js hook不需要开监听
Firda绕过SSL Pinning检测
最新发布
qq_50822277的博客
07-27 483
Xposed的HooK是Firda是静态的直接去修改代码,也叫插桩,详细一点解释就是,以静态的方式修改第三方程序的代码,也就是从编译阶段对源代码进行编译,而后重新打包,是静态的篡改。
记录安装mysql5.7 ODBC组件失败解决方法
sinat_35960326的博客
09-15 997
在安装mysql5.7时 ODBC模块安装失败,日志显示: 1: Error 1918.Error installing ODBC driver MySQL ODBC 5.3 ANSI Driver, ODBC error 13: 无法加载 MySQL ODBC 5.3 ANSI Driver ODBC 驱动程序的安装例程,因为存在系统错误代码 126: 找不到指定的模块。 原因:缺少Microsoft visual C++ 2013 解决办法:在网上下个Microsoft visual C++ 2.
fridahook所有方法
beidideshu的博客
03-08 1200
等变量就会在各自的for循环块内拥有独立的作用域,从而保证了在回调函数中正确地引用到相应方法的信息。在Android逆向工程中,Frida是一个强大的动态代码插桩工具,能够帮助我们实时hook和调试目标应用的方法。本文将通过一个实际案例,探讨在使用Frida Hook测试应用中的Utils类时遇到的一个JavaScript作用域问题,并提供解决方案。注入这段代码后,我们成功获取到了Utils类中的各个方法名,但当尝试在原始方法的基础上进行Hook并调用时,却发现无论调用哪个方法,其参数总是被传递给。
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 6777
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
frida hook so JNIEnv函数hook
weixin_33704591的博客
05-21 898
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ function hexToBytes(str) { var pos = 0; var len = str.length; if (len % 2 != 0) { ...
frida hook java 函数_frida hook常用函数分享
weixin_39542742的博客
02-23 1122
本帖最后由 骇客之技术 于 2020-6-12 13:33 编辑1. 免写参数[JavaScript] 纯文本查看 复制代码// 函数原型 encodeRequest(int i, String str, String str2, String str3, String str4, String str5, byte[] bArr, int i2, int i3, String str6, byt...
frida hook java 函数_安卓逆向——Frida hook java
weixin_33726568的博客
02-23 506
各位爱好安卓逆向的大佬们早上好,今天呢小弟不才在这里拙劣的给大家讲解一下咱们frida hook java,望不嫌弃!目录1、分析目标app程序2、编写hook代码3、运行命令开始hook分析目标app程序首先呢我们来了解一下分析目标app程序一个目的。为什么要去分析目标app代码逻辑呢?原因是我们要找到hook的具体类以及方法名,参数等这些基本信息,这样才能达到我们的hook目的。编写hook...
frida hook java 函数_基于frida框架Hook native中的函数(1)
weixin_39628380的博客
02-23 770
0x01 前言关于android的hook以前一直用的xposed来hook java函数,对于so则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
frida hook java 函数_使用 FridaHook Java 类中的构造函数(构造函数带重载),获取解密后的js脚本...
weixin_34517745的博客
02-16 930
一个APP使用了Auto.js 的加密脚本。我们的任务是将其加密脚本进行解密并dump出来。在 https://www.52pojie.cn/thread-1112407-1-1.html 一文中,介绍了 Auto.js 脚本解密的过程,并使用了 Xposed 对解密后的脚本进行了提取。但当前所使用的手机并没有 Xposed , 只好通过 Frida 来自力更生进行提取。话不多说,通过 jadx...
frida 实战_frida 入门及几种 hook 思路
weixin_35512156的博客
01-17 2140
本文首发于先知前言frIDA Xposed简单对比学安卓hook入门的时候纠结于选用哪个平台,Xposed和frida看了看,都在脑子里云了一下觉得都好好用,于是干脆和教程反着来,看着师傅Xposed的文章后用frida复现一遍(实战链接也在文章中,就不发出来了),而且之前Peanuts师傅也发过Xposed的了.其实两者差别还是比较大的,就拿工作方式来说,Xposed走的是开发那一套,,重新写组...
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用)
云霄IT的博客
05-31 2448
【代码】Frida Hook方法大全(普通、重载、构造)
frida实现hook类中所有方法,包含内部类
m0_70004606的博客
07-27 1547
frida将下面的脚本attach或spawn启动。启动frida-server。
frida小记) 04 Hook类的所有方法及Hook动态加载的dex
akswyh的博客
04-09 4541
Hook类的所有方法 示例 //hook类的所有方法 function hooktest10(){ Java.perform(function(){ var md5Util=Java.use("com.alex.javahooktarget.HashUtil"); var methods=md5Util.class.getDeclaredMethods(); for(var j=0;j<methods.length;j++){
app逆向-frida hook 某个java类下的所有方法
花臂不花Home
02-04 908
【代码】app逆向-frida hook 某个java类下的所有方法。
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(七)遍历所有类对类方法hook
kfyzjd2008的博客
02-16 1337
本节接上一节课,APP进入第六关。 本节知识点为遍历所有已加载类并hook类方法: 本关代码如下: 有两种方法可以过本关卡: 方法1:直接hook function hook_FridaActivety6(){ Java.perform(function(){ var Frida6Class0 = Java.use("com.example.androiddemo.Activity.Frida6.Frida6Class0"); Frida6Class
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 3732
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
基于frida的so函数hook实战
热门推荐
Haward
01-31 1万+
一、环境 win10、python38、frida库、夜神模拟器 (1)安装frida环境 (a)frida python -m pip install frida //运行python38版本 //python -m module_name相当于python /path/to/module.py(当我们知道一个模块的名字,但不知道它的路径时,我们可以通过 -m 参数) 假如以上方法出错,建议本地下载frida包安装 https://pypi.org/project/frida/#files(选择f
frida hook javaaes代码
06-07
以下是使用Frida hook JavaAES加密函数JavaScript代码示例: ```javascript Java.perform(function() { // 找到目标类 var targetClass = Java.use("com.example.MyClass"); // hook目标函数 targetClass.encrypt.overload('[B', '[B').implementation = function(data, key) { // 打印参数 console.log("[*] Data: " + data); console.log("[*] Key: " + key); // 调用原始函数 var result = this.encrypt(data, key); // 打印返回值 console.log("[*] Encrypted Data: " + result); // 返回真正的返回值 return result; }; }); ``` 以上代码示例是使用Frida hook JavaAES加密函数,并在函数执行前后打印函数参数和返回值。如果需要修改加密算法,可以在hook函数中修改参数或者返回值。需要注意的是,因为Java代码是运行在虚拟机中的,所以hook Java函数需要使用Java.use()方法来获取目标类。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值