安卓逆向-用Frida写代码进行脱壳

最新推荐文章于 2024-03-24 17:29:14 发布
最新推荐文章于 2024-03-24 17:29:14 发布
阅读量1.1k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50685012/article/details/114456047
版权
常用Frida的API
function_address = Module.findExportByName(libname, function);
Interceptor.attach(address, func);
Interceptor.attach(address,
 onEnter: function (args) {
 },
 onLeave: function (retval) {
 }
)
File 模块 写文件流程
 new File(filepath, mode)
 write(data)
 flush()
 close()
file = new File("yuanrenxue.dex", "wb")
//data 是字符串或者 arrayBuffer // readByteArray() 返回的arrayBuffer
file.write(data)
file.flush()
file.close()
//把内存里的值转成字符串
Memory.readUtf8String()
//把内存里的值转换成整型
Memory.readInt()
//以begin为起始位置,从内存中读length长度的数据出来 返回ArrayBuffer类型
Memory.readByteArray(begin, length)
//把地址转换成NativePointer类型 frida里操作内存地址需要先转成NativePointer类型!!!
ptr()
JS api
#把其它进制转换成10进制
parseInt(num, radix)
复习dex文件格式
https://www.jianshu.com/p/f7f0a712ddfe

在这里插入图片描述
在这里插入图片描述

复习脱壳原理:
 复习:加固壳是如何运行起来的?
 1. -->APP启动
 2. -->壳dex先加载起来
 3. -->壳负责把源dex文件读出来
 4. -->壳把源dex文件解密
 5. -->把解密后的dex加载进内存 源dex运行起来

 源dex文件最终会加载进内存
 Hook加载Dex的函数(OpenMemory),把Dex从内存中dump出来
 Hook DexFile::OpenMemory()
 DexFile::OpenMemory(const uint8_t* base,size_t size,const std::string& location,
 uint32_t location_checksum,MemMap* mem_map,//nullptrconst OatDexFile* oat_dex_file,
 std::string* error_msg)
Frida代码脱壳
从手机端获取要hook的函数的so文件

在这里插入图片描述

用IDA打开得到OpenMemory的导出名

在这里插入图片描述

利用Frida的API进行导出(进行app重启非常重要device.resume(pid))
import frida, sys

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
package = 'com.iCitySuzhou.suzhou001'
jscode = """
var openMemory_address = Module.findExportByName("libart.so","_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_")

Interceptor.attach(openMemory_address,{
    onEnter:function(args){
        console.log("start")
        // dex文件的起始位置
        var dex_begin_address = args[1]

        // dex文件的前8个字节是magic字段,打印magic会显示"dex 035"这三个字符,可以验证是否为dex文件
        console.log("magic:"+Memory.readUtf8String(dex_begin_address))

        // 把地址转换成整形,再加32,因为dex文件的第32个字节处存放的是dex文件的大小
        var address = parseInt(dex_begin_address,16) + 32

        // 把address地址指向的内存读取出来,该值就是dex的文件大小
        // ptr(address)转换的原因是frida只接受NativePointer类型的指针
        var dex_size = Memory.readInt(ptr(address))
        console.log("dex_size:"+dex_size)

        // frida写文件,把内存中的数据写到本地
        var timestamp = new Date().getTime();
        var file = new File("/data/data/%s/"+timestamp+".dex",'wb')
        
        // Memory.readByteArray(begin,length)把内存里的数据读出来,从begin开始读,取length的长度
        file.write(Memory.readByteArray(dex_begin_address,dex_size))
        file.flush()
        file.close()

        send("dex begin address:"+parseInt(dex_begin_address,16))
        send("dex file size :"+dex_size)
    },
    onLeave: function (retval) {
        if (retval.toInt32() > 0) {
        }
    }
})
"""% (package)

# 定位jar包
device= frida.get_usb_device()
pid = device.spawn(['com.iCitySuzhou.suzhou001'])
process = device.attach(pid)
# 传入上面的js代码创造脚本
script = process.create_script(jscode)
# 接受信息打印信息模块
script.on('message', on_message)
print('[*] Running')
script.load()
# 重启的方法非常重要!为了能hook到,重启一遍这样是最好不过的了
device.resume(pid)
sys.stdin.read()
这样既可成功把引力波的壳脱出来
熟悉安卓虚拟机加载dex文件的流程(进阶)
https://www.jianshu.com/p/f81242ad8cb7
Vincent不是文森特
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android之整体原理与实践,2024年最新基于android的app的设计与开发
2401_84023891的博客
04-09 1011
修改了这三个值以后,dex文件的末尾就可以添加一些和dex格式定义中无关的信息,比如原始dex文件的个数,大小以及加密以后原始dex文件的内容。通过Android中的类加载器动态加载解密后的dex文件,为了让四大组件可以正常走生命周期函数,还需要对类加载器进行修正,修正的方式大概有两种方式,下面的内容中会详细的描述。可以实现在运行的时候加载在编译时未知的dex文件,经过此加载器的加载,ART虚拟机内存中会形成相应的数据结构,对应的dex文件也会由mmap映射到虚拟内存当中,通过此加载器的。
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-core 0001-string_frida...
frida arraybuffer 转hex
chilly
01-07 1593
function buf2hex(buffer) { // buffer is an ArrayBuffer // create a byte array (Uint8Array) that we can use to read the array buffer const byteArray = new Uint8Array(buffer); // for each element, we want to get its two-digit hexadecimal representati.
FRIDA进阶:内存漫游、hook anywhere、抓包
a6713827的专栏
10-21 954
本章中我们进一步介绍,大家在学习和工作中使用Frida的实际场景,比如动态查看安卓应用程序在当前内存中的状态,比如指哪儿就能hook哪儿,比如,还有使用Frida来自动化获取参数、返回值等数据,主动调用API获取签名结果sign等工作实际高频场景,最后介绍一些经常遇到的高频问题解决思路,希望可以切实地帮助到读者。
Frida 进阶:、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、抓包、fridaUiTools
热门推荐
freeking101的博客
10-17 1万+
Frida 进阶:、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、抓包、fridaUiTools
android+dex文件通用自动器,Android的加 之 修改源码实现Dalvik通用解决方案...
weixin_28872035的博客
05-25 402
前言本文将基于Android4.4.2_r1修改其源码实现通用解决方案。其原理就是源程序自己在调用DexClassLoader时,会将dex或者odex映射到内存中,我们只需要找到这个映射内存的地址和dex大小就可以将其从内存中dump下来。本文将在Android源码中修改代码进行内存dump。此次我将对以下方法进行修改从而抠出内存中的文件dvmDexFileOpenPartialdexF...
android反编译,Android圣战之---如何掉"爱加密"家的保护
weixin_30883241的博客
05-26 648
上面就简单分析了爱加密的原理和流程,但是我们没有继续往下面分析了,因为这个不是我们今天讲解的重点,我们今天的重点是如何掉爱加密的,那么还是开始说到的,的核心就一个:给dvmDexFileOpenPartial函数下断点,dump出内存的dex文件即可,那么下面我们就是用IDA开始操作了:第一步:启动设备中的android_server,然后进行端口转发adb forward tcp:2...
frida hook so层常用的方法
菜鸡小白的成长记录
03-06 4085
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
03-Frida API
qq_39249347的博客
09-15 900
Java对象 无论是想对so层亦或java层进行拦截,都必须编Java.perform(). Java.available() 用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机. function frida_Java(){ Java.perform(function () { if(Java.available) { console.log("hello java vm"); } e
3.Frida基本操作
刘翰文的博客
06-03 730
android studio下载 环境变量 网络连接手机 frida 注入命令 frida 注入函数 1.Frida各种基础操作 一句话调用栈hook [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aA2rRCjv-1654267054258)(https://s2.loli.net/2022/06/03/YngiqZhRX57uxcA.png)]......
Frida常用API:Java,Interceptor,NativePointer
Hu4
11-23 2153
前言 摘自肉丝老师博客 1.1 Java对象 Java是十分哦不,应该说是极其重要的API,无论是想对so层亦或java层进行拦截,都必须编Java.perform,在使用上面这些API时,应该都已经发现了吧~这章我们就来详细看看Java对象都有哪些API~ 1.1.1 Java.available 该函数一般用来判断当前进程是否加载了JavaVM,Dalvik或ART虚拟机,咱们来看代码示例! function frida_Java() { Java.perform(functio
安卓逆向入门之使用frida框架简单Hook native层的函数
muzico425的博客
09-06 412
公众号:菜鸟学Python编程作者:悦来客栈的老板请读者先完成第一篇中的例子再来学习这一篇,初探安卓逆向神器Frida‍都是比较简单的东西,像我这种初学者先找找逆向...
逆向案例-frida-demo-apk-01
03-13
逆向案例-frida-demo-apk-01
安卓逆向之—Frida持久化方案
08-02
安卓逆向之—Frida持久化方案 实例代码Frida 持久化方案,不需要改room ,容易集成到现有代码中。 主程序也可以和 frida js 进行交互。Frida 反检测机制比较好,比如端口检测,进程检测,都检测不到。
frida-unpack:基于Frida工具
05-06
基于Frida工具 0x0 frida环境搭建 frida环境搭建,参考frida官网:。 0x2 原理说明 利用frida hook libart.so中的OpenMemory方法,拿到内存中dex的地址,计算出dex文件的大小,从内存中将dex导出。 ps:查看...
frida-server-15.2.2-android-x86.xz
08-04
frida-server手机版安装压缩包,x86 32位架构
[frida]拦截SSL_read/SSL_write函数获得HTTPS请求和响应
tzwsoho的专栏
08-03 3913
此方法网上已经有很多文章介绍,可以绕过证书校验。这里只放出关键代码,hook.js: var SSL_read, SSL_write; const apiResolver = new ApiResolver('module'); apiResolver.enumerateMatches('exports:*libssl*!SSL_*').forEach(function (v) { if (v.name.indexOf('SSL_read') > 0) { SS
Frida 官方手册 中文版 ( 机翻+人翻 )
最新发布
freeking101的博客
03-24 2305
Frida 官方手册 中文版 ( 机翻+人翻 )
Frida API进阶-文件操作
helloworlddm的博客
09-06 4255
在前面的文章中介绍了数据库的操作,这篇文章主要介绍文件的操作。 当你在使用程序的时候,可以动态修改程序的文件操作,其实是很恐怖的,比如,本来是往文件中入100元钱,但是经过动态修改后变成了0元,据此可以脑洞大开一下。 文章目录文件和流文件File 文件和流 文件File new File(filePath, mode): open or create the file at filePath with the mode string specifying how it should be opened.
使用Frida进行测试,详细教程
06-10
Frida是一款强大的动态分析工具,可以用于测试。下面是使用Frida进行测试的详细教程: 1. 安装Frida 首先需要在电脑上安装Frida,可以从Frida官网下载安装包进行安装。安装完成后,可以在终端中输入以下命令来检查Frida是否安装成功: ``` frida-ps -U ``` 如果输出了设备中运行的进程信息,则Frida安装成功。 2. 查找目标应用程序 使用以下命令来查看设备上所有运行的应用程序: ``` frida-ps -U ``` 找到目标应用程序的进程ID或名称。 3. 编Frida脚本 编Frida脚本来实现功能。以下是一个简单的脚本示例: ``` function dump_memory(address, size, file_path) { var buffer = Memory.readByteArray(ptr(address), size); var file = new File(file_path, 'wb'); file.write(buffer); file.flush(); file.close(); console.log('Dumped memory to ' + file_path); } Interceptor.attach(Module.findExportByName(null, 'memcpy'), { onEnter: function(args) { if (args[0].toInt32() == 0x12345678) { dump_memory(args[1], args[2], '/sdcard/dump.bin'); } } }); ``` 这个脚本会在应用程序调用memcpy函数时,判断目标内存地址是否为0x12345678,如果是则将内存内容保存到指定的文件中。 4. 运行Frida脚本 使用以下命令来运行Frida脚本: ``` frida -U -l script.js -f com.example.app ``` 其中,-U表示连接USB设备,-l指定脚本文件,-f指定目标应用程序。 5. 测试脚本 运行目标应用程序,触发脚本中的条件,查看指定的文件是否成功保存了内存内容。 注意:脚本中的条件和保存路径需要根据实际情况进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值