Frida查找Native函数地址和所属SO模块的方法

已于 2024-04-03 17:52:14 修改
阅读量882 收藏 5
点赞数 6
文章标签: android
于 2024-04-03 17:52:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59162559/article/details/137353395
版权
本文详细介绍了如何使用Frida工具在Android环境中找到Native函数的地址,包括通过`RegisterNatives`动态注册函数和获取ArtMethod结构体地址以确定函数所属的SO模块。作者提供了相关函数和示例代码,帮助开发者理解Frida在动态调试中的应用。
摘要由CSDN通过智能技术生成

Frida查找Native函数地址和所属SO模块的方法

1. Frida hook RegisterNatives

动态注册的Native函数, 一般会调用RegisterNatives来注册Native函数。

从libart.so中查找RegisterNatives函数的指针地址, 然后使用 Interceptor.attach 来hook.

function find_RegisterNatives(params) {
    let symbols = Module.enumerateSymbolsSync("libart.so");
    let addrRegisterNatives = null;
    for (let i = 0; i < symbols.length; i++) {
        let symbol = symbols[i];
        
        //_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi
        if (symbol.name.indexOf("art") >= 0 &&
                symbol.name.indexOf("JNI") >= 0 && 
                symbol.name.indexOf("RegisterNatives") >= 0 && 
                symbol.name.indexOf("CheckJNI") < 0) {
            addrRegisterNatives = symbol.address;
            console.log("RegisterNatives is at ", symbol.address, symbol.name);
            hook_RegisterNatives(addrRegisterNatives)
        }
    }

}

function hook_RegisterNatives(addrRegisterNatives) {

    if (addrRegisterNatives != null) {
        Interceptor.attach(addrRegisterNatives, {
            onEnter: function (args) {
                console.log("[RegisterNatives] method_count:", args[3]);
                let java_class = args[1];
                let class_name = Java.vm.tryGetEnv().getClassName(java_class);
                //console.log(class_name);

                let methods_ptr = ptr(args[2]);

                let method_count = parseInt(args[3]);
                for (let i = 0; i < method_count; i++) {
                    let name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                    let sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                    let fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));

                    let name = Memory.readCString(name_ptr);
                    let sig = Memory.readCString(sig_ptr);
                    let symbol = DebugSymbol.fromAddress(fnPtr_ptr)
                    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr,  " fnOffset:", symbol, " callee:", DebugSymbol.fromAddress(this.returnAddress));
                }
            }
        });
    }
}

setImmediate(find_RegisterNatives);
2. Frida获取指定方法的ArtMethod结构体地址后查找偏移

查看frida源码得知对于某个类的某个函数, 都有一个handle属性(例如android/os/Process::getElapsedCpuTime, 有Java.use(“android/os/Process”).getElapsedCpuTime.handle), 这个handle属性是通过env->GetStaticMethodID或者env->GetMethodID获取,
在aosp中methodID为ArtMethod结构体指针, ArtMethod结构体中的entry_point_from_jni_属性是方法的入口指针地址, 根据该指针地址可以得到所属SO模块和在SO模块中的偏移.
由于AOSP每个版本的ArtMethod结构体entry_point_from_jni_属性的指针偏移地址可能不同, 因此需要通过计算得到, 思路是查找一个已知Native方法是由哪个SO模块中的某个方法实现的, 然后计算其在SO模块中的偏移。

function getJNICodeOffset() {
    const env = Java.vm.getEnv();
    const process = env.findClass("android/os/Process");
    const getElapsedCpuTime = env.getStaticMethodId(process, "getElapsedCpuTime", "()J");
    env.deleteLocalRef(process);

    const runtimeModule = Process.getModuleByName('libandroid_runtime.so');
    const runtimeStart = runtimeModule.base;
    const runtimeEnd = runtimeStart.add(runtimeModule.size);

    let jniCodeOffset = -1;
    for (let offset = 0; offset !== 64; offset += 4) {
        const field = getElapsedCpuTime.add(offset);
        const address = field.readPointer();
        if (address.compare(runtimeStart) >= 0 && address.compare(runtimeEnd) < 0) {
          jniCodeOffset = offset;
          break;
        }
    }

    return jniCodeOffset;
}

拿到偏移后可得到所属SO模块, 示例代码如下

function getMethodModule(method) {
    const handle = method.handle;
    const jni_code_offset = getJNICodeOffset();
    const entry = ptr(handle).add(jni_code_offset).readPointer();
    const module = Process.findModuleByAddress(entry);
    const offset = entry.sub(module?.base || 0);
    console.log(`module: ${module?.name}, entry: 0x${entry.toString(16)}, offset: 0x${offset.toString(16)}`);
    return [
        module,
        entry,
        offset
    ];
}

Java.perform(() => {
    getMethodModule(Java.use("com.meituan.android.common.mtguard.ShellBridge").main);
});

最后

如果想要成为架构师或想突破20~30K薪资范畴,那就不要局限在编码,业务,要会选型、扩展,提升编程思维。此外,良好的职业规划也很重要,学习的习惯很重要,但是最重要的还是要能持之以恒,任何不能坚持落实的计划都是空谈。

如果你没有方向,这里给大家分享一套由阿里高级架构师编写的《Android八大模块进阶笔记》,帮大家将杂乱、零散、碎片化的知识进行体系化的整理,让大家系统而高效地掌握Android开发的各个知识点。
img
相对于我们平时看的碎片化内容,这份笔记的知识点更系统化,更容易理解和记忆,是严格按照知识体系编排的。

欢迎大家一键三连支持,若需要文中资料,直接扫描文末CSDN官方认证微信卡片免费领取↓↓↓(文末还有ChatGPT机器人小福利哦,大家千万不要错过)

PS:群里还设有ChatGPT机器人,可以解答大家在工作上或者是技术上的问题
图片

大鱼Ss
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hook_ArtMethod_RegisterNative:挂钩艺术方法
05-03
hook_ArtMethod_RegisterNative 将libext.so 和libext64.so 放到 /data/app 目录下, chmod 777 , 并setenforce 0 frida -U -f 包名 -l hook_artmethod_register.js --no-pause 包含yang神的hook RegisterNatives 可以比较是否相同 参考 yang神的hook artmethod.js 来打印 ArtMethod* 得到函数方法和签名 hook ArtMethod::RegisterNative 可以得到更多的信息,动态注册无法逃离这个函数,防止某些app自实现动态注册,不走jni的registerNatives
Fridahook Native函数
BadRer的博客
03-17 1万+
前言最近发现了一个hook框架,蛮有意思的,上手也很容易。例题我拿的是阿里2014CTF第二个apk作为样本。主要是讲一些思路,具体的过程就不写了,网上有很多的。一、对于Frida来说Hook一个native函数很简单,其实和hook一个java层的代码是一样的。不多写了。但对于这题来说,仅仅hook代码是不够的,还需要从内存中泄露出key。 使用IDA打开crack.so关键在这里0ff_628
学习笔记-Frida反调试思路和hook native
人饭子的博客
11-11 2119
用户代码 native hook Frida反调试与反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida反调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 反调试 17种的so的反调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
fridahook_RegisterNatives.js两种
云霄IT的博客
05-31 264
【代码】frida之find_RegisterNatives。
Frida hook_RegisterNatives方法
热门推荐
Codeooo 博客
09-01 1万+
hook RegisterNative函数 命令: frida -U --no-pause -f cn.xiaochuankeji.tieba -l C:\Users\Administrator\Desktop\demo.js frida -U --no-pause 直接启动 -f ...
Android安全】Frida Native hook汇总
Juruo@Security
03-30 1200
Android安全】Frida Native hook汇总
Frida 静态分析和Hook Native函数
小龙在线
12-29 1516
Java调用so package com.gdufs.xman; import android.app.Application; import android.util.Log; public class MyApp extends Application { public static int m = 0; public native void initSN(); public native void saveSN(String str); public nati
trace_natives:一个小脚本,用于trace so中native函数的调用
03-25
一个IDA小脚本,获取SO代码段中所有函数的替换地址,再使用frida-trace批量跟踪so函数的调用。 使用方法 1.将traceNatives.py丢进IDA插件目录中 2.IDA中,Edit-Plugins-traceNatives IDA输出窗口就会显示如下字眼:...
python-3.7.9-arm64 下载 和 frida安装和使用方法
10-29
提供的压缩包文件"python-3.7.9-frida安装和使用方法"应该包含详细的步骤和示例,帮助用户快速上手Python 3.7.9的安装以及Frida的使用。阅读这份文档,结合实践操作,将有助于掌握这两种工具的配合使用。
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
Frida环境搭建方法
06-25
利用夜神模拟器搭建Frida环境,附带调试方法,亲测可行
frider:转储解压缩的dex,traceintercept Javanative函数Frida +亚行+ React + Django
04-25
枚举本机模块和导出函数/变量 跟踪参数和Java方法的检索(需要Burp进行拦截) 跟踪参数和本机函数的检索(不是真的,要求用户完成相关参数的解析) 安装 确保您使用的是最新的frida工具和frida服务器(在12.11.9上...
安卓逆向入门之使用frida框架简单Hook native层的函数
测试0901-1
08-28 4899
声明:本文只做技术交流,如有侵权,请告知删除,谢谢。请读者先完成第一篇中的例子再来学习这一篇,传送门:https://mp.weixin.qq.com/s/2kykNy-...
Android安全】查看app所有so的地址范围 | 查看某个so的基地址
Juruo@Security
03-13 665
Android安全】查看app所有so的地址范围 | 查看某个so的基地址
Frida-Hook-Native层操作大全
qq_24481913的博客
03-07 1910
可以看到在onLeave中有一个参数retval,这个retval,就是我们hook上的程序的返回值,我们可以使用retval.replace(val)来修改返回值。但是我们需要注意的是strcmp可能不止调用一次,因此我们需要判断strcmp的第一个参数是否为0我们才进行操作,不然hook可能会一直循环输出。程序在cmpstr中使用了strcmp函数,那么我们只需要拿到strcmp函数的传入参数就可以知道程序的正确输入了。获取了strcmp的地址就可以使用之前给的模板进行Hook了。
FridaHook(二)——Native函数
0nc3的博客
01-11 1217
下面是学习用Frida hook Native层的导出函数和未导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook函数,较为简单。而Hook 未导出函数是根据函数偏移量来确定被Hook函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 未导出函数方法Hook导出函数
记录一些逆向思路
No Title
11-18 277
记录一些逆向思路 hook registerNatives 当一些关键函数写在so库中,而so做了混淆和加固,无法通过jni_onload简单找出注册的native函数时,可通过hook registerNatives打印native函数的注册情况,帮助定位。frida hook脚本如下: github-frida_hook_libart hook call_array 当一个so被加固/加密,相关判断/解密代码很有可能写在构造函数里,因为它比库的其他函数执行都要早。如果我们要分析库的构造函数,可以hoo
Android】广播机制
最新发布
2301_79977698的博客
07-24 847
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
frida hook native
07-28
你好!Frida是一个强大的动态代码注入和调试工具,可以用于hook和修改应用程序的行为。如果你想要hook Native代码,可以使用Frida的JavaScript API来实现。 首先,你需要在设备上安装Frida,并确保设备已经越狱(iOS)或者已经root(Android)。 接下来,你需要编写一个JavaScript脚本来进行hook。在脚本中,你可以使用Frida提供的一些函数来定位和修改Native函数。 例如,下面的代码可以用来hook一个Native函数并修改它的行为: ```javascript // 导入Frida模块 const frida = require('frida'); // 目标进程的名称 const targetProcessName = 'your_target_process_name'; // 要hook函数名称 const targetFunctionName = 'your_target_function_name'; // Frida attach到目标进程 frida.attach(targetProcessName) .then(session => { // 创建一个脚本对象 const script = session.createScript(` // 找到目标函数 const targetFunction = Module.findExportByName(null, "${targetFunctionName}"); // 替换目标函数的实现 Interceptor.replace(targetFunction, new NativeCallback(() => { // 修改函数的行为,这里可以写你想要的逻辑 console.log("Function ${targetFunctionName} hooked!"); // 调用原始函数 const originalFunction = new NativeFunction(targetFunction, 'void', []); originalFunction.call(); // 可以在这里添加你的自定义代码 }, 'void', [])); }); // 加载并运行脚本 script.load() .then(() => { console.log("Script loaded successfully!"); }) .catch(error => { console.log(`Script error: ${error}`); }); }) .catch(error => { console.log(`Attach error: ${error}`); }); ``` 在上面的代码中,我们首先导入了Frida模块,然后指定了目标进程的名称和要hook函数名称。然后我们使用`frida.attach()`函数来连接到目标进程,并创建一个脚本对象。在脚本中,我们使用`Module.findExportByName()`函数来找到目标函数,然后使用`Interceptor.replace()`函数替换目标函数的实现。在替换的实现中,我们可以添加一些自定义的逻辑以修改函数的行为。 最后,我们使用`script.load()`函数加载并运行脚本。如果一切顺利,你应该能看到"Script loaded successfully!"的输出。 这只是一个简单的例子,你可以根据你的需求进行更复杂的hook和修改。希望对你有所帮助!如果有任何问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值