安卓逆向入门之使用frida框架简单Hook native层的函数

最新推荐文章于 2024-03-07 21:19:57 发布
最新推荐文章于 2024-03-07 21:19:57 发布
阅读量454 收藏 2
点赞数

640?wx_fmt=png

公众号:640?wx_fmt=jpeg 菜鸟学Python编程 

 作者:悦来客栈的老板

请读者先完成第一篇中的例子再来学习这一篇,初探安卓逆向神器Frida

‍都是比较简单的东西,像我这种初学者先找找逆向的自信吧。

这篇是我的学习笔记,所以文章比较水,大佬还请轻喷。

这篇需要用到 IDA,所以请先安装IDA。

今天的案例主要会用到这里面教程的apk:

https://www.52pojie.cn/thread-313869-1-1.html

帖子比较早,但是用来学习还是有帮助的。

我们来破解他的第二个例子和第三个例子,分别修改入参和返回值,理解frida框该怎么对native层的函数进行简单的Hook。如果想了解更高深的知识,可以参考尼古拉斯_赵四的这篇文章:

https://blog.csdn.net/jiangwei0910410003/article/details/80372118

好了,言归正传,下载他的例在电脑上,并在手机端进行安装,例子链接:

http://pan.baidu.com/s/1i3wzetf

打开软件,按照他的要求,将100显示成其他的值:

640?wx_fmt=png

既然知道是函数在native层定义的直接,将 so文件拖入 IDA进行分析吧。

切换到 Exports面板,看看有哪些JNI函数:

640?wx_fmt=png

选择 第二个红色方框内的函数,双击跟进去:

640?wx_fmt=png

如果我没有猜错的话,这里的 #0x64就是它返回的数字 100吧,继续按F5,看看它的伪C代码:

640?wx_fmt=png

原来就是一个固定的返回值,那就好办了,按照官方的教程,写下frida脚本:

import frida,sys	

	
def on_message(message, data):	
    if message['type'] == 'send':	
        print("[*] {0}".format(message['payload']))	
    else:	
        print(message)	

	
jscode = """	
    var nativePointer = Module.findExportByName("libgg-jni.so","Java_com_ggndktest1_JniGg_getCoin");	
    send("native pointers:" + nativePointer);	
    Interceptor.attach(nativePointer,{	
        onEnter:function(args){	
            send(args);	
          },	
        onLeave:function(retval){	
            send(retval.toInt32());	
            retval.replace(1000000);	
            send(retval.toInt32());	
          }	
        	
    });	
"""	
process = frida.get_usb_device().attach('com.ggndktest1')	
script = process.create_script(jscode)	
script.on('message', on_message)	
print('[*] Running CTF')	
script.load()	
sys.stdin.read()

这段代码的作用将 100 改为了 1000000,先看看效果,再做说明。

手机连接电脑,开启frida服务,然后运行脚本,先点击手机上的返回键,然后再打开软件,结果如下:

640?wx_fmt=png

可以看到,已经修改成功了,再看看电脑端:

640?wx_fmt=png

下面对代码进行一些说明:

怎么查看包名及修改,上篇已经说过了。以后不再赘述,主要关注jscode代码段就好:

    var nativePointer = Module.findExportByName("libgg-jni.so","Java_com_ggndktest1_JniGg_getCoin");

看看官方教程对 Module.findExportByName的解释:

Module.findExportByName(moduleName|null, exportName),Module.getExportByName(moduleName|null, exportName)

returns the absolute address of the export named exportName in moduleName. If the module isn’t known you may pass null instead of its name, but this can be a costly search and should be avoided. In the event that no such module or export could be found, the find-prefixed function returns null whilst the get-prefixed function throws an exception.

这样就比较好理解,第一个参数是so的文件名,第二个参数导出的函数名,可以在IDA中直接复制:

640?wx_fmt=png

再来看看怎么修改返回值:

Interceptor.attach(target, callbacks): intercept calls to function attarget. This is a NativePointer specifying the address of the function you would like to intercept calls to. Note that on 32-bit ARM this address must have its least significant bit set to 0 for ARM functions, and 1 for Thumb functions. Frida takes care of this detail for you if you get the address from a Frida API (for example Module.getExportByName()).

The callbacks argument is an object containing one or more of:

  • onEnter: function (args): callback function given one argumentargs that can be used to read or write arguments as an array of NativePointer objects.

  • onLeave: function (retval): callback function given one argumentretval that is a NativePointer-derived object containing the raw return value. You may call retval.replace(1337) to replace the return value with the integer 1337, or retval.replace(ptr("0x1234")) to replace with a pointer. Note that this object is recycled across onLeave calls, so do not store and use it outside your callback. Make a deep copy if you need to store the contained value, e.g.: ptr(retval.toString()).

onEnter 这里函数传入的是一个数组,保存这传递进来的参数,可读可写。可以理解为 在Hook的那个函数调用之前执行的代码。

onLeave 这里是一个返回值,并可以将其进行修改,修改的方式又两种:

retval.replace(1337)  integer

retval.replace(ptr("0x1234")) pointer

有了官方的说明,我这里直接将100改为100000:

            retval.replace(1000000);

所以能修改成功。这是修改返回值,那怎么修改传入的参数呢?

不急,我们来看他的第三个案例,下载地址:

http://pan.baidu.com/s/1jG22HMY

他的要求:将当前用户类型修改为Gold Vip 用户。

640?wx_fmt=png

即将 Normal User 改为 Gold Vip。

那我们依然对so文件拖入到 IDA中,按照教程,我们需要了解这个函数的逻辑:

640?wx_fmt=png

双击跟进去看看:

640?wx_fmt=png

看汇编代码也能看懂,比较简单,不过是几个比较的指令,分别对 2,3,1进行比较,然后跳转不同的地方。我们还是看看它的伪C代码吧:

640?wx_fmt=png

这什么鬼????请教了 Lilac 大佬后,告诉我需要导入 jni.h头文件,按CTRL + F9进行头文件导入:

640?wx_fmt=png

然后在函数的第一个参数位置单击右键,选择 Convert to struct*:

640?wx_fmt=png

然后再选择_JNIEnv,

640?wx_fmt=png

代码变成了这样:

640?wx_fmt=png

然后我们在NewStringUTF右键,选择Force call type:

640?wx_fmt=png

然后点击确定,就看到了伪C代码:

640?wx_fmt=png

这里,它传递了3个参数,我们看逻辑,得知修改第三个参数就可以改变其逻辑,写下如下frida脚本,并运行:

import frida,sys	

	
def on_message(message, data):	
    if message['type'] == 'send':	
        print("[*] {0}".format(message['payload']))	
    else:	
        print(message)	

	
jscode = """	
    var nativePointer = Module.findExportByName("libgg-jni.so","Java_com_ggndktest1_JniGg_VipLevel");	
    send("native pointers:" + nativePointer);	
    Interceptor.attach(nativePointer,{	
        onEnter:function(args){	
            send(args[2]);	
            args[2]=ptr(1); 	
          },	
          	
        onLeave:function(retval){	
            send(retval)	
          }	
        	
    });	
"""	
process = frida.get_usb_device().attach('com.ggndktest1')	
script = process.create_script(jscode)	
script.on('message', on_message)	
print('[*] Running CTF')	
script.load()	
sys.stdin.read()

代码和案例2的代码差不多,这里就不过多讲解了。看看效果:

640?wx_fmt=png

可以看到,已经变成了 Gold Vip,说明修改已经成功了。

电脑端显示:

640?wx_fmt=png

这里的 0x5就是它原来传递的参数,被我改为了 1,也就将逻辑改变了。

比较简单,这只是一篇学习笔记,大佬们请轻喷。

再次感谢 Lilac 大佬提供的IDA相关的知识,省去了很多时间,果然有个大佬带要少走很多弯路呀。

推荐阅读

Python 爬虫面试题 170 道:2019 版

爬虫必备-JS之Dom操作大全

爬虫工程师教你如何入门Android逆向

把 Android App 逆向分为几步?三步

添加微信[italocxa].回复:加群,加入Python交流群

python学习开发
关注
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Native
kfyzjd2008的博客
03-02 1409
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
基于frida框架Hook native中的函数(1)
墨鱼菜鸡
06-24 194
作者:H01mes撰写的这篇关于frida框架hook native函数的文章很不错,值得推荐和学习,也感谢原作者。0x01 前言关于android的hook以前一直用的xposed来hook java函数,对于so则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到fri...
Fridahook Native函数
热门推荐
BadRer的博客
03-17 1万+
前言最近发现了一个hook框架,蛮有意思的,上手也很容易。例题我拿的是阿里2014CTF第二个apk作为样本。主要是讲一些思路,具体的过程就不写了,网上有很多的。一、对于Frida来说Hook一个native函数简单,其实和hook一个java的代码是一样的。不多写了。但对于这题来说,仅仅hook代码是不够的,还需要从内存中泄露出key。 使用IDA打开crack.so关键在这里0ff_628
python hook android_Frida入门学习笔记-hook native中的函数(1)
weixin_39790102的博客
12-16 549
0x01 前言关于android的hook以前一直用的xposed来hook java函数,对于so则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
FridaHook(二)——Native函数
0nc3的博客
01-11 1399
下面是学习用Frida hook Native的导出函数和未导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook函数,较为简单。而Hook 未导出函数是根据函数偏移量来确定被Hook函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 未导出函数的方法来Hook导出函数
Frida NativeHOOK
YJJYXM的博客
12-18 1003
实例hook案例app成功打印返回值、参数。
渗透测试-Frida逆向入门nativeHook
cdyunaq的博客
02-23 2300
该文章来自R0ysue书籍SO HOOk的总结 11.1 Native基础 11.1.1 NDK基础介绍: 1、安卓开发中除了java编译的dex由ART/Davilk虚拟机执行外、还存在C/C++编译的动态链接库文件由CPU执行 2、JAVA依赖SDK、C/C++需要NDK依赖库 3、NDK关键之一JNI、JNI可以完成在java调用C/C++函数。也可以在C/C++中调用java函数 4、JNI是JVM虚拟机的一部分 11.2.1 NDK开发 创建项目,会比不使用NDK的多cpp目录,c
安卓逆向_24( 一 ) --- Hook 框架 fridaHook Java 和 so) )
墨鱼菜鸡
07-11 5201
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
Frida-Hook-Native操作大全
最新发布
qq_24481913的博客
03-07 2356
可以看到在onLeave中有一个参数retval,这个retval,就是我们hook上的程序的返回值,我们可以使用retval.replace(val)来修改返回值。但是我们需要注意的是strcmp可能不止调用一次,因此我们需要判断strcmp的第一个参数是否为0我们才进行操作,不然hook可能会一直循环输出。程序在cmpstr中使用了strcmp函数,那么我们只需要拿到strcmp函数的传入参数就可以知道程序的正确输入了。获取了strcmp的地址就可以使用之前给的模板进行Hook了。
【Android安全】Frida Native hook汇总
Juruo@Security
03-30 1304
【Android安全】Frida Native hook汇总
2、frida入门教程-hook
键盘的起始页
03-04 1万+
frida常见命令 --------------------------------------------------------------------------------- 方式一、frida直接关联 js脚本hook 1、编写js hook函数 test.js源码: Interceptor.attach(Module.findExportByName("libc.so"...
3.frida NativeHook
高新园养鸡场
03-12 2407
测试用例 本次的hook代码都用 frida-tools方式 书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改,不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml
Frida实战:Java、Native、SO面的Hook与主动调用详解
beidideshu的博客
03-06 4176
Frida实战:Java、Native、SO面的Hook与主动调用详解
使用Frida hook 获取native代码的返回值
weixin_45008664的博客
10-03 1435
frida hook简单使用
Frida-NativeHook
github_38641765的博客
05-13 2033
frida hook 第三方库中任意地址的函数
安卓hook工具Frida怎么安装
Memory_and_Dream的博客
09-26 1178
虽然网上一堆教程,但是我能说我搞定整个环境用了整整3天!! 中间踩了一堆坑,总之就是frida需要的各部分版本需要能互相兼容!最后我成功的版本是python3.7+frida 12.7.5+ frida-server x86 +win10+夜神模拟器安卓5.1,每一部分的版本我都换过才解决了所有问题,所以不想浪费时间的就老老实实得装一样的版本吧。 首先本机安装python3的frida模块和fri...
frida hook so JNIEnv函数hook
weixin_33704591的博客
05-21 891
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ function hexToBytes(str) { var pos = 0; var len = str.length; if (len % 2 != 0) { ...
frida hook native
07-28
你好!Frida是一个强大的动态代码注入和调试工具,可以用于hook和修改应用程序的行为。如果你想要hook Native代码,可以使用Frida的JavaScript API来实现。 首先,你需要在设备上安装Frida,并确保设备已经越狱(iOS)或者已经root(Android)。 接下来,你需要编写一个JavaScript脚本来进行hook。在脚本中,你可以使用Frida提供的一些函数来定位和修改Native函数。 例如,下面的代码可以用来hook一个Native函数并修改它的行为: ```javascript // 导入Frida模块 const frida = require('frida'); // 目标进程的名称 const targetProcessName = 'your_target_process_name'; // 要hook函数名称 const targetFunctionName = 'your_target_function_name'; // Frida attach到目标进程 frida.attach(targetProcessName) .then(session => { // 创建一个脚本对象 const script = session.createScript(` // 找到目标函数 const targetFunction = Module.findExportByName(null, "${targetFunctionName}"); // 替换目标函数的实现 Interceptor.replace(targetFunction, new NativeCallback(() => { // 修改函数的行为,这里可以写你想要的逻辑 console.log("Function ${targetFunctionName} hooked!"); // 调用原始函数 const originalFunction = new NativeFunction(targetFunction, 'void', []); originalFunction.call(); // 可以在这里添加你的自定义代码 }, 'void', [])); }); // 加载并运行脚本 script.load() .then(() => { console.log("Script loaded successfully!"); }) .catch(error => { console.log(`Script error: ${error}`); }); }) .catch(error => { console.log(`Attach error: ${error}`); }); ``` 在上面的代码中,我们首先导入了Frida模块,然后指定了目标进程的名称和要hook函数名称。然后我们使用`frida.attach()`函数来连接到目标进程,并创建一个脚本对象。在脚本中,我们使用`Module.findExportByName()`函数来找到目标函数,然后使用`Interceptor.replace()`函数替换目标函数的实现。在替换的实现中,我们可以添加一些自定义的逻辑以修改函数的行为。 最后,我们使用`script.load()`函数加载并运行脚本。如果一切顺利,你应该能看到"Script loaded successfully!"的输出。 这只是一个简单的例子,你可以根据你的需求进行更复杂的hook和修改。希望对你有所帮助!如果有任何问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值