使用frida Hook 未导出函数

最新推荐文章于 2024-06-18 09:42:00 发布
最新推荐文章于 2024-06-18 09:42:00 发布
阅读量3.5k 收藏 6
点赞数 2
文章标签: 字符串 python javascript js go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/109508012
版权

样本apk下载地址:

https://pan.baidu.com/s/1QcMnrWBooGMJDHKem6kzSA 提取码: fkfi

界面如下,就是判断name和code是否输入正确。

java层的代码就不分析了,直接看so,其native层的校验函数如下:

双击进去看伪C代码,如下:

再双击跟进这个子函数,看看处理逻辑:

这里有两个子函数,现在关注后面的一个吧,

这里的v8 是返回值,如果不等于20,则返回 0,也就是校验失败。

跟进这个子函数,其代码特征比较像 base64的解码函数,

而且,我们查看 a456789 这个数组时,可以发现 base64的码表:

因此我们可以大胆的猜想,这就是 一个 base64的解码函数,其解码的字符串放进了 v23数组里面,函数的返回值猜想为 解码后的字符串长度。

那我们用 frida Hook来进行我们的猜想吧。

先记住这个子函数的相对地址 (0x1498):

frida Hook未导出函数,我已知的方法有两种:

一:通过 获取 so的基址 + 相对地址 + 1 就是函数的绝对地址了,至于为什么 +1 ,赵四大神的这篇文章说的很清楚,可以参考:

http://www.520monkey.com/archives/1256

很快,就可以写出如下的Hook代码:

Java.perform(function () {
    send("Running Script");


    var base_addr = Module.findBaseAddress("libCheckRegister.so");//获取 so的基址
    
    var nativePointer = base_addr.add(0x1498+1)  //加上相对地址,得到绝对地址,记住,这里一定要加1
    var result_pointer;
    Interceptor.attach(nativePointer,{
        onEnter:
            function(args){
                result_pointer = args[0] //将数组进行保存,供下面的函数使用
                console.log(Memory.readCString(args[1]));//打印第二个参数值
            },
        onLeave:
            function(retval){
                var resultPointer = new NativePointer(result_pointer);
                var resultstr = Memory.readUtf8String(resultPointer);//读取数组里面的值
                send(retval.toInt32());  //打印结果
                send("result pointer:" + resultPointer +", result:" + resultstr);//打印解码后的字符串
           }
        });


    send("Hooks installed.");
});

我们还需构造一个 20位长度的字符串,对其进行base64的编码,我这里选择 "12345678901234567890",其编码后的字符串是:

MTIzNDU2Nzg5MDEyMzQ1Njc4OTA=

app界面输入如下:

上面代码的Hook 结果:

Hook 出来的结果证实了之前的猜想。

二:通过获取 已导出的JNI 函数地址来作为跳板,计算so的基址,然后再加上未导出函数的相对地址,即可以得到函数的绝对地址,注意,这种方式获取 的地址不需要加1,因此,将上面的代码稍微改一下,就可以写出如下的Hook代码:

Java.perform(function () {
    send("Running Script");


    var base_addr = Module.findExportByName("libCheckRegister.so","Java_com_tencent_tencent2016a_MainActivity_NativeCheckRegister").sub(0x1758);//获取so的基址
    
    var nativePointer = base_addr.add(0x1498) //不需要 +1 
    
    var result_pointer;
    Interceptor.attach(nativePointer,{
        onEnter:
            function(args){
                result_pointer = args[0]
                console.log(Memory.readCString(args[1]));
            },
        onLeave:
            function(retval){
                var resultPointer = new NativePointer(result_pointer);
                var resultstr = Memory.readUtf8String(resultPointer);
                send(retval.toInt32());  
                send("result pointer:" + resultPointer +", result:" + resultstr);
           }
        });


    send("Hooks installed.");
});

其结果显示也是一样的:

悦来客栈的老板
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何调用内核导出函数
weixin_36145588的博客
06-04 2359
如何获取内核导出函数地址从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。当我们写驱动时,如果想调用一个并导出函数时,我们可以使用如下办法:以get_request函数为例,该函数原型为:static struct request *
frida hook导出函数
技术博客记录
02-08 212
【代码】frida hook导出函数
探索Frida的无限可能——Go语言绑定篇
最新发布
gitblog_00020的博客
06-18 328
???? 探索Frida的无限可能——Go语言绑定篇 项目地址:https://gitcode.com/frida/frida-go 在软件逆向工程和动态调试领域中,Frida早已声名鹊起,凭借其强大的远程代码注入能力和跨平台特性,成为了众多安全研究员与开发者的首选工具之一。今天,我们要特别关注的是一个令Go开发者喜出望外的消息——frida-go:Go语言对Frida的官方绑定! ???? 项目介绍 fri...
frida so hook 导出函数
weixin_33836874的博客
05-21 3104
先分析encode。 发现是一个导出函数。ida找它,如图所示。查看引用,找到调用它的函数。获取它在文件中的偏移,如图所示。hook 地址时记得加1。 # -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var soAddr = Module.findBaseAddress("...
导出函数导出函数,公开函数公开函数
weixin_33691817的博客
09-07 294
导出函数导出函数,公开函数公开函数 导出函数:顾名思义,出现在导出表(EAT)里面的函数,可以给外部调用的函数,验证是否为导出函数的方法,熟悉逆向的朋友可以使用LordPE之类的工具查看,当然也可以使用GetProcAddress或者MmGetSystemRoutineAddress之类的函数来获取地址,如果成功的话就是导出函数...
关于导出函数导出但是文档化的函数
huobengle
11-10 294
公开的函数导出文档化)是已经导出了,但是不能直接使用使用方法: 1。在驱动使用MmGetSystemRoutineAddress加函数名去获取函数的地址 2。在应用使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 导出函数使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
frida_wechat_hook
05-24
在本项目中,Fridahook功能被用来捕获微信进程中的消息接收函数调用,然后在调用前后插入自定义的JavaScript代码,实现消息的实时获取。 5. **实现过程** 实现这个项目通常包括以下步骤: - 安装Frida工具:...
frida-script:储存自己的FRIDA HOOK脚本
07-24
总结来说,"frida-script:储存自己的FRIDA HOOK脚本"意味着创建并保存一组个性化的Frida JavaScript脚本,用于对目标应用程序的关键函数进行Hook操作,以实现动态分析、调试或其他特定目的。这种能力使得Frida成为一...
Frida_Windows_Hook
04-13
Frida_Windows_Hook正在使用Windows渗透。 用法 如何: usage: Frida_Windows_Hook_v0.1.py 先决条件 要使用Web_Brute_Force_Attack,您需要在python环境中安装frida。 在您的python上安装frida的最简单方法是使用...
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
【标题】"enum_func.zip_FRIDA_frida hook_hook enum_安卓hook" 是一个与Frida相关的压缩包,主要用于在安卓平台上实现动态代码插桩(hook)功能,特别是针对.so动态链接库中的导出函数进行枚举和hook。这个压缩包...
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
2. **Python脚本编程**:鬼鬼FriDA工具利用Python编写脚本来实现各种操作,如hook函数、读取内存等。因此,熟悉Python编程是使用此工具的前提。 3. **设备ROOT权限**:由于Android系统的安全限制,很多系统级别的...
FridaHook(二)——Native函数
0nc3的博客
01-11 1256
下面是学习用Frida hook Native导出函数导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook函数,较为简单。而Hook 导出函数是根据函数偏移量来确定被Hook函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 导出函数的方法来Hook导出函数
frida hook不到方法
qq_41525018的博客
06-06 3074
对于frida hook 函数不成功,hook不到的思路整理
关于frida定位无误却无法hook到加密方法的见解
云霄IT的博客
01-10 961
这种方法进行hook加密函数,不料始终hook不到,没反应。思考了一下,应该是该app有多个进程,使用上面hook的不是加密进程,古应当用进程pid办法进行hook。查看该app的所有进程pid信息。使用pid方法进行hook
寻找导出函数函数地址
weixin_30433075的博客
04-19 426
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
hook导出native api的好办法
06-30 1136
昨天写的那个 hook ssdt的驱动,用的是硬编码的办法,这样在不同的系统中由于NtShutdownSystem的服务号都不相同,所以在不同的操作系统上代码都要做修改,这个比较不爽.今天听老大PJF说有避免硬编码的方法,google了下,发现下面的文章,代码稍微改了改,用在我的驱动中,果然好使.文章贴在下面:----------------------------------------
导出函数的调用方法
qq_41490873的博客
03-27 1148
只要在模块中找到函数的地址,就可以调用该函数。 有两种方法来查找: 通过特征码,在模块中暴力搜索 如果有别的已导出函数调用了这个导出函数,那么就可以通过已导出函数来查找这个导出函数的地址。 ...
解决Frida hook某些App,明明包名写对了,却找不到进程
zhengkanzhuang6120的博客
08-23 6520
这是因为,有些时候,hook的包名可能就是app的名字,比如最典型的,口碑App 解决这个问题的关键就是要知道所有进程是什么名字 可以用下面这个命令打印一下看看 #process = frida.get_usb_device().enumerate_processes() #print(process) 像我最近分析的口碑app就是这样,直接填app名字才能Hook到 process = frida.get_usb_device().attach(“口碑”) 坑啊,找了好久才知道原因! ...
frida hook so导出函数
weixin_34162695的博客
05-20 4303
只在4.4.4上运行成功7系统一直没成功,难受。 # -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var nativePointer = Module.findExportByName("libhello.so", "Java_com_xiaojianbang_app_Na...
写个frida hook构造函数例子
03-22
好的,下面是一个使用Frida hook构造函数的例子: ```javascript Java.perform(function() { var MyClass = Java.use('com.example.MyClass'); MyClass.$init.implementation = function(arg1, arg2) { console.log('Constructor called with args: ' + arg1 + ', ' + arg2); this.$init(arg1, arg2); }; }); ``` 这个例子中,我们使用Frida hook了一个名为MyClass的Java类的构造函数。在hook的实现中,我们打印了构造函数的参数,并调用了原始的构造函数实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值