本文致谢
本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。
上周末在家闲着无聊逛看雪论坛时,看到了这篇帖子:
https://bbs.pediy.com/thread-260783.htm
看到最后,查看了R7寄存器的值,顿时灵机一闪,刚学过了肉丝大佬教过的inline_hook,是不是可以直接打印R7的值?
先用IDA分析一波:
根据文章的提示,直接定位到这两行代码:
.text:00013F8C FE F7 2A E8 BLX j__Z3RC4PKhiS0_iPhPi ; RC4(uchar const*,int,uchar const*,int,uchar *,int *)
.text:00013F90 00 28 CMP R0, #0
作者说的是直接在这个cmp指令这里下断点,因此我也直接Hook这一行指令,看到偏移是 0x13F90,而它与上的指令只相隔2个字节,因此还需要 +1,所以内存中的真正偏移是 0x13F91。
思路就是根据so的基址 + 偏移来进行Hook,然后打印出相应寄存器的值(R7)即可。
很快,就写出了下面的代码:
function inline_hook()
{
var so_addr = Module.findBaseAddress("libwolf.so");
if (so_addr)
{
console.log("so_addr:", so_addr);
var addr_13F91 = so_addr.add(0x13F91);
console.log("The addr_13F91:", addr_13F91);
Java.perform(function ()
{
Interceptor.attach(addr_13F91,
{
onEnter: function (args)
{
console.log("addr_13F91 OnEnter :", Memory.readCString(this.context.r7));
},onLeave: function (retval) {},
})
})
}
}
setImmediate(inline_hook)
手机上打开app,让so加载进来,然后用frida进行Hook:
这个时候需要输入字符串,并按下按钮,触发_Z7DecryptPKcS0_函数的调用,随便输入一个字符串,然后按下 VERIFY IT! 按钮,看到frida脚本有输出:
可以看到轻而易举的就看到了结果,虽然是站在别人肩膀上的。哈哈。
思考:既然可以读取寄存器的值,那是否可以进行更改呢,然后让某些条件指令按相反的逻辑跳转?