frida 常用的一些demo 打印native 函数的堆栈 参数,返回值 等

已于 2023-07-11 18:16:05 修改
阅读量1.2w 收藏 25
点赞数 6
分类专栏: frida hook 逆向 文章标签: frida python hooks
于 2021-09-14 10:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36535153/article/details/120282554
版权

1.frida hook native 打印寄存器和指针参数的值

var str_name_so = "libxxxx.so";    //要hook的so名
var str_name_func = "getxxxx";          //要hook的函数名

var n_addr_func = Module.findExportByName(str_name_so , str_name_func);

console.log("func ShowMessageBoxID addr is ---" + n_addr_func);

Interceptor.attach(n_addr_func, {
    
    onEnter: function(args)
    {     
     this.val = args[1];
	//获取到so某一处地址的寄存器的值
	console.log("addr_xxx OnEnter :", Memory.readCString(this.context.r7));
    },
    //在hook函数之后执行的语句
    onLeave:function(retval)
    { 
		//打印函数执行完后 参数地址的内容 如果 传入的是指针 在函数内部赋值 就需要在函数执行完后才打印
        //获取的方法  this.val = args[0] 这里是获取第1个参数  this.val = args[1]; 获取第二个参数
        //console.log(hexdump(this.val, { offset: 0,length: 1,header: false,ansi: false}));
        console.log(retval ); //打印返回值    
        //console.log("hook on leave")
    }
});

hook java类全部方法

function hookCls(params) {
	Java.perform(function(){
		var classname='xxxxxxx';
		var gclass = Java.use(classname);
		console.log('\n[Hook Class: '+classname+']');
		var gmethods = gclass.class.getDeclaredMethods();
		gmethods.forEach(function (method) {
			var methodName = method.getName();
			var overloads = gclass[methodName].overloads;
			overloads.forEach(function (overload) {
				var proto = '(';
				overload.argumentTypes.forEach(function (type) {proto += type.className + ', ';});
				if (proto.length > 1) {proto = proto.substr(0, proto.length - 2);}
				proto += ')';
				console.log('[HOOK:'+methodName+proto+' success!]');
				overload.implementation = function(){
				console.log('[Hooking: ' + methodName + proto+']');
					for(var i = 0; i < arguments.length; i++){
						console.log('\t[arg'+i+'] = '+arguments[i]);
					}
					var ret=this[methodName].apply(this, arguments);
					console.log('\t[return] ='+ret);
					return ret;
				}
			})
		})
	})
}

dump 某处的内存

var soAddr = Module.findBaseAddress("libFORScanLite.so");
var passwordAddr = soAddr.add(0x147C20);

console.log(hexdump(passwordAddr, {
    offset: 0,
    length: 0x1000,
    header: true,
    ansi: true,
}));

apk启动太快 找不到so基址的hook方法

//刚注入的时候这个so还没加载,需要hook dlopen
function inline_hook() {
    var base_hello_jni = Module.findBaseAddress("libxx.so");
    console.log("base_hello_jni:", base_hello_jni);
    if (base_hello_jni) {
        console.log(base_hello_jni);
        //inline hook
        var addr_07320 = base_hello_jni.add(0x2E637);//指令执行的地址,不是变量所在的栈或堆
        Interceptor.attach(addr_07320, {
            onEnter: function (args) {
                console.log("addr_07320 R0 R3:", this.context.r0,this.context.r3);//注意这里是怎么得到寄存器值的
            }, onLeave: function (retval) {
            }
        });
    }
}

//8.0以下所有的so加载都通过dlopen
function hook_dlopen() {
    var dlopen = Module.findExportByName(null, "dlopen");
    Interceptor.attach(dlopen, {
        onEnter: function (args) {
            this.call_hook = false;
            var so_name = ptr(args[0]).readCString();
            if (so_name.indexOf("libxx.so") >= 0) {
                console.log("dlopen:", ptr(args[0]).readCString());
                this.call_hook = true;//dlopen函数找到了
            }

        }, onLeave: function (retval) {
            if (this.call_hook) {//dlopen函数找到了就hook so
                inline_hook();
            }
        }
    });
    // 高版本Android系统使用android_dlopen_ext
    var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
    Interceptor.attach(android_dlopen_ext, {
        onEnter: function (args) {
            this.call_hook = false;
            var so_name = ptr(args[0]).readCString();
            if (so_name.indexOf("libxx.so") >= 0) {
                console.log("android_dlopen_ext:", ptr(args[0]).readCString());
                this.call_hook = true;
            }

        }, onLeave: function (retval) {
            if (this.call_hook) {

                inline_hook();
            }
        }
    });
}

native打印堆栈的方法

打印尽可能准确的堆栈信息

console.log('RegisterNatives called from:\\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\\n') + '\\n');

打印多的堆栈信息

console.log('RegisterNatives called from:\\n' + Thread.backtrace(this.context, Backtracer.FUZZY).map(DebugSymbol.fromAddress).join('\\n') + '\\n');

打印字符串

ptr(xxx).readUtf16String() //打印utf16编码 在有中文情况下好使 
ptr(xxx).readUtf8String() //打印标准编码
ptr(xxx).readCString()
ptr(xxx).readAnsiString()//仅仅 windows 上可用
Memory.readCString(xxx)

frida-trace

frida-trace -U -f com.astech.forscanlite -i "read"
frida-trace -U -f com.astech.forscanlite -i "fread"

打印fread 读取内容和长度 修改frida-trace handlers/libc.so/fread.js

  onEnter(log, args, state) {
    log('fread(buf ,len)',args[0],args[2]);
    this.buf = args[0]
    this.len = Number(args[2]) //使用Number() 转成数值
  },
  onLeave(log, retval, state) {
    console.log(hexdump(this.buf, {
      offset: 0,
      length: this.len,
      header: true,
      ansi: true,
  }));
  }
Native层和Java层frida打印调用堆栈
kfyzjd2008的博客
09-19 3721
方法2.根据需求修改类名和方法名。二、打印native调用栈。一、Java层打印调用堆栈
11、frida 打印参数、创建参数
csweldn520的专栏
09-05 723
frida 打印参数、创建参数
Frida 打印函数调用堆栈 便于回溯函数的整个调用过程
六桥风月IT随笔
09-22 2321
【代码】Frida 打印函数调用堆栈 便于回溯函数的整个调用过程。
Frida打印堆栈
chendipang的博客
04-08 4928
console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));//java打印堆栈 console.log(' called from:\n' +Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');//SO打印堆栈 .
frida-hook之参数快速定位
最新发布
qq_43685281的博客
03-28 312
frida 快速定位hook参数
Android逆向之旅---Hook神器家族的Frida工具使用详解
编码美丽
07-02 5671
一、前言在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xpo...
frida复杂类型参数打印参数转换、调用打印
热门推荐
weixin_35762183的博客
06-17 2万+
Frida是一款基于Python + JavaScript的Hook与调试框架。从Java层到Native层的Hook无所不能。我们分析app的参数加密的时候,经常使用他来帮助分析我们分析调试。 在hook我们的关键函数的时候,我们经常会把参数打和函数调用栈印出来,方便我们分析app的加密行为。 下面是总结的一些常用的方法: 参数打印问题 当参数是不是string类型的时候(HashMap、Map等),那我们打印出来查看的时候很可能显示[object Object]。 下面的一些方法可以帮助我们把他们转成s
Frida打印方法的调用堆栈
Network bandit
02-04 801
function printstack() { console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new())); }
Frida 打印调用方法 的堆栈信息
m0_51799739的博客
11-20 623
【代码】Frida 打印调用方法 的堆栈信息。
frida ios下获取oc对象的类名与对象方法名
聊技术、交朋友、喝小酒
07-03 480
frida ios下获取oc对象的类名与对象方法名
android 打印字节,[求助]frida如何打印 byte[] 类型的参数
weixin_30582289的博客
05-25 1563
2021-2-8 11:03之前看到的,稍微复杂点,打印的结果比较友好用法b2s(byte[])functionhexdump(buffer,blockSize){blockSize=blockSize||16;varlines=[];varhex="0123456789ABCDEF";for(varb=0;bvarblock=buffer.slice(...
Android反frida注入检测的demo
08-14
Android反frida注入检测的demo,端口检测,libc检测。
Frida Hook 常用函数、java 层 hook、so 层 hook、RPC、群控
墨鱼菜鸡
07-11 4587
From:Frida hook 常用函数分享:https://www.52pojie.cn/thread-1196917-1-1.html From:Frida Hook Android 常用方法:https://blog.csdn.net/zhy025907/article/details/89512096 Frida 使用:https://z...
安卓逆向_24( 一 ) --- Hook 框架 frida( Hook Java层 和 so层) )
墨鱼菜鸡
07-11 5684
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida ( 信抢红包 ):https://www.freebuf.com/company-information/180480.html APP逆向神器之F...
Frida Android hook
墨鱼菜鸡
07-11 4100
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 5004
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
如何写一个Android inline hook框架
DaoDivDiFang的博客
01-02 1856
Android_Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64 有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。 缺点: 1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。 2、不支持定义同类型的hook函数来接受处理参数,只能通过修改寄存器的方式修改参数。 ...
Frida打印调用
小龙在线
12-29 2046
打印调用栈很常用,可以通过java.lang.Exception类的getStackTrace().toString()获取栈的字符串。 package com.github.androiddemo.Activity; import android.content.Intent; public class FridaActivity10 extends BaseFridaActivity { @Override // com.github.androiddemo.Activity.BaseFri
frida 打印调用
qq_41236493的博客
02-19 2949
智姐姐的打印堆栈的脚本特别好用: console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));
ImportError: cannot import name 'Protocol' from 'typing'
05-30
这个错误通常是由于使用了过期的 Python 版本引起的,'Protocol' 是 Python 3.8 中引入的新类型,如果你的 Python 版本低于 3.8,那么就会出现该错误。如果你的 Python 版本不低于 3.8,那么可能是你的代码中存在其他问题。 为了解决这个问题,可以尝试以下几个方法: 1. 更新你的 Python 版本至 3.8 或更高版本。 2. 检查你的代码中是否存在拼写错误或其他语法错误。 3. 确认你的代码中是否有导入 'typing' 模块的其他部分,在这些部分中导入 'Protocol' 可能会导致此错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值