frida 常用的一些demo 打印native 函数的堆栈 参数,返回值 等

已于 2023-07-11 18:16:05 修改
阅读量8.3k 收藏 19
点赞数 4
分类专栏: frida hook 逆向 文章标签: frida python hooks
于 2021-09-14 10:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36535153/article/details/120282554
版权
逆向 同时被 3 个专栏收录
23 篇文章 5 订阅
订阅专栏
hook
2 篇文章 1 订阅
订阅专栏
frida
1 篇文章 3 订阅
订阅专栏

1.frida hook native 打印寄存器和指针参数的值

var str_name_so = "libxxxx.so";    //要hook的so名
var str_name_func = "getxxxx";          //要hook的函数名

var n_addr_func = Module.findExportByName(str_name_so , str_name_func);

console.log("func ShowMessageBoxID addr is ---" + n_addr_func);

Interceptor.attach(n_addr_func, {
    
    onEnter: function(args)
    {     
     this.val = args[1];
	//获取到so某一处地址的寄存器的值
	console.log("addr_xxx OnEnter :", Memory.readCString(this.context.r7));
    },
    //在hook函数之后执行的语句
    onLeave:function(retval)
    { 
		//打印函数执行完后 参数地址的内容 如果 传入的是指针 在函数内部赋值 就需要在函数执行完后才打印
        //获取的方法  this.val = args[0] 这里是获取第1个参数  this.val = args[1]; 获取第二个参数
        //console.log(hexdump(this.val, { offset: 0,length: 1,header: false,ansi: false}));
        console.log(retval ); //打印返回值    
        //console.log("hook on leave")
    }
});

hook java类全部方法

function hookCls(params) {
	Java.perform(function(){
		var classname='xxxxxxx';
		var gclass = Java.use(classname);
		console.log('\n[Hook Class: '+classname+']');
		var gmethods = gclass.class.getDeclaredMethods();
		gmethods.forEach(function (method) {
			var methodName = method.getName();
			var overloads = gclass[methodName].overloads;
			overloads.forEach(function (overload) {
				var proto = '(';
				overload.argumentTypes.forEach(function (type) {proto += type.className + ', ';});
				if (proto.length > 1) {proto = proto.substr(0, proto.length - 2);}
				proto += ')';
				console.log('[HOOK:'+methodName+proto+' success!]');
				overload.implementation = function(){
				console.log('[Hooking: ' + methodName + proto+']');
					for(var i = 0; i < arguments.length; i++){
						console.log('\t[arg'+i+'] = '+arguments[i]);
					}
					var ret=this[methodName].apply(this, arguments);
					console.log('\t[return] ='+ret);
					return ret;
				}
			})
		})
	})
}

dump 某处的内存

var soAddr = Module.findBaseAddress("libFORScanLite.so");
var passwordAddr = soAddr.add(0x147C20);

console.log(hexdump(passwordAddr, {
    offset: 0,
    length: 0x1000,
    header: true,
    ansi: true,
}));

apk启动太快 找不到so基址的hook方法

//刚注入的时候这个so还没加载,需要hook dlopen
function inline_hook() {
    var base_hello_jni = Module.findBaseAddress("libxx.so");
    console.log("base_hello_jni:", base_hello_jni);
    if (base_hello_jni) {
        console.log(base_hello_jni);
        //inline hook
        var addr_07320 = base_hello_jni.add(0x2E637);//指令执行的地址,不是变量所在的栈或堆
        Interceptor.attach(addr_07320, {
            onEnter: function (args) {
                console.log("addr_07320 R0 R3:", this.context.r0,this.context.r3);//注意这里是怎么得到寄存器值的
            }, onLeave: function (retval) {
            }
        });
    }
}

//8.0以下所有的so加载都通过dlopen
function hook_dlopen() {
    var dlopen = Module.findExportByName(null, "dlopen");
    Interceptor.attach(dlopen, {
        onEnter: function (args) {
            this.call_hook = false;
            var so_name = ptr(args[0]).readCString();
            if (so_name.indexOf("libxx.so") >= 0) {
                console.log("dlopen:", ptr(args[0]).readCString());
                this.call_hook = true;//dlopen函数找到了
            }

        }, onLeave: function (retval) {
            if (this.call_hook) {//dlopen函数找到了就hook so
                inline_hook();
            }
        }
    });
    // 高版本Android系统使用android_dlopen_ext
    var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
    Interceptor.attach(android_dlopen_ext, {
        onEnter: function (args) {
            this.call_hook = false;
            var so_name = ptr(args[0]).readCString();
            if (so_name.indexOf("libxx.so") >= 0) {
                console.log("android_dlopen_ext:", ptr(args[0]).readCString());
                this.call_hook = true;
            }

        }, onLeave: function (retval) {
            if (this.call_hook) {

                inline_hook();
            }
        }
    });
}

native打印堆栈的方法

打印尽可能准确的堆栈信息

console.log('RegisterNatives called from:\\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\\n') + '\\n');

打印多的堆栈信息

console.log('RegisterNatives called from:\\n' + Thread.backtrace(this.context, Backtracer.FUZZY).map(DebugSymbol.fromAddress).join('\\n') + '\\n');

打印字符串

ptr(xxx).readUtf16String() //打印utf16编码 在有中文情况下好使 
ptr(xxx).readUtf8String() //打印标准编码
ptr(xxx).readCString()
ptr(xxx).readAnsiString()//仅仅 windows 上可用
Memory.readCString(xxx)

frida-trace

frida-trace -U -f com.astech.forscanlite -i "read"
frida-trace -U -f com.astech.forscanlite -i "fread"

打印fread 读取内容和长度 修改frida-trace handlers/libc.so/fread.js

  onEnter(log, args, state) {
    log('fread(buf ,len)',args[0],args[2]);
    this.buf = args[0]
    this.len = Number(args[2]) //使用Number() 转成数值
  },
  onLeave(log, retval, state) {
    console.log(hexdump(this.buf, {
      offset: 0,
      length: this.len,
      header: true,
      ansi: true,
  }));
  }
还好一切都可以重来
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Native层和Java层frida打印调用堆栈
kfyzjd2008的博客
09-19 3122
方法2.根据需求修改类名和方法名。二、打印native调用栈。一、Java层打印调用堆栈
逆向案例-frida-demo-apk-01
03-13
逆向案例-frida-demo-apk-01
Android反frida注入检测的demo
08-14
Android反frida注入检测的demo,端口检测,libc检测。
frida常用代码
最新发布
u013347872的博客
05-21 551
** 一般情况在内存中能直接看到的类型都是c的类型 java是不在内存中的 java在虚拟机中运行*///这个非常好用可以用在在内存中搜索字符串特征来定位算法位置。//也可以用来搜索svc指令 来做反调试。//通过函数指针主动调用函数。//得到函数返回值
Frida打印调用
小龙在线
12-29 1716
打印调用栈很常用,可以通过java.lang.Exception类的getStackTrace().toString()获取栈的字符串。 package com.github.androiddemo.Activity; import android.content.Intent; public class FridaActivity10 extends BaseFridaActivity { @Override // com.github.androiddemo.Activity.BaseFri
Python反反爬虫 - Frida破解某安卓社区token反爬虫
muzico425的博客
10-11 575
前言不多逼逼,这个安卓社区就是酷安,以前想过要爬这软件,但是都忘了,几天前抓了下它的包,发现请求 headers 里有一个 token 验证,果断就给破了分析过程先抓个包...
android java 堆栈_Android下打印调试堆栈方法 | 学步园
weixin_39926540的博客
02-21 308
打印堆栈是调试的常用方法,一般出现异常时,我们可以在跑出异常时也将堆栈情况打印出来,这样十分方便错误查找。另外实际上也有一个非常有用的功能:分析代码的行为。android代码太过庞大了,完全的静态分析经常是无从下手,因此通过打印堆栈的动态分析也十分必要。Android打印堆栈的方法,简单归类一下1. zygote的堆栈dump实际上这个可以同时dump java线程及native线程的堆栈,对于j...
frida复杂类型参数打印参数转换、调用打印
weixin_35762183的博客
06-17 1万+
Frida是一款基于Python + JavaScript的Hook与调试框架。从Java层到Native层的Hook无所不能。我们分析app的参数加密的时候,经常使用他来帮助分析我们分析调试。 在hook我们的关键函数的时候,我们经常会把参数打和函数调用栈印出来,方便我们分析app的加密行为。 下面是总结的一些常用的方法: 参数打印问题 当参数是不是string类型的时候(HashMap、Map等),那我们打印出来查看的时候很可能显示[object Object]。 下面的一些方法可以帮助我们把他们转成s
native方法_使用Frida调用native方法
weixin_39805644的博客
12-05 3141
今天以某个可爱的App为例,使用Frida调用一下这里面的native方法。我们有时候想分析一个App的网络通讯协议时,又不想(主要是懒)从so文件内复原出加密方法,这时候使用Frida调用一下native方法,简单又方便~先看看这个native方法:三百行的伪代码,属实难受,我们使用Frida的rpc调用导出函数的方法搞一下,文档在这:rpc.exports: empty object...
app安全之安卓native层安全分析(一):frida 与unidbg
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-18 1571
这个专题是根据龙哥的unidbg博客的案例,核心部分会借鉴龙哥的unidbg,通过借鉴大佬的思路,完整的分析某个so层的加密参数各位朋友也可以直接读龙哥的博客,我只是用我的角度进一步加工一下SO入门实战教程一:OASIS_so学习路线_白龙~的博客-CSDN博客unidbg 是一个基于 unicorn 的安全分析工具,可以实现黑盒调用安卓和 iOS 中的 so 文件unidbg是凯神写的一个开源的java项目。
FridaHook整理】Frida安装及Hook安卓常用脚本
热门推荐
杰孑的博客
04-06 2万+
1 概述 在逆向过程中,Frida是非常常用Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
trace_natives:一个小脚本,用于trace so中native函数调用
03-25
确实,搞清楚流向的件挺重要的事,只要代码复杂一些,函数多一些,分支多一些,通过函数指针还原多一些……无论哪一个多一些,静态分析SO就会变得十分恼人。 得益于Frida布道师以及看雪Android逆向课程的大力推广,...
自用存档 打印frida使用过程中出现的复杂类型
02-25
在这个自用存档中,我们看到重点是关于在使用Frida过程中遇到的“复杂类型”打印。这通常指的是在处理非基本数据类型,如对象、数组、结构体或嵌套类型的打印时所遇到的问题。 `r0gson.dex`文件可能是Android应用中...
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
Android系统代码打印堆栈信息
yezi121363的专栏
04-25 2336
(1)#include <utils/CallStack.h> using namespace android; 需要打印堆栈地方加如下代码 CallStack stack; stack.update(); stack.log(LOG_TAG); (2)makefile 需要链接so库libutilscallstack
frida 打印调用
彦文的专栏
09-15 3753
//调用方法 function printStack() { Java.perform(function () { var Exception = Java.use("java.lang.Exception"); var ins = Exception.$new("Exception"); var straces = ins.getStackTrace(); if (straces != undefined && str
5、frida进阶-Android逆向之旅---Hook神器家族的Frida工具使用详解
键盘的起始页
03-07 1万+
本文转载自:https://www.cnblogs.com/qwangxiao/p/9255328.html 一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个...
android平台HOOK框架汇总之Frida
云守护的专栏
03-01 4422
0x00 前言 Frida是一款基于python + javascript 的hook框架,通杀android\ios\linux\win\osx等各平台,由于是基于脚本的交互,因此相比xposed和substrace cydia更加便捷,本文重点介绍Frida在android下面的使用。 Frida的官网为:http://www.frida.re/ https://www.
frida hook native
07-28
你好!Frida是一个强大的动态代码注入和调试工具,可以用于hook和修改应用程序的行为。如果你想要hook Native代码,可以使用Frida的JavaScript API来实现。 首先,你需要在设备上安装Frida,并确保设备已经越狱(iOS)或者已经root(Android)。 接下来,你需要编写一个JavaScript脚本来进行hook。在脚本中,你可以使用Frida提供的一些函数来定位和修改Native函数。 例如,下面的代码可以用来hook一个Native函数并修改它的行为: ```javascript // 导入Frida模块 const frida = require('frida'); // 目标进程的名称 const targetProcessName = 'your_target_process_name'; // 要hook函数名称 const targetFunctionName = 'your_target_function_name'; // Frida attach到目标进程 frida.attach(targetProcessName) .then(session => { // 创建一个脚本对象 const script = session.createScript(` // 找到目标函数 const targetFunction = Module.findExportByName(null, "${targetFunctionName}"); // 替换目标函数的实现 Interceptor.replace(targetFunction, new NativeCallback(() => { // 修改函数的行为,这里可以写你想要的逻辑 console.log("Function ${targetFunctionName} hooked!"); // 调用原始函数 const originalFunction = new NativeFunction(targetFunction, 'void', []); originalFunction.call(); // 可以在这里添加你的自定义代码 }, 'void', [])); }); // 加载并运行脚本 script.load() .then(() => { console.log("Script loaded successfully!"); }) .catch(error => { console.log(`Script error: ${error}`); }); }) .catch(error => { console.log(`Attach error: ${error}`); }); ``` 在上面的代码中,我们首先导入了Frida模块,然后指定了目标进程的名称和要hook函数名称。然后我们使用`frida.attach()`函数来连接到目标进程,并创建一个脚本对象。在脚本中,我们使用`Module.findExportByName()`函数来找到目标函数,然后使用`Interceptor.replace()`函数替换目标函数的实现。在替换的实现中,我们可以添加一些自定义的逻辑以修改函数的行为。 最后,我们使用`script.load()`函数加载并运行脚本。如果一切顺利,你应该能看到"Script loaded successfully!"的输出。 这只是一个简单的例子,你可以根据你的需求进行更复杂的hook和修改。希望对你有所帮助!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值