Android之Frida框架完全使用指南

最新推荐文章于 2024-08-10 21:45:25 发布
最新推荐文章于 2024-08-10 21:45:25 发布
阅读量1.4w 收藏 74
点赞数 17
分类专栏: 安卓逆向 文章标签: android frida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38474570/article/details/120876120
版权

文章目录

Frida简介

Frida是一款基于Python + JavaScript 的hook框架,本质是一种动态插桩技术。可以用于Android、Windows、iOS等各大平台,其执行脚本基于Python或者Node.js写成,而注入代码用JavaScript写成,所以有必要了解一些这些语言的语法。本文主要讲述了Android上Frida框架的使用。

环境搭建

python安装与虚拟环境配置

使用Frida需要Python 3环境,首先需要安装python3.7版本,安装完成之后再安装虚拟环境。

安装virtualenvwrapper

pip install virtualenvwrapper-win -i https://pypi.doubanio.com/simple

配置虚拟环境变量->WORKON_HOME

在这里插入图片描述

将WORKON_HOME添加到用户变量,可以修改虚拟环境的存储路径

创建虚拟环境

mkvirtualenv --python=C:\Python37\python.exe FridaHook

进入虚拟环境

workon FridaHook

建立好虚拟环境以后,所有的修改都是针对虚拟环境

Frida安装

pip install frida -i https://pypi.mirrors.ustc.edu.cn/simple/ 
pip install frida-tools -i https://pypi.mirrors.ustc.edu.cn/simple/

使用pip命令可以直接安装frida,但是速度会比较慢。坐下来喝杯茶慢慢等就行了。

(FridaHook) C:\Users\87321\Desktop>frida --version
15.1.4

(FridaHook) C:\Users\87321\Desktop>

安装完成之后可以查看版本表示安装成功

配置代码提示

安装vscode,配置vscode语言中文简体。打开"vscode" , 按快捷键"Ctrl+Shift+P",在顶部搜索框中输入"configure language"

安装nodejs,新建一个文件夹,在目录下执行下面这条命令

npm i @types/frida-gum

在这里插入图片描述

执行完成之后在文件夹中新建js脚本

在这里插入图片描述

此时就会出现相关的代码提示

Server环境配置

https://github.com/frida/frida/releases

下载Frida的Server端->frida-server-15.1.4-android-arm64.xz,下载完成之后解压。然后push到手机的data/local/tmp目录下,和IDA的动态调试有点类似

adb push .\frida-server-15.1.4-android-arm64 /data/local/tmp/frida

然后修改权限

# chmod 777 frida

直接运行frida服务

./frida

开启端口转发

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

PC端输入

frida-ps -U

如果能显示进程列表说明环境搭建完成

在这里插入图片描述

注意这条命令需要在python虚拟环境中执行

安装低版本Frida

由于Frida的稳定性较差,我用Android6.0的系统安装Frida最新版本出现了问题。解决方案是安装低版本的Frida,用下面的命令即可。

pip install frida==12.8.0
pip install frida-tools==5.3.0
pip install objection==1.8.4

Frida Hook

执行HOOK

首先来说一下如何执行hook代码

  1. 启动时hook,CMD输入
frida -U -f com.test.apk -l test.js --no-pause

将 com.test.apk 换成你手机里安装好的任意apk包名

  1. 启动apk后 hook
frida -U -f com.test.apk --no-pause
%load test.js

看到这个提示说明hook成功

在这里插入图片描述

Java层hook

Frida的Java层重要函数

  1. 使用java平台—>Java.perform(function () {}
  2. 获取Java类 —>Java.use(className)
  3. 当我们获取到Java类之后,我们直接通过 <wrapper>.<method>.implementations =function() {}的方式来hook wrapper类的method方法,不管是实例方法还是静态方法都可以
Hook普通方法

被hook的代码如下;

package com.example.hookdemo01;


public class Student {
    static public int Add(int a,int b)
    {
        return a+b;
    }

}

接着编写Hook代码

function main()
{
     //使用java平台
     Java.perform(
        function() {
            //获取java类
            var student=Java.use("com.example.hookdemo01.Student");
            //hook Add方法(重写Add方法) 
            student.Add.implementation=function(a,b)
            {
                //修改参数
                a=123;
                b=456;
                //调用原来的函数
                var res = this.Add(a,b);
                //输出结果
                console.log(a,b,res);
                return res;
            }
        }

     );
    
}

setImmediate(main)

实际效果:

在这里插入图片描述

接着我们执行hook,可以看到Frida成功打印出了我们修改后的参数

重载方法

在这里插入图片描述

修改一下目标代码,新增三个重载函数,接着编写hook代码

//hook重载方法
function hookTest1()
{
    //获取java类
    var student=Java.use("com.example.hookdemo01.Student");
    //hook test
    student.test.overload('int').implementation=function(a)
    {
        //修改参数
        a=123;
        //调用原来的函数 
        var res = this.test(a);
       
        //输出结果
        console.log(a,res);
        return res;
    }
}

hook重载函数和hook普通方法有所区别,需要在方法名后调用overload()函数,并在括号内传入需要hook的重载函数的参数。

实际效果:

在这里插入图片描述

执行hook,同样可以对函数参数进行修改。

//hook所有重载函数
function hookTest2()
{
    //获取java类
    var student=Java.use("com.example.hookdemo01.Student");
    //重载方法的个数
    var overlength=student.test.overloads.length;
    //循环hook所有重载方法
    for(var i=0;i<overlength;i++)
    {
        student.test.overloads[i].implementation=function()
        {
            //打印参数个数
            console.log(arguments.length);
            return this.test.apply(this,arguments);
        }
    }
    
}

同时,我们也可以用overloads来对所有的重载函数进行hook,每一个重载函数只需要用arguments.length来进行区分即可。

构造方法

在这里插入图片描述

再次修改代码,添加一个构造函数,接着编写hook代码

//hook构造函数
function hookTest3()
{
    //获取java类
    var student=Java.use("com.example.hookdemo01.Student");
    
    student.$init.implementation=function(name,age)
    {
        //输出参数
        console.log(name,age);

        //调用原函数
        this.$init(name,age);

        //调用构造函数
        //student.$new("guishou",888);

    }
      
}

hook构造函数需要用$init来代替函数名,另外,可以用$new方法来调用构造函数,并且获取一个新的对象

修改类字段

在这里插入图片描述

修改代码,添加一个静态字段和一个私有字段,接着编写Hook代码

//修改类字段
function hookTest4()
{
    //获取java类
    var student=Java.use("com.example.hookdemo01.Student");
     //修改静态字段
    student.nickname.value="GuiShouFlags";
    console.log(student.nickname.value);
    
    //修改非静态字段
    Java.choose("com.example.hookdemo01.Student",{
        //每遍历一个对象都会调用onMatch
        onMatch:function(obj)
        {
            //修改每个对象的字段
            obj.number.value=999;
            console.log(obj.number.value);
            
            //字段名和函数名相同需要加下划线
            //obj._number.value=999;
        },
        //遍历完成后调用onComplete
        onComplete:function()
        {

        }
    }); 
      
}

修改静态字段的方法较为简单,直接用类名点出字段名再加上value值即可直接修改,修改非静态字段需要调用choose函数,传入类名和回调函数进行修改

在这里插入图片描述

修改后效果如图

hook内部类和匿名类

修改目标代码

在这里插入图片描述

添加一个内部类,然后hook内部类中的innerPrint

//hook内部类
function hookTest5()
{
    //获取java类
    var inner=Java.use("com.example.hookdemo01.Student$innerClass");
    
    student.innerPrint.implementation=function()
    {
        //其他操作相同

    }
      
}

hook内部类需要在获取java类时,在类名后加上$符号连接内部类,这个完整的类名可以在smali代码中看到。匿名类的hook方法和内部类一样,可以通过查看smali代码的类名来hook。

枚举所有类和方法

代码如下:

function hookTest6()
{
    //枚举已经加载的类 异步方式
    Java.enumerateLoadedClasses({
        //每枚举一个类调用一次
        onMatch:function(name,handler)
        {
            //对类名进行过滤 
            if(name.indexOf("com.example.hookdemo01")!=-1)
            {
                //输出类名
                console.log(name);

                //根据类名获取java类
                var clz=Java.use(name);
                //获取类的所有方法
                var methods=clz.class.getDeclaredMethods();
                
                //循环输出所有方法
                for(var i=0;i<methods.length();i++)
                {
                    console.log(methods[i]);
                }
            }
            
        },
        //枚举完成以后调用
        onComplete:function()
        {

        }
    });  
    
    //枚举已经加载的类 同步方式
    var classes=Java.enumerateClassLoadersSync();
    for(var i=0;i<methods.classes();i++)
    {
        if(classes[i].indexOf("com.example.hookdemo01")!=-1)
        {
            console.log(classes[i]);
            //枚举方法同上...
        }
    }

  
}

在Frida中枚举所有已加载的需要用到enumerateLoadedClasses函数,在获取到所有类之后,再通过Java.use获取类,接着通过Java中的getDeclaredMethods函数,获取所有的函数名称,接着循环输出即可

hook动态加载的DexClass

对于一些使用DexClassLoader动态加载dex文件的apk来说,直接使用Java.user必然是找不到当前的类,因为当前apk的ClassLoader并不存在这个类。想要hook动态加载的类需要先解决ClassLoader的问题。


function hookTest7()
{
    //枚举ClassLoder
    Java.enumerateClassLoaders({
        onMatch:function(loader)
        {
            try 
            {
              //如果能找到需要hook的类
                if(loader.loadClass("com.example.hookdemo01.Student"))
                {
                    //替换当前的ClassLoader
                    Java.ClassFactory.loader=loader;

                    //实现hook代码
                    var inner=Java.use("com.example.hookdemo01.Student$innerClass");
                }   
            } catch (error) 
            {
                
            }   
        },

        onComplete:function()
        {

        }
    });
}

对于动态加载的类,Frida提供了enumerateClassLoaders函数来枚举ClassLoder,当枚举的ClassLoder中有需要Hook的类时,可以修改loader为当前的ClassLoader,然后再进行hook即可。

Native层hook

hook有导出函数
//hook有导出函数
function hookTest8()
{
    //so名称
    var so_name="libnative-lib.so";
    //要Hook的函数名
    var fun_name="test";

    //通过名称找到导出函数
    var add_fun=Module.findExportByName(so_name,fun_name);

    Interceptor.attach(add_fun,{
        //在hook函数之前执行
        onEnter:function(args)
        {
            //args[0],arg[1]
            console.log("hook enter");
        },
        //在hook函数之后执行
        onLeave:function(retval)
        {
            console.log("hook leaver");
        }

    });     
}

hook有导出函数直接通过导出函数名称找到函数地址即可进行hook

hook无导出函数
//hook无导出函数
function hookTest9()
{
    //so名称
    var so_name="libnative-lib.so";
    //要Hook的函数偏移
    var fun_off=0x7078;

   //加载到内存后,函数地址=so地址+函数偏移
   var so_add=Module.findBaseAddress(so_name);
   var add_func=parseInt(so_add,16)+fun_off;
   var ptr_fun=new NativePointer(add_func);

 
    Interceptor.attach(ptr_fun,{
        //在hook函数之前执行
        onEnter:function(args)
        {
            console.log("hook enter");
        },
        //在hook函数之后执行
        onLeave:function(retval)
        {
            console.log("hook leaver");
        }

    });     
}

未导出的函数我们需要手动的计算出函数地址,然后将其转化成一个NativePointer的对象然后进行hook操作

鬼手56
关注
专栏目录
Android逆向一-frida操作
小程博客
11-23 1522
熟悉frida操作,hook手机app的关键位置进行逆向操作frida学习资料。
Frida 使用指南
dafan0的博客
05-04 3253
当出现上述报错时,使用以下手段解决:https://pypi.doubanio.com/simple/frida/ 放入指定目录 再次安装 需要借助adb查看,abd在之前安装Android Studio的时候就已经下载并添加到系统环境变量了启动adb 查看连接到adb的设备:手机需要用USB线连接电脑 参看CPU架构(只有一个设备时,可以不写设备名) 下载链接:https://github.com/frida/frida/releases 下载的是一个压缩包,需要将压缩包解压,然后将解压出来的文件上传
Hook框架frida,让逆向更简单
最新发布
小李的便利店
08-10 959
Hook框架frida,让逆向更简单
Frida之安装和使用教程
菜鸡小白的成长记录
08-21 3万+
前言 在日常分析安卓应用时,通常会有对应用进行hook的需求,用的比较多的hook框架有Xposed,frida,xhook等,正好最近接触Frida接触的较多,所以对Frida的一些常用操作做个记录,方便以后翻阅查询,同时也可以对学习frida的小伙伴有个参考的资料; 一般Frida逆向三阶段: 阶段一.分析程序执行逻辑,函数参数,函数返回值 阶段二.在1的基础上对数据进行修改,执行流程的控制,核心方法的调用 阶段三.在2的基础上实现对核心方法的封装调用,提供对外服务接口 1.FRIDA安装 1.1.
frida学习及使用
AdrianAndroid的专栏
08-02 6875
我使用15.1.27版本的frida版本,在安卓手机上会报错。所以我果断升级了frida版本。通过IDA找到要hook的native函数(静态)创建工程的时候,记得将鼠标所在的两个勾选框选上。
frida基本用法
qq_44885775的博客
02-15 1万+
frida脚本地址: GitHub - hluwa/frida-dexdump: A frida tool to find and dump dex in memory to support security engineers in analyzing malware. 下载后运行,在手机端点击启动app,app启动后,pc端运行python3 main.py 选择进程(双进程一般是防止ida,gdb等程序挂载),这里选择12597,直接输入1,一般选择高进程,猜测原因是壳的保护进程优先启动,被保.
安卓APP逆向进阶-Frida介绍
gap12521的专栏
06-24 2290
函数 Hook: 可以动态 hook 应用程序内部的函数,能够检查、修改或者替换函数的行为,用于绕过应用程序的安全检查、改变应用程序的逻辑或注入自定义功能。Frida 是一款开源的动态代码检测工具,可以用于分析和修改移动应用程序的行为。应用程序检测和仪表化: 可以对应用程序进行动态检测和分析,添加日志记录、跟踪或性能分析等功能,用于调试、性能分析和复杂行为的调查。自动化和脚本化: Frida 提供了强大的脚本引擎,可以用于自动化复杂的任务和工作流,如大规模的应用程序分析、模糊测试和安全测试。
Android-so-hook之frida.docx
11-05
### Android-so-hook之frida知识点解析 #### 一、Frida概述 Frida是一款功能强大的动态代码调试工具,支持跨平台操作,包括Android、iOS、Linux、Windows及macOS等多个操作系统。作为一款基于Python和JavaScript的...
frida-skeleton:基于frida的安卓hook框架,提供了很多frida自身不支持的功能,将hook安卓变成简单便捷,人人都会的事情
04-29
frida-skeleton是基于frida的安卓hook框架,提供了很多frida自身不支持的功能,将hook安卓变成简单便捷,人人都会的事情,主要有: 根据正则表达式批量hook安卓应用,支持多线程,可同时hook多个设备互不影响 针对...
Python基于FridaAndroid App隐私合规检测辅助工具源码.zip
03-21
标题中的“Python基于FridaAndroid App隐私合规检测辅助工具源码”表明这是一个使用Python编程语言,并结合了Frida框架,用于检测Android应用程序隐私合规性的工具。这个工具可以帮助开发者或安全研究人员评估App...
白帽子Android渗透测试指南
程序员光剑
08-06 725
随着智能手机的普及和移动互联网的快速发展,Android系统作为全球市场占有率最高的移动操作系统,其安全性越来越受到人们的重视。与此同时,针对Android系统的恶意软件和攻击手段也层出不穷,给用户的信息安全和隐私保护带来了极大的威胁。为了帮助广大开发者和安全爱好者更好地了解Android系统的安全机制,掌握Android渗透测试的基本方法和技巧,本文将从白帽子的角度出发,详细介绍Android渗透测试的流程、技术和工具,并结合实际案例进行分析和讲解。
Huawei DevEco Studio使用指南_鸿蒙学堂-0001_鸿蒙开发环境_鸿蒙学堂官网_鸿蒙_鸿蒙学堂_
10-04
此外,还需要安装Java Development Kit (JDK) 和Android SDK,因为鸿蒙系统兼容部分Android应用框架。 在下载并安装DevEco Studio后,你需要配置项目环境。创建新项目时,选择“HarmonyOS”模板,然后根据提示设置...
Frida安装与使用
weixin_45109047的博客
07-19 2178
注意:当手机CPU只支持arm时需要选用frida-server-14.2.18-android-arm该架构的工具,如果支持arm64则需要用frida-server-14.2.18-android-arm64;objection是一个封装了frida的python库,允许我们用命令行而不是代码脚本来实现一些基本的hook功能,比如监控函数的入参出参,从而减少开发者的代码量。Module.enumerateImportsSync("libc.so") 查看名字为libc.so的so库的导入函数表。
frida的基本操作
Tesi1a的充电桩
03-21 1万+
1、在Mac上安装Frida Mac系统的frida版本要与Android中的版本号保持一致。 升级Mac系统中的frida为最新版本的命令: sudo pip install --upgrade frida 或者安装指定版本的frida,这里安装frida的12.1.2版本: pip install frida==12.1.2 2、为Android手机安装Frida 我的root设备是Andro...
Frida教程
热门推荐
qingemengyue的博客
04-24 3万+
FRIDA 一 简介 Frida是一款基于python + javascript 的hook框架,适用于android/ios/linux/win/osx等平台。Frida的动态代码执行功能,主要是在它的核心引擎Gum中用C语言来实现的。 注入模式:大部分情况下,我们都是附加到一个已经运行到进程,或者是在程序启动到时候进行劫持,然后再在目标进程中运行我们的代码逻辑。这种方式是Frida最常用...
Frida入门教程
qq_41155858的博客
07-12 1793
@TOC 环境搭建 python安装与虚拟环境配置 配置虚拟环境变量->WORKON_HOME 进入虚拟环境 建立好虚拟环境以后,所有的修改都是针对虚拟环境 使用pip命令可以直接安装frida,但是速度会比较慢。坐下来喝杯茶慢慢等就行了。...
Android逆向-Frida初级学习笔记
哔_哩哩!的博客
05-30 1956
1.FRIDA 初级(技巧) 接着上篇文章"Android逆向-Frida入门学习笔记",这次记录一些日常工作中分析app时会用到的一些frida小技巧。 1.1.Frida远程过程调用(rpc) 有时候分析一个应用的算法时找到了算法的实现方法但方法的逻辑特别复杂或被混淆了怎么办? 这时候我们可以选择一个简单而粗暴的方式,直接刚,啊呸,直接调。 frida支持在js代码中使用rpc.exports关键字对js函数进行导出,导出方法可在python代码中通过script.exports.导出符号()进行调用。
Frida 安卓逆向之快速搭建 Frida 安卓逆向环境
A_991128a的博客
02-01 1832
这段时间空闲的时间一直在跟着肉丝姐补课,手残把手机搞崩了,借着这个机会写一篇文章记录下如何从零完成 Frida 安卓逆向环境的搭建。按照肉丝姐的教程,非常顺利的完成了准备好这些工具以及相关的软件包之后开始刷机。相关的软件放在后台,公众号后台回复20200530获取。
androidfrida
01-06
Android是一种流行的移动操作系统,Frida是一个用于应用程序逆向和动态分析的强大工具。AndroidFrida是指针对FridaAndroid应用程序上的使用进行防护和逆向分析。 Android应用程序可以使用各种技术来防止Frida的使用,例如应用程序可以检测Frida的存在并采取相应措施,或者加密和混淆应用程序的代码以使Frida难以进行动态分析。 另外,开发人员还可以选择使用其他安全工具和技术来增强对抗Frida的能力,例如使用代码混淆和应用程序加固技术来改变应用程序的代码结构,使其对于Frida的动态分析变得更加困难。 除了防止Frida的使用外,Android应用程序还可以采取其他安全措施来提高应用程序的安全性,例如使用安全网络通信协议,实施权限管理和安全认证控制等。 总的来说,AndroidFrida是指针对FridaAndroid应用程序上的使用进行防护和提高应用程序安全性的一系列技术和措施。这些技术和措施可以帮助开发人员保护应用程序的安全性,防止恶意攻击者利用Frida等工具对应用程序进行恶意操作和逆向分析。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼手56

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值