【Android安全】Frida安装| Frida Java hook| Frida命令参数

已于 2023-12-28 00:26:06 修改
阅读量6.7k 收藏 3
点赞数
分类专栏: 安卓安全 文章标签: android 安全
于 2022-04-04 05:40:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/123948071
版权

Frida安装

objection与Frida版本对应

注意,只有安装frida-tools之后,才能使用frida --version命令

可行的版本组合1(到20220804为止的最新版):

pip install frida==15.2.2
发布时间:2022 07 21

pip install frida-tools==11.0.0

Objection安装的前置条件:
python版本 > 3.4
pip版本 > 9.0

pip install objection==1.11.0

可行的版本组合2:
pip install frida==12.5.9
发布时间:28 May 2019

pip install frida-tools==2.1.1
发布时间:15 Aug 2019

pip install frida==14.2.2
发布时间:20 Dec 2020

pip install frida-tools==9.2.0
发布时间:11 Feb 2021

参考:
https://blog.csdn.net/qq_39799322/article/details/124017424

Frida 代码自动补全

需要安装Frida-gum

先将vscode安装好,
然后将nodejs安装好,
接着就是使用命令,如果不想安装全局那就使用

npm  i  @types/frida-gum

如果想随便那个文件夹都有这个提示,那就

npm  i -g @types/frida-gum

在这里插入图片描述
在这里插入图片描述

打印backtrace时删除末尾的换行

var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
bt = bt.substr(0, bt.length - 1);
send("Backtrace:" + bt);

例如:

var hook_class = Java.use('java.io.FileInputStream');

hook_class.$init.overload('java.io.File').implementation = function (arg1) {
    var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
    bt = bt.substr(0, bt.length - 1);

    console.log(" ");
    send('1');
    send("Backtrace:" + bt);
    send('arg1 : ' + arg1);
    send("return");

    return this.$init(arg1);
}

byte[]打印为16进制数形式

function byteArrayToHex(byteArray) {
    var ByteString = Java.use("com.android.okhttp.okio.ByteString");
	return ByteString.of(byteArray).hex();
}

示例代码:

Java.perform(function () {
	var class_name = 'java.io.DataOutputStream';
	var hook_class = Java.use(class_name);
	hook_class.write.overload('[B', 'int', 'int').implementation = function (arg1, arg2, arg3) {
        var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
        
        if(bt.indexOf("csns.aH") != -1)
        // if(bt.indexOf("bdpg") != -1) 
        // if (1) 
        {
            send(class_name + ' hooked');
            send("Backtrace:" + bt);
            send('arg1 : ' + arg1);
            send('arg1 : ' + byteArrayToHex(arg1));
            send('arg2 : ' + arg2);
            send('arg3 : ' + arg3);
            send("return");
            return this.write(arg1, arg2, arg3);
        }
        else
        {
            return this.write(arg1, arg2, arg3);
        }
	}
});

function byteArrayToHex(byteArray) {
    var ByteString = Java.use("com.android.okhttp.okio.ByteString");
	return ByteString.of(byteArray).hex();
}

[*] arg1 : 10,-103,1,10,32,-2,-11,85
[*] arg1 : 0a99010a20fef555
[*] arg2 : 0
[*] arg3 : 4096
[*] return

byte[]打印为String形式

 function byteToString(arr) {
	if(typeof arr === 'string') {
		return arr;
	}
	var str = '',
		_arr = arr;
	for(var i = 0; i < _arr.length; i++) {
		var one = _arr[i].toString(2),
			v = one.match(/^1+?(?=0)/);
		if(v && one.length == 8) {
			var bytesLength = v[0].length;
			var store = _arr[i].toString(2).slice(7 - bytesLength);
			for(var st = 1; st < bytesLength; st++) {
				store += _arr[st + i].toString(2).slice(2);
			}
			str += String.fromCharCode(parseInt(store, 2));
			i += bytesLength - 1;
		} else {
			str += String.fromCharCode(_arr[i]);
		}
	}
	return str;
}

Frida打印类的成员变量

打印类的a成员变量:

send('this.a : ' + this.a.value);

有相同方法名的成员变量

如果有方法和变量重名,则在访问变量时加上_
例如:

var class_name = 'csns';
var hook_class = Java.use(class_name);

hook_class.k.overload('[B', 'int', 'int').implementation = function (arg1,arg2,arg3)
{
    send('this.a : ' + this._a.value);
	return this.k(arg1,arg2,arg3);
}

参考:
https://github.com/liyansong2018/FridaHookAndroid

设置成员变量的值

//主动调用静态方法
var clazz = Java.use("类名");
 //设置静态成员变量
clazz.static_var.value = something;

包名填写无误,但找不到进程

process = frida.get_usb_device().attach('com.demo.sysintegrity')
script = process.create_script(jscode)

报错 unable to find process with name ‘xxx’:

frida.ProcessNotFoundError: unable to find process with name 'com.demo.sysintegrity'

原因:某些版本的Frida,需要写App名称(或者进程PID),而不能写包名

解决:查看APP名称:frida-ps -Uai
在这里插入图片描述

process = frida.get_usb_device().attach('HMSSafetyDetectSample')
script = process.create_script(jscode)

frida常用参数

  • -U, connect to USB device

  • -f FILE, --file=FILE spawn FILE

  • -j JAVA_METHOD, --include-java-method=JAVA_METHOD
    include JAVA_METHOD 插桩某个java方法

  • -J JAVA_METHOD, --exclude-java-method=JAVA_METHOD
    exclude JAVA_METHOD 排除某个java方法

  • -F, attach to frontmost application
    例如在iOS设备上打开淘宝app,然后执行frida -UF -l frida-script.js
    frida-script.js中无需指定hook的app
    frida也能自动找到最前台的app进程,并将js代码注入
    在这里插入图片描述

spawn hook

#coding=utf-8

import frida,importlib, sys
importlib.reload(sys)

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)

jscode = """
Java.perform(function () {
	
    var class_name ='com.baidu.protect.StubApplication';
	var hook_class = Java.use(class_name);
	hook_class.attachBaseContext.overload('android.content.Context').implementation = function (arg1) {
	var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
	send('');
	send(class_name + " hooked");
	console.log("Backtrace:" + bt);

	// send('arg1 : ' + byteToString(arg1));
	// send('arg2 : ' + arg2);
	// send('arg3 : ' + arg3);

	send("return");

	return this.write(arg1);
	}

});

 function byteToString(arr) {
	if(typeof arr === 'string') {
		return arr;
	}
	var str = '',
		_arr = arr;
	for(var i = 0; i < _arr.length; i++) {
		var one = _arr[i].toString(2),
			v = one.match(/^1+?(?=0)/);
		if(v && one.length == 8) {
			var bytesLength = v[0].length;
			var store = _arr[i].toString(2).slice(7 - bytesLength);
			for(var st = 1; st < bytesLength; st++) {
				store += _arr[st + i].toString(2).slice(2);
			}
			str += String.fromCharCode(parseInt(store, 2));
			i += bytesLength - 1;
		} else {
			str += String.fromCharCode(_arr[i]);
		}
	}
	return str;
}

function utf8ByteToUnicodeStr(utf8Bytes){
    var unicodeStr ="";
    for (var pos = 0; pos < utf8Bytes.length;){
        var flag= utf8Bytes[pos];
        var unicode = 0 ;
        if ((flag >>>7) === 0 ) {
            unicodeStr+= String.fromCharCode(utf8Bytes[pos]);
            pos += 1;

        } else if ((flag &0xFC) === 0xFC ){
            unicode = (utf8Bytes[pos] & 0x3) << 30;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 24;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 18;
            unicode |= (utf8Bytes[pos+3] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+4] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+5] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 6;

        }else if ((flag &0xF8) === 0xF8 ){
            unicode = (utf8Bytes[pos] & 0x7) << 24;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 18;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+3] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+4] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 5;

        } else if ((flag &0xF0) === 0xF0 ){
            unicode = (utf8Bytes[pos] & 0xF) << 18;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+3] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 4;

        } else if ((flag &0xE0) === 0xE0 ){
            unicode = (utf8Bytes[pos] & 0x1F) << 12;;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+2] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 3;

        } else if ((flag &0xC0) === 0xC0 ){ //110
            unicode = (utf8Bytes[pos] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+1] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 2;

        } else{
            unicodeStr+= String.fromCharCode(utf8Bytes[pos]);
            pos += 1;
        }
    }
    return unicodeStr;
}

"""

device = frida.get_usb_device()
pid = device.spawn("com.example.test")
device.resume(pid)
# time.sleep(1)
process = device.attach(pid)


script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running hooking')
script.load()
sys.stdin.read()

Frida打印Map内容

方法:p0.s.a(java.util.Map) : void
想打印其参数内容

// p0.s.a(java.util.Map) : void
var class_name5 = 'p0.s';
var hook_class5 = Java.use(class_name5);
hook_class5.a.overload('java.util.Map').implementation = function (arg1) {
    var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
    
    // if(bt.indexOf("csns.aH") != -1)
    // if(bt.indexOf("bdpg") != -1) 
    if (1) 
    {
        send('---------------------------------------------------');
        send(class_name5 + ' hooked');
        console.log(class_name5 + " Backtrace:" + bt);
        // send(class_name5 + ' arg1 : ' + arg1);

        var keys = arg1.keySet();
        var iterator = keys.iterator();
        while (iterator.hasNext()) {
          var k = iterator.next();
          console.log(k + " : " + arg1.get(k));
        }
        
        send(class_name5 + " return");
        return this.a(arg1);
    }
    else
    {
        return this.a(arg1);
    }
}

frida-trace

启动com.example.test,hook 所有方法签名带有 “attachBase” 的java方法:

frida-trace -U -f com.example.test --runtime=v8 -j '*!*attachBase*/isu'

注意'*!*attachBase*/isu'
s:in their signature
i:ignoring case
u:only searching in user-defined classes
!用来分隔MODULE和OFFSET,例如"gdi32full.dll!ExtTextOutW"
*代表匹配任意内容

Native Hook

参见:https://editor.csdn.net/md/?articleId=129849293

关于so分析中的Memory.readByteArray

不要这么写:

console.log("\\n"+Memory.readByteArray(ptr(0x7751a537ec),128));

就是不要在Memory.readByteArray前加"\n",会报错
可以用send
也可以单独将"\n"输出

关于frida中的数据类型

https://bbs.pediy.com/thread-261052-1.htm

一些参考资料

https://zyzling.gitee.io/2020/05/12/Frida%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/

https://onejane.github.io/2021/05/06/frida%E6%B2%99%E7%AE%B1%E8%87%AA%E5%90%90%E5%AE%9E%E7%8E%B0/

Jouzzy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
frida安装
不仅仅是个程序员的博客
12-13 1315
一. 安装frida pip install frida 这个时候frida的大多命令还是不能用的,需要安装frida-tools 二. 安装frida-tools 安装后使用命令 frida --version 查看安装frida版本. frida-tools要与当前安装frida相对应才可以. 比如我用的是14.2.6, 在frida的github网址查看 frida14.2.6 需要对应的frida-tools版本. 展开Assets, 里面包含对应的frida-gadget, frida-s
frida-android-hook:该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值
05-12
Frida Android挂钩 该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值 对于iOS平台: : 环保操作系统支持 作业系统 支持的 著名的 苹果系统 :check_mark_button: 主要的 Linux :check_mark_button:...
frida-server-14.2.2-android-x86
03-01
轻量级hook框架,适用于安全人员测试使用
frida-server-15.1.12-android-arm64.xz
11-22
frida-server-15.1.12-android-arm64
Frida】【Android】 工具篇:查壳工具大赏
最新发布
kinghzking的专栏
04-06 1625
综上所述,Android混淆加壳技术在保护应用程序安全方面经历了从基础混淆到加壳、虚拟化以及自定义加密算法等多个阶段的演变,以应对不断增长的逆向工程挑战和安全威胁。Android混淆加壳技术的演变过程可以追溯到Android应用程序开发的早期阶段。ApkCheckPack是通过go编写的程序,官网支持release版本。加固平台还有很多,以后也会一直增加新的平台和方案,目前比较完整的可以参考。将能收集到的加固特征汇总整理,支持40个厂商的加固检测。soregex 对有版本号的特征so库,使用正则匹配。
frida-server-14.2.18-android.zip
06-24
测试,安全,爬虫工程师
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
基于fridahook脚本,支持遍历安卓so的所有导出函数。
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具,首次运行会初始化环境,暂不支持真机,需要设备ROOT权限,后续可能会更新支持真机! 软件介绍 不能用中文目录、、中文目录会报编码错误。。应该是PY
vscode-frida:VSCode的非官方frida扩展
05-03
vscode-frida VSCode的非官方Frida工作台 先决条件 Python3 pip3 install -U frida-tools *(对于Windows构建,请参见 ) SSH客户端( ssh命令)* Windows上的iTunes [*] 可选的。 只有某些功能依赖于它 FlexDecrypt取决于SSH。 您需要先生成一个公共密钥,然后才能使用它。 特征 目标选择器 用户友好的用户界面 克隆样板 已经制作了两个样板,因此您可以使用TypeScript进行编码! Frida Boilerplate:克隆TypeScript代理示例 Frida Boilerplate:克隆TypeScript模块示例 调试日志 现在支持iOS syslog和Android logcat! 下载并应用frida-gum打字信息 异议 异议运行时移动探索 JavaScript
Frida安装和使用教程
热门推荐
菜鸡小白的成长记录
08-21 2万+
前言 在日常分析安卓应用时,通常会有对应用进行hook的需求,用的比较多的hook框架有Xposed,frida,xhook等,正好最近接触Frida接触的较多,所以对Frida的一些常用操作做个记录,方便以后翻阅查询,同时也可以对学习frida的小伙伴有个参考的资料; 一般Frida逆向三阶段: 阶段一.分析程序执行逻辑,函数参数,函数返回值 阶段二.在1的基础上对数据进行修改,执行流程的控制,核心方法的调用 阶段三.在2的基础上实现对核心方法的封装调用,提供对外服务接口 1.FRIDA安装 1.1.
frida安装配置详解
行走在黑暗中的狙击者
10-17 7675
下载后解压出来只有一个文件,需要把它推送到模拟器中 /data/loacl/tmp 下,原文件名很长,先改个名如fserver,在解压的文件夹目录运行命令:adb push fserver /data/local/tmp/上面两步完成只在在本地安装frida,本地编写脚本后需要推送到手机端的frida-server,然后frida-server执行完毕再把信息返回本地。运行命令frida-ps -U , 打印当前正在运行的应用, -U 是usb连接的,现在显示出来的就是手机目前运行的应用了。
Frida详细环境安装
Codeoooo 博客
06-16 3519
我这里安装的是 pip install frida==12.10.4。在刚刚cmd 窗口 /data/local/tmp目录下。运行 ./frida-serer xxxx。4.启动frida-server。若结果如图所有,即为成功。
APP逆向神器之FridaAndroid初级篇】
muzico425的博客
08-12 1418
说到逆向APP,很多人首先想到的都是反编译,但是单看反编译出来的代码很难得知某个函数在被调用时所传入的参数和它返回的值,极大地增加了逆向时的复杂度,有没有什么办法可以方便...
Android hook工具Frida安装与使用
littlecjx
07-13 6726
Android hook工具主要有Xposed、Substrate和Frida,Xposed用于hook java层,Substrate用于hook Native层,Frida既能用户hook java层,又能用于hook Native层。这三款工具中Frida配置环境简单,兼容性好,用户逆向破解非常方便。 本文中配置环境为: PC端:win10 Android端:基于arm64 python:2...
android frida检测绕过
PwnGuo的博客
06-08 7369
Frida检测是一种常见的安卓逆向技术,常用于防止应用程序被反向工程。如果您遇到了Frida检测,您可以尝试以下方法来绕过它:使用Magisk Hide模块:Magisk是一个强大的安卓root工具,它附带了一个Magisk Hide模块,可以帮助您隐藏root权限。这可以帮助您绕过Frida检测。使用Xposed框架:Xposed框架可以帮助您实现一些高级的安卓逆向技术,包括绕过Frida检测。您可以使用Xposed模块来隐藏您的应用程序信息。
Android逆向之旅---Hook神器家族的Frida工具使用详解
FlyPigYe的博客
05-16 9590
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:AndroidHook神器Xposed工具介绍 和 AndroidHook神器SubstrateCydia工具介绍 这两篇文章非常重要一个是Hook Java层的时候最常用的Xposed和Hoo...
FridaHook整理】Frida安装Hook安卓常用脚本
杰孑的博客
04-06 2万+
1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
AndroidFrida框架完全使用指南
鬼手的博客
10-20 1万+
文章目录Frida简介环境搭建python安装与虚拟环境配置Frida安装配置代码提示Server环境配置Frida Hook执行HOOKJavahookHook普通方法重载方法构造方法修改类字段hook内部类和匿名类枚举所有类和方法hook动态加载的DexClassNative层hookhook有导出函数hook无导出函数 Frida简介 Frida是一款基于Python + JavaScript 的hook框架,本质是一种动态插桩技术。可以用于Android、Windows、iOS等各大平台,其执行脚
frida安装以及简单使用
SC201204的博客
02-03 1159
frida安装以及简单使用
frida hook java层aes代码
06-07
以下是使用Frida hook Java层AES加密函数的JavaScript代码示例: ```javascript Java.perform(function() { // 找到目标类 var targetClass = Java.use("com.example.MyClass"); // hook目标函数 targetClass.encrypt.overload('[B', '[B').implementation = function(data, key) { // 打印参数 console.log("[*] Data: " + data); console.log("[*] Key: " + key); // 调用原始函数 var result = this.encrypt(data, key); // 打印返回值 console.log("[*] Encrypted Data: " + result); // 返回真正的返回值 return result; }; }); ``` 以上代码示例是使用Frida hook Java层AES加密函数,并在函数执行前后打印函数参数和返回值。如果需要修改加密算法,可以在hook函数中修改参数或者返回值。需要注意的是,因为Java代码是运行在虚拟机中的,所以hook Java层函数需要使用Java.use()方法来获取目标类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值