【Android安全】Frida Native hook汇总

已于 2023-03-31 03:51:22 修改
阅读量1.3k 收藏 3
点赞数
文章标签: android javascript 前端
于 2023-03-30 04:37:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/129849293
版权

1. 基础用法

(0)在so中找java层对应的native函数

  • ① 看so的Export函数列表(找静态注册的情形)
    若无,则可能为动态注册

  • ② 看so的.init_array段中是否有函数
    IDA中按Ctrl+S,进入.init_array
    在这里插入图片描述

系统加载so,在完成装载、映射和重定向以后,就首先执行.init和.init_array段的代码,之后如果存在JNI_OnLoad就调用该函数.我们要对一个so进行分析,需要先看看有没有.init_array section和.init section,so加壳一般会在初始化函数进行脱壳操作。

这里的.init_array段中没有函数
在这里插入图片描述

参考:http://pwn4.fun/2020/07/29/so%E6%96%87%E4%BB%B6%E7%9A%84-init-array%E6%AE%B5%E4%B8%AD%E6%B7%BB%E5%8A%A0%E4%BB%A3%E7%A0%81/

初始化和终止例程
动态库可以提供用于运行时初始化和终止处理的代码。每次在进程中装入动态库时,都会执行一次动态库的初始化代码。每次在进程中卸载动态库或进程终止时,都会执行一次动态库的终止代码。
在将控制权转交给应用程序之前,运行时链接程序将处理应用程序中找到的所有初始化节及所有装入的依赖项。如果在进程执行期间装入新动态库,则会在装入该目标文件的过程中处理其初始化节。初始化节 .preinit_array、.init_array 和 .init 由链接编辑器在生成动态库时创建。
运行时链接程序执行的函数的地址包含在 .preinit_array 和 .init_array 节中。这些函数的执行顺序与其地址在数组中的显示顺序相同。运行时链接程序将 .init 节作为单独的函数执行。如果某目标文件同时包含 .init 节和 .init_array 节,则会首先处理 .init 节,然后再处理该目标文件的 .init_array 节定义的函数。
动态可执行文件可在 .preinit_array 节中提供预初始化函数。这些函数将在运行时链接程序生成进程映像并执行重定位之后但执行任何其他初始化函数之前执行。 预初始化函数不允许在共享库中执行。

  • ③ 看有无JNI_OnLoad函数

基本就是这里了
在这里插入图片描述
重新定义g_env的类型为JNIEnv*

在这里插入图片描述
这样就能看到RegisterNatives函数了
在这里插入图片描述
RegisterNatives函数的第三参数是方法数组:

jint RegisterNatives(jclass clazz, const JNINativeMethod* methods, jint nMethods)
调用时多一个env对象作为第一参数
env->RegisterNatives(clazz, gMethods, sizeof(gMethods) / sizeof(gMethods[0]))

四个参数:
env是他的第一个参数(这个要注意)
clazz:指定的类,即 native 方法所属的类
methods:方法数组,这里需要了解一下 JNINativeMethod 结构体
nMethods:方法数组的长度

JNINativeMethod 结构体:
在这里插入图片描述
方法数组体现在IDA中的参数off_5004处:
在这里插入图片描述
可以看到,方法数组中包含initSN、saveSN等方法,说明这些Java方法是被JNI_Onload动态注册的。

可以看到,saveSN方法在n2+1处

我们进入到n2+1处,所看到的函数就是saveSN方法注册到的native函数。
在这里插入图片描述

参考:
https://blog.csdn.net/afei__/article/details/81031965
https://www.jianshu.com/p/eacdb203ea21

(1)按方法名看参数、bt、返回值、output参数

// 按方法名看参数、bt、返回值
var arg8;
var arg9;
var MtdName = "TssAesGcmDecrypt";
Java.perform(function () {
    Interceptor.attach(Module.findExportByName(SoName, MtdName), {
        onEnter: function (args) {
            send(MtdName + " hooked:");
            send("called from\\n" + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\\n"));
            console.log("\\n");
            send(MtdName + " args:");

            for (var it = 0; it < 9; it++) {
                send(MtdName + " args[" + it + "]=" + args[it]);
                if (args[it] > 0x15000000) 
                {
                    var buffer = Memory.readByteArray(args[it],128);
                }
                else
                {
                    var buffer = args[it];
                }
                console.log(buffer);
                console.log("\\n");
            }

            arg8 = parseInt(args[7]);
            arg9 = parseInt(args[8]);
        },

        onLeave: function (retval) {
            send(MtdName + " RetVal : " + retval);
            var buffer2 = Memory.readByteArray(retval, 128);
            console.log(buffer2);
            console.log("\\n");
            
            send(MtdName + " arg[7] : 0x" + arg8.toString(16));
            var buffer3 = Memory.readByteArray(ptr(arg8), 128);
            console.log(buffer3);
            console.log("\\n");

            send(MtdName + " arg[8] : 0x" + arg9.toString(16));
            var buffer3 = Memory.readByteArray(ptr(arg9), 128);
            console.log(buffer3);
            console.log("\\n");
            
            send(MtdName + " finished \\n");
        }
    });
});

(2)打印任意地址的内容

例如,打印返回值(地址)附近的内容

        onLeave: function (retval) {
            send("RetVal : " + retval);
            var buffer2 = Memory.readByteArray(retval, 128);
            console.log(buffer2);
            console.log("\\n");

            var tmp = parseInt(retval)+1032;
            send("RetVal + 1032: 0x" + tmp.toString(16));
            var buffer2 = Memory.readByteArray(ptr(tmp), 128);
            console.log(buffer2);
            console.log("\\n");

            var tmp = parseInt(retval)+1232;
            send("RetVal + 1232: 0x" + tmp.toString(16));
            var buffer2 = Memory.readByteArray(ptr(tmp), 128);
            console.log(buffer2);
            console.log("\\n");

            send(MtdName + " finished \\n");
        }

输出:

[*] RetVal : 0x730eb32c00
           0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
00000000  c2 34 2a bc bd ad 38 41 14 1e 72 16 87 9c f1 12  .4*...8A..r.....
00000010  1e 43 9b 50 de 6a 1a dc 22 c4 b8 82 d1 cc 3d 0b  .C.P.j..".....=.
00000020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000030  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000040  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000060  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000070  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................


[*] RetVal + 1032: 730eb33008
           0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
00000000  96 ce b4 c4 9b b3 f4 f8 06 e4 91 13 00 00 00 00  ................
00000010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000030  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000040  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000060  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000070  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................


[*] RetVal + 1232: 730eb330d0
           0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF
00000000  a6 70 89 84 62 e4 52 bf 8b 77 f5 b3 30 f9 c6 24  .p..b.R..w..0..$
00000010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000030  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000040  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000060  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000070  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................


[*] ParseGcmKey finished

(3)定位虚表函数偏移

在这里插入图片描述

//定位虚表函数偏移
Java.perform(function(){
    var Offset=0x1516C;//BLR             X8
    Interceptor.attach(Module.findBaseAddress(SoName).add(ptr(Offset)),{
        onEnter: function(args) {
            console.log("\\n" + Offset + " - x8: " +  this.context.x8);
            console.log("\\n" + "base : " + Module.findBaseAddress(SoName));
            var funcOff = parseInt(this.context.x8,16)-parseInt(Module.findBaseAddress(SoName),16);
            console.log("\\n" + "funcOffset : " + funcOff.toString(16) );
        },
        onLeave: function(retval){
            console.log(Offset +" finished \\n");
        }
    });
});

输出:

[*] Running hooking

86380 - x8: 0x7290b5c418

base : 0x7290b43000

funcOffset : 19418

ida中按g,跳转到相应函数的位置,定位到函数:
在这里插入图片描述
在这里插入图片描述

(4)判断地址是否能hook到

Java.perform(function(){
    var Offset=0xF86C;//LDR             X24, [X8,#8]
    Interceptor.attach(Module.findBaseAddress(SoName).add(ptr(Offset)),{
        onEnter: function(args) {
            console.log("\\n" + Offset.toString(16) + " hooked ");
        },
        onLeave: function(retval){
            console.log(Offset +" finished \\n");
        }
    });
});

(5)从地址读取ByteArray、String

var buffer = Memory.readByteArray(args[it],128);
var buffer = Memory.readCString(args[it]);

for (var it = 0; it < 2; it++) 
{
    send(MtdName4 + " args[" + it + "]=" + args[it]);
    if (args[it] > 0x15000000) 
    {
        if (it == 1)
        {
            var buffer = Memory.readByteArray(args[it],128);
        }
        else
        {
            var buffer = Memory.readCString(args[it]);
        }
    }
    else
    {
        var buffer = args[it];
    }
    console.log(buffer);
    console.log("\\n");
}

2. 进阶用法

(1)枚举so中的符号

function hook_libart() {
    var proc = Process.findModuleByName("libart.so");
    var symbols = proc.enumerateSymbols();     //枚举模块的符号

    var addr_GetStringUTFChars = null;
    var addr_FindClass = null;
    var addr_GetStaticFieldID = null;
    var addr_SetStaticIntField = null;

    for (var i = 0; i < symbols.length; i++) {
        var name = symbols[i].name;
        if (name.indexOf("art") >= 0) {
            if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {
                if (name.indexOf("GetStringUTFChars") >= 0) {
                    console.log(name);
                    addr_GetStringUTFChars = symbols[i].address;
                } else if (name.indexOf("FindClass") >= 0) {
                    console.log(name);
                    addr_FindClass = symbols[i].address;
                } else if (name.indexOf("GetStaticFieldID") >= 0) {
                    console.log(name);
                    addr_GetStaticFieldID = symbols[i].address;
                } else if (name.indexOf("SetStaticIntField") >= 0) {
                    console.log(name);
                    addr_SetStaticIntField = symbols[i].address;
                }
            }
        }
    }
}

(2)通过frida 的api来写文件

function write_reg_dat() {
    //frida 的api来写文件
    var file = new File("/sdcard/reg.dat", "w");
    file.write("EoPAoY62@ElRD");
    file.flush();
    file.close();
}

(3)把C函数定义为NativeFunction来写文件

function write_reg_dat2() {

    //把C函数定义为NativeFunction来写文件
    var addr_fopen = Module.findExportByName("libc.so", "fopen");
    var addr_fputs = Module.findExportByName("libc.so", "fputs");
    var addr_fclose = Module.findExportByName("libc.so", "fclose");

    console.log("addr_fopen:", addr_fopen, "addr_fputs:", addr_fputs, "addr_fclose:", addr_fclose);
    var fopen = new NativeFunction(addr_fopen, "pointer", ["pointer", "pointer"]);
    var fputs = new NativeFunction(addr_fputs, "int", ["pointer", "pointer"]);
    var fclose = new NativeFunction(addr_fclose, "int", ["pointer"]);

    var filename = Memory.allocUtf8String("/sdcard/reg.dat");
    var open_mode = Memory.allocUtf8String("w+");
    var file = fopen(filename, open_mode);
    console.log("fopen file:", file);

    var buffer = Memory.allocUtf8String("EoPAoY62@ElRD");
    var ret = fputs(buffer, file);
    console.log("fputs ret:", ret);

    fclose(file);
}

3. 一些注意事项

关于so分析时的Memory.readByteArray

不要这么写:

console.log("\\n"+Memory.readByteArray(ptr(0x7751a537ec),128));

就是不要在Memory.readByteArray前加"\n",会报错
可以用send
也可以单独将"\n"输出

Jouzzy
关注
使用Frida hook 获取native层代码的返回值
weixin_45008664的博客
10-03 1447
frida hook的简单使用
Frida NativeHOOK
YJJYXM的博客
12-18 1008
实例hook案例app成功打印返回值、参数。
FridaHook(二)——Native层函数
0nc3的博客
01-11 1426
下面是学习用Frida hook Native层的导出函数和未导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook的函数,较为简单。而Hook 未导出函数是根据函数偏移量来确定被Hook的函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 未导出函数的方法来Hook导出函数。
python hook android_Frida入门学习笔记-hook native中的函数(1)
weixin_39790102的博客
12-16 552
0x01 前言关于androidhook以前一直用的xposed来hook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
渗透测试-Frida逆向入门之nativeHook
cdyunaq的博客
02-23 2302
该文章来自R0ysue书籍SO HOOk的总结 11.1 Native基础 11.1.1 NDK基础介绍: 1、安卓开发中除了java编译的dex由ART/Davilk虚拟机执行外、还存在C/C++编译的动态链接库文件由CPU执行 2、JAVA依赖SDK、C/C++需要NDK依赖库 3、NDK关键之一JNI、JNI可以完成在java调用C/C++函数。也可以在C/C++中调用java函数 4、JNI是JVM虚拟机的一部分 11.2.1 NDK开发 创建项目,会比不使用NDK的多cpp目录,c
Frida-Hook-Native层操作大全
qq_24481913的博客
03-07 2413
可以看到在onLeave中有一个参数retval,这个retval,就是我们hook上的程序的返回值,我们可以使用retval.replace(val)来修改返回值。但是我们需要注意的是strcmp可能不止调用一次,因此我们需要判断strcmp的第一个参数是否为0我们才进行操作,不然hook可能会一直循环输出。程序在cmpstr中使用了strcmp函数,那么我们只需要拿到strcmp函数的传入参数就可以知道程序的正确输入了。获取了strcmp的地址就可以使用之前给的模板进行Hook了。
Android逆向-frida hook 脚本- hook webview
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
总的来说,鬼鬼FriDA_hook注入调试工具是一款强大的Android应用调试工具,对于深入理解应用的内部工作原理,以及进行安全测试和逆向工程有着显著优势。但是,使用此类工具需要一定的技术背景,特别是对Python编程、...
Android逆向,frida hook脚本,hook测试demo的加密字符串
最新发布
08-31
Android逆向,frida hook脚本,hook测试demo的加密字符串。 包含spawn_hook 和 导出函数hook ,打印参数返回值寄存器值等。 对应文章:https://blog.csdn.net/u013170888/article/details/141753349
Frida Android hook
墨鱼菜鸡
07-11 3737
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
frida-ex-nativefunction:为您提供功能更加强大的NativeFunction for frida
04-28
星期五的本机功能 该模块为您提供了扩展的NativeFunction类。 它应在frida脚本内使用。 参见例如: 例子 const ExNativeFunction = require('frida-ex-nativefunction') const openAddr = Module.findExportByName('libc.so', 'open') const open = new ExNativeFunction(openAddr, 'int', ['pointer', 'int']) console.log(open.address) // The provided openAddr console.log(open.retType) // The provided return type console.log(open.argTypes) // The provid
安卓逆向入门之使用frida框架简单Hook native层的函数
测试0901-1
08-28 4952
声明:本文只做技术交流,如有侵权,请告知删除,谢谢。请读者先完成第一篇中的例子再来学习这一篇,传送门:https://mp.weixin.qq.com/s/2kykNy-...
Fridahook Native函数
热门推荐
BadRer的博客
03-17 1万+
前言最近发现了一个hook框架,蛮有意思的,上手也很容易。例题我拿的是阿里2014CTF第二个apk作为样本。主要是讲一些思路,具体的过程就不写了,网上有很多的。一、对于Frida来说Hook一个native函数很简单,其实和hook一个java层的代码是一样的。不多写了。但对于这题来说,仅仅hook代码是不够的,还需要从内存中泄露出key。 使用IDA打开crack.so关键在这里0ff_628
frida小记)nativeHook
akswyh的博客
04-09 3967
nativeHook 写到这里需要说明一下关于so文件当中的函数,分为导出函数和未导出函数两种,导出函数打开IDA后能够在导出表中找到的函数就是导出函数,未导出函数则在导出表中寻找不到,一般来说静态编写的native函数都能在导出表中寻找到,而动态加载的则无法在导出表中发现!!! Hook的目标依然是01里面编译出的APK python frida native: # coding:utf-8 import frida import sys jscode = """ Java.perform(func
Frida实战:Java、Native、SO层面的Hook与主动调用详解
beidideshu的博客
03-06 4302
Frida实战:Java、Native、SO层面的Hook与主动调用详解
学习笔记-Frida反调试思路和hook native
人饭子的博客
11-11 2219
用户代码 native hook Frida反调试与反反调试基本思路(Java层API,Native层API,Syscall) 六月题的Frida反调试的实现以及 Native函数的Java hook以及主动调用 静态注册函数参数,返回值打印和替换 0x1 反调试 17种的so的反调试,同样适用于frida,另外三种的话是 1. 遍历连接手机所有端口发送D-bus消息,如果返回”REJEC...
Frida hook_RegisterNatives方法
Codeoooo 博客
06-15 1767
Java层分析某个协议 -> 校验字段 -> 加载so 调用native函数生成 -> IDA分析对应so 找到RegisterNative的第三参数地址。app可以动态调试 用frida脚本去hook 打印出函数地址 == 在libart.so中 RegisterNatives函数下断获取想要的信息。某一个函数中有反调试并且函数体积不是很大 -> 尝试把整个函数的调用掉给NOP掉。情况1: 动态注册函数的name sig被加密 函数地址可以正常得到。一般不会在反调试函数中做一些重要的运算。
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用)
云霄IT的博客
05-31 2357
【代码】Frida Hook方法大全(普通、重载、构造)
Frida Objection基础与Wallbreaker:Android应用Hook实战
objection是一个强大的Android逆向工程和...objection结合Frida的强大功能,提供了灵活且深入的动态代码分析和控制手段,适用于安全测试、逆向工程、自动化测试等场景,但必须注意合法合规使用,尊重他人的知识产权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值