【Frida Android】基础篇11:Native层hook基础——修改原生函数的返回值

最新推荐文章于 2025-11-03 20:30:34 发布
原创 最新推荐文章于 2025-11-03 20:30:34 发布 · 886 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #Frida #网络安全 #逆向 #安全性测试

文章目录

⚠️本博文所涉安全渗透测试技术、方法及案例,仅用于网络安全技术研究与合规性交流,旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前,必须获得目标网络 / 系统所有者的明确且书面授权,严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

本章内容是对上一章学习内容的夯实,使用相似的案例进行强化记忆。

1. 基础概念

1.1 原生函数(Native函数)

原生函数指通过JNI(Java Native Interface)机制调用的、由C/C++等原生语言实现的函数。在Android开发中,这类函数通常被编译为动态链接库(.so文件),并通过System.loadLibrary()加载到Java进程中。原生函数常用于处理性能敏感、底层交互(如硬件操作)或需要保护逻辑(如加密验证)的场景,案例中的check_flag()就是典型的原生函数。

1.2 函数返回值修改的意义

修改原生函数的返回值是逆向工程和动态调试中的常用手段。当程序逻辑依赖原生函数的返回值(如验证结果、权限判断、数据校验等)时,通过hook技术强制修改返回值,可以绕过原有逻辑限制(如跳过验证、模拟成功状态),从而快速分析程序行为或实现特定功能(如案例中触发"成功"提示)。

2. 核心语法(修改原生函数返回值的hook)

使用Frida实现对原生函数返回值的修改,核心语法围绕Java层函数拦截展开,主要步骤如下:

2.1 获取目标类

通过Java.use(className)获取需要hook的类的引用,其中className为类的完整路径(包含包名)。
示例:

// 获取MainActivity类引用
const MainActivity = Java.use('com.ad2001.a0x9.MainActivity');

2.2 定位目标原生函数

直接通过类引用访问原生函数(函数名需与Java层声明一致)。原生函数在Java层的声明与普通函数一致,仅多了native关键字,Frida无需区分其实现语言,统一按Java函数处理。

源码:

public class MainActivity extends AppCompatActivity {

    public native int check_flag();

    static {
        System.loadLibrary("a0x9");
    }
    // ...
}

Hook代码:

// 定位check_flag()原生函数
MainActivity.check_flag

2.3 重写函数实现

通过implementation属性重写函数逻辑,在自定义实现中直接返回目标值(无需调用原函数)。
示例:

// 强制check_flag()返回1
MainActivity.check_flag.implementation = function () {
    return 1; // 自定义返回值
};

3. 案例分析

本章示例应用的链接:
https://pan.baidu.com/s/16EE2XE-OZS_xBRPlWUODbw?pwd=n2vb
提取码: n2vb
使用APK:Challenge 0x9.apk

3.1 代码分析(MainActivity)

在这里插入图片描述

Java层核心代码(MainActivity)

package com.ad2001.a0x9;

import android.os.Bundle;
import android.view.View;
import android.widget.Button;
import android.widget.Toast;
import androidx.appcompat.app.AppCompatActivity;
import com.ad2001.a0x9.databinding.ActivityMainBinding;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;
import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.SecretKeySpec;

public class MainActivity extends AppCompatActivity {
    private ActivityMainBinding binding;
    Button btn;

    // 声明原生函数(实现位于liba0x9.so)
    public native int check_flag();

    static {
        System.loadLibrary("a0x9"); // 加载原生库
    }

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        ActivityMainBinding activityMainBindingInflate = ActivityMainBinding.inflate(getLayoutInflater());
        this.binding = activityMainBindingInflate;
        setContentView(activityMainBindingInflate.getRoot());
        Button button = (Button) findViewById(R.id.button);
        this.btn = button;
        // 按钮点击事件:依赖check_flag()的返回值判断逻辑
        button.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) throws NoSuchPaddingException, NoSuchAlgorithmException, InvalidKeyException {
                if (MainActivity.this.check_flag() == 1337) { // 核心判断条件
                    try {
                        // AES解密逻辑(成功时执行)
                        Cipher cipher = Cipher.getInstance("AES");
                        SecretKeySpec secretKeySpec = new SecretKeySpec("3000300030003003".getBytes(), "AES");
                        cipher.init(2, secretKeySpec);
                        byte[] decryptedBytes = Base64.getDecoder().decode("hBCKKAqgxVhJMVTQS8JADelBUPUPyDiyO9dLSS3zho0=");
                        String decrypted = new String(cipher.doFinal(decryptedBytes));
                        Toast.makeText(MainActivity.this.getApplicationContext(), "You won " + decrypted, 1).show();
                        return;
                    } catch (Exception e) {
                        throw new RuntimeException(e);
                    }
                }
                Toast.makeText(MainActivity.this.getApplicationContext(), "Try again", 1).show();
            }
        });
    }
}

案例中的MainActivity是一个简单的Android页面,核心逻辑如下:

  1. 原生函数声明
    声明了native int check_flag(),该函数的实现位于liba0x9.so中(通过static代码块的System.loadLibrary("a0x9")加载)。

  2. 按钮点击事件
    点击按钮时触发onClick事件,逻辑分为两步:

    • 调用check_flag(),判断返回值是否为1337;
    • 若返回值为1337,使用AES算法解密预定义的Base64字符串(hBCKKAqgxVhJMVTQS8JADelBUPUPyDiyO9dLSS3zho0=),密钥为3000300030003003,解密成功后显示"You won + 解密结果";
    • 若返回值不是1337,显示"Try again"。

  3. 核心依赖
    程序的"成功"逻辑完全依赖check_flag()的返回值,因此只要修改该函数的返回值为1337,即可绕过原生层验证,直接触发解密流程。

3.2 Hook思路

基于上述代码分析,hook的核心目标是check_flag()强制返回1337,具体思路如下:

  1. 确定hook点
    目标函数为com.ad2001.a0x9.MainActivity类中的check_flag(),无需关心其原生实现(无论liba0x9.so中如何计算返回值,直接覆盖即可)。

  2. 编写hook脚本
    使用Frida的Java桥接API,获取MainActivity类引用,重写check_flag()的实现,固定返回1337。

  3. 注入脚本到目标进程
    通过Python脚本连接设备、启动目标应用进程(com.ad2001.a0x9)、附加进程并注入JS脚本,实现动态hook。

3.3 核心源码与脚本

3.3.1 Frida Hook脚本(JS)
import Java from 'frida-java-bridge';

Java.perform(function () {
    // 1. 获取目标类
    const MainActivity = Java.use('com.ad2001.a0x9.MainActivity');
    
    // 2. 重写原生函数check_flag(),强制返回1337
    MainActivity.check_flag.implementation = function () {
        console.log("[Hook] 拦截check_flag(),返回1337");
        return 1337; // 覆盖原返回值
    };
});
3.3.2 注入脚本(Python)
import frida
import sys
import time

def on_message(message, data):
    if message['type'] == 'send':
        print(f"[Hook 日志] {message['payload']}")
    elif message['type'] == 'error':
        print(f"[错误] {message['stack']}")

# 目标应用包名
PACKAGE_NAME = "com.ad2001.a0x9"

def main():
    try:
        # 连接USB设备
        device = frida.get_usb_device(timeout=10)
        print(f"已连接设备:{device.name}")

        # 启动目标进程
        print(f"启动进程 {PACKAGE_NAME}...")
        pid = device.spawn([PACKAGE_NAME])
        device.resume(pid)
        time.sleep(2)  # 等待进程启动

        # 附加到进程并注入脚本
        process = device.attach(pid)
        print(f"已附加到进程 PID: {pid}")

        with open("./js/compiled_hook.js", "r", encoding="utf-8") as f:
            js_code = f.read()

        script = process.create_script(js_code)
        script.on('message', on_message)
        script.load()
        print("JS 脚本注入成功,开始监控...(按 Ctrl+C 退出)")

        sys.stdin.read()

    except frida.TimedOutError:
        print("未找到USB设备")
    except frida.ProcessNotFoundError:
        print(f"应用 {PACKAGE_NAME} 未安装")
    except FileNotFoundError:
        print("未找到 js 脚本,请检查路径")
    except Exception as e:
        print(f"异常:{str(e)}")
    finally:
        if 'process' in locals():
            process.detach()
        print("程序退出")

if __name__ == "__main__":
    main()

3.4 成功效果

执行上述脚本后,点击应用按钮,check_flag()被hook强制返回1337,触发AES解密流程,成功显示flag:

在这里插入图片描述

4. 技术总结

  1. 核心原理:修改原生函数返回值的本质是通过hook技术拦截函数调用,用自定义返回值覆盖原逻辑。对于依赖返回值的程序(如验证、权限判断),该方法可快速绕过限制。

  2. Frida的优势:作为动态hook工具,Frida无需修改原程序代码或重打包,支持跨平台(Android、iOS等),且通过Java桥接API可轻松操作Java层函数(包括原生函数),降低了hook的技术门槛。

  3. 关键注意事项

    • 需准确获取类的完整路径(包名+类名)和函数名,否则无法定位目标;
    • 进程附加时机需合理(建议在进程启动初期注入,避免函数已被调用);
    • 若函数有参数,需在重写实现时保持参数列表一致(即使不使用参数)。

  4. 适用场景:适用于逆向分析中需要绕过原生层验证、调试函数依赖关系、或临时修改程序行为的场景,是移动端逆向工程的基础技能之一。

使用Frida hook 获取native代码的返回值
weixin_45008664的博客
10-03 1715
frida hook的简单使用
Frida Hook 入门(3)| Native 代码 Hook 实战
weixin_65409651的博客
01-07 1592
Android 应用中,Native 代码(通常用 C/C++ 编写)是很多安全研究和动态分析的重点领域,尤其是处理加密、解密、JNI 调用的场景。相比 Java 方法,Native Hook 分析的难度更高,但 Frida 的强大功能让这一切变得简单。理解 Native Hook 的基本原理使用 Frida Hook Native 函数实战案例:Hook JNI 函数Native Hook 的常见挑战与解决方案。
Frida Android基础12:Nativehook基础——调用原生函数+IDA分析
水滴石穿
10-24 1199
核心流程静态分析:通过JADX解析Java代码,定位加载的SO库及关键Native方法;逆向SO库:使用IDA分析SO文件,找到目标函数(如隐藏的Flag获取函数)并记录偏移量;动态Hook:通过Frida脚本枚举模块获取基地址,计算函数实际地址,封装并调用函数;结果验证:通过ADB日志或其他方式获取Hook后的输出。关键工具JADX:反编译APK,分析JavaNative的交互逻辑;IDA Pro:逆向SO文件,查看函数列表、伪代码及偏移量。注意事项。
Frida Android基础10:NativeHook基础——调用普通方法
水滴石穿
10-22 1043
原生函数Hook的核心是拦截函数调用并修改其行为,无需了解函数内部实现细节;对于Java声明的原生函数,可通过Frida的Java.use和属性快速Hook;关键步骤:定位目标函数→编写Hook逻辑(参数打印、返回值修改等)→注入进程执行。
Frida Android基础15(完):Frida-Trace 基础应用——JNI 函数 Hook
水滴石穿
10-30 997
Android开发中,Java代码有时会调用原生代码(C/C++编写),这些调用通过实现。Java_包名_类名_方法名(比如是Frida工具集中的一个实用工具,它可以快速追踪应用中符合JNI命名规范的函数,帮助我们观察函数调用、修改返回值等,非常适合新手入门Hook技术。本章示例应用的链接:pwd=n2vb提取码: n2vb使用APK1:Challenge 0x9.apk使用APK2:Challenge 0xA.apk自动生成的脚本是基础模板,我们可以修改它来改变函数行为。比如,将/*
Frida Hook 常用函数、java hook、so hook、RPC、群控
热门推荐
freeking101的博客
01-29 2万+
Frida Hook 常用函数、java hook、so hook、RPC、群控
Android Hook技术学习——常见的hook技术方案
QG
02-02 1813
hook
Android 签名校验与绕过思路详解
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
06-17 1671
本文详细探讨了Android应用签名校验机制及其攻防对抗策略。首先阐述了签名校验的核心原理,包括PackageInfo获取、CREATOR反序列化、文件I/O操作等环节。随后系统性地分析了五种常见绕过方法:拦截PackageInfo、替换CREATOR、重定向文件I/O、替换Application类以及系统调用拦截,并说明了各方法的适用场景。针对开发者提出的检测手段,文章也提供了相应的反制策略,如CREATOR检测绕过、内存校验对抗等。最后强调签名校验是Android安全基础,但随着逆向技术的发展已演变为持
Frida 脱壳、自动化、fridaUiTools、objection、Wallbreaker
freeking101的博客
10-17 1万+
Frida 进阶:脱壳、自动化、fridaUiTools、objection、Wallbreaker插件
Frida基础
SXXYNHHXX的博客
04-29 1266
Android逆向过程中,Frida存在两种操作模式:一种是通过命令行直接将JavaScript脚本注入进程中,对进程进行操作,称为CLI(命令行)模式;另一种是使用Python进行JavaScript脚本的注 入工作,实际对进程进行操作的还是JavaScript脚本,这种操作模式 称为RPC模式。两种模式本质上是一样的,最终执行Hook工作的都是JavaScript脚本,而且核心执行注入工作的还是Frida本身,只是RPC模式在对复杂数据的处理上可以通过RPC传输给Python脚本来。
FRIDA-DEXDump:Android应用逆向脱壳实战工具详解
weixin_35871529的博客
09-23 1910
所有操作数均为寄存器(v0~v255),无需显式压栈;指令分为单字节(A)、扩展(B)、宽展(C)等多种格式;支持直接跳转、条件分支、异常处理等控制流结构;可通过baksmali将DEX反汇编为smali文本,便于人工阅读。深度解析:由于大多数加壳程序会在运行时动态生成DEX并反射调用,因此了解smali语法有助于分析解密链。例如,某些壳会插入大量无意义的goto和nop指令扰乱静态分析,但在运行时仍可通过FRIDA Hook捕获真实类加载时机。
frida-android-hook:该脚本可帮助您在Android平台上跟踪类,函数修改方法的返回值
05-12
该脚本可帮助您在Android平台上跟踪类,函数修改方法的返回值 对于iOS平台: : 环保操作系统支持 作业系统 支持的 著名的 苹果系统 :check_mark_button: 主要的 Linux :check_mark_button: 子 视窗 :check_...
Frida Objection基础与Wallbreaker:Android应用Hook实战
它在Frida基础上构建,Frida是一个广泛应用于移动和桌面应用的动态代码插桩工具,允许开发者在运行时拦截和修改程序的执行流程。 在使用objection时,有一些关键功能: 1. 注入指定应用:objection允许你选择...
渗透测试-Frida逆向入门之nativeHook
cdyunaq的博客
02-23 2536
该文章来自R0ysue书籍SO HOOk的总结 11.1 Native基础 11.1.1 NDK基础介绍: 1、安卓开发中除了java编译的dex由ART/Davilk虚拟机执行外、还存在C/C++编译的动态链接库文件由CPU执行 2、JAVA依赖SDK、C/C++需要NDK依赖库 3、NDK关键之一JNI、JNI可以完成在java调用C/C++函数。也可以在C/C++中调用java函数 4、JNI是JVM虚拟机的一部分 11.2.1 NDK开发 创建项目,会比不使用NDK的多cpp目录,c
android15 实现截屏功能
shuang__zi的专栏
10-30 204
android中实现截图的方式,包含 android15及以下的截图方式
Android + Flutter打包出来的APK体积太大
最新发布
jjf19891208的专栏
11-03 80
Android原生项目集成了Flutter Module,之前打包的APP只有50MB左右,今天重新打包居然变成400多MB了,使用Android Studio的Analyze APK查看,主要是 libflutter.so 体积很大,看Build日志,说是Flutter Module依赖的多个Flutter插件使用的NDK版本不一样,于是根据修复建议,在Flutter Module的.android/app/build.gradle中设置一个最高的NDK版本(log中有建议的版本,就是多个插件所依赖的ND
Android 16兼容详解
要乐观,要积极,多笑,多照镜子
10-30 711
摘要:Android 16(API 36)的关键适配要点 Android 16在隐私、后台管理、安全机制和用户体验方面引入多项变更,需重点关注以下适配内容: 隐私权限精细化 健康传感器权限拆分为前台(HEALTH_SENSORS_FOREGROUND)和后台(HEALTH_SENSORS_BACKGROUND),需分步申请。 蓝牙扫描权限增加后台限制(每小时最多5次),需声明neverForLocation属性避免位置权限。 后台行为收紧 后台任务唤醒频率降至每小时3次,推荐使用WorkManager
四、CSS选择器(续)和三大特性
2301_79964758的博客
11-02 882
本文介绍了CSS选择器及其特性。主要内容包括:1)分组选择器(使用逗号分隔多个元素);2)伪类选择器(状态伪类、结构伪类和表单伪类);3)伪元素选择器(::before/::after);4)属性选择器(匹配特定属性值)。最后阐述了CSS三大特性:继承性(文字相关样式)、叠性(样式覆盖规则)和优先级(权重计算规则)。其中优先级由选择器类型决定,权重从高到低依次为!important、内联样式、ID选择器、类选择器等。权重计算采用四位数不进制原则。
第2章、MySQL启动关闭时遇到的那些坑
weixin_42257277的博客
10-29 983
service配置service启动:​。​。启动命令:service mysqld3306 start关闭命令:service mysqld3306 stop启动命令:mysqld_safe --defaults-file=/data/mysql/mysql3306/my3306.cnf &关闭命令:mysqladmin -S /data/mysql/mysql3306/mysql.sock shutdownmysqld(推荐)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

介一笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值