frida

最新推荐文章于 2024-08-09 07:31:17 发布
最新推荐文章于 2024-08-09 07:31:17 发布
阅读量713 收藏 2
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41535923/article/details/102928844
版权

文章目录

1.基本理解

frida是一个优秀的跨系统、跨平台的开源注入框架,既能hook java层,也能hook native层,而且安装简单便捷。不过局限性是手机要root权限。
动态注入与hook都会修改目标程序的运行行为,但它们最大的区别在于:使用hook框架对程序hook后,会修改原方法或函数的指针,让其转去执行hook的方法,而动态注入则通过进程读写技术将一段代码或程序写到目标程序的内存空间,然后修改目标程序的指令指针,让加载代码得以执行。

2.基本流程

frida安装网上有安装教程
本文主要叙述python+js式hook;

import frida
import sys

# hook逻辑脚本;有时候会单独写个js脚本,然后文件读取(最好别有汉字);
jscode=open('file.js').read()

#连接usb设备
redv = frida.get_usb_device()    
# 注入进程,attach传入进程名称(字符串)或者进程号(整数)
session = frida.attach("进程名称")
script = session.create_script(jscode)


# 接收脚本信息的回调函数
# message是一个对象,type属性为send则表示send函数发送的信息,其内容在payload里
# 下面这个on_message函数可以做固定用法,一般无需改动,当然也可直接打印message看看里边的内容
def on_message(message, data):
    if message['type'] == 'send':
        print("[*]{0}".format(message['payload']))
    elif :
        print(message)
# 应该是设置message事件的回调函数
script.on('message', on_message)
# 加载hook脚本
script.load()
#卸载脚本,如果只想运行一次就修改参数可能需要卸载脚本
#定义一个全局变量判断是否得到自己想要的结果;global定义
#script.unload()
# 保持主线程不结束(也可以使用time.sleep循环)
sys.stdin.read()

上面的脚本一般不需要变动,真正需要改动的在file.js里面;

#因为hookjava方法;外层要进行封装;
Java.perform(function(){
	#里面写包名.类名
    var tblives= Java.use('com.taobao.taolive.room.ui.chat.ChatController');
	#写方法名;function里面输入参数也可以不写用arguments传入
	#方法体里面才是真正需要改动的东西;每当程序执行这个方法,就会被frida勾住,执行下面的程序块
	#
    tblives.setupChatTopMessage.implementation=function(a,b) {
        #js里面打印,python获取不到
        console.log(" start hook");
        console.log(" a:",a);
        console.log(" b:",b);
        #send方法也是输出,但是会经过回调函数到python脚本里面,可以对结果进行调用
        send(a)
        
		#下面相当于还是执行的原方法的逻辑,没做改动
        var abc = this.setupChatTopMessage(a,b);
        return abc;

        }
        
    })
;

2.1 hook java方法汇总

2.1.1 hook 重载函数使用overload

var   tblives= Java.use('com.taobao.taolive.room.ui.chat.ChatTopMessage');  
#这个是构造函数的重载
tblives.$init.overload("int","java.lang.String","java.lang.String","com.taobao.taolive.sdk.adapter.message.TLiveMsg").implementation=function(a,b,c,d) {}

2.1.2 hook构造函数用$init

代码见上

2.1.3 hook 内部类用$

#类里面又定义了一个类
var inInnerClass = Java.use('ese.xposedtest.MainActivity$inInnerClass');

2.1.4 hook 生成对象使用$new

const JavaString = Java.use('java.lang.String');
var exampleString1 = JavaString.$new('Hello World, this is an example string in Java.');
console.log('[+] exampleString1: ' + exampleString1);

2.1.5 hook 静态变量(属性)用反射的方法

在这里插入代码片

3. 进阶教学

主要是对frida的应用

3.1 打印动态加载的插件

Java.perform(function(){
		#加载jar/apk/dex
        var dexclassLoader = Java.use("dalvik.system.DexClassLoader");
        dexclassLoader.$init.implementation = function(dexPath,optimizedDirectory,librarySearchPath,parent) {
            #dex路径
            console.log("dexPath:" + dexPath);
            #输出优化后的dex文件
            console.log("optimizedDirectory:" + optimizedDirectory);
            #动态库路径
            console.log("librarySearchPath:" + librarySearchPath);
            #制定父类加载器
            console.log("parent:" + parent);

            this.$init(dexPath, optimizedDirectory, librarySearchPath, parent);
        }
        console.log("down!");

});

3.2打印native方法在so的位置偏移


var ishook_libart = false;

function hook_libart() {
    if (ishook_libart === true) {
        return;
    }
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addrGetStringUTFChars = null;
    var addrNewStringUTF = null;
    var addrFindClass = null;
    var addrGetMethodID = null;
    var addrGetStaticMethodID = null;
    var addrGetFieldID = null;
    var addrGetStaticFieldID = null;
    var addrRegisterNatives = null;
    var addrAllocObject = null;
    var addrCallObjectMethod = null;
    var addrGetObjectClass = null;
    var addrReleaseStringUTFChars = null;
    for (var i = 0; i < symbols.length; i++) {
        var symbol = symbols[i];
        if (symbol.name == "_ZN3art3JNI17GetStringUTFCharsEP7_JNIEnvP8_jstringPh") {
            addrGetStringUTFChars = symbol.address;
            console.log("GetStringUTFChars is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI12NewStringUTFEP7_JNIEnvPKc") {
            addrNewStringUTF = symbol.address;
            console.log("NewStringUTF is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI9FindClassEP7_JNIEnvPKc") {
            addrFindClass = symbol.address;
            console.log("FindClass is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI11GetMethodIDEP7_JNIEnvP7_jclassPKcS6_") {
            addrGetMethodID = symbol.address;
            console.log("GetMethodID is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI17GetStaticMethodIDEP7_JNIEnvP7_jclassPKcS6_") {
            addrGetStaticMethodID = symbol.address;
            console.log("GetStaticMethodID is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI10GetFieldIDEP7_JNIEnvP7_jclassPKcS6_") {
            addrGetFieldID = symbol.address;
            console.log("GetFieldID is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI16GetStaticFieldIDEP7_JNIEnvP7_jclassPKcS6_") {
            addrGetStaticFieldID = symbol.address;
            console.log("GetStaticFieldID is at ", symbol.address, symbol.name);
        } else if (symbol.name == "_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi") {
            addrRegisterNatives = symbol.address;
            console.log("RegisterNatives is at ", symbol.address, symbol.name);
        } else if (symbol.name.indexOf("_ZN3art3JNI11AllocObjectEP7_JNIEnvP7_jclass") >= 0) {
            addrAllocObject = symbol.address;
            console.log("AllocObject is at ", symbol.address, symbol.name);
        }  else if (symbol.name.indexOf("_ZN3art3JNI16CallObjectMethodEP7_JNIEnvP8_jobjectP10_jmethodIDz") >= 0) {
            addrCallObjectMethod = symbol.address;
            console.log("CallObjectMethod is at ", symbol.address, symbol.name);
        } else if (symbol.name.indexOf("_ZN3art3JNI14GetObjectClassEP7_JNIEnvP8_jobject") >= 0) {
            addrGetObjectClass = symbol.address;
            console.log("GetObjectClass is at ", symbol.address, symbol.name);
        } else if (symbol.name.indexOf("_ZN3art3JNI21ReleaseStringUTFCharsEP7_JNIEnvP8_jstringPKc") >= 0) {
            addrReleaseStringUTFChars = symbol.address;
            console.log("ReleaseStringUTFChars is at ", symbol.address, symbol.name);
        }
    }

    if (addrRegisterNatives != null) {
        Interceptor.attach(addrRegisterNatives, {
            onEnter: function (args) {
                console.log("[RegisterNatives] method_count:", args[3]);
                var env = args[0];
                var java_class = args[1];
                
                var funcAllocObject = new NativeFunction(addrAllocObject, "pointer", ["pointer", "pointer"]);
                var funcGetMethodID = new NativeFunction(addrGetMethodID, "pointer", ["pointer", "pointer", "pointer", "pointer"]);
                var funcCallObjectMethod = new NativeFunction(addrCallObjectMethod, "pointer", ["pointer", "pointer", "pointer"]);
                var funcGetObjectClass = new NativeFunction(addrGetObjectClass, "pointer", ["pointer", "pointer"]);
                var funcGetStringUTFChars = new NativeFunction(addrGetStringUTFChars, "pointer", ["pointer", "pointer", "pointer"]);
                var funcReleaseStringUTFChars = new NativeFunction(addrReleaseStringUTFChars, "void", ["pointer", "pointer", "pointer"]);

                var clz_obj = funcAllocObject(env, java_class);
                var mid_getClass = funcGetMethodID(env, java_class, Memory.allocUtf8String("getClass"), Memory.allocUtf8String("()Ljava/lang/Class;"));
                var clz_obj2 = funcCallObjectMethod(env, clz_obj, mid_getClass);
                var cls = funcGetObjectClass(env, clz_obj2);
                var mid_getName = funcGetMethodID(env, cls, Memory.allocUtf8String("getName"), Memory.allocUtf8String("()Ljava/lang/String;"));
                var name_jstring = funcCallObjectMethod(env, clz_obj2, mid_getName);
                var name_pchar = funcGetStringUTFChars(env, name_jstring, ptr(0));
                var class_name = ptr(name_pchar).readCString();
                funcReleaseStringUTFChars(env, name_jstring, name_pchar);

                //console.log(class_name);

                var methods_ptr = ptr(args[2]);

                var method_count = parseInt(args[3]);
                for (var i = 0; i < method_count; i++) {
                    var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                    var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                    var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));

                    var name = Memory.readCString(name_ptr);
                    var sig = Memory.readCString(sig_ptr);
                    var find_module = Process.findModuleByAddress(fnPtr_ptr);
                    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));

                }
            },
            onLeave: function (retval) { }
        });
    }

    ishook_libart = true;
}

hook_libart();

在这里插入图片描述

3.3send 和console

console.log()只是打印在控制台;
send()方法会经过回调到脚本可以进行调用;
但是有时候send()参数会返回结果很奇怪,解决办法如下

send(arguments[1]);
send(arguments[1].toString());
[*]{'$handle': '0x203d2a', '$weakRef': 41}
[*]{"nick":"难以释怀的浅时光","identify":{"APASS_USER":"0","fanLevel":"3","VIP_USER":"1"},"userid":"1016207621"}

参考文献:
hook基本流程
hook方法

native方法地址

冬瓜很皮
关注
专栏目录
frida反射调用对象中的方法与字段.pdf
12-09
该篇文章主要介绍当我们碰到参数或者返回值是一个对象时,如何通过frida反射调用该对象的方法(methods)与获取该对象的字段(fields)。感兴趣的朋友可以下载下来看看,了解了解
frida 主动调用so native实例函数的问题
Pansy的博客
05-17 1082
Java.api[类路径](返回值, 对象指针, 参数);
开源项目frida_hook_libart安装与使用指南
最新发布
gitblog_00937的博客
08-09 502
开源项目frida_hook_libart安装与使用指南 frida_hook_libartFrida hook some jni functions项目地址:https://gitcode.com/gh_mirrors/fr/frida_hook_libart 1. 项目的目录结构及介绍 frida_hook_libart 是一个用于Frida环境下钩子(jni函数)的开源库。在下载或克隆该项...
FridaHook整理】Frida安装及Hook安卓常用脚本
杰孑的博客
04-06 2万+
1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
安卓逆向|菜鸟的FRIDA学习笔记:内存读写
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
07-12 6911
这是我自己的学习笔记,比较水,大佬勿喷。假设你的手机已经root,并已开启frida服务,电脑端已安装好Python,frida,IDA,GDA。样本地址:链接: https://pan...
安卓逆向Frida高级操作
weixin_43169858的博客
05-12 777
让我们更深入地讨论一下Frida的工作原理以及如何使用它进行高级操作。Frida是一个动态代码插桩工具,它的工作原理是在目标进程中注入一个JavaScript运行环境,并能调用各种操作系统和进程的API。Frida的插桩脚本是用JavaScript编写的,这让我们能够在目标进程中运行任意的JavaScript代码,从而实现对目标进程的完全控制。
hluda-server-16.2.1(魔改版frida)
02-29
《hluda-server-16.2.1(魔改版frida):深入解析与应用》 hluda-server-16.2.1是针对移动设备优化的一个服务器组件,其独特之处在于它融合了经过魔改的frida框架。这个魔改版的frida在hluda-server中扮演着核心角色...
自用存档 打印frida使用过程中出现的复杂类型
02-25
Frida是一款强大的动态代码插桩工具,常用于逆向工程、调试和自动化测试。它允许你在运行时对目标应用程序进行交互式脚本编写,从而分析和修改程序的行为。在这个自用存档中,我们看到重点是关于在使用Frida过程中...
Android反frida注入检测的demo
08-14
Frida是一种动态代码插桩工具,开发者和逆向工程师常常用它来对运行中的应用程序进行调试和分析。然而,这种工具也可能被恶意攻击者用于非法目的,如窃取数据或操控应用行为。因此,了解并实施Android反Frida注入...
frida gadget 16.3.3 android x86
06-13
Frida 的 Gadget 是一个共享库,用于在注入操作模式不适用时由程序加载以进行检测。 这可以通过多种方式完成,例如: 修改程序的源代码 修补程序或其库之一,例如通过使用 insert_dylib 之类的工具 使用动态链接器...
frida-js:一些适用于frida的js脚本
05-13
**Frida-JS:揭示Android Hooking的魔法** Frida是一款强大的动态代码插桩工具,它允许开发者在运行时对程序进行交互,进行调试、逆向工程、自动化测试等任务。`frida-js` 是一个专门为Frida设计的JavaScript库,...
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 6730
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
Frida 入门及介绍
热门推荐
kong
09-02 3万+
Firda介绍 Frida 是一款基于 Python + JavaScript 的 Hook 与调试框架。 Firda 是一款易用的跨平 Hook 工具, Java 层到 Native 层的 Hook 无所不能,是一种 动态 的插桩工具,可以插入代码到原生 App 的内存空间中,动态的去监视和修改行为,原生平台包括 Win、Mac、Linux、Android、iOS 全平台。 静态二进制插桩:在...
Android逆向之Frida
Neil.Liu的博客
07-29 879
文章目录frida 常用shell命令Frida hook app启动项Frida 常用java api1. frida 重载2. 内存扫描实例3. Array数组4. HashMap 数组5. 乱码情况 no-ascii6. 枚举类7. 类型转换8. 创建一个新类 frida 常用shell命令 Usage: frida [options] target Options: --version show program's version number and ex
进阶Frida--Android逆向之Hook动态加载dex(三)(上篇)
小猪乔治
07-04 8645
前言:前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题,确实关于如何hook动态加载的dex,网上的资料很少,更不用说怎么使用frida去hook动态加载的dex了。(而且frida的官方文档写的真的无语,不想吐槽。)之后偶然的情况下发现了一道CTF题目可以作为很好的教案,于是有了这篇文章,分享给大家。 文章使用到的工具 apk的安装和分析 安装 分析 表格 ...
Frida Hook 学习记录】Frida Hook Android 常用方法
卦星的专栏
10-18 1万+
Frida hook 常用方法 1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅 参考文章 Android逆向之旅—Hook神器家族的Frida工具使用详解 2 待测试案例 xxxxx 3 方法汇总 3.1 Hook 构造函数—使用$init 3.2 Hook 构造对象—使用$new 3.3 Hook 一般函数—使...
Android Hook-Frida框架-注入以及Process的用法
记录和分享程序人生的点点滴滴
12-15 1037
善用命令行,快速验证你的想法。 1. 连接并注入到app中: frida -U -n com.example.appmsyhudiddemo 2. Process实战函数: isDebuggerAttached hasOwnProperty [Android Emulator 5554::com.example.appmsyhudiddemo]-> Process { "arch": "ia32", "codeSigningPolicy": "optional", "
JNI Hook java层方法
大星星的专栏
08-06 7211
参考:注入安卓进程,并hook java世界的方法 测试应用程序界面: 点击“SayHello”按钮时,旁边的文本标签显示字符串“MainActivity hello”,点击“GetMac”按钮时,旁边的文本标签显示当前mac地址。 代码: package com.example.jnihookjava; import android.
frida span
06-19
Frida是一款强大的动态代码插桩(Dynamic Code Injection)工具,它主要用于JavaScript和Objective-C环境,但通过一些技巧也可以应用于其他语言。Frida可以在运行时监控和修改应用程序的内存,允许开发者在不修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值