逆向 笔记

已于 2023-02-12 17:01:48 修改
阅读量931 收藏 5
点赞数
分类专栏: 逆向 文章标签: 逆向
于 2021-07-18 13:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43572758/article/details/118876347
版权 
MD5提取结果通常是32位,不受明文长度影响;
Base64编码结果末尾通常会出现一或二个等于符号,受明文长度影响;
一长串无规律数字与字母组合的字符大概率是AES、DES、SHA相关加密;
SHA1加密结果值为40位,不受明文长度影响;
SHA256加密结果值为64位,不受明文长度影响;
另外, AES、RSA等对称和非对称加密都喜欢将结果值用Base64进行编码,这样易于传递;
如果你看到一长串字符里出现+号、\号和末尾的=号,那大概率就是上一行描述的加密算法加密后又进行了Base64编码的结果;
但要注意的是32位的字符串不一定是MD5摘要结果, 64位的也不一定是SHA加密结果

Reres

1.扩展程序管理
在这里插入图片描述
在这里插入图片描述
浏览器

  • btoa():任意值转为 Base64 编码
  • atob():Base64 编码转为原来的值
  • 非ASCII码要转码再base64 encodeURIComponent decodeURIComponent

NodeJs

var b64encode = new Buffer.from("JavaScript").toString("base64");
console.log(b64encode)
var b64decode = new Buffer.from(b64encode,'base64').toString();
console.log(b64decode)

刷机后时间错误、网络不可访问:

adb shell settings put global captive_portal_http_url https://www.google.cn/generate_204
adb shell settings put global captive_portal_https_url https://www.google.cn/generate_204
adb shell settings put global ntp_server 1.hk.pool.ntp.org
adb shell reboot

Android7以上安装证书:

openssl x509 -inform PEM -subject_hash_old -in cacert.pem 
 ren charles.pem  2e355b8b.0
 adb push 2e355b8b.0 /sdcard/
 adb shell
 su
 mount -o rw,remount /system
 mv /sdcard/2e355b8b.0 /system/etc/security/cacerts/
 chmod 644 /system/etc/security/cacerts/2e355b8b.0
reboot

计算cer证书hash值

openssl x509 -inform PEM -subject_hash_old -in /Users/wiliam/temp/FiddlerRoot.cer -inform der

“证书安装程序停止运行”解决方法:

手机关机后按电源键和音量- 选择recovery启动
adb root
adb remount
adb push 2e355b8b.0 sdcard/Download/
adb shell
cp sdcard/Download/2e355b8b.0 /data/adb/modules/movecert/system/etc/security/cacerts/
ls /data/adb/modules/movecert/system/etc/security/cacerts/
chown root:root /data/adb/modules/movecert/system/etc/security/cacerts/*
chmod 644 /data/adb/modules/movecert/system/etc/security/cacerts/*
chcon u:object_r:system_file:s0 /data/adb/modules/movecert/system/etc/security/cacerts/*
reboot

PC和手机需要安装版本一致的Frida版本,还要注意手机系统架构

查看手机系统架构:(adb shell中运行)

bullhead:/ # getprop ro.product.cpu.abi
arm64-v8a

pip install frida==12.8.0 frida_tools==5.3.0 objection==1.8.4

Kali 环境
frida          14.2.17
frida-tools    9.2.4


手机 /data/local/tmp/目录下
frida-server-14.2.17-android-arm64 re.frida.server

chmod 777 frida-server-12.11.17-android-arm64
./frida-server-12.11.17-android-arm64

确定frida已建立联系:
frida ps -U

查看手机进程
frida-ps -U

查询网址:https://github.com/frida/frida/releases
在对应版本Frida中查找Frida-tools版本即可

安装frida ide智能提示
(安装nvm,使用node 12的版本)

$ git clone git://github.com/oleavr/frida-agent-example.git
$ cd frida-agent-example/
$ npm install
$ frida -U -f com.example.android --no-pause -l _agent.js

在frida-agent-example/下新建文件夹编写frida脚本

hello world

frida -U -l hello_world.js com.android.bluetooth
(-U为USB, -l为脚本所在路径)
exit 或 Ctrl+D 退出

REPL(Read-Eval-Print Loop)“交互式解释器”或“交互式编程环境”

frida-ps -U | grep 'settings'
objection -g com.android.settings explore

JADX开启反混淆后类名并非原来的类名

方法分为静态方法和实例方法,应当分别从类和实例处重载

frida如何查看HashMap

var Map = Java.use('java.util.HashMap');
var args_map = Java.cast(m, Map);
console.log(args_map.toString());

wallbreaker的使用

7z x frida-server-12.8.0-android-arm64.xz
adb push frida-server-12.8.0-android-arm64 /data/local/tmp
git clone https://github.com/hluwa/Wallbreaker.git ~/.objection/plugins/Wallbreaker
objection -g com.qiyi.video.lite explore -P ~/.objection/plugins/
plugin wallbreaker objectsearch 类名 (每次运行句柄会变化)
plugin wallbreaker objectdump 0x31ba

objection日志文件是: ~/.objection/objection.log, 可以删除, 方便查看下次的内容.

objection在APP启动时hook

objection -g 包名 explore -s "android hooking watch class 类 --dump-args --dump-backtrace --dump-return"

objection attach app
https://github.com/sensepost/objection/issues/335

╰─$ frida -Uf "cn.kuwo.player" -l anti_frida_detection.js
╰─$ frida-ps -Ua
  PID  Name          Identifier
5  ------------  -----------------------
18833   酷我音乐      cn.kuwo.player
╰─$ objection -g 18833 explore -P ~/.objection/plugins/

或者
╰─$ objection -g `frida-ps -Ua | grep kuwo | awk '{print $1}'` explore -P ~/.objection/plugins/ -c objection_batch_hook.txt

如何使用objection去批量hook和trace?
在这里插入图片描述

frida在APP启动时hook------send()相当于console.log()

import frida  # 导入frida模块
import sys  # 导入sys模块

jscode = """
    Java.perform(function(){  
        var c = Java.use("com.tencent.news.tad.common.e.d"); // 类的加载路径

        c.ˆ.overload('java.lang.String').implementation = function(str){   
            send(str);
            var r = this.ˆ(str);
            send("success2");
            send(r);
            return r;
        };

    });
"""


def on_message(message, data):  # js中执行send函数后要回调的函数
    if message["type"] == "send":
        print("[*] {0}".format(message["payload"]))
    else:
        print(message)


process = frida.get_usb_device()

pid = process.spawn(['com.tencent.news'])  # spawn后app会进入空白页面卡住
session = process.attach(pid)  # 依据进程号attach进程
script = session.create_script(jscode)  # 创建js脚本
script.on('message', on_message)  # 加载回调函数,也就是js中执行send函数规定要执行的python函数
script.load()  # 加载脚本
process.resume(pid)  # 从空白页面恢复运行
sys.stdin.read()

静态函数直接use class然后调用方法,非静态函数需要先choose实例然后调用

Frida疑问:
内部类
new Class() {
	public int fun(){}
}
fun没有static为什么可以直接use class然后hook方法?继承

frida怎么实例化枚举类

使用Frida时,想要打印Java对象的内容,可以使用谷歌的gson包
https://bbs.pediy.com/thread-259186.htm

用wallbreaker找到想要查看属性的实例:

objection -g com.tencent.news explore -P ~/.objection/plugins/

com.tencent.news on (google: 8.1.0) [usb] # plugin wallbreaker objectsearch com.tencent.news.tad.business.manager.a                     
[0x5bda]: com.tencent.news.tad.business.manager.a@3b47eab

查看实例的属性:plugin wallbreaker objectdump 0x5bda
请添加图片描述
查找相关类,找到实例句柄

com.tencent.news on (google: 8.1.0) [usb] # 

 - [ ] android heap search instances com.tencent.news.utils.sp.f$b

                                                                                                          
Using exsiting matches for com.tencent.news.utils.sp.f$b. Use --fresh flag for new instances.
Handle  Class                                                    toString()
------  --------------------------------------------  ----------------------
0x71e6  com.tencent.news.utils.sp.f$b  com.tencent.news.utils.sp.f$b@714da6f

用Objection使用实例句柄调用带参数的方法

com.tencent.news on (google: 8.1.0) [usb] # android heap evaluate 0x71e6                                                                
(The handle at `0x71e6` will be available as the `clazz` variable.)
var r = clazz.getString("taid", "");  
console.log(r);                                                                                                                         
JavaScript capture complete. Evaluating...
Handle 0x71e6 is to class com.tencent.news.utils.sp.f$b
0101869F9B239EB76E4D33C8D47D3D64B96FE17E74A91CC327CA1F452E8F00F2ECE8FB329612972826BF88AC

构造Context

var current_application = Java.use('android.app.ActivityThread').currentApplication();
var context = current_application.getApplicationContext();

构造Long类型

Java.use('java.lang.Long').parseLong.overload('java.lang.String').call(Java.use('java.lang.Long'), "3373342304")

查看Long类型的值

console.log(long.value);

打印调用栈

console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));

打印字符串数组

// fastjson在大部分app中都有集成
var FastJson = Java.use('com.alibaba.fastjson.JSON');
console.log(FastJson.toJSONString(builder));

let arr_len = Java.vm.getEnv().getArrayLength(retval);
console.log("数组长度:", arr_len)
for (let i=0; i<arr_len; i++){
    let obj = Java.vm.getEnv().getObjectArrayElement(retval, i);
    //方法1
    // let element = Java.vm.getEnv().getStringUtfChars(obj, null).readCString();
    //方法2
    let element = Java.cast(obj, Java.use("java.lang.String"));
    console.log("第" + i + "个元素:" +element);
}

frida rpc base64例子

import time

import frida  # 导入frida模块

with open('test2.js') as f:
    jscode = f.read()

process = frida.get_usb_device()

pid = process.spawn(['com.android.settings'])  # spawn后app会进入空白页面卡住,
process.resume(pid)  # resume恢复app的运行
time.sleep(1)

# pid = process.get_process('com.android.settings').pid  # 不重启app

print('进程号:', pid)
session = process.attach(pid)  # 加载进程号
script = session.create_script(jscode)  # 创建js脚本
script.load()  # 加载脚本
api = script.exports
r = api.get()
print(r)


function get(){
    var base64;
    Java.perform(function(){

        var StringClass = Java.use("java.lang.String");
        var byteArray = StringClass.$new("Hello World").getBytes();
//        console.log(byteArray)
//        console.log(JSON.stringify(byteArray))

        var b = Java.use("java.util.Base64").$new().getEncoder();
        base64 = b.encodeToString(byteArray)
//        console.log(base64)

    })
    return base64

}
rpc.exports={
    get:get
}
}
rpc.exports={
    get:get
}

Frida Debug

frida -Uf "air.tv.douyu.android" -l hook_all_map.js --runtime=v8 --debug --no-pause
//frida代码添加
//在chrome开发者工具打开node调试

//python脚本
script = process.create_script(f.read(), runtime='v8')
process.enable_debugger()

Maskgisk安装MagiskHide Props Config模块,实现全局可调试

adb shell //adb进入命令行模式
su //切换至超级用户
magisk resetprop ro.debuggable 1  //设置debuggable
stop;start; //一定要通过该方式重启

查看效果 为1则正常
#adb shell "getprop ro.debuggable"
1

重启后会重置为0!

为Android Studio安装smalidea插件
https://bitbucket.org/JesusFreke/smali/downloads/

启动调试界面
adb shell am start -D -n 包名/.MainActivity
查找进程号
adb shell ps | grep 包名
使用 jdwp 转发端口:
adb forward tcp:端口 jdwp:进程号
创建remote调试

Android Studio打开apk, 直接Debug运行. 进入后打断点, 操作手机触发断点

如果断点不生效, 卸载app后再Debug (被玩坏了???)

高效学习smali:

Android Studio安装java2smali插件,
Build -> Compile to smali, 就能把java代码转成smali

Xpose不重启方案

mount -o rw,remount -t auto /
替换/system/framework/XposedBridge.jar
chmod 777 XposedBridge.jar

查看当前Activity

adb shell dumpsys activity top | grep ACTIVITY

非标准端口启用 frida-server和objection

/data/local/tmp/frida-server-12.8.0-android-arm64 -l 0.0.0.0:3353
objection -N -h 172.16.90.221 -p 3353 -g com.r0syue.nativetest explore

还原被名称粉碎机制破坏的函数名()
(一调用会报错app无法运行???)

# c++filt _Z54Java_com_r0syue_nativetest_MainActivity_stringFromJNI2P7_JNIEnvP8_jobject
Java_com_r0syue_nativetest_MainActivity_stringFromJNI2(_JNIEnv*, _jobject*)

查看静态注册的JNI函数在哪个so文件:

解压apk, 到lib目录下:
grep -ril "函数名" *
例: grep -ril "getQdsfWithTimestampJNI" *
(r 递归目录  i 忽略大小写   l 只输出文件名)

动态注册的JNI函数需要靠hook定位:

git clone https://github.com/lasting-yang/frida_hook_libart.git
frida -U -l hook_RegisterNatives.js -f com.qiyi.video.lite --no-pause

Andoid Studio

点击Run后AS会安装app-debug.apk.
手机应用的apk位置在/data/app/包名-base64字符串/base.apk

╰─$ adb shell pm list package | grep music
package:com.tencent.qqmusic
╰─$ adb shell pm path com.tencent.qqmusic
package:/data/app/~~741Xbz7-KBWlNG71ZIFGZQ==/com.tencent.qqmusic-PANj6LE3nCBuwNqarbWvtQ==/base.apk
╰─$ adb pull /data/app/~~741Xbz7-KBWlNG71ZIFGZQ==/com.tencent.qqmusic-PANj6LE3nCBuwNqarbWvtQ==/base.apk qqmusic.apk
/data/app/~~741Xbz7-KBWlNG71ZIFGZQ==/com.tencent.qqmusic-PANj6LE3...: 1 file pulled, 0 skipped. 35.2 MB/s (157805747 bytes in 4.280s)

AS Logcat日志过滤
点击“create New Logcat Filter”, 起个名字,在Log Tag输入

^(?!.*(libc|StudioTransport|GRPC|AudioTrack|SoundPool|Zygote|libprocessgroup)).*$
adb查看应用所占用内存

adb shell dumpsys meminfo -a com.tencent.reading

APK在手机上的路径
/data/app/包名***/base.apk

adb shell pm list packages
adb shell pm path com.xd.fp.ad
adb pull /data/app/~~MLGJJLICrscYTrNxIXdzdw==/com.xd.fp.ad-M2awbsAciEqDHes2KrfURg==/base.apk ~/Desktop/KUbuntu/派对之星/
数据库在手机上的路径

/data/data/包名/databases/

APK重打包
Android Studio -> Build -> Generate signed Bundle/APK 可以生成证书.
apktool d app-release.apk -o outdir_rel  解包apk.
修改smali逻辑......
apktool b outdir_rel  重打包后apk在outdir_rel/dist/目录下面
jarsigner -verbose -keystore xxx.jks(证书) -signedjar xxx.apk(签名后的apk名字) xxx.apk(需要签名的apk) xxx(keystore别名)

签名

https://mp.weixin.qq.com/s/xlgtU4xqoMqv2oXCMko7yQ

为什么用了久置的证书签名安装失败, 新生成的证书就可以呢??可能信息没填完整.

Jeb有内置工具可以修改生成debuggable:true的apk

jeb_wincon.bat -c --makeapkdebug -- file.apk
生成的apk需要重签名
apksigner.bat sign -ks SOME_KEYSTORE.JKS file_debuggable.apk
将dex反编译为smali

baksmali 的使用
下载 https://bitbucket.org/JesusFreke/smali/downloads/

java -jar /usr/local/bin/baksmali-2.5.2.jar d Main.dex

Android Studio SDK的dexdump

dexdump -d Main.dex
查看so文件是32/64位
file xxx.so
或者
readelf -h xxx.so

so和ida的位数不一致就无法使用F5生成伪代码。

查看APK是32/64位
ARM 32位对应的是armv7架构、armv6架构、armv5架构
ARM 64位是armv8架构

常用的abi:
armeabi: armv5架构和armv6架构 (32位)
armeabi-v7a:armv7架构 (32位)
armeabi-v8a:armv8架构 (64位)
x86:x86架构 (32位)
x86_64:x86_64架构 (64位)

查看系统架构
# adb shell getprop ro.product.cpu.abi    
arm64-v8a

查看手机支持的全部架构
# adb shell getprop ro.product.cpu.abilist
arm64-v8a,armeabi-v7a,armeabi

查看手机架构
# adb shell uname -a
Linux localhost 3.18.70-g91a2acf #1 SMP PREEMPT Fri May 11 01:06:35 UTC 2018 aarch64

aarch64架构的so文件存储在lib/arm64-v8a目录下.
一些apk只有arm架构的so文件, 无法运行在x86/64架构计算机中的模拟器上.
IDA Pro动态调试
启动android_server
adb forward tcp:23946 tcp:23946
启动APP
IDA Attach

ndk clang编译c文件 64位可执行文件
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target aarch64-linux-android21 md5.c -o md5aarch64

预处理
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target arm-linux-android21 -E md5.c -o md5.i
编译
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target arm-linux-android21 -S md5.i -o md5.s
汇编
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target arm-linux-android21 -c md5.s -o md5.o
链接 (链接生成的文件才是可执行文件)
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target arm-linux-android21 md5.o -o md5

汇编并链接
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/clang -target armv7a-linux-android21 hello.s -o hello

查看段
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/llvm-readelf --sections md5
查看符号(🤔符号==函数名?)
$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/llvm-nm md5$ANDROID_HOME/ndk/21.4.7075529/toolchains/llvm/prebuilt/darwin-x86_64/bin/llvm-nm md5

objdump -T xxx.so 查看动态符号
objdump -t xxx.so 查看所有符号

GDB调试

gdb和gdbserver可以在编译的系统源码里找,也可以在android studio的ndk路径下找~/Library/Android/sdk/ndk/21.4.7075529/prebuilt

添加调试符号
编辑build.gradle(:app), android里添加
packagingOptions{
    doNotStrip "*/armeabi/*.so"
    doNotStrip "*/armeabi-v7a/*.so"
    doNotStrip "*/x86/*.so"
}

gdbserver启动64还是32取决于app进程是64还是32位,
可以用object查看,或者查看app进程的父进程(ppid)是zygote还是zygote64

(PC)app进入debug页面
adb shell am start -D -n com.roysue.easyso1/.MainActivity
(PC)查看app进程
adb shell ps -e | grep -i roysue
(手机)手机gdb-server附加到对应进程,端口默认23946
./gdbserver 0.0.0.0:23946 --attach 5718
(PC)运行gdb进入gdb console
~/Documents/20210120/gdb/darwin-x86/bin/gdb
(gdb)连接手机
target remote 172.16.91.172:23946
(gdb)运行c
c
(PC)恢复App运行
/Applications/Android\ Studio.app/Contents/jre/Contents/Home/bin/jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700

直接运行app
查看进程是32/64和进程id启动gdbserver
/data/local/tmp/prebuilt/android-arm/gdbserver/gdbserver 0.0.0.0:23946 --attach 15631
hyper里启动gdb
(gdb) target remote 192.168.1.104:23946
继续程序的运行
(gdb) c


gdb命令
info shared 查看系统库(无调试信息)
c 运行到下个断点

查看so方法

在这里插入图片描述

在这里插入图片描述
nm -s libroysue.so | grep method (kali)
在这里插入图片描述在这里插入图片描述

查看进程是否被trace

cat /proc/15631/status在这里插入图片描述
frida注入器只有在注入so的阶段需要ptrace,注入完后即detach,所以TracerPid为0。
frida注入后可以再使用gdbserver,反过来则不行。

为什么android studio动态调试微信trackerpid为0呢?

hyper + gdb + peda

(手机)
/data/local/tmp/prebuilt/android-arm/gdbserver/gdbserver 0.0.0.0:23946 ./hello
(hyper)
gdb
target remote 192.168.1.102:23946
b main
c
disassemble main

在这里插入图片描述
最简单的反编译器 objdump
在这里插入图片描述
“基地址” + “偏移地址”
在这里插入图片描述

因为三级流水线的关系,b main会断点在:在这里插入图片描述
用算出来的地址b *0xaaaaa3d4则可以断在:
在这里插入图片描述

push {fp, lr}  # 保存现场,讲fp(r11)和lr(r14)寄存器值入栈

info register 查看寄存器
ni 步过

so

Java层是unicode编码,C是ascii编码

Parallerls Desktop WIN 11使用IDA

使用Host-Only网络,确保虚拟机不联网
adb forward only bind localhost

adb forward tcp:23947 tcp:23946
nohup socat tcp:localhost:23947 tcp-listen:23946 > /dev/null 2>&1 &

ida查看基址

在这里插入图片描述

查看Intent

adb logcat | fgrep -i intent

在Android中使用vi等linux命令

在Android中使用vi等linux命令
https://blog.csdn.net/cfy137000/article/details/115160014

cp /data/local/tmp/busybox-armv8l /system/xbin/busybox;chmod 755 /system/xbin/busybox;/system/xbin/busybox --install /system/xbin/

so函数批量hook

一个IDA小脚本,获取SO代码段中所有函数的偏移地址,再使用frida-trace 批量trace so函数的调用。
https://github.com/Pr0214/trace_natives

看见我书了吗
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向入门笔记.pdf
10-29
一份简单的安卓逆向入门笔记,介绍安卓文件组成等文件格式
武汉科锐逆向培训学习笔记PPT课件.pptx
10-12
武汉科锐逆向培训学习笔记PPT课件.pptx
Android12 HttpCanary系统证书安装 Magisk模块movecert
最新发布
qq_44005305的博客
02-20 2235
手机:pixel 6系统:Android 12。
安卓逆向学习笔记(1)
01-15
博客安卓逆向学习笔记(1)所附资源,包括dex2jar和jd-gui安装包
app逆向学习相关笔记
12-13
app逆向笔记
trace_natives:一个小脚本,用于trace so中native函数的调用
03-25
trace_natives 一个IDA小脚本,获取SO代码段中所有函数的替换地址,再使用frida-trace批量跟踪so函数的调用。 使用方法 1.将traceNatives.py丢进IDA插件目录中 2.IDA中,Edit-Plugins-traceNatives IDA输出窗口就会显示如下字眼: 使用方法如下:frida-trace -UF -OC:\ Users \ Lenovo \ Desktop \ 2021 \ mt \ libmtguard.txt 代码出发点 和,朋友在分析android so的时候,他感慨一句,“唉,要是能捋清整个流程就好了”。确实,搞清楚流向的件挺重要的事,只要代码复杂一些,函数多一些,分支多一些,通过函数指针还原多一些……无论哪一个多一些,静态分析SO就会变得十分恼人。 得益于Frida布道师以及看雪Android逆向课程的大力推广,近来入门And
MagiskHide_Props_Config-v5.3.6-v109(67)_MagiskHide_magiskhidepro
10-03
Pretty messy stuff if you ask me
App逆向之objection的使用
z_ipython的博客
07-17 1296
将objection注入应用(Attach) objection -g com.jx885.reward explore 将objection注入远程应用(Attach) objection -N -h 192.168.137.11 -p 12345 -g com.babytree.apps.pregnancy explore 将objection注入应用(Spawn),引号中的obje...
kali Linux 逆向环境pyenv、Frida、objection、jadx、的安装
lu6603547的博客
05-28 2053
pyenv 是一个 Python 版本管理工具。它可以:1. 安装多个 Python 版本2. 切换全局 Python 版本3. 为每个项目指定特定的 Python 版本Frida 是一个动态代码仿真框架。它可以用于许多方面,最常用的有:1. Android/iOS 应用分析我们可以使用 Frida 在真机或模拟器上注入 JS 代码,对运行中的应用进行分析、跟踪与调试。2. API 监视与模拟。
安卓逆向frida之so层hook分析关键函数定位探究
云霄IT的博客
07-28 1210
【代码】安卓逆向frida之so层hook分析关键函数定位探究。
Frida Hook scripts
qq314000558的专栏
11-02 2045
Frida Hook - Hook Dlopen //第一种方式(针对较老的系统版本) var dlopen = Module.findExportByName(null, "dlopen"); console.log(dlopen); if(dlopen != null){ Interceptor.attach(dlopen,{ onEnter: function(args){ var soName = args[0].readCString();
wx.request逆向笔记
12-16
前言 frida虽然确实调试起来相当方便,但是Xposed由于能够安装在用户手机上实现持久化的hook,至今受到很多人的青睐,对于微信小程序的wx.request API,本文将以该API作为用例,介绍如何使用Xposed来对微信小程序的...
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、strace、IDA trace、Unidbg Trace
freeking101的博客
03-19 3770
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
wallbreaker用法记录
leaon的博客
07-27 250
根据类名搜索内存中已经被创建的实例,列出 handle 和 toString() 的结果。输出类的结构, 若加了 --fullname 参数,打印的数据中类名会带着完整的包名。根据给的 pattern 对所有类名进行匹配,列出匹配到的所有类名。在 ClassDump 的基础上,输出指定对象中的每个字段的数据。
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 2550
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
Android修改ro.debuggable 的四种方法
热门推荐
0729Liang
12-18 2万+
目录 一、使用一键Root工具 二、使用mprop工具(重启失效) 三、Magisk 重置 ro.debuggable (重启失效) 四、MagiskHide Props Config 模块修改(永久有效) 查看getprop ro.debuggable的值: adb shell getprop ro.debuggable 一、使用一键Root工具 使用Root工具,一键root后ro.debuggable一般就为1了 常见的root工具:KingRoot、360超级Root、百度一键Ro
Frida hook/invoke iOS以及内存搜刮和黑盒调用
大数据安全技术学习
07-27 1万+
终于学到了Frida的部分,在本篇中我们将从objection这款自动化hook框架的源码出发,学习使用Frida内置的ApiResolver搜刮器来枚举内存中的所有符号,包括所有类/所有方法/所有重载,再对其进行hook后输出参数调用栈返回值,并且对参数与返回值进行修改,以实现修改函数逻辑的目的。
frida hook so层方法大全
菜鸡小白的成长记录
01-17 1万+
文章转载,仅供学习,如有需要请支持原文章创作:https://kevinspider.github.io/fridahookso/ 1.感谢 2. frida env https://github.com/frida/frida-java-bridge/blob/master/lib/env.js 3.IDA 判断 Thumb 指令集和 Arm 指令集 IDA - Options - General - number of opcode bytes - 设置为 4 此时查看 IDA VIew 中 op.
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 3710
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
js逆向笔记webpack
05-31
JavaScript逆向工程涉及到逆向分析、代码还原、代码修改等多个方面,其中Webpack作为一个重要的静态模块打包器,也是逆向工程中需要重点关注的一部分。以下是一些关于Webpack逆向笔记: 1. Webpack的打包过程是从入口文件开始的,Webpack会递归地遍历所有依赖模块,并将它们打包成一个或多个Bundle文件。因此,逆向工程的第一步就是找到Webpack打包的入口文件。 2. 在入口文件中,Webpack会通过require或import语句加载其他模块,并递归地遍历所有依赖模块。因此,我们可以通过分析入口文件来了解应用的整体结构和模块依赖关系。 3. 在Webpack的打包过程中,每个模块都会被赋予一个唯一的标识符,这个标识符可以通过module.id来获取。因此,我们可以通过分析打包后的代码,来了解每个模块的标识符和依赖关系。 4. 在Webpack的打包过程中,Loader和Plugin是非常重要的扩展机制,它们可以对模块进行转换和优化。因此,我们可以通过分析Loader和Plugin的源代码,来了解它们的作用和实现原理。 5. 在逆向工程中,我们可以使用Webpack的source-map选项来生成源映射文件,从而方便我们进行代码还原和调试。同时,我们也可以使用Webpack的devtool选项来设置不同的调试工具,以便更好地进行逆向分析和调试。 总的来说,Webpack作为静态模块打包器,在JavaScript逆向工程中扮演着重要的角色。通过对Webpack的逆向分析,我们可以更加深入地了解应用的整体结构和模块依赖关系,从而更好地进行代码还原和调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值