安卓应用hook测试

已于 2022-04-10 13:33:29 修改
阅读量4.4k 收藏 5
点赞数 1
分类专栏: 小计 文章标签: android ui java
于 2021-12-29 18:28:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45161658/article/details/122222029
版权

🌕写在前面

  • 🍊博客主页:Scorpio_m7
  • 🎉欢迎关注🔎点赞👍收藏⭐️留言📝
  • 🌟本文由 Scorpio_m7原创,CSDN首发!
  • 📆首发时间:🌹2021年12月29日🌹
  • ✉️坚持和努力一定能换来诗与远方!
  • 🙏作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢!

文章目录

Hook的概念

Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。

HookDemo

public class MainActivity extends AppCompatActivity{
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        showMsg("showmsg...");
    }
    public void showMsg(String msg) {
        Toast.makeText(this,msg,Toast.LENGTH_LONG).show();
    }
    
    Java.perform(function() {//这是frida的main,所有的脚本必须放在这个里面。
        // 这里写Hook代码的具体逻辑
        var mainClazz = Java.use("com.funnysec.demo1.MainActivity");
        mainClazz.showMsg.implementation = function(v1) {
            return this.showMsg("frida4androidhook");
        }
    });
}

Frida基本用法

Frida

Frida是个轻量级别的hook框架,Frida的核心是用C编写的,并将Js引擎注入到目标进程中,在这些进程中,JS可以完全访问内存,挂钩函数甚至调用进程内的本机函数来执行。支持Windows、Linux、 IOS等平台

Frida框架环境搭建

准备一款模拟器(夜神模拟器),也可以是真机(需要root)。

C:\>pip3 install frida
Requirement already satisfied: frida in e:\python\python3.9\lib\site-packages (15.1.10)
Requirement already satisfied: setuptools in e:\python\python3.9\lib\site-packages (from frida) (57.4.0)

C:\>pip3 install frida-tools
Requirement already satisfied: frida-tools in e:\python\python3.9\lib\site-packages (10.4.1)
Requirement already satisfied: pygments<3.0.0,>=2.0.2 in e:\python\python3.9\lib\site-packages (from frida-tools) (2.10.0)
Requirement already satisfied: prompt-toolkit<4.0.0,>=2.0.0 in e:\python\python3.9\lib\site-packages (from frida-tools) (3.0.22)
Requirement already satisfied: colorama<1.0.0,>=0.2.7 in e:\python\python3.9\lib\site-packages (from frida-tools) (0.4.4)
Requirement already satisfied: frida<16.0.0,>=15.0.0 in e:\python\python3.9\lib\site-packages (from frida-tools) (15.1.10)
Requirement already satisfied: setuptools in e:\python\python3.9\lib\site-packages (from frida<16.0.0,>=15.0.0->frida-tools) (57.4.0)
Requirement already satisfied: wcwidth in e:\python\python3.9\lib\site-packages (from prompt-toolkit<4.0.0,>=2.0.0->frida-tools) (0.2.5)

命令行中输入frida --version命令,检查是否有显示版本号,下载frida-server,模拟器下载x86架构,真机下arm架构,frida-server版本需要和frida一致,将模拟器中的/bin/目录添加到系统环境变量中

C:\>adb devices
List of devices attached
127.0.0.1:62001 device

C:\>adb push E:\frida-server-15.1.14-android-x86 /data/local/tmp/           
[100%] /data/local/tmp/frida-serverx86

C:\>adb shell
root@shamu:/ # cd data/local/tmp/
root@shamu:/ # chmod 777 frida-server-15.1.14-android-x86
root@shamu:/data/local/tmp # ls -l
-rwxrwxrwx root     root     46416812 2021-12-29 15:33 frida-server-15.1.14-android-x86

将frida-server上传至模拟器内,因为Android系统的限制,Android系统中并不支持+rwx这种命令格式,所以用chmod 777命令,开启另外一个CMD窗口执行端口转发使其与主机互通adb forward tcp:27042 tcp:27042adb forward tcp:27043 tcp:27043

服务端(frida-server)

不需要用户关心,运行起来即可。

客户端(frida-tools)

提交要注入的代码到服务端,接受服务端发来的消息,一些工具等。

Frida CLI

frida -U -f com.xxx.xxxx -l hook.js –no-pause

  • -U 指定对USB设备操作
  • -l 指定加载一个hook脚本
  • -f 表示由frida来帮助你启动apk程序
  • –no-pause 省略输入 %resume

Frida-ps

frida-ps -Uai

  • –help 查看帮助
  • -U 指定USB设备
  • -a 显示存活的应用
  • -i 显示全部的应用
C:\>frida-ps -Uai
 PID  Name           Identifier
----  -------------  ----------------------------------
3675  FDex2          formatfa.xposed.Fdex2
3292  HttpCanary     com.guoshi.httpcanary
3448  Inspeckage     mobi.acpm.inspeckage
3403  drozer Agent   com.mwr.dz
   -  下载             com.android.providers.downloads.ui
   -  图库             com.android.gallery3d
   -  文件管理器          com.cyanogenmod.filemanager
   -  设置             com.android.settings

Java构造函数hook

public class MainActivity extends AppCompatActivity{
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        ShowMsg showMsg = new showMsg("m7");
        Toast.makeText(this,showMsg.getMsg(),Toast.LENGTH_LONG).show();
    }
class ShowMsg{
    private String msg;
    private Context ctx;
    ShowMsg(String msg){
        this.msg=msg;
    }
    public String getMsg(){
        return "hacker by"+this.msg;
    }
}

hook脚本

  Java.perform(function() {
	var showMsgClazz = Java.use("com.funnysec.demo1.ShowMsg");
	showMsgClazz.$init.implementation = function(v1) {
		return this.$init("ljr 十年经验,老安全专家!");
	}
});

java重载函数hook

public class MainActivity extends AppCompatActivity{
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        showMsg("showmsg2...");
    }
    public void showMsg() {
        Toast.makeText(this,"showmsg",Toast.LENGTH_LONG).show();
    }
    public void showMsg(String msg) {
        Toast.makeText(this,msg,Toast.LENGTH_LONG).show();
    }
}

hook脚本1

Java.perform(function() {
	var mainClazz = Java.use("com.funnysec.demo1.MainActivity");
	mainClazz.showMsg.implementation = function() {
		return "Hook showMsg2";
	}
});

hook脚本2

Java.perform(function() {
	var mainClazz = Java.use("com.funnysec.demo1.MainActivity");
	mainClazz.showMsg.overload('java.lang.String').implementation = 
	function() {
		return this.showMsg("Hook showMsg2");
	}
});

python的支持

import frida, sys
def message(message, data):
    print(message)
hookCode = """
    if(Java.available){
        Java.perform(function(){
            var kClazz = Java.use("com.bytedance.common.utility.k");
            var encVal = kClazz.c("18888888888");
            send(encVal);
        });
    }
"""
process = frida.get_remote_device().attach('com.dragon.read')# 指定一个进程名
# process = frida.get_device_manager().add_remote_device('127.0.0.1:8888').attach('com.funnysec.fridatest')
script = process.create_script(hookCode)# 往进程中注入代码
script.on("message", message)# 回调函数,配合frida中的send函数
script.load()# 加载注入的代码
sys.stdin.read()# 让脚本处于阻塞状态,不让它执行结束

脱壳

一代整体型壳: 采用Dex整体加密,动态加载运行的机制。

二代函数抽取型壳: 粒度更细,将方法单独抽取出来,加密保存,解密执行。

三代VMP、Dex2C壳: 独立虚拟机解释执行、语义等价语法迁移,强度最高。

frida-dexdump基于frida实现,在内存中暴力搜索 dex035也就是dex文件头,从而抽取处dex文件。

  1. 安装: python3 -m pip install frida-dexdump
  2. 启动frida-server端
  3. 启动要脱壳的应用
  4. 执行命令进行脱壳 frida-dexdump
  5. 使用jar cvf命令合并dex文件

hook加解密

在App抓包过程中可能会遇到一些参数是加密的情况,可以通过Hook技术对加密函数进行调用,如果客户端存在解密函数也可以尝试对密文进行解密,配合fuzz对目标进行测试。

在这里插入图片描述

使用Hook对加密函数进行调用,计算出被加密过后的值。使用jadx-gui对apk进行反编译,尝试搜索关键字或者页面请求的接口地址。

在这里插入图片描述

gVar.a的值为mobile,也就是未加密过的手机号。在外出还调用了k.c,可能就为加密函数。对k.c进行hook
在这里插入图片描述

可以封装成一个函数,实现主动调用。

function enc(v) {
	Java.perform(function()) {
        var kClazz = Java.use("com.bytedance.common.utility.k");//找到包的位置
        var encV = kClazz.c(v);//获取原来的值
        console.log(encV);//加密后的值
	});
}

代理检测绕过

有些App会检测是否开启了网络代理,如果开启APP将无法正常使用。此时需要通过找到关键的判断函数并使用Hook技术进行绕过。有壳的APP先脱壳,方便分析逻辑。使用jadx-gui通过搜索关键字找到关键位置
在这里插入图片描述

查看查找用例,类似于交叉应用。MyUtil.processWifiProxy()的调用在一处匿名函数内。匿名函数是否实例化的关键在于外层的if判断,当MyUtil.isWifiProxy()为true时将弹出提示信息。
在这里插入图片描述
在这里插入图片描述
Hook思路: 让isWifiProxy()函数永远返回false,这样if将不会成立,从而不会出现弹窗。

Java.perform(function()) {
	var myUtil = Java.use("com.htjy.app.common_work.utils.MyUtil");
	myUtil.isWifiProxy.implementation = function() {
		return false;
	}
});

ssl pinning证书绕过

提示网络不通或者异常之类的,直接使用ssl pinning绕过脚本,大部分情况都能绕过,除非自己实现了一些底层的校验机制。

Bride插件

Brida是BurpSuite的插件,它充当Burpsuite和Frida之间的桥梁。Brida0.4集成了由许多Frida的Hook脚本,0.3版和0.4版使用起来有些差距。

安装

需要python,Burpsuite,nodejsBrida.jar

C:\>pip3 install Pyro4
WARNING: Ignoring invalid distribution -ip (e:\python\python3.9\lib\site-packages)
WARNING: Ignoring invalid distribution -ip (e:\python\python3.9\lib\site-packages)
Collecting Pyro4
  Downloading Pyro4-4.82-py2.py3-none-any.whl (89 kB)
     |████████████████████████████████| 89 kB 634 kB/s
Collecting serpent>=1.27
  Downloading serpent-1.40-py3-none-any.whl (9.6 kB)
WARNING: Ignoring invalid distribution -ip (e:\python\python3.9\lib\site-packages)
Installing collected packages: serpent, Pyro4
WARNING: Ignoring invalid distribution -ip (e:\python\python3.9\lib\site-packages)
WARNING: Ignoring invalid distribution -ip (e:\python\python3.9\lib\site-packages)
Successfully installed Pyro4-4.82 serpent-1.40

nmp安装

C:\Users\>npm config set prefix E:\nodejs\node_modules\npm\  
C:\Users\>npm config get prefix
E:\nodejs\node_modules\npm
C:\Users\>npm install frida-compile

up to date, audited 256 packages in 4s

44 packages are looking for funding
  run `npm fund` for details

found 0 vulnerabilities

功能面板

Configurationa

配置一些环境信息。启动frida框架,当以Spawn application方式hook时用包名,以Attach application时用PID。

在这里插入图片描述

JS Editor

Hook脚本编写。JavaScript的编辑器相当于一个记事本。

Hooks and functions

调用内置的Hook脚本。

Graphical analysis

可查看Apk中用到的类和库资源。双击一个类将获得类对应的函数

Inspect: 在函数上添加一个检查钩,当目标程序调用该函数时打印该函数的参数和返回值

Inspect with backtrace! 添加检查钩,并打印调用栈。

Change return value 修改函数返回值。
在这里插入图片描述

Graphical hooks

钩子可以在该模块中进行查看和删除、禁用、启用等。

Custom plugins

创建一些按钮的UI方便调用以及和Burpsuite的其他模块中进行联动操作

在这里插入图片描述

使用icontextmenu类型可以在发包器中右键调出插件

Debug export

调用Frida导出的函数

在这里插入图片描述

实战相关可以参考扩展文章:https://blog.csdn.net/weixin_39190897/article/details/102691898

Scorpio-m7
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
简单Android hook demo
07-07
4. **加载并测试**:最后,你可以通过adb将Hook库推送到设备上,并在设备上运行你的应用,观察Hook效果。为了调试,可能需要使用logcat输出相关信息,或者使用其他的调试工具。 需要注意的是,使用LD_PRELOAD进行...
AndroidHook Instrumentation 的实现
05-05
Android开发中,Hook技术是一种常用的调试和测试手段,它允许开发者在不修改原有代码的情况下,改变程序的行为。本文将详细讲解如何实现对Instrumentation的Hook,以达到控制应用程序执行流程的目的。 首先,理解...
Android hook检测(安全方向)
weixin_41508948的博客
09-19 8744
什么是hook 所谓hook技术,就是通过一段代码(反射、代理)侵入到App启动过程中,在原本执行的代码前插入其它的功能。比如:通过hook技术,上传登陆页面的账号密码等。 干货 对于主流hook框架(Xposed、Cydia Substrate),通常有以下三种方式来检测一个App是否被hook: 安装目录中是否存在hook工具 存储中是否存在hook安装文件 运行栈中是否存在ho...
安卓黑科技之HOOK详解
世界美景的博客
04-24 2万+
此文带大家进入到安卓另一个世界 互联网攻防大战 Xposed框架 : 它能够让Android设备在没有修改源码的情况下修改系统中的API运行结果 可实现对java层任意HOOK   比如 修改 IMEI IMSI ICCID 这些全球唯一的身份标志 HOOK 三方应用 微信 QQ 实现抢红包 自动回复 换肤 改变当前位置 自动添加 附近的人界面的陌生人为好友 三方应
深入解读 Android Hook 技术-从原理到实践
最新发布
w风雨无阻w的专栏
05-30 1433
Hook技术,源自计算机编程中的“钩子”概念,是一种在程序执行过程中动态改变程序行为的技术,是一种允许用户或开发者拦截和处理系统事件或方法调用的技术。它通过在程序执行路径中插入自定义的代码片段,从而能够实现对程序行为的拦截和修改。动态修改: Hook 技术是在程序运行时进行修改,而不是在编译时。这使得它可以灵活地应用于各种场景,而不需要修改程序源码。透明性: 使用 Hook 技术进行修改是透明的,对于程序的其他部分来说是不可见的。这有利于保持程序的整体一致性和稳定性。可扩展性。
Hook技术看这篇就够了
shoneworn的专栏
05-28 3万+
    相信很多搞机的朋友都玩过Xposed, 它实现了很多不可思议的功能。它是怎么实现的呢?这里就得提到我们的Hook技术了。    关于 Android 中的 Hook 机制,大致有两个方式:   要 root 权限,直接 Hook 系统,可以干掉所有的 App。   免 root 权限,但是只能 Hook 自身,对系统其它 App 无能为力。    时间所限,这里不展开了。    知识点: ...
消息钩子使用教程
12-27 1233
  基本概念钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函
各种HOOK方式和检测对抗方法
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
Android代码-Hook
08-06
在本篇中,我们将深入探讨Android中的Hook原理、常用的Hook框架以及如何在实际项目中应用。 1. **Hook基本原理** Hook的核心思想是动态改变程序执行流程,通常包括两个关键步骤:找到目标方法和替换目标方法的执行...
Android Hook技术实践
12-27
通过分析和学习这个项目,你可以更深入地理解Android的组件管理机制以及Hook技术的实际应用。 总的来说,Android Hook技术是一种强大的工具,但同时也需要谨慎使用,因为它可能会引发安全问题或者与其他应用产生...
IOSDetect:IOS设备信息检测 HOOK检测 应用安全 安全攻防 越狱 重打包 patch 签名检测 注入检测
05-24
IOSDetect IOS设备风控 HOOK检测,可以用来检测插件 HOOk了哪些系统函数, 或者测试越狱商店上那些所谓的越狱屏蔽插件的有效性。 IOS 设备信息检测应用安全 安全攻防 HOOK 越狱 重打包 patch 签名 注入 1、越狱检测:jab字段,不为空表示越狱 2、重打包检测: cert字段:证书信息,查看是否为Apple证书 3、inline hook检测 (详细) cydiahook字段,数组每一项为一个模块中被HOOK的函数,function_name为被HOOK的函数列表,module_name为所属模块 数组最后一项为前面被HOOK后的函数的替换函数所在的模块 4、fishhook检测 (详细) 使用fishhoo框架HOOK的函数,funcs为HOOK的函数列表,module_name 替换函数所在的模块。 5、message hook 检测 (详细) 使
Android hook api
01-09
正常的Android应用需要通过签名来确保其来源和完整性,但恶意开发者可能会伪造签名,使得恶意应用看起来像是来自受信任的开发者,以此绕过安全检查并获取用户的信任。防范这种欺骗通常需要对应用的签名进行严格的...
什么是HOOK功能?
weixin_30616969的博客
08-16 493
HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,就是靠HOOK TextOut()或ExtTextOut()这两个函数实现的,在操作系统用这两个函数输出文本之前,就把相应的英文替换成中文而达到即时翻译;...
Android逆向之旅---破解某支付软件防Xposed等框架Hook功能检测机制
编码美丽
05-15 8648
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 一、情景介绍最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook...
Android Hook技术防范漫谈
一个有情怀的程序猿博客
06-28 3222
背景 当下,数据就像水、电、空气一样无处不在,说它是“21世纪的生产资料”一点都不夸张,由此带来的是,各行业对于数据的争夺热火朝天。随着互联网和数据的思维深入人心,一些灰色产业悄然兴起,数据贩子、爬虫、外挂软件等等也接踵而来,互联网行业中各公司竞争对手之间不仅业务竞争十分激烈,黑科技的比拼也越发重要。随着移动互联网的兴起,爬虫和外挂也从单一的网页转向了App,其中利用Android平台下Dalvik模式中的Xposed Installer和Cydia Substrate框架对App的函数进行Hook这..
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
Frida 环境搭建 hook 实例
qq_36535153的博客
08-06 980
1.搭建Frida 环境 1.首先药安装python3 的环境 2.下载运行在目标机上的frida-sever端,官方下载地址:https://github.com/frida/frida/releases,下载时要选择对应的版本下载 如何查询自己要下载什么版本呢 adb shell getprop ro.product.cpu.abi 可以直接查看对应的手机架构. 这里我自己是arm64-v8a 所以 ok 就是你了 3. adb push D:\fridaserver12117 /data/loca
android检测,[原创]企业壳反调试及hook检测分析
weixin_30786631的博客
05-30 468
企业壳反调试及hook检测分析1.写在开始... 22.反调试之时间线程检测... 23.反调试之ptrace检测... 54.大致调用流程... 75.Hook检测之Xposed检测... 86.Hook检测之substrate检测... 97.小结... 108.参考引用... 101.写在开始最近在学习梆梆壳加固思路,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,盆友在论坛发...
Android应用程序使用hook代码会不会提升效率
05-30
使用hook代码并不一定会提升Android应用程序的效率,这取决于您编写的hook代码的实现方式和应用程序的特定情况。 通常情况下,hook代码被用于在应用程序运行时拦截并修改或增强某些功能,例如监视应用程序中的API调用、拦截应用程序中的网络请求等等。这些操作可能会导致一些额外的开销,例如内存和CPU使用量的增加,从而使应用程序的性能下降。 然而,在某些情况下,使用hook代码可能会提升应用程序的效率。例如,如果您使用hook代码来优化应用程序中的某些关键函数,例如加速I/O操作或减少网络请求的响应时间,那么您的hook代码可能会显著提升应用程序的性能。 总的来说,使用hook代码可能会对应用程序的性能产生影响,因此在使用hook代码时需要进行仔细地测试和评估。如果您不确定使用hook代码是否会提升应用程序的效率,请先进行小规模的测试,然后仔细分析测试结果,以确定是否使用hook代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scorpio-m7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值