解决无法在x86模拟器上frida-hook掉arm的Native层方法的问题

已于 2024-05-15 17:30:25 修改
阅读量1.1k 收藏 23
点赞数 27
分类专栏: Android逆向篇 文章标签: arm开发 安卓逆向 frida-hook Native层 IDA
于 2024-05-15 17:21:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/138916083
版权

firida官网的问题:Can not load Module from x86 Emulator · Issue #1377 · frida/frida (github.com)
官方解决方案:使用真实的物理手机!
我的解决方案:继续用模拟器!!!!肝都痛了才找到解决方案

环境介绍:

  1. 模拟器雷电、夜神模拟器,安卓版本7.0~9.0都存在的问题,这些模拟器只能模拟x86架构
  2. 目标apk,存在Native层方法,但是apk只携带了arm版的so文件,不存在x86架构的so文件
  3. 这个arm的so文件名为libpp.so
  4. 模拟器雷电、夜神模拟器自带功能,将arm架构汇编转为x86汇编的功能

问题描述:

  1. 我使用常规的Hook-Native的方法进行hook,Module.findBaseAddress返回为空null
  2. 使用Module.findExportByName进行查找返回为空null
  3. 使用Process.enumerateModules遍历所有模块名,也未发现libpp.so文件
  4. 但是程序可以正常运行!!!

检查hook失败的原因,无非就算上面这些找模块的方法都存在缺陷,因为libpp.so文件肯定是被加载进了程序不然apk根本跑不起来的!!!

1. 检查模块是否存在以及无法frida-Native-hook的原因
使用frida和adb来检查模块是否存在

查看apk是否正常运行:

frida-ps -U
adb shell ps

都可以看见程序正常运行!

查看apk的进程分配的内存空间!!

PS D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong> adb shell
star2qltechn:/ $ su root
:/ # cat /proc/5167/maps
00010000-00012000 rw-p 00000000 00:00 0
03344000-0b344000 ---p 00000000 00:00 0
0b344000-0b345000 r--p 00000000 08:02 428      /system/lib/arm/nb/libdl.so
0b345000-0b346000 r--p 00000000 08:02 428      /system/lib/arm/nb/libdl.so
0b346000-0b347000 r--p 00000000 00:00 0
0b347000-0b444000 ---p 00000000 00:00 0
0b444000-0b445000 r--p 00000000 08:02 434      /system/lib/arm/nb/ld-android.so
0b445000-0b446000 r--p 00000000 08:02 434      /system/lib/arm/nb/ld-android.so
0b446000-0b447000 r--p 00000000 00:00 0
0b447000-0b544000 ---p 00000000 00:00 0
0b544000-0b548000 r--p 00000000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b548000-0b549000 r--p 00003000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b549000-0b54a000 rw-p 00004000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b54a000-0b644000 ---p 00000000 00:00 0
0b644000-0b664000 r--p 00000000 08:02 423      /system/lib/arm/nb/libm.so
0b664000-0b665000 r--p 00000000 00:00 0
0b665000-0b666000 r--p 00020000 08:02 423      /system/lib/arm/nb/libm.so
0b666000-0b667000 rw-p 00021000 08:02 423      /system/lib/arm/nb/libm.so
0b667000-0b744000 ---p 00000000 00:00 0
...
0d3e3000-0d3e5000 rw-p 00000000 00:00 0        [anon:.bss]
0d3e5000-0d3e8000 rwxp 00000000 00:00 0
0d3e8000-11348000 rwxp 00000000 00:00 0        [anon:Mem_0x20000000]
11348000-1134c000 rwxp 00000000 00:00 0
12c00000-22c00000 rw-p 00000000 00:05 8647     /dev/ashmem/dalvik-main space (region space) (deleted)
56555000-56559000 r-xp 00000000 08:02 1586     /system/bin/app_process32
5655a000-5655b000 r--p 00004000 08:02 1586     /system/bin/app_process32
5655b000-5655c000 rw-p 00000000 00:00 0        [heap]
70a69000-70c8e000 rw-p 00000000 08:12 917520   /data/dalvik-cache/x86/system@framework@boot.art
70c8e000-70ca4000 r--p 00225000 08:12 917520   /data/dalvik-cache/x86/system@framework@boot.art
70ca4000-70d9b000 rw-p 00000000 08:12 917526   /data/dalvik-cache/x86/system@framework@boot-core-libart.art
70d9b000-70dad000 r--p 000f7000 08:12 917526   /data/dalvik-cache/x86/system@framework@boot-core-libart.art
70dad000-70dde000 rw-p 00000000 08:12 917532   /data/dalvik-cache/x86/system@framework@boot-conscrypt.art
70dde000-70de1000 r--p 00031000 08:12 917532   /data/dalvik-cache/x86/system@framework@boot-conscrypt.art
70de1000-70e0e000 rw-p 00000000 08:12 917538   /data/dalvik-cache/x86/system@framework@boot-okhttp.art
....

确实发现了libpp.so文件确实存在于内存空间!! 但为啥frida找不到呢?

0b544000-0b548000 r--p 00000000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b548000-0b549000 r--p 00003000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b549000-0b54a000 rw-p 00004000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so

发现frida无法遍历到so文件的原因:
使用frida遍历模块试试:
发现确实没有这个libpp.so文件,原因是因为frida遍历模块是通过程序基址开始的,而这个arm架构的so文件被加载在了,程序基址上面的位置!

  1. frida开始遍历的地址是:56555000-56559000 r-xp 00000000 08:02 1586 /system/bin/app_process32
  2. 而arm的so文件的地址是:0b544000-0b548000 r--p 00000000 08:12 918103 /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
    这里就是frida遍历到的数据:
app_process32
libandroid_runtime.so
libbinder.so
libcutils.so
libhwbinder.so
liblog.so
libnativeloader.so
...
linux-vdso.so.1
linker

用来遍历模块的js脚本!

setTimeout(function () {
	Java.perform(function () {
        //遍历模块找基址
        Process.enumerateModules({
            onMatch: function (exp) {
                if (exp.name) {
                    send('enumerateModules find');
                    send(exp.name + "|" + exp.base + "|" + exp.size + "|" + exp.path);
                    send(exp);
                    return 'stop';
                }
            },
            onComplete: function () {
                send('enumerateModules stop');
            }
        });
    }
},2000);
使用IDA动态调试和adb来检查模块是否存在

教程:

  1. IDA调试Android的so文件(SWPU 2019-easyapp)-CSDN博客
  2. ARM学习之 动态调试ida_ida arm版本-CSDN博客
    去动态调试之后发现IDA确实可以找到模块但是会不断报错,无法调试,大概是因为模拟器已经将arm转为x86架构的汇编代码,导致ida调试失败!!!
无法frida-Native-hook的原因

原因是:

  1. 模拟器的架构是x86的所以会对arm架构的so文件进行转译成x86架构的
  2. frida无法找到模块的原因是因为arm的so文件并未跟随apk进程的创建而创建,而是在调用之后才被转译进入内存中,而且是重新开辟了一片空间来存储arm的so文件的代码
  3. IDA之所以可以找到模块是由于它调用的是cat /proc/<pid>/maps来查找模块的,而且arm的so文件也是最后才被加载的,无法调试的原因是因为arm架构的指令已经被转译成了x86架构导致一直报错
  4. 最后使用frida通过手动方法查看libpp.so文件的基址去调用方法也报错了,大概也是因为arm架构的指令已经被转译成了x86架构导致一直报错
2. 解决方案使用Android官方提供的AVD Manager模拟器下载arm架构模拟器

教程: Android SDK Manager 和 AVD Manager使用(进行安卓虚拟机的配置)_sdk manager是什么-CSDN博客

下载链接:AndroidDevTools - Android开发工具 Android SDK下载 Android Studio下载 Gradle下载 SDK Tools下载

只有安卓7.0才有arm架构的,所以下载这个模拟器!
请添加图片描述

下面可以运行程序检查是否存在libpp.so文件了!

D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong>adb shell
generic_arm64:/ $ su
generic_arm64:/ # cat /proc/2219/maps
12c00000-12e06000 rw-p 00000000 00:04 2105  /dev/ashmem/dalvik-main space (deleted)
12e06000-15c00000 ---p 00206000 00:04 2105  /dev/ashmem/dalvik-main space (deleted)
22c00000-22c01000 rw-p 00000000 00:04 2106  /dev/ashmem/dalvik-main space 1 (deleted)
22c01000-25c00000 ---p 00001000 00:04 2106  /dev/ashmem/dalvik-main space 1 (deleted)
70411000-70909000 rw-p 00000000 fe:20 35250 /data/dalvik-cache/arm/system@framework@boot.art
e9618000-e9678000 rw-p 00000000 00:04 2324  /dev/ashmem/dalvik-large object space allocation (deleted)
e9678000-e9681000 rw-p 00000000 00:04 2319  /dev/ashmem/dalvik-large object space allocation (deleted)
e9684000-e9688000 r-xp 00000000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9688000-e9689000 r--p 00003000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9689000-e968a000 rw-p 00004000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e968a000-e968e000 rw-p 00000000 00:04 2317  /dev/ashmem/dalvik-large object space allocation (deleted)
....

成功找到:

e9684000-e9688000 r-xp 00000000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9688000-e9689000 r--p 00003000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9689000-e968a000 rw-p 00004000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so

进行frida也可以找到目标文件了!!!
成功了!!剩下的就是爆破了

D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong>frida -U -f com.geekerchina.pingpongmachine -l ./NHook.js
     ____
    / _  |   Frida 16.1.11 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Android Emulator 5554 (id=emulator-5554)
Spawned `com.geekerchina.pingpongmachine`. Resuming main thread!
[Android Emulator 5554::com.geekerchina.pingpongmachine ]-> start
message: {'type': 'send', 'payload': 'enumerateModules find'} data: None
message: {'type': 'send', 'payload': 'libpp.so|0xe9684000|24576|/data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so'} data: None
message: {'type': 'send', 'payload': {'name': 'libpp.so', 'base': '0xe9684000', 'size': 24576, 'path': '/data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so'}} data: None
message: {'type': 'send', 'payload': 'enumerateModules stop'} data: None
message: {'type': 'send', 'payload': 'soAddr:0xe9684000'} data: None
message: {'type': 'send', 'payload': 'findExportByName ping():0xe9685309'} data: None
message: {'type': 'send', 'payload': 'findExportByName ping():0xe9685309'} data: None
message: {'type': 'send', 'payload': 'findExportByName pong():0xe9685565'} data: None
message: {'type': 'send', 'payload': 'findExportByName pong():0xe9685565'} data: None
Brinmon
关注
  • 27
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Android x86平台 函数hook知识的一点记录
zhangxinfa的专栏
02-10 2474
x86平台更熟悉一些,所以就写一下x86的吧,至于arm平台,只是寄存器有些不同,其他的思路应该还是差不多的。 其实主要是对了解的知识做一下记录,方便以后翻出来看看   Linux系统的注入一般是使用ptrace函数,对指定进程使用ptrace,可以暂停进程,并可以读/写目标进程指定内存/寄存器,整个注入的流程其实很简单, 假设我们要替换运行进程P中的某个函数调用M_org,大致的思路如
Genymotion模拟器兼容ARM
02-27
找到该zip,直接拖拽进启动的模拟器,模拟器即会提示,根据提示点击进行安装.安装成功后会有提示. 记得还需要重启模拟器一下.
雷电模拟器9改真机环境【面具magisk开启root】
08-28
面具magisk开启root,雷电模拟器上模拟真机环境。该压缩包,包括了模拟器(雷电模拟器9.exe),面具,RE管理器(Root_Explorer-v4.10.3-by_Alphaeva.apk),机型模组(iPhone12机型模块_magisk,LSPosed-v1.8.6-6909-zygisk-release,OPPOR9s机型模块_magisk,OXF-AN00机型模块_magisk,SM-N9760机型模块_magisk,vivoPD1728机型模块_magisk)。 A 安装面具 B 刷入机型压缩包,重启生效 C 机型更改app 可以制作机型压缩包,可以导出云机型压缩包
雷电模拟器arm架构教程,具体如何实现出来?详细
最新发布
weixin_36446688的博客
11-10 1662
模拟器,比如雷电模拟器(LDPlayer),通常是在PC上模拟Android操作系统环境,使得用户可以在PC上运行Android应用。然而,由于大多数PC使用的是x86架构的CPU,模拟器需要通过某种方式来翻译或模拟ARM指令集以便在x86上运行。如果你正在考虑进行这种级别的修改,请确保你清楚地了解所涉及的风险,并且是在合法和符合软件许可协议的范围内进行操作。虚拟化技术: 利用现代CPU的虚拟化技术,可以在x86架构的计算机上创建一个虚拟机,并在该虚拟机中运行ARM版本的Android操作系统。
x86上使用arm模拟器
GeiGe123的博客
05-14 2185
使用qemu-arm-static模拟运行arm的文件系统 1、安装qemu-arm-static apt install qemu-arm-static 2、准备一个arm的根文件系统 rootfs debian … 都可以; 3、准备环境 cp /usr/bin/qemu-arm-static rootfs/usr/bin/ cp /etc/resolv.conf rootfs/etc/resolv.conf (确保网络可用) # 下面几个可能也不需要做 mount -t proc /proc roo
魔改版本xposed(arm,arm64,x86,x86_64)支持雷电,逍遥等模拟器
寒梅独自开
02-25 7787
本次魔改支持Android7.1的系统,arm,arm64,x86,x86_64,也就是支持模拟器32位和64位,我们先看一下 逍遥模拟器64位 逍遥模拟器32位 雷电模拟器64位 雷雷电模拟器32位 真机 pixel Android7.1.2 ...
frida根据偏移地址HOOK函数
friendan的专栏
03-23 3940
function get_rva(module, offset) { var base_addr = Module.findBaseAddress(module); if (base_addr == null) base_addr = enum_to_find_module(module); console.log(module + ':' + base_...
frida hook 出现 Process terminated
哲学程序员的博客
07-17 3859
最近在学习frida的时候,同一个so文件,其他函数可以拦截,但是唯独拦截其中一个的时候,会出现Processterminated,找了下资料,网上也没说是什么原因,经过自己研究发现,原来是hook到了未导出的函数,虽然拿到了so基址+偏移,但还不是不够的,还要让偏移+1,是因为thumb和arm指令的区分,地址最后一位的奇偶性来进行标志,所以这里还需加1也就是最终的地址,这一点很重要不管使用Cydia还是Frida都要注意最后计算的绝对地址要+1,不然会报错的。...
Frida-NativeHook
github_38641765的博客
05-13 1729
frida hook 第三方库中任意地址的函数。
软件从x86移植到arm需要做什么?
Alian_W的博客
06-17 1749
软件移植到新平台需要做什么?
修改任意安卓模拟器机型工具集包【全套】
10-13
可以自由修改器手机串码信息的,不仅可以帮助你一键修改手机的型号、id、状态等信息,同时也可以自由修改WiFi地址机器码等,功能十分强大。全套
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
frida-server-12.7.5-android-arm.xz
10-18
frida-server-12.7.5-android-arm.xz 很好,很有用, Frida的作用就不用多说了吧
frida-android-hook:该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值
05-12
该脚本可帮助您在Android平台上跟踪类,函数和修改方法的返回值 对于iOS平台: : 环保操作系统支持 作业系统 支持的 著名的 苹果系统 :check_mark_button: 主要的 Linux :check_mark_button: 子 视窗 :check_...
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
frida-server-15.2.2-android-x86.xz
08-04
frida-server手机版安装压缩包,x86 32位架构
基于ARM模拟器
weixin_30885111的博客
03-07 1700
基于ARM模拟器 ARMARMulator:   ARMulator 是一个在 ARM 公司推出的集成开发环境 ADS (ARM Developer Suite)中提供的指令集模拟器。它与运行在通用计算机(通常是x86体系结构)上的调试器相连接,模拟 ARM 微处理器体系结构和指令集,提供了开发和调试 ARM 程序的软件仿真环境。ARMulator 不仅可以仿真 ARM 处理器的体系结构和...
frida-server-15.2.2-android-x86
07-18
### 回答1: Frida-server-15.2.2-android-x86是一款适用于安卓x86架构的Frida服务器的版本。Frida是一种开源的动态插桩框架,可用于安卓设备上的应用程序逆向工程和安全性评估。 Frida-server是Frida框架中的一部分,用于在安卓设备上与Frida客户端通信。Frida-server是在设备上运行的服务,可以与Frida客户端(通常是运行在PC上的Frida工具)进行通信,并接收来自客户端的指令。 Frida-server-15.2.2-android-x86适用于安卓x86架构的设备。x86是一种PC上常见的处理器架构,而不是常用于移动设备的ARM架构。因此,如果你的安卓设备是基于x86架构的,那么你可以使用这个版本的Frida-server在设备上运行Frida服务。 通过在设备上运行Frida-server,你可以利用Frida的强大功能来分析、修改和控制应用程序。Frida允许你动态地插入JavaScript代码到应用程序中,以实时地跟踪和修改应用程序的行为。你可以使用Frida进行代码注入、函数钩子、网络流量捕获、数据修改等操作,以便进行应用程序逆向工程、漏洞挖掘、安全性评估等任务。 总而言之,Frida-server-15.2.2-android-x86是一种适用于安卓x86架构设备的Frida服务器版本,通过在设备上运行Frida-server,你可以利用Frida框架的功能对应用程序进行逆向工程和安全性评估。 ### 回答2: frida-server-15.2.2-android-x86是一款用于Android x86架构的Frida服务器。Frida是一种强大的开源工具,用于分析、修改和调试软件。它可以通过脚本语言来进行动态注入和操作,支持多种平台和架构。 通过使用frida-server-15.2.2-android-x86,我们可以在Android x86设备上安装和运行Frida服务器。安装frida-server时我们需要将其推送到设备上,并在设备上运行它。运行成功后,我们可以通过Frida客户端连接到该设备上的Frida服务器,并使用Frida的功能进行应用程序的分析、修改和调试。 Frida-server-15.2.2-android-x86版本适用于Android x86架构的设备。在使用时,我们首先需要确保设备已经以root权限运行,并且具备adb工具的连接。然后,我们可以通过命令行将frida-server-15.2.2-android-x86安装到设备上。在设备上运行frida-server时,它会监听指定的端口,并等待Frida客户端的连接。 通过与Frida服务器建立连接,我们可以使用JavaScript或Python等脚本语言来进行动态插桩、API Hook、函数跟踪等操作。Frida提供了强大的API,使得应用程序的分析和修改变得更加简单高效。使用Frida,我们可以实时监测应用程序的行为,获取关键信息,进行漏洞分析,甚至可以修改应用程序的逻辑和数据。 总之,frida-server-15.2.2-android-x86是一款用于Android x86平台的Frida服务器,它提供了强大的功能和API,用于动态分析、修改和调试应用程序。通过与Frida客户端的连接,我们可以通过脚本语言来操作和控制应用程序,使得应用程序的分析和修改变得更加高效和可靠。 ### 回答3: Frida-Server是一款功能强大的开源工具,用于在Android设备上进行动态代码注入和调试。frida-server-15.2.2-android-x86指的是适用于Android x86架构的Frida-Server版本15.2.2。 Frida-Server能够以服务的形式运行在目标Android设备上,通过与Frida桌面端或其他脚本进行通信,来实现对目标应用程序的动态分析和操作。它提供了一套JavaScript API,允许我们在运行时通过修改和执行目标应用程序中的代码来实现功能扩展,如函数拦截、数据修改等。 在具体使用时,首先需要在目标Android设备上安装Frida-Server,这个版本适用于x86架构的设备。其次,需要将Frida-Server与Frida桌面端或其他脚本工具配合使用,以实现与目标应用程序的通信。我们可以通过Frida提供的命令行工具或编写脚本的方式来进行代码注入和调试。 Frida-Server-15.2.2-android-x86版本对于使用x86架构的Android设备来说是必需的,因为它能够确保Frida-Server能在这样的设备上正确运行。使用适合设备架构的版本,可以保证性能和稳定性,并且避免兼容性问题。 总而言之,Frida-Server-15.2.2-android-x86是一款用于在Android x86架构设备上进行动态代码注入和调试的工具,通过与Frida桌面端或其他脚本进行通信来实现相关功能。它可以帮助安全研究人员、开发人员等对Android应用程序进行潜在威胁分析、性能优化以及功能增强等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值