解决无法在x86模拟器上frida-hook掉arm的Native层方法的问题

firida官网的问题:Can not load Module from x86 Emulator · Issue #1377 · frida/frida (github.com)
官方解决方案:使用真实的物理手机!
我的解决方案:继续用模拟器!!!!肝都痛了才找到解决方案

环境介绍:

  1. 模拟器雷电、夜神模拟器,安卓版本7.0~9.0都存在的问题,这些模拟器只能模拟x86架构
  2. 目标apk,存在Native层方法,但是apk只携带了arm版的so文件,不存在x86架构的so文件
  3. 这个arm的so文件名为libpp.so
  4. 模拟器雷电、夜神模拟器自带功能,将arm架构汇编转为x86汇编的功能

问题描述:

  1. 我使用常规的Hook-Native的方法进行hook,Module.findBaseAddress返回为空null
  2. 使用Module.findExportByName进行查找返回为空null
  3. 使用Process.enumerateModules遍历所有模块名,也未发现libpp.so文件
  4. 但是程序可以正常运行!!!

检查hook失败的原因,无非就算上面这些找模块的方法都存在缺陷,因为libpp.so文件肯定是被加载进了程序不然apk根本跑不起来的!!!

1. 检查模块是否存在以及无法frida-Native-hook的原因
使用frida和adb来检查模块是否存在

查看apk是否正常运行:

frida-ps -U
adb shell ps

都可以看见程序正常运行!

查看apk的进程分配的内存空间!!

PS D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong> adb shell
star2qltechn:/ $ su root
:/ # cat /proc/5167/maps
00010000-00012000 rw-p 00000000 00:00 0
03344000-0b344000 ---p 00000000 00:00 0
0b344000-0b345000 r--p 00000000 08:02 428      /system/lib/arm/nb/libdl.so
0b345000-0b346000 r--p 00000000 08:02 428      /system/lib/arm/nb/libdl.so
0b346000-0b347000 r--p 00000000 00:00 0
0b347000-0b444000 ---p 00000000 00:00 0
0b444000-0b445000 r--p 00000000 08:02 434      /system/lib/arm/nb/ld-android.so
0b445000-0b446000 r--p 00000000 08:02 434      /system/lib/arm/nb/ld-android.so
0b446000-0b447000 r--p 00000000 00:00 0
0b447000-0b544000 ---p 00000000 00:00 0
0b544000-0b548000 r--p 00000000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b548000-0b549000 r--p 00003000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b549000-0b54a000 rw-p 00004000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b54a000-0b644000 ---p 00000000 00:00 0
0b644000-0b664000 r--p 00000000 08:02 423      /system/lib/arm/nb/libm.so
0b664000-0b665000 r--p 00000000 00:00 0
0b665000-0b666000 r--p 00020000 08:02 423      /system/lib/arm/nb/libm.so
0b666000-0b667000 rw-p 00021000 08:02 423      /system/lib/arm/nb/libm.so
0b667000-0b744000 ---p 00000000 00:00 0
...
0d3e3000-0d3e5000 rw-p 00000000 00:00 0        [anon:.bss]
0d3e5000-0d3e8000 rwxp 00000000 00:00 0
0d3e8000-11348000 rwxp 00000000 00:00 0        [anon:Mem_0x20000000]
11348000-1134c000 rwxp 00000000 00:00 0
12c00000-22c00000 rw-p 00000000 00:05 8647     /dev/ashmem/dalvik-main space (region space) (deleted)
56555000-56559000 r-xp 00000000 08:02 1586     /system/bin/app_process32
5655a000-5655b000 r--p 00004000 08:02 1586     /system/bin/app_process32
5655b000-5655c000 rw-p 00000000 00:00 0        [heap]
70a69000-70c8e000 rw-p 00000000 08:12 917520   /data/dalvik-cache/x86/system@framework@boot.art
70c8e000-70ca4000 r--p 00225000 08:12 917520   /data/dalvik-cache/x86/system@framework@boot.art
70ca4000-70d9b000 rw-p 00000000 08:12 917526   /data/dalvik-cache/x86/system@framework@boot-core-libart.art
70d9b000-70dad000 r--p 000f7000 08:12 917526   /data/dalvik-cache/x86/system@framework@boot-core-libart.art
70dad000-70dde000 rw-p 00000000 08:12 917532   /data/dalvik-cache/x86/system@framework@boot-conscrypt.art
70dde000-70de1000 r--p 00031000 08:12 917532   /data/dalvik-cache/x86/system@framework@boot-conscrypt.art
70de1000-70e0e000 rw-p 00000000 08:12 917538   /data/dalvik-cache/x86/system@framework@boot-okhttp.art
....

确实发现了libpp.so文件确实存在于内存空间!! 但为啥frida找不到呢?

0b544000-0b548000 r--p 00000000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b548000-0b549000 r--p 00003000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
0b549000-0b54a000 rw-p 00004000 08:12 918103   /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so

发现frida无法遍历到so文件的原因:
使用frida遍历模块试试:
发现确实没有这个libpp.so文件,原因是因为frida遍历模块是通过程序基址开始的,而这个arm架构的so文件被加载在了,程序基址上面的位置!

  1. frida开始遍历的地址是:56555000-56559000 r-xp 00000000 08:02 1586 /system/bin/app_process32
  2. 而arm的so文件的地址是:0b544000-0b548000 r--p 00000000 08:12 918103 /data/app/com.geekerchina.pingpongmachine-4SDV24S62H_wjn0f4-HD8A==/lib/arm/libpp.so
    这里就是frida遍历到的数据:
app_process32
libandroid_runtime.so
libbinder.so
libcutils.so
libhwbinder.so
liblog.so
libnativeloader.so
...
linux-vdso.so.1
linker

用来遍历模块的js脚本!

setTimeout(function () {
	Java.perform(function () {
        //遍历模块找基址
        Process.enumerateModules({
            onMatch: function (exp) {
                if (exp.name) {
                    send('enumerateModules find');
                    send(exp.name + "|" + exp.base + "|" + exp.size + "|" + exp.path);
                    send(exp);
                    return 'stop';
                }
            },
            onComplete: function () {
                send('enumerateModules stop');
            }
        });
    }
},2000);
使用IDA动态调试和adb来检查模块是否存在

教程:

  1. IDA调试Android的so文件(SWPU 2019-easyapp)-CSDN博客
  2. ARM学习之 动态调试ida_ida arm版本-CSDN博客
    去动态调试之后发现IDA确实可以找到模块但是会不断报错,无法调试,大概是因为模拟器已经将arm转为x86架构的汇编代码,导致ida调试失败!!!
无法frida-Native-hook的原因

原因是:

  1. 模拟器的架构是x86的所以会对arm架构的so文件进行转译成x86架构的
  2. frida无法找到模块的原因是因为arm的so文件并未跟随apk进程的创建而创建,而是在调用之后才被转译进入内存中,而且是重新开辟了一片空间来存储arm的so文件的代码
  3. IDA之所以可以找到模块是由于它调用的是cat /proc/<pid>/maps来查找模块的,而且arm的so文件也是最后才被加载的,无法调试的原因是因为arm架构的指令已经被转译成了x86架构导致一直报错
  4. 最后使用frida通过手动方法查看libpp.so文件的基址去调用方法也报错了,大概也是因为arm架构的指令已经被转译成了x86架构导致一直报错
2. 解决方案使用Android官方提供的AVD Manager模拟器下载arm架构模拟器

教程: Android SDK Manager 和 AVD Manager使用(进行安卓虚拟机的配置)_sdk manager是什么-CSDN博客

下载链接:AndroidDevTools - Android开发工具 Android SDK下载 Android Studio下载 Gradle下载 SDK Tools下载

只有安卓7.0才有arm架构的,所以下载这个模拟器!
请添加图片描述

下面可以运行程序检查是否存在libpp.so文件了!

D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong>adb shell
generic_arm64:/ $ su
generic_arm64:/ # cat /proc/2219/maps
12c00000-12e06000 rw-p 00000000 00:04 2105  /dev/ashmem/dalvik-main space (deleted)
12e06000-15c00000 ---p 00206000 00:04 2105  /dev/ashmem/dalvik-main space (deleted)
22c00000-22c01000 rw-p 00000000 00:04 2106  /dev/ashmem/dalvik-main space 1 (deleted)
22c01000-25c00000 ---p 00001000 00:04 2106  /dev/ashmem/dalvik-main space 1 (deleted)
70411000-70909000 rw-p 00000000 fe:20 35250 /data/dalvik-cache/arm/system@framework@boot.art
e9618000-e9678000 rw-p 00000000 00:04 2324  /dev/ashmem/dalvik-large object space allocation (deleted)
e9678000-e9681000 rw-p 00000000 00:04 2319  /dev/ashmem/dalvik-large object space allocation (deleted)
e9684000-e9688000 r-xp 00000000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9688000-e9689000 r--p 00003000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9689000-e968a000 rw-p 00004000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e968a000-e968e000 rw-p 00000000 00:04 2317  /dev/ashmem/dalvik-large object space allocation (deleted)
....

成功找到:

e9684000-e9688000 r-xp 00000000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9688000-e9689000 r--p 00003000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so
e9689000-e968a000 rw-p 00004000 fe:20 7128  /data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so

进行frida也可以找到目标文件了!!!
成功了!!剩下的就是爆破了

D:\CTF_Study\Reverse\攻防世界\引导模式\难度6\pingpong>frida -U -f com.geekerchina.pingpongmachine -l ./NHook.js
     ____
    / _  |   Frida 16.1.11 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Android Emulator 5554 (id=emulator-5554)
Spawned `com.geekerchina.pingpongmachine`. Resuming main thread!
[Android Emulator 5554::com.geekerchina.pingpongmachine ]-> start
message: {'type': 'send', 'payload': 'enumerateModules find'} data: None
message: {'type': 'send', 'payload': 'libpp.so|0xe9684000|24576|/data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so'} data: None
message: {'type': 'send', 'payload': {'name': 'libpp.so', 'base': '0xe9684000', 'size': 24576, 'path': '/data/app/com.geekerchina.pingpongmachine-1/lib/arm/libpp.so'}} data: None
message: {'type': 'send', 'payload': 'enumerateModules stop'} data: None
message: {'type': 'send', 'payload': 'soAddr:0xe9684000'} data: None
message: {'type': 'send', 'payload': 'findExportByName ping():0xe9685309'} data: None
message: {'type': 'send', 'payload': 'findExportByName ping():0xe9685309'} data: None
message: {'type': 'send', 'payload': 'findExportByName pong():0xe9685565'} data: None
message: {'type': 'send', 'payload': 'findExportByName pong():0xe9685565'} data: None
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: Frida-server-15.2.2-android-x86是一款适用于安卓x86架构的Frida服务器的版本。Frida是一种开源的动态插桩框架,可用于安卓设备上的应用程序逆向工程和安全性评估。 Frida-server是Frida框架中的一部分,用于在安卓设备上与Frida客户端通信。Frida-server是在设备上运行的服务,可以与Frida客户端(通常是运行在PC上的Frida工具)进行通信,并接收来自客户端的指令。 Frida-server-15.2.2-android-x86适用于安卓x86架构的设备。x86是一种PC上常见的处理器架构,而不是常用于移动设备的ARM架构。因此,如果你的安卓设备是基于x86架构的,那么你可以使用这个版本的Frida-server在设备上运行Frida服务。 通过在设备上运行Frida-server,你可以利用Frida的强大功能来分析、修改和控制应用程序。Frida允许你动态地插入JavaScript代码到应用程序中,以实时地跟踪和修改应用程序的行为。你可以使用Frida进行代码注入、函数钩子、网络流量捕获、数据修改等操作,以便进行应用程序逆向工程、漏洞挖掘、安全性评估等任务。 总而言之,Frida-server-15.2.2-android-x86是一种适用于安卓x86架构设备的Frida服务器版本,通过在设备上运行Frida-server,你可以利用Frida框架的功能对应用程序进行逆向工程和安全性评估。 ### 回答2: frida-server-15.2.2-android-x86是一款用于Android x86架构的Frida服务器。Frida是一种强大的开源工具,用于分析、修改和调试软件。它可以通过脚本语言来进行动态注入和操作,支持多种平台和架构。 通过使用frida-server-15.2.2-android-x86,我们可以在Android x86设备上安装和运行Frida服务器。安装frida-server时我们需要将其推送到设备上,并在设备上运行它。运行成功后,我们可以通过Frida客户端连接到该设备上的Frida服务器,并使用Frida的功能进行应用程序的分析、修改和调试。 Frida-server-15.2.2-android-x86版本适用于Android x86架构的设备。在使用时,我们首先需要确保设备已经以root权限运行,并且具备adb工具的连接。然后,我们可以通过命令行将frida-server-15.2.2-android-x86安装到设备上。在设备上运行frida-server时,它会监听指定的端口,并等待Frida客户端的连接。 通过与Frida服务器建立连接,我们可以使用JavaScript或Python等脚本语言来进行动态插桩、API Hook、函数跟踪等操作。Frida提供了强大的API,使得应用程序的分析和修改变得更加简单高效。使用Frida,我们可以实时监测应用程序的行为,获取关键信息,进行漏洞分析,甚至可以修改应用程序的逻辑和数据。 总之,frida-server-15.2.2-android-x86是一款用于Android x86平台的Frida服务器,它提供了强大的功能和API,用于动态分析、修改和调试应用程序。通过与Frida客户端的连接,我们可以通过脚本语言来操作和控制应用程序,使得应用程序的分析和修改变得更加高效和可靠。 ### 回答3: Frida-Server是一款功能强大的开源工具,用于在Android设备上进行动态代码注入和调试。frida-server-15.2.2-android-x86指的是适用于Android x86架构的Frida-Server版本15.2.2。 Frida-Server能够以服务的形式运行在目标Android设备上,通过与Frida桌面端或其他脚本进行通信,来实现对目标应用程序的动态分析和操作。它提供了一套JavaScript API,允许我们在运行时通过修改和执行目标应用程序中的代码来实现功能扩展,如函数拦截、数据修改等。 在具体使用时,首先需要在目标Android设备上安装Frida-Server,这个版本适用于x86架构的设备。其次,需要将Frida-Server与Frida桌面端或其他脚本工具配合使用,以实现与目标应用程序的通信。我们可以通过Frida提供的命令行工具或编写脚本的方式来进行代码注入和调试。 Frida-Server-15.2.2-android-x86版本对于使用x86架构的Android设备来说是必需的,因为它能够确保Frida-Server能在这样的设备上正确运行。使用适合设备架构的版本,可以保证性能和稳定性,并且避免兼容性问题。 总而言之,Frida-Server-15.2.2-android-x86是一款用于在Android x86架构设备上进行动态代码注入和调试的工具,通过与Frida桌面端或其他脚本进行通信来实现相关功能。它可以帮助安全研究人员、开发人员等对Android应用程序进行潜在威胁分析、性能优化以及功能增强等工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值