学习笔记-hook和主动调用

最新推荐文章于 2024-04-23 09:35:51 发布
最新推荐文章于 2024-04-23 09:35:51 发布
阅读量318 收藏 1
点赞数
文章标签: 学习 javascript 前端 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127803921
版权

用户代码 native hook

  1. 静态注册函数参数,返回值打印和替换
  2. 调用栈
  3. 主动调动
  4. 符号hook == 偏移hook
  5. 枚举并保存结果

0x01 修改返回值以及参数和主动调用

  1. 修改返回值
    修改的原则本质上还是根据开发的套路去走,利用jni开发api去做,这里也是有文档可以进行查询的,https://github.com/frida/frida-java-bridge/blob/master/lib/env.js, 这里就可以直接搜索,ctrl+f直接搜就完事了,当然前提得先获取env,还是上次课的app,主要是修改返回值,上次那个函数的返回值是jstring,那么我们也需要去构造一个jstring对象出来,然后进行一波返回
    js代码:

function hook_nativelib()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var myfirstjniJNI=Module.findExportByName("libnative-lib.so","Java_com_example_demoso1_MainActivity_myfirstjniJNI");
console.log("myfirstjiniJNI addr ->",myfirstjniJNI);
Interceptor.attach(myfirstjniJNI,{
onEnter:function(args){
console.log("Interceptor.attach myfirstjniJNI args:",args[0],args[1],args[2]);
console.log("jstring is",Java.vm.getEnv().getStringUtfChars(args[2],null).readCString());
},onLeave:function(retval){
//console.log("Interceptor.attach myfirstjniJNI retval",reval);
var newRetval=Java.vm.getEnv().newStringUtf("YenKoc fucking crazy");
retval.replace(newRetval);
}
})
}
function main1()
{
hook_nativelib();
}
setImmediate(main1);

  1. 修改参数值 没啥好说了,和上面差不多,用jni开发的角度去想

function hook_nativelib()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var myfirstjniJNI=Module.findExportByName("libnative-lib.so","Java_com_example_demoso1_MainActivity_myfirstjniJNI");
console.log("myfirstjiniJNI addr ->",myfirstjniJNI);
Interceptor.attach(myfirstjniJNI,{
onEnter:function(args){
console.log("Interceptor.attach myfirstjniJNI args:",args[0],args[1],args[2]);
console.log("jstring is",Java.vm.getEnv().getStringUtfChars(args[2],null).readCString());
var newArgs2=Java.vm.getEnv().newStringUtf("I'm new Args");
args[2]=newArgs2;
},onLeave:function(retval){
//console.log("Interceptor.attach myfirstjniJNI retval",reval);
var newRetval=Java.vm.getEnv().newStringUtf("YenKoc fucking crazy");
retval.replace(newRetval);
}
})
}
function main1()
{
hook_nativelib();
}
setImmediate(main1);

不知道为什么一hook参数就crash了,lj app(吐槽
3. 主动调用 - 核心思想就是先在so中找到对应的地址,这是关键,没有地址一切都是扯淡,这里暂时还没用到偏移,都是通过objection的找到so的导出函数被符号修饰后的符号名,直接通过frida api得到的结果。至于手法就直接记住就好了

function hookandinvoke_add()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var r0add_addr=Module.findExportByName("libnative-lib.so","_Z5r0addii");
console.log("r0add addr ->",r0add_addr);
Interceptor.attach(r0add_addr,{
onEnter:function(args){
console.log("x->",args[0],"y->",args[1]);
},onLeave:function(retval)
{
console.log("retval is ->",retval);
}
})
var r0add=new NativeFunction(r0add_addr,"int",["int","int"]);
var r0add_result=r0add(50,2);
console.log("invoke result is",r0add_result);
}
function main1()
{
//hook_nativelib();
hookandinvoke_add();
}
setImmediate(main1);

  • hook native函数
    这里的参数发现都是jstring等等的,这些其实都是指针,我们如果需要主动调用的话,也需要像jni开发一样构造出jstring指针,就像上文做的一样,不过这里有点骚的就是在hook native函数时,将本来传入的参数,再传入主动调用的函数,这样就不需要这么麻烦了

unction hook_nativelib()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var myfirstjniJNI=Module.findExportByName("libnative-lib.so","Java_com_example_demoso1_MainActivity_myfirstjniJNI");
console.log("myfirstjiniJNI addr ->",myfirstjniJNI);
var myfirstjniJNI_invoke=new NativeFunction(myfirstjniJNI,"pointer",["pointer","pointer","pointer"]);
Interceptor.attach(myfirstjniJNI,{
onEnter:function(args){
console.log("Interceptor.attach myfirstjniJNI args:",args[0],args[1],args[2]);
console.log("jstring is",Java.vm.getEnv().getStringUtfChars(args[2],null).readCString());
//var newArgs2=Java.vm.getEnv().newStringUtf("I'm new Args");
//args[2]=newArgs2;
console.log("myfirstjniJNI_invoke result:",myfirstjniJNI_invoke(args[0],args[1],args[2]));
},onLeave:function(retval){
//console.log("Interceptor.attach myfirstjniJNI retval",reval);
var newRetval=Java.vm.getEnv().newStringUtf("YenKoc fucking crazy");
retval.replace(newRetval);
}
})
}
function hookandinvoke_add()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var r0add_addr=Module.findExportByName("libnative-lib.so","_Z5r0addii");
console.log("r0add addr ->",r0add_addr);
Interceptor.attach(r0add_addr,{
onEnter:function(args){
console.log("x->",args[0],"y->",args[1]);
},onLeave:function(retval)
{
console.log("retval is ->",retval);
}
})
var r0add=new NativeFunction(r0add_addr,"int",["int","int"]);
var r0add_result=r0add(50,2);
console.log("invoke result is",r0add_result);
}
function main1()
{
hook_nativelib();
//hookandinvoke_add();
}
setImmediate(main1);

0x02 调用栈

console.log("CCCryptoCreate called from:\n"+Thread.backtrace(this.context,Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join("\n")+'\n');

这行代码加入到hook的代码中去,就可以打印出调用栈 # 0x03 replace 这玩意其实就相当于java层中的hook,上面那个主动调用的话,其实就是this.xx的形式

function hook_replace()
{
var native_lib_addr=Module.findBaseAddress("libnative-lib.so");
console.log("native_lib_addr ->",native_lib_addr);
var myfirstjniJNI=Module.findExportByName("libnative-lib.so","Java_com_example_demoso1_MainActivity_myfirstjniJNI");
console.log("myfirstjiniJNI addr ->",myfirstjniJNI);
var myfirstjniJNI_invoke=new NativeFunction(myfirstjniJNI,"pointer",["pointer","pointer","pointer"]);
Interceptor.replace(myfirstjniJNI,new NativeCallback(function(args0,args1,args2){
console.log("Interceptor.attach myfirstjniJNI args:",args0,args1,args2);
return Java.vm.getEnv().newStringUtf("new Retval from frida");
},"pointer",["pointer","pointer","pointer"]));
}

肉丝说不常用,但是我感觉改返回值啥的,还可以把 # 0x04 枚举出所有模块的所有导出符号(静态注册的才行)

function EnumerateAllExports()
{
var modules=Process.enumerateModules();
//print all modules
//console.log("Process.enumerateModules->",JSON.stringify(modules));
for(var i=0;i<modules.length;i++)
{
var module=modules[i];
var module_name=modules[i].name;
var exports=module.enumerateExports();
console.log("module.enumerateeExports",JSON.stringify(exports))
}
}

点击关注,共同学习!
[安全狗的自我修养](https://mp.weixin.qq.com/s/E6Kp0fd7_I3VY5dOGtlD4w)


[github haidragon](https://github.com/haidragon)


https://github.com/haidragon

C-haidragon
关注
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Native层
kfyzjd2008的博客
03-02 1416
一、使用工具: apk:攻防世界中CTF题,安装后图表显示黑客精神 xman.apk 工具:IDA,jadx 二、分析: 1、首先jadx打开app分析java代码 从上图可以看出关键判断点为MyApp中m的值,从图二可以看出MyApp的方法注册在native层。 有initSN、saveSN、work三个函数。 2、解压apk用IDA打开libmyjni.so文件。导出函数中不能直接搜索到上面三个函数,我们直接双击JNI_ONLOAD,F5查看伪代码 当我们手动更改Get.
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(四)读写静态变量和非静态变量
kfyzjd2008的博客
02-16 2022
本节接上一节课,APP进入第三关。 本节知识点为读写静态变量和非静态变量: 观察代码可以发现关键判断点为三个变量的值是否为True,其中一个私有变量名同函数名一样。 相应hook代码: function call_FridaActivity3() { //读写静态变量和非静态变量 Java.perform(function(){ var FridaActivity3 = Java.use("com.example.androiddemo.Activity..
Java层主动调用
zwlww1的博客
01-27 681
主要学习内容: Java.choose(className, callback) 在内存中扫描 Java 堆,枚举 Java 对象(className)实例。比如可以使用 java.lang.String 扫描内存中的字符串。callbacks 提供两个参数:onMatch(instance) 和 onComplete,分别是找到匹配对象和扫描完成调用。 代码清单 MainActivity.java package com.roysue.demo02; import androidx.appcom.
主动调用 微信 php,主动调用
weixin_27033895的博客
03-18 81
主动调用主动调用是最基本的连接模式,当你的应用调用企业号时,需使用Https协议、Json数据格式、UTF8编码,访问域名为https://qyapi.weixin.qq.com,数据包不需要加密。在每次主动调用企业号接口时需要带上AccessToken参数。AccessToken参数由CorpID和Secret换取。CorpID是企业号的标识,每个企业号拥有一个唯一的CorpID;Secret是...
JAVA 主动调用与被动调用
不疯的疯子
12-31 721
public class Test {    static {        System.out.println("***");    }    public static final String a = "sss";   //final static double a = Math.random();}public class Test1 {    public static void m...
游戏内存Call技术-易语言绑定主线程调用CALL技术(游戏反检测call)
weiixn_kkcs的博客
05-29 7059
游戏Call技术-绑定主线程调用CALL技术(反游戏检测call) 我们在写call调用游戏进程里call时候,经常辅助运行一段时间后,游戏就会断线或崩溃掉,但是经过检查, 发现我们调用CALL的源代码又没发现写错误,这到底是怎样呢?{:100_162:} 其实这些是现在游戏的一些游戏反辅助检测导致的,并不是我们调用call的源代码没写对, 现在的游戏调用我们游戏进程里的各种CALL,都是游戏我们的主线程来执行的,如果不是游戏的主线程调用CALL, 就会奔溃或游戏掉线, 所以我们的辅助程序都是在游戏进程.
逆向技术入门之主线程调用防止软件崩溃
douluo998的博客
04-10 560
每条线程是独立的,但是虽然是独立的线程,也要有一定的原则,线程和线程之间不可以产生数据访问或则逻辑等冲突,否则会导致游戏软件崩溃以及不可预知的错误。变成了现在的 向主线程发送消息 让窗口回调函数帮你调用 ,需要提前做的就是 重置窗口回调函数以及在窗口回调函数中写入你要调用的代码即可。if (lpArg->hwnd==Call_获取窗口句柄()&&lpArg->message==g_My消息ID)//我们自己的消息。Call_明文发包(封包->nd包长,封包->p);
Hook学习笔记-----钩子的应用
01-04
Hook学习笔记-----钩子的应用】 Hook,全称为“钩子”,是Windows操作系统提供的一种机制,允许应用程序在系统层面上监控特定类型的消息或事件。它实际上是一个处理消息的程序段,通过系统调用挂入系统,形成钩子...
我打破了-React-Hook-必须按顺序、不能在条件语句中调用的枷锁
最新发布
2301_79655473的博客
04-23 807
核心竞争力,怎么才能提高呢?成年人想要改变生活,逆转状态?那就开始学习吧~万事开头难,但是程序员这一条路坚持几年后发展空间还是非常大的,一切重在坚持。为了帮助大家更好更高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。
React hooks 学习笔记 - useState
kotoriyou的博客
05-06 956
使用hook的好处: 1.可以不再使用class(有状态组件) 2.不用考虑复杂的react生命周期钩子函数 3.让this的处理变得简单 例子 普通版本: class Example extends React.Component { constructor(props) { super(props); this.state = { count: 0 };...
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12-易语言
06-11
x64进程远程hook,x64_远程调用函数,源码更新V1.8.2:2021/4/12 源码为下方连接帖子后续更新内容: 浅谈64位进程远程hook技术: https://bbs.125.la/forum.php?mod=viewthreadtid=14666356extra= 不管您是转载还是使用请保留版权,源码在精益论坛免费发布本人未获利,请不要用于非法途径。 --------------------------------------------------------------- 2021/4/12 模块源码 v1.8.2更新 1:修复 x64_远调用函数()在 易语言 主线程调用时造成消息无法回调,导致易语言主线程窗口卡死的问题。      感谢楼下易友发现的BUG,已经第一时间更新 2021/4/12 模块源码 v1.8.1更新 1:修复 hook全部卸载时的流程写法的一个错误,由于句柄的提前关闭导致多个hook点卸载不干净的问题 2:改写了消息回调时线程传参的代码优化,优化了其他一些小问题 3:  鉴于很多朋友需要,改写了模块自带实列,对TCP,UDP的两组封包函数做了hook实列写法 4:列子中同样增加对x64_远调用函数()的应用写了几个列子,如使用套接字取得本地或远端IP端口API调用的的应用实列 5:本hook模块不支持非模块内存区hook,如申请的动态分配页等,不是不能支持,只是觉得没有任何意义,对这方面有需求的,自行改写模块源码使用 提醒:hook回调函数中尽量减少耗时代码,时间越长返回越慢,回调中谨慎操作控件,如必须要用到可参考源码中实列写法采用线程操作 历史更新 --------------------------------------------------------------- 2021/3/1   模块源码v1.6更新: 1:修复  x64_远程调用函数()命令,在没有提供 寄存器 参数时,没有返回值的BUG。 --------------------------------------------------------------- 2021/2/28 模块源码v1.5更新: 一:修复win7 64位系统下枚举模块 出现部分模块长度出现负数的问题,从而导致部分win7用户不能使用 二:强化 远程hook64指令_安装 的稳定性:        1,穿插代码中增加对标志位的保护,避免hook位置长度下一条指令为跳转时产生跳转错乱的问题,强化了hook任意位置的定位        2,因为穿插代码中会调用API函数,而64位汇编必须遵守栈指针16字节对齐,故对穿插代码进行栈指针16字节对齐,增强稳定性        3,hook指令安装支持长度由6-127字节 变动 为 6-119字节,原因么没必要说了,代码优化造成的,稍微少了一点无所谓了        4,对模块回调进行了适当优化处理,增强稳定性 三:应支持的朋友需要故增加 x64_远程调用函数()命令,易语言可以直接远call64进程,且无需写汇编代码或机器码指令,支持15个参数,支持返回值,支持16个通用寄存器全部取得返回值       该功能调用即16字节栈对齐,不要用户管堆栈,代码内部构成,远线程执行,你只需要知道call有几个参数,需要什么寄存器,对应提供即可。 四:有朋友说原模块x64英文看了烦,那好吧就给改成了中文标识,弄得我自己也不习惯 五:源码内列子改了改,可以自己看,需要注意的是模块注释的很详细,使用前最好看一看,尤其是hook回调接口的写法和安装的写法最好按照模块列子中的写法来,除非你能把64hook模块组看懂一遍,对于一些对本模块一知半解的朋友请不要乱改乱发,这个模块我会继续增强的,只是工作原因时间有限,只能一点一点来
objection 基本使用
zhaoxiaoba123的博客
10-26 4229
objection 默认通过USB连接设备,这里就不必和Frida 一样通过 -U参数指定USB模式连接,同时通过 -g 参数指定注入的进程并通过export命令进入REPL模式,进入REPL模式后就可以使用objection进行hook的常用命令。
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(三)主动调用静态函数和非静态函数
kfyzjd2008的博客
02-16 2728
本节接上一节课,APP进入第二关。 本节知识点为主动调用静态函数和非静态函数的实现: 观察代码可以发现关键判断点为两个变量的值是否为True,有两个改变值得函数可以调用hook代码: function call_FridaActivity2() { //主动调用函数 Java.perform(function () { var FridaActivity2 = Java.use("com.example.androiddemo.Activity.FridaA
Distinct by Property
qq_41628755的博客
09-10 309
本文受到https://blog.csdn.net/haiyoung/article/details/80934467该篇文章的启发,实现通过属性来去重(如果不对还请各位指出) distinct()方法如果通过equals和hashcode方法来实现去重,可否通过修改queals方法来实现? Bean: equals方法只判断name来实现通过那么去重,效果如下 ...
pytorch forward_pytorch的hook机制之register_forward_hook
weixin_39939530的博客
11-23 1003
register_forward_hook的使用对于自己目前的编程经验来说比较复杂,所以分成以下7个方面:(1)hook背景(2)源码阅读(3)定义一个用于测试hooker的类(4)定义hook函数(5)对需要的层注册hook(6)测试forward()返回的特征和hook记录的是否一致(7)完整代码先总结一下:手动在forward之前注册hookhook在forward执行以后被自动执行。1、...
方法传入参数(来自成员变量),在方法中修改参数,退出方法后,是否会改变参数值呢?
热门推荐
u010698072的博客
06-29 2万+
现在列出三种不同的方法传入参数; 1、传入参数为整形变量: public static void main(String[] args){ int a = 10; test(a); System.out.println(a); } public static void test(int num){ num=20; System.out.println(num); } 输出
sqlmap中的tamper 脚本分析
weixin_62420492的博客
01-04 462
space2randomblank 作用:空格替换为备选字符集中的随机字符 例子: ('select id from users') ( select %0Did%0DFRM%0A users') 详细注释: #!/usr/bin/env python//此处用法为:程序到env设置里查找python的安装路径,再调用对应路径下的解释器程序完成操作 """ //python 的多行注释符 Copyright (c) 2006-2021 sqlmap developers (https://sqlmap
深入类加载器二----主动引用和被动引用
li12412414的博客
08-13 1340
深入类加载器(二)--主动引用和被动引用          JVM类加载的全过程值之初始化的时机,类的主动引用和被动引用,静态初始化块执行顺序问题。    我们已经知道了类加载的初始化阶段就是类构造器的初始化。所谓的类构造器就是 将静态变量的初始化动作和静态块中的所有的内容合并起来。在静态变量和静态块的初始化过程    在多线程的环境中肯定是线程安全的。肯定会有同步和等待。并且如果发现父类
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值