frida dump android手机内存数据工具

最新推荐文章于 2024-08-08 07:20:56 发布
最新推荐文章于 2024-08-08 07:20:56 发布
阅读量1.6w 收藏 7
点赞数 1
分类专栏: 安卓逆向 frida_dump 手机内存dump so文件 文章标签: android frida工具 frida_dump android脱壳 so
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/someby/article/details/123462850
版权
本文记录了在分析加密SO文件时遇到的问题,传统IDA dump方法由于文件不完整,导致无法静态分析。作者转向使用frida_dump工具,通过Python脚本成功dump并修复了SO文件,提高了分析效率。frida_dump的使用过程包括调用dump_so.py脚本和frida脚本dump_dex.js,最终生成可供ida分析的完整SO文件。
摘要由CSDN通过智能技术生成

frida_dump使用

为什么写这篇笔记

最近在学习分析so的使用,发现目标的so文件是进行过处理的,直接打开so文件里面什么都看不到,基本的so文件都缺少了好几块文件,最主要的是字符串是动态加密的,用到时解密,使用完成后就销毁。为了获取能静态分析的so文件(在ida上能大致看一些伪代码),就需要将手机内存中的so文件进行dump下来。

使用ida进行dump

刚开始的时候尝试使用ida脚本进行dump,但是dump出来的so文件还是不全,可能是没有进行修复的原因,分析的过程中非常难受,基本上都是在使用ida动态调试的过程中去看,这样效率太低,使用frida去hook想验证的函数时,又需要进行绝对地址和相对地址的计算,并且so调试过程中经常崩溃。当然,使用ida进行dump是一种方式,只是我不懂修复dump出来的so文件。

python脚本

ida脚本

使用frida_dump进行dump so文件

后面实在分析不出下去了,问导师dump的脚本,我本意是ida的dump脚本是怎么写的,导师说他用frida_dump,挖槽,原来导师没有遇到问题不是使用ida进行dump啊,于是导师给我发了frida_dump的git地址,我使用该工具dump出来的文件确实是比我使用ida弄出来的文件大了不少。

如何使用frida_dump作者写的很清楚,我在这贴一下相关的文档。

1. dump android module
usage:
​ python dump_so.py

​ python dump_so.py so_name

➜  frida_dump git:(master) ✗ python dump_so.py libc.so              
{'name': 'libc.so', 'base': '0xf2282000', 'size': 819200, 'path': '/apex/com.android.runtime/lib/bionic/libc.so'}
android/SoFixer32: 1 file pushed. 5.9 MB/s (91848 bytes in 0.015s)
libc.so.dump.so: 1 file pushed. 21.4 MB/s (819200 bytes in 0.036s)
adb shell /data/local/tmp/SoFixer -m 0xf2282000 -s /data/local/tmp/libc.so.dump.so -o /data/local/tmp/libc.so.dump.so.fix.so
[main_loop:87]start to rebuild elf file
[Load:69]dynamic segment have been found in loadable segment, argument baseso will be ignored.
[RebuildPhdr:25]=============LoadDynamicSectionFromBaseSource==========RebuildPhdr=========================
[RebuildPhdr:37]=====================RebuildPhdr End======================
[ReadSoInfo:549]=======================ReadSoInfo=========================
[ReadSoInfo:696]soname 
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffb arg 0x00000001
[ReadSoInfo:599] rel (DT_REL) found at 15f20
[ReadSoInfo:603] rel_size (DT_RELSZ) 1703
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffa arg 0x000005f5
[ReadSoInfo:591] plt_rel (DT_JMPREL) found at 19458
[ReadSoInfo:595] plt_rel_count (DT_PLTRELSZ) 617
[ReadSoInfo:584]symbol table found at 32ac
[ReadSoInfo:580]string table found at 10e58
[ReadSoInfo:699]Unused DT entry: type 0x6ffffef5 arg 0x0000a98c
[ReadSoInfo:629] constructors (DT_INIT_ARRAY) found at b5954
[ReadSoInfo:633] constructors (DT_INIT_ARRAYSZ) 4
[ReadSoInfo:637] destructors (DT_FINI_ARRAY) found at b3000
[ReadSoInfo:641] destructors (DT_FINI_ARRAYSZ) 2
[ReadSoInfo:699]Unused DT entry: type 0x6ffffff0 arg 0x00009b4c
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffc arg 0x0000a860
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffd arg 0x00000009
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffe arg 0x0000a95c
[ReadSoInfo:699]Unused DT entry: type 0x6fffffff arg 0x00000001
[ReadSoInfo:703]=======================ReadSoInfo End=========================
[RebuildShdr:42]=======================RebuildShdr=========================
[RebuildShdr:536]=====================RebuildShdr End======================
[RebuildRelocs:783]=======================RebuildRelocs=========================
[RebuildRelocs:809]=======================RebuildRelocs End=======================
[RebuildFin:709]=======================try to finish file rebuild =========================
[RebuildFin:733]=======================End=========================
[main:123]Done!!!
/data/local/tmp/libc.so.dump.so.fix.so: 1 file pulled. 29.0 MB/s (819882 bytes in 0.027s)
libc.so_0xf2282000_819200_fix.so
2. dump android dex
frida -U --no-pause -f packagename  -l dump_dex.js
     ____
    / _  |   Frida 12.4.8 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at http://www.frida.re/docs/home/
Spawned `packagename`. Resuming main thread!
[Google Pixel XL::packagename]-> [dlopen:] libart.so
_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE 0x7ac6dc4f74
[DefineClass:] 0x7ac6dc4f74
[dump dex]: /data/data/packagename/files/7aab800000_8341c4.dex
Thanks
zerone-f
关注
专栏目录
FRIDA-DEXDump:快速搜索并在内存中转储dex
04-28
FRIDA-DEX转储 特征 支持模糊搜索损坏的标头dex。 修复dex-header的结构数据。 与所有android版本兼容(支持frida)。 支持加载为异议插件〜 pypi包已经发布了〜 需要 : pip install frida [可选]pip install click 安装 来自pypi pip3 install frida-dexdump frida-dexdump -h 从来源 git clone https://github.com/hluwa/FRIDA-DEXDump cd FRIDA-DEXDump/frida-dexdump python3 main.py -h 用法 运行frida-dexdump或python3 main.py来附加当前最前端的应用程序并转储dexs。 或者,使用命令参数: -n: [Optional] Specify t
GG内存dump so 以及修复
日常技术分享
06-11 3086
手机端启动cmd中执行进入adb shell切换su,查看目标APP进程信息使用cat命令将信息输出至文件中将文件pull到电脑中查看在文件中找到so内存地址。
frida-ios-dump 使用教程
最新发布
gitblog_00958的博客
08-08 695
frida-ios-dump 使用教程 frida-ios-dumppull decrypted ipa from jailbreak device项目地址:https://gitcode.com/gh_mirrors/fr/frida-ios-dump 项目介绍 frida-ios-dump 是一个基于 frida 的开源工具,用于从越狱的 iOS 设备中提取解密的 IPA 文件。该工具通过注...
frida_dump:frida dump dex,frida dump so
05-01
frida_dump 1.使用dump_module Android dump_so > frida -U packagename -l dump_module.js ____ / _ | Frida 12.4.8 - A world-class dynamic instrumentation toolkit | (_| | > _ | Commands: /_/ |_| help -> Displays the help system . . . . object? -> Display information about 'object' . . . . exit/quit -> Exit . . . . . . . . More info at http:
砸壳工具frida-ios-dump使用(动态砸壳)
yahibo的博客
06-26 1万+
通过注入js实现内存dump,再由Python自动拷贝到电脑生成ipa包。 frida-ios-dump下载: https://github.com/AloneMonkey/frida-ios-dump 创建dump文件夹,移动到opt/dump目录下,修改dump.py中的user、password、host、port如下: User = 'root' Password = 'alpine' H...
强力推荐:Frida_Dump —— 动态库与DEX文件提取神器
gitblog_00066的博客
06-25 599
强力推荐:Frida_Dump —— 动态库与DEX文件提取神器 项目地址:https://gitcode.com/r0ysue/frida_dump 在逆向工程和安全研究领域中,经常需要对Android应用进行深入分析,这往往涉及到从运行中的APP直接抽取其动态链接库(.so)或DEX字节码文件。然而,手动定位并获取这些关键资源不仅耗时且易错。为此,我们自豪地推出了frida_dump——一个基...
Frida获取函数导出表内存dump so
ppLittleBoyHacker的博客
06-19 4436
背景 so库被加壳了,且导出表被和谐了 frida解决 var exports = Module.enumerateExportsSync("libxx.so"); var libxx = Process.getModuleByName("libxx.so"); send("*****************************************************"); send("name: " +libxx.name);
某汽车社区App 签名和加解密分析 (二) : Frida Dump so
fenfei331的博客
12-08 7050
一、目标 App安全的主战场在Native层,分析Native层的so,最趁手的兵器就是Frida和Unidbg了。 今天我们的目标是 某汽车社区App v8.0.1 so 的分析。 二、步骤 特征字符串定位 我们在上一篇教程 某汽车社区App 签名和加解密分析 已经定位了,数据加密和解密函数再java层的位置。 按照常理来说,这个java类文件中,应该有个 System.loadLibrary(“libxxx”) 来方便我们定位对应的so。 可惜的是,这个样本里找不到。原因大概率是脱壳不完整。 既然没这
探秘 FridaDump:强大的动态代码分析工具
gitblog_00015的博客
03-26 1031
探秘 FridaDump:强大的动态代码分析工具 项目地址:https://gitcode.com/lasting-yang/frida_dump FridaDump 是一个基于 Frida 的开源项目,旨在帮助开发者和安全研究人员进行动态代码分析与调试。通过利用 Frida 提供的强大接口,FridaDump 可以让你深入理解应用程序的行为,捕捉关键函数调用,甚至修改运行时的代码,从而实现各种高...
frida-dump原理解析
weixin_43922321的博客
09-09 1933
frida_dump地址:https://github.com/lasting-yang/frida_dump Dex_dump 1、找到hook点 在Dex_dump中使用了,如下libart中的DefineClass mirror::Class* DefineClass(Thread* self, const char* descriptor, size_t h...
dump内存记录
cjwsimple
10-21 1019
File选项中找到script command //单行也需要用{}括起来 //IDC static main() { auto i,fp; fp = fopen("d:\\dump","wb"); auto start = 0x47e060; auto size = 90000; for(i=start;i<start+size;i++) ...
AwsomeReverseTools:逆向工具大集合:脱壳dex重打包脚本;Frida Dump so脚本
05-28
AwsomeReverseTools 逆向 脱壳 修复 Dump SO
使用Frida-iOS-Dump:强大的iOS应用数据提取工具
gitblog_00071的博客
03-22 1382
使用Frida-iOS-Dump:强大的iOS应用数据提取工具 frida-ios-dumppull decrypted ipa from jailbreak device项目地址:https://gitcode.com/gh_mirrors/fr/frida-ios-dump 是一个开源项目,利用了 Frida 工具和 Python 脚本,旨在帮助开发者、安全研究人员或逆向工程师轻松地从 iO...
frida-dexdump Frida 脱壳
AndroidDeveloper的专栏
06-21 4181
frida-dexdump Frida 脱壳成功
Android脱壳Frida-dexdump小计
HWHXY的博客
06-08 4683
本文详细介绍了frida-dexdump脱壳原理相关知识并且在实战中进行了脱壳操作。
脱壳工具frida-dexdump的使用详解
热门推荐
数据知道的博客
09-04 3万+
基于frida开发的脱壳工具,代码开源且操作简单。在内存中转存dex文件,能脱大部分的壳。
使用 frida+dexdump对apk脱壳
菜鸡小白的成长记录
03-31 1万+
1.发展背景 转载注明出处: APP 加固发展到现在已经好几代了,从整体加固到代码抽取到虚拟机保护,加固和脱壳的方案也逐渐趋于稳定。随着保护越来越强,脱壳机们也变得越来越费劲,繁琐。但是毕竟道高一尺,魔高一丈,市面上有很多手段可以进行脱壳操作今天介绍的是使用Frida的一个脚本来dump apk的Dex。 2.脱壳原理 得益于FRIDA, 在 PC上面进行内存搜索、转储都变得十分方便,再也不需要考虑什么Xposed、什么Android开发、什么代码注入,只需要关注如何去搜索想要的东西,于是依赖一个几十行代码
安卓逆向之使用frida-dexdump进行脱壳
云霄IT的博客
05-13 1723
2、开启frida-server服务。4、开启frida-dexdump。1、给手机或模拟器root。3、找一个文件夹进入cmd。
frida-dexdump脱壳笔记
weixin_43767456的博客
11-16 1451
Frida-DexDump是一款基于Frida框架开发的内存数据操作工具,主要用于在Android设备内存中提取Dex文件,并能够脱去大部分的壳。
使用Frida如何检测App进程在运行时,可使用frida-dump工具dump内存
06-09
要使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存,可以按照以下步骤进行操作: 1. 首先,你需要下载并安装Frida工具,并打开它。 2. 然后,你需要在Android设备上安装Frida-Server,并启动Frida-Server。可以使用以下命令来启动Frida-Server: ``` frida-server -D ``` 3. 接着,你需要使用Frida来注入一个Javascript脚本到App进程中。可以使用以下命令来注入脚本: ``` frida -U -f com.example.app -l script.js --no-pause ``` 其中,com.example.app是要注入的App包名,script.js是要注入的Javascript脚本。 4. 在Javascript脚本中,你可以使用Frida提供的API来检测App进程是否可被frida-dump工具dump内存。例如,你可以使用以下代码来检测是否有进程调用了frida-dump工具: ``` Interceptor.attach(Module.findExportByName("libc.so", "open"), { onEnter: function(args) { var path = Memory.readUtf8String(args[0]); if (path.indexOf("frida-dump") != -1) { console.log("frida-dump detected!"); } } }); ``` 这段代码会在打开文件时被执行,并检测文件名中是否包含“frida-dump”字符串。如果包含,则会输出提示信息。 需要注意的是,Frida可以被用于攻击,因为它可以用于修改应用程序的行为。因此,在开发过程中,开发人员应该采取一些防范措施,例如使用内存加密技术、禁用日志输出等,来保护敏感数据。另外,定期进行安全评估和测试也是必要的,以确保App中不存在安全漏洞。 总之,使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存是一种有效的方法。开发人员可以采取多种防范措施,来保护App的内存数据安全。同时,定期进行安全评估和测试也是必要的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值