frida dump android手机内存数据工具

本文记录了在分析加密SO文件时遇到的问题,传统IDA dump方法由于文件不完整,导致无法静态分析。作者转向使用frida_dump工具,通过Python脚本成功dump并修复了SO文件,提高了分析效率。frida_dump的使用过程包括调用dump_so.py脚本和frida脚本dump_dex.js,最终生成可供ida分析的完整SO文件。
摘要由CSDN通过智能技术生成

为什么写这篇笔记

最近在学习分析so的使用,发现目标的so文件是进行过处理的,直接打开so文件里面什么都看不到,基本的so文件都缺少了好几块文件,最主要的是字符串是动态加密的,用到时解密,使用完成后就销毁。为了获取能静态分析的so文件(在ida上能大致看一些伪代码),就需要将手机内存中的so文件进行dump下来。

使用ida进行dump

刚开始的时候尝试使用ida脚本进行dump,但是dump出来的so文件还是不全,可能是没有进行修复的原因,分析的过程中非常难受,基本上都是在使用ida动态调试的过程中去看,这样效率太低,使用frida去hook想验证的函数时,又需要进行绝对地址和相对地址的计算,并且so调试过程中经常崩溃。当然,使用ida进行dump是一种方式,只是我不懂修复dump出来的so文件。

python脚本

ida脚本

使用frida_dump进行dump so文件

后面实在分析不出下去了,问导师dump的脚本,我本意是ida的dump脚本是怎么写的,导师说他用frida_dump,挖槽,原来导师没有遇到问题不是使用ida进行dump啊,于是导师给我发了frida_dump的git地址,我使用该工具dump出来的文件确实是比我使用ida弄出来的文件大了不少。

如何使用frida_dump作者写的很清楚,我在这贴一下相关的文档。

1. dump android module
usage:
​ python dump_so.py

​ python dump_so.py so_name

➜  frida_dump git:(master) ✗ python dump_so.py libc.so              
{'name': 'libc.so', 'base': '0xf2282000', 'size': 819200, 'path': '/apex/com.android.runtime/lib/bionic/libc.so'}
android/SoFixer32: 1 file pushed. 5.9 MB/s (91848 bytes in 0.015s)
libc.so.dump.so: 1 file pushed. 21.4 MB/s (819200 bytes in 0.036s)
adb shell /data/local/tmp/SoFixer -m 0xf2282000 -s /data/local/tmp/libc.so.dump.so -o /data/local/tmp/libc.so.dump.so.fix.so
[main_loop:87]start to rebuild elf file
[Load:69]dynamic segment have been found in loadable segment, argument baseso will be ignored.
[RebuildPhdr:25]=============LoadDynamicSectionFromBaseSource==========RebuildPhdr=========================
[RebuildPhdr:37]=====================RebuildPhdr End======================
[ReadSoInfo:549]=======================ReadSoInfo=========================
[ReadSoInfo:696]soname 
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffb arg 0x00000001
[ReadSoInfo:599] rel (DT_REL) found at 15f20
[ReadSoInfo:603] rel_size (DT_RELSZ) 1703
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffa arg 0x000005f5
[ReadSoInfo:591] plt_rel (DT_JMPREL) found at 19458
[ReadSoInfo:595] plt_rel_count (DT_PLTRELSZ) 617
[ReadSoInfo:584]symbol table found at 32ac
[ReadSoInfo:580]string table found at 10e58
[ReadSoInfo:699]Unused DT entry: type 0x6ffffef5 arg 0x0000a98c
[ReadSoInfo:629] constructors (DT_INIT_ARRAY) found at b5954
[ReadSoInfo:633] constructors (DT_INIT_ARRAYSZ) 4
[ReadSoInfo:637] destructors (DT_FINI_ARRAY) found at b3000
[ReadSoInfo:641] destructors (DT_FINI_ARRAYSZ) 2
[ReadSoInfo:699]Unused DT entry: type 0x6ffffff0 arg 0x00009b4c
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffc arg 0x0000a860
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffd arg 0x00000009
[ReadSoInfo:699]Unused DT entry: type 0x6ffffffe arg 0x0000a95c
[ReadSoInfo:699]Unused DT entry: type 0x6fffffff arg 0x00000001
[ReadSoInfo:703]=======================ReadSoInfo End=========================
[RebuildShdr:42]=======================RebuildShdr=========================
[RebuildShdr:536]=====================RebuildShdr End======================
[RebuildRelocs:783]=======================RebuildRelocs=========================
[RebuildRelocs:809]=======================RebuildRelocs End=======================
[RebuildFin:709]=======================try to finish file rebuild =========================
[RebuildFin:733]=======================End=========================
[main:123]Done!!!
/data/local/tmp/libc.so.dump.so.fix.so: 1 file pulled. 29.0 MB/s (819882 bytes in 0.027s)
libc.so_0xf2282000_819200_fix.so
2. dump android dex
frida -U --no-pause -f packagename  -l dump_dex.js
     ____
    / _  |   Frida 12.4.8 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at http://www.frida.re/docs/home/
Spawned `packagename`. Resuming main thread!
[Google Pixel XL::packagename]-> [dlopen:] libart.so
_ZN3art11ClassLinker11DefineClassEPNS_6ThreadEPKcmNS_6HandleINS_6mirror11ClassLoaderEEERKNS_7DexFileERKNS9_8ClassDefE 0x7ac6dc4f74
[DefineClass:] 0x7ac6dc4f74
[dump dex]: /data/data/packagename/files/7aab800000_8341c4.dex
Thanks
要使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存,可以按照以下步骤进行操作: 1. 首先,你需要下载并安装Frida工具,并打开它。 2. 然后,你需要在Android设备上安装Frida-Server,并启动Frida-Server。可以使用以下命令来启动Frida-Server: ``` frida-server -D ``` 3. 接着,你需要使用Frida来注入一个Javascript脚本到App进程中。可以使用以下命令来注入脚本: ``` frida -U -f com.example.app -l script.js --no-pause ``` 其中,com.example.app是要注入的App包名,script.js是要注入的Javascript脚本。 4. 在Javascript脚本中,你可以使用Frida提供的API来检测App进程是否可被frida-dump工具dump内存。例如,你可以使用以下代码来检测是否有进程调用了frida-dump工具: ``` Interceptor.attach(Module.findExportByName("libc.so", "open"), { onEnter: function(args) { var path = Memory.readUtf8String(args[0]); if (path.indexOf("frida-dump") != -1) { console.log("frida-dump detected!"); } } }); ``` 这段代码会在打开文件时被执行,并检测文件名中是否包含“frida-dump”字符串。如果包含,则会输出提示信息。 需要注意的是,Frida可以被用于攻击,因为它可以用于修改应用程序的行为。因此,在开发过程中,开发人员应该采取一些防范措施,例如使用内存加密技术、禁用日志输出等,来保护敏感数据。另外,定期进行安全评估和测试也是必要的,以确保App中不存在安全漏洞。 总之,使用Frida来检测App进程在运行时,可使用frida-dump工具dump内存是一种有效的方法。开发人员可以采取多种防范措施,来保护App的内存数据安全。同时,定期进行安全评估和测试也是必要的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值