Frida使用NativeFunction主动调用so中的函数

最新推荐文章于 2024-05-19 17:33:36 发布
最新推荐文章于 2024-05-19 17:33:36 发布
阅读量2.7k 收藏 5
点赞数 2
分类专栏: frida脚本 frida 安卓逆向 文章标签: webview java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/someby/article/details/124939257
版权 
function printJavaStack(name) {
    Java.perform(function () {
        var Exception = Java.use("java.lang.Exception");
        var ins = Exception.$new("Exception");
        var straces = ins.getStackTrace();
        if (straces != undefined && straces != null) {
            var strace = straces.toString();
            var replaceStr = strace.replace(/,/g, " \n ");
            LogPrint("=============================" + name + " Stack strat=======================");
            LogPrint(replaceStr);
            LogPrint("=============================" + name + " Stack end======================= \n ");
            Exception.$dispose();
        }
    });
}

function LogPrint(log) {
    var theDate = new Date();
    var hour = theDate.getHours();
    var minute = theDate.getMinutes();
    var second = theDate.getSeconds();
    var mSecond = theDate.getMilliseconds();

    hour < 10 ? hour = "0" + hour : hour;
    minute < 10 ? minute = "0" + minute : minute;
    second < 10 ? second = "0" + second : second;
    mSecond < 10 ? mSecond = "00" + mSecond : mSecond < 100 ? mSecond = "0" + mSecond : mSecond;

    var time = hour + ":" + minute + ":" + second + ":" + mSecond;
    var threadid = Process.getCurrentThreadId();
    console.log("[" + time + "]" + "->threadid:" + threadid + "--" + log);

}

function hookCipher() {
    if (Java.available) {
        Java.perform(function () {
                Java.use('javax.crypto.Cipher').getInstance.overload('java.lang.String').implementation = function (arg0) {
                    console.log('javax.crypto.Cipher.getInstance is called!', arg0);

                    if (arg0.indexOf("") != -1) {
                        printJavaStack("Cipher.getInstance() is called");
                    }
                    var result = this.getInstance(arg0);
                    return result;
                };
                //.init(Cipher.ENCRYPT_MODE, getRawKey(key), iv);
                Java.use('javax.crypto.Cipher').init.overload('int', 'java.security.Key', 'java.security.spec.AlgorithmParameterSpec').implementation = function (arg0, arg1, arg2) {
                    //console.log('javax.crypto.Cipher.init is called!', arg0, arg1, arg2);
                    var mode = arg0;
                    var key = arg1;
                    var iv = arg2;
                    var KeyClass = Java.use('java.security.Key');

                    var keyobj = Java.cast(key, KeyClass);
                    var key_bytes = keyobj.getEncoded();
                    var StringClass = Java.use("java.lang.String");
                    var key_string = StringClass.$new(key_bytes);
                    console.log("key:", key_string);
                    var IVClass = Java.use('javax.crypto.spec.IvParameterSpec');
                    var ivobj = Java.cast(iv, IVClass);
                    var iv_bytes = ivobj.getIV();
                    var iv_string = StringClass.$new(iv_bytes);
                    console.log("iv:", iv_string);
                    console.log('javax.crypto.Cipher.init is called!', mode, JSON.stringify(key_bytes), JSON.stringify(iv_bytes));
                    var result = this.init(arg0, arg1, arg2);
                    return result;
                };
                Java.use('javax.crypto.Cipher').doFinal.overload('[B').implementation = function (arg0) {
                    console.log('javax.crypto.Cipher.doFinal is called!', JSON.stringify(arg0));
                    var data = arg0;
                    var StringClass = Java.use("java.lang.String");
                    var data_string = StringClass.$new(data);
                    console.log("data:", data_string);
                    var result = this.doFinal(arg0);
                    console.log('javax.crypto.Cipher.doFinal is called!', JSON.stringify(data));
                    console.log('\n ----------------\n ', "encrypt:", JSON.stringify(result), '\n ----------------\n ');
                    return result;
                };
                //doFinal
            }
        )
    }
}

var sub_9744=null;
function hookso() {
    var nativelibmodul = Process.getModuleByName("libnative-lib.so");
    var sub_9744_addr = nativelibmodul.base.add(0x9745);
    console.log("sub_9744:",sub_9744_addr);
    sub_9744=new NativeFunction(sub_9744_addr, 'pointer', ['pointer','pointer','pointer']);
    Interceptor.attach(sub_9744_addr, {
        onEnter: function (args) {
            console.log("sub_9744_addr arg0:", hexdump(args[0]));
            console.log("sub_9744_addr arg1:", hexdump(args[1]));
            console.log("sub_9744_addr arg2:", hexdump(args[2]));

        }, onLeave: function (retval) {
            console.log("sub_9744_addr retval:", hexdump(ptr(retval)));
        }
    })
}
function activecallsub_9744() {

    var arg0=Memory.alloc(21);
    ptr(arg0).writeUtf8String('qazwsxedcrfvtgbyhnujm');
    var arg1=Memory.alloc(21);
    ptr(arg1).writeUtf8String('0123456789abcdef');
    var arg2=Memory.alloc(21);
    ptr(arg2).writeUtf8String('0123456789abcdef');
    var retval=sub_9744(arg0,arg1,arg2);
    console.log("activecallsub_9744",hexdump(ptr(retval)));

}
function main() {
    if (Java.available) {
        Java.perform(function () {
            Java.use('java.lang.Runtime').loadLibrary0.implementation = function (arg0,arg1) {
                console.log("Runtime.loadLibrary0->", arg1);
                var result = this.loadLibrary0(arg0,arg1);
                if (arg1.indexOf('native-lib') != -1) {
                    hookso();
                }

                return result;


            }

        })
    }
}

setImmediate(main);
function activite_invoke() {
    if (Java.available) {
        Java.perform(function () {
            Java.choose("com.example.demoso1.MainActivity", {
                onMatch: function (instance) {
                    console.log("MainActivity instance!");
                    instance.init();
                }, onComplete: function () {
                    console.log("search MainActivity complete!")
                }
            })

        })
    }
}

function pthread_create_hook() {
    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");
    console.log("pthread_create_addr =>", pthread_create_addr);
    var time_addr = Module.findExportByName("libc.so", "time");
    var pthread_create = new NativePointer(pthread_create_addr, 'int', ['pointer', 'pointer', 'pointer', 'pointer']);
    Interceptor.attach(pthread_create_addr, {
        onEnter: function (args) {
            console.log('pthread_create onEnter =>', args[0], args[1], args[2], args[3]);
            var natvie_lib_addr = Module.findBaseAddress("libnative-lib.so");
            if (natvie_lib_addr != null) {
                console.log("native-lib =>", natvie_lib_addr);
                console.log("loop function offset =>", args[2] - natvie_lib_addr);
                if (args[2] - natvie_lib_addr === 64944) {
                    args[2] = time_addr;
                }

            }
        }, onLeave: function (retvale) {
            console.log("pthread_create onLeave =>", retvale);

        }
    })

}

function pthread_replace() {
    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");
    console.log("pthread_create_addr =>", pthread_create_addr);
    var pthread_create = new NativeFunction(pthread_create_addr, 'int', ['pointer', 'pointer', 'pointer', 'pointer']);
    // Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg0, parg1, parg2, parg3) {
    //     var native_lib_addr = Module.findBaseAddress("libnative-lib.so");
    //     if (native_lib_addr != null) {
    //         var addrss = parg2 - native_lib_addr;
    //         if (addrss ==64900) {
    //             return null;
    //         }
    //     }
    //     return pthread_create(parg0, parg1, parg2, parg3)
    Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg1, parg2, parg3, parg4) {
        console.log(parg1, parg2, parg3, parg4)
        var libnativebaseaddress = Module.findBaseAddress("libnative-lib.so")
        if (libnativebaseaddress != null) {
            console.log("libnativebaseaddress=>", libnativebaseaddress);
            if (parg3 - libnativebaseaddress == 64944) {
                return null;
            }
        }
        return pthread_create(parg1, parg2, parg3, parg4)
    }, "int", ["pointer", "pointer", "pointer", "pointer"]))

}

function replace_pthread() {
    var pthread_create_addr = Module.findExportByName("libc.so", "pthread_create");
    console.log("pthread_create_addr=>", pthread_create_addr)
    var pthread_create = new NativeFunction(pthread_create_addr, "int", ["pointer", "pointer", "pointer", "pointer"])
    Interceptor.replace(pthread_create_addr, new NativeCallback(function (parg1, parg2, parg3, parg4) {
        console.log(parg1, parg2, parg3, parg4)
        var libnativebaseaddress = Module.findBaseAddress("libnative-lib.so")
        if (libnativebaseaddress != null) {
            console.log("libnativebaseaddress=>", libnativebaseaddress);
            if (parg3 - libnativebaseaddress == 64944) {
                return 0;
            }
        }
        return pthread_create(parg1, parg2, parg3, parg4)
    }, "int", ["pointer", "pointer", "pointer", "pointer"]))
}

function write_something(path, content) {
    var fopen_addr = Module.findExportByName('libc.so', 'fopen');
    var fputs_addr = Module.findExportByName('libc.so', 'fputs');
    var fclose_addr = Module.findExportByName('libc.so', 'fclose');

    console.log('fopen_addr=>', fopen_addr, 'fputs_addr=>', fputs_addr, 'fclose_addr=>', fclose_addr)

    var fopen = new NativeFunction(fopen_addr, 'pointer', ['pointer', 'pointer'])
    var fputs = new NativeFunction(fputs_addr, 'int', ['pointer', 'pointer'])
    var fclose = new NativeFunction(fclose_addr, 'int', ['pointer'])

    var file_name = Memory.allocUtf8String(path)
    var mode = Memory.allocUtf8String('a+')

    var fp = fopen(file_name, mode)
    var content = Memory.allocUtf8String(content)
    fputs(content, fp)
    fclose(fp)
}

function enumerate_all_exports() {

    var modules = Process.enumerateModules()
    for (var i = 0; i < modules.length; i++) {
        var module = modules[i];
        var module_name = module.name
        var exports = module.enumerateExports()
        // console.log('module.name=>', module_name, "module.enumerateExports=>", JSON.stringify(exports))
        for (var m = 0; m < exports.length; m++) {
            // console.log('m=>', m)
            write_something('/sdcard/data/' + module_name + '.txt', 'type:' + exports[m].type + ' name:' + exports[m].name + '\n')
        }
    }

}

function main() {
    // pthread_create_hook()
    // pthread_replace();
    // replace_pthread();
    // write_something()
    enumerate_all_exports()

}


setImmediate(main)





function EnumerateAllExports(){
    var modules = Process.enumerateModules();
    //console.log("Process.enumerateModules => ",JSON.stringify(modules))
    for(var i=0;i<modules.length;i++){
        var module = modules[i];
        var module_name = modules[i].name;
        var exports = module.enumerateExports();
        console.log("module_name=>",module_name,"  module.enumerateExports = > ",JSON.stringify(exports))
    }
}

function hook_JNI(){

    var GetStringUTFChars_addr = null;
    var symbols = Process.findModuleByName("libart.so").enumerateSymbols()
    //console.log(JSON.stringify(symbols))
    for(var i = 0;i<symbols.length;i++){
        var symbol = symbols[i].name;
        if((symbol.indexOf("CheckJNI")==-1)&&(symbol.indexOf("JNI")>=0)){
            if(symbol.indexOf("GetStringUTFChars")>=0){
                console.log("finally found GetStringUTFChars name :",symbol);
                GetStringUTFChars_addr =symbols[i].address ;
                console.log("finally found GetStringUTFChars address :",GetStringUTFChars_addr);
            }
        }
    }
    Interceptor.attach(GetStringUTFChars_addr,{
        onEnter:function(args){
            console.log("art::JNI::GetStringUTFChars(_JNIEnv*, _jstring*, unsigned char*)=>",args[0],Java.vm.getEnv().getStringUtfChars( args[1],null).readCString(),args[2]);
            // console.log('CCCryptorCreate called from:\n' +
            // Thread.backtrace(this.context, Backtracer.ACCURATE)
            // .map(DebugSymbol.fromAddress).join('\n') + '\n');
        },onLeave:function(retval){
            console.log("retval is => ",retval.readCString());
        }
    })
}

function replace_JNI(){
    var NewStringUTF_addr = null;
    var symbols = Process.findModuleByName("libart.so").enumerateSymbols()
    //console.log(JSON.stringify(symbols))
    for(var i = 0;i<symbols.length;i++){
        var symbol = symbols[i].name;
        if((symbol.indexOf("CheckJNI")==-1)&&(symbol.indexOf("JNI")>=0)){
            if(symbol.indexOf("NewStringUTF")>=0){
                console.log("finally found NewStringUTF_name :",symbol);
                NewStringUTF_addr =symbols[i].address ;
                console.log("finally found NewStringUTF_addr :",NewStringUTF_addr);
            }
        }
    }
    var NewStringUTF = new NativeFunction(NewStringUTF_addr,"pointer",["pointer","pointer"])
    Interceptor.replace(NewStringUTF_addr,
        new NativeCallback(function(parg1,parg2){
            console.log("parg1,parg2=>",parg1,parg2.readCString());
            // console.log('CCCryptorCreate called from:\n' +
            //  Thread.backtrace(this.context, Backtracer.ACCURATE)
            //  .map(DebugSymbol.fromAddress).join('\n') + '\n');
            var newPARG2 = Memory.allocUtf8String("newPARG2")
            var result = NewStringUTF(parg1,newPARG2);
            return result;
        },"pointer",
        ["pointer","pointer"]))
}

function hook_RegisterNatives(){
    var RegisterNatives_addr = null;
    var symbols = Process.findModuleByName("libart.so").enumerateSymbols()
    //console.log(JSON.stringify(symbols))
    for(var i = 0;i<symbols.length;i++){
        var symbol = symbols[i].name;
        if((symbol.indexOf("CheckJNI")==-1)&&(symbol.indexOf("JNI")>=0)){
            if(symbol.indexOf("RegisterNatives")>=0){
                console.log("finally found RegisterNatives_name :",symbol);
                RegisterNatives_addr =symbols[i].address ;
                console.log("finally found RegisterNatives_addr :",RegisterNatives_addr);
            }
        }
    }

    if(RegisterNatives_addr!=null){
        Interceptor.attach(RegisterNatives_addr,{
            onEnter:function(args){
                console.log("[RegisterNatives]method counts :",args[3]);
                var env = args[0];
                var jclass = args[1];
                var class_name = Java.vm.tryGetEnv().getClassName(jclass);
                var methods_ptr = ptr(args[2]);
                var method_count = parseInt(args[3]);
                for (var i = 0; i < method_count; i++) {
                    var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                    var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                    var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));
                    var name = Memory.readCString(name_ptr);
                    var sig = Memory.readCString(sig_ptr);
                    var find_module = Process.findModuleByAddress(fnPtr_ptr);
                    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));
                }
            },onLeave:function(retval){
            }
        })

    }else{
        console.log("didn`t found RegisterNatives address")
    }

}

setImmediate(hook_RegisterNatives);

zerone-f
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
10、frida主动调用函数
csweldn520的专栏
09-05 261
frida主动调用函数
frida-ex-nativefunction:为您提供功能更加强大的NativeFunction for frida
04-28
星期五的本机功能 该模块为您提供了扩展的NativeFunction类。 它应在frida脚本内使用。 参见例如: 例子 const ExNativeFunction = require('frida-ex-nativefunction') const openAddr = Module.findExportByName('libc.so', 'open') const open = new ExNativeFunction(openAddr, 'int', ['pointer', 'int']) console.log(open.address) // The provided openAddr console.log(open.retType) // The provided return type console.log(open.argTypes) // The provid
frida 主动调用so native实例函数的问题
Pansy的博客
05-17 930
Java.api[类路径](返回值, 对象指针, 参数);
Frida框架 -So-API(常用函数总结)
最新发布
SXXYNHHXX的博客
05-19 427
Hook libart 来Hook jni相关函数。inlineHook与寄存器Hook。frida API 写文件。Hook libc 写文件。so层主动调用任意函数
安卓逆向|菜鸟的FRIDA学习笔记:如何使用FRIDA调用so文件里的函数
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-15 6770
本文致谢本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下(这个男人啥都会,还能陪你在线撩骚)。样本及详细分析思路在某大佬的这篇文章里:https://www.52poji...
frida native使用笔记
weixin_43357549的博客
02-10 2386
安卓逆向 爬虫逆向 frida native使用笔记
基于frida的so函数hook实战
热门推荐
Haward
01-31 1万+
一、环境 win10、python38、frida库、夜神模拟器 (1)安装frida环境 (a)frida python -m pip install frida //运行python38版本 //python -m module_name相当于python /path/to/module.py(当我们知道一个模块的名字,但不知道它的路径时,我们可以通过 -m 参数) 假如以上方法出错,建议本地下载frida包安装 https://pypi.org/project/frida/#files(选择f
Frida实战:JavaNative、SO层面的Hook与主动调用详解
beidideshu的博客
03-06 2919
Frida实战:JavaNative、SO层面的Hook与主动调用详解
frida主动调用
weixin_49908197的博客
08-28 660
强调的是,注意参数类型要一样的,这个新手一定要注意比如传过去的是字符串,你就不要写int类型。{//后面接入包名,-F也可以接入进程 //使用usb设备 -l 注入脚本js了}Java.perform(function () {写在这里面});第二种没有返回值的怎么办,那就用第二种方法,直接把参数写进去。frida -U -F -l 当然后面要写js的文件路径了。启动frida客户端。然后打开手机的app。
frida反射调用对象的方法与字段.pdf
12-09
该篇文章主要介绍当我们碰到参数或者返回值是一个对象时,如何通过frida反射调用该对象的方法(methods)与获取该对象的字段(fields)。感兴趣的朋友可以下载下来看看,了解了解
trace_natives:一个小脚本,用于trace sonative函数调用
03-25
一个IDA小脚本,获取SO代码段所有函数的替换地址,再使用frida-trace批量跟踪so函数调用使用方法 1.将traceNatives.py丢进IDA插件目录 2.IDA,Edit-Plugins-traceNatives IDA输出窗口就会显示如下字眼:...
自用存档 打印frida使用过程出现的复杂类型
02-25
自用存档 打印frida使用过程出现的复杂类型
vc钩子hook 截获exe调用的任何函数.visual c++
02-20
vc钩子hook 截获exe调用的任何函数.api拦截
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用
云霄IT的博客
05-31 1687
【代码】Frida Hook方法大全(普通、重载、构造)
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(三)主动调用静态函数和非静态函数
kfyzjd2008的博客
02-16 2629
本节接上一节课,APP进入第二关。 本节知识点为主动调用静态函数和非静态函数的实现: 观察代码可以发现关键判断点为两个变量的值是否为True,有两个改变值得函数可以调用。 hook代码: function call_FridaActivity2() { //主动调用函数 Java.perform(function () { var FridaActivity2 = Java.use("com.example.androiddemo.Activity.FridaA
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2114
一、简介: 本节为延伸内容, 本节使用APP为攻防世界: APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 so层des算法分析 so层md5算法分析
native方法_使用Frida调用native方法
weixin_39805644的博客
12-05 3138
今天以某个可爱的App为例,使用Frida调用一下这里面的native方法。我们有时候想分析一个App的网络通讯协议时,又不想(主要是懒)从so文件内复原出加密方法,这时候使用Frida调用一下native方法,简单又方便~先看看这个native方法:三百行的伪代码,属实难受,我们使用Frida的rpc调用导出函数的方法搞一下,文档在这:rpc.exports: empty object...
frida hook so层常用的方法
菜鸡小白的成长记录
03-06 4225
在onEnter回调函数,我们使用Module.findExportByName()函数查找了目标进程存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子,我们钩住了名为"decrypt"的解密函数,并从函数参数获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数,我们从函数参数获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程读取了该指针所指向的C风格字符串,并将其打印到控制台上。
frida 主动调用
11-04
Frida是一款功能强大的动态插桩框架,可以用于实时分析、修改和控制Android、iOS和Windows应用程序。它运行在主机上并与目标应用程序进行通信,可以访问和操作应用程序的内部数据和行为。 Frida主动调用是指通过Frida框架的一些API函数,应用程序可以主动调用一些指定的函数或方法。通过主动调用,我们可以在运行时动态修改应用程序的行为,即在代码执行过程注入自己的代码,并对应用程序进行操作。 使用Frida进行主动调用通常需要以下步骤: 1. 在主机上安装Frida,并获取目标应用程序的进程ID或进程名称。 2. 编写一个Frida脚本,通过Frida的API函数创建一个会话,并连接到目标应用程序。 3. 在会话使用Frida的API函数定位到要调用函数或方法,并设置好参数。 4. 使用Frida的API函数发起主动调用,并接收返回结果。 5. 处理返回结果,并根据需要进行进一步操作。 例如,在Android应用程序,我们可以使用FridaJava API函数来定位到某个对象的方法,并通过主动调用来触发该方法的执行。这样可以绕过应用程序的某些限制或修改某些功能的行为。 总的来说,Frida主动调用功能为开发者提供了一种在目标应用程序主动操作和控制的方式,通过注入自己的代码,可以实现一些特定需求或调试目的。无论是动态修改应用程序行为还是进行逆向分析,Frida主动调用功能都是非常有用的工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值