frida hook解密auto.js加密后的脚本

最新推荐文章于 2024-06-20 11:39:29 发布
最新推荐文章于 2024-06-20 11:39:29 发布
阅读量2.3k 收藏 11
点赞数 1
分类专栏: frida 文章标签: 反编译
原文链接:https://blog.csdn.net/qq_40780805/article/details/103676237
版权
本文介绍了如何在Windows环境下配置Frida工具,包括安装Python、ADB、Frida及Frida-server,以及如何反编译和分析Android APK中的加密脚本。通过hook目标应用的解密方法,使用Frida编写JavaScript脚本获取解密后的JS代码,最终借助Java解析得到字符串内容。
摘要由CSDN通过智能技术生成

一、环境

windows:

  • python 3.0以上 :这篇博客中并未直接使用到python编程,只是在下载frida-tools时使用到了pip命令,所以若选择下载下面的工具包,就不需要配置python环境
  • adb环境 :电脑连接手机通过命令行进行操作
  • frida命令环境 :命令行执行frida命令
  • dex2jar :将dex文件转换成jar文件
  • jd-gui :将jar文件进行反编译,得到java源码文件

安卓手机:

  • root
  • frida-server服务器

工具包(frida-tools、adb、dex2jar 、jd-gui):

二、步骤

1、windows安装python环境(3.0以上,自行百度)

2、windows安装adb环境(自行百度)

3、电脑端配置frida-tools命令环境

  • 3.1 cmd中使用python命令’pip’安装frida和frida-tools
<span style="color:#000000"><code class="language-cmd">> pip install frida
> pip install frida-tools
</code></span>
  •  

pip install frida-tools

  • 3.2 可通过执行命令来查看是否安装成功
<span style="color:#000000"><code class="language-cmd">frida --version
</code></span>
  • 1

frida --version

4、安卓端配置frida-server运行环境

  • 4.1 adb连接手机(这里采用有线连接,需要手机usb连接电脑,并开启开发者选项中的允许usb调试),cmd中输入命令(注意cmd工作目录):
<span style="color:#000000"><code class="language-cmd">adb tcpip 5555
</code></span>
  • 1

在这里插入图片描述

  • 4.2 根据自己的cpu版本下载frida服务端并解压(一般下载arm就可以了,我红米note7下载的是arm64)
    可以使用adb命令查看cpu版本(AArch64下载arm64就好):
<span style="color:#000000"><code class="language-cmd">adb shell cat /proc/cpuinfo
</code></span>
  • 1

在这里插入图片描述
下载链接:https://github.com/frida/frida/releases
frida-server
frida-server

  • 4.3 依次执行以下命令将frida-server推送到手机中
<span style="color:#000000"><code class="language-cmd">> adb root
> adb push frida-server /data/local/tmp/frida-server
> adb shell "chmod 755 /data/local/tmp/frida-server"
</code></span>
  •  

5、反编译分析目标脚本app,定位解密方法位置

  • 5.1 将apk文件压缩为rar文件,双击打开压缩文件,再双击打开里面的apk文件
    在这里插入图片描述
    在这里插入图片描述
  • 5.2 打开assets/project/,以下main.js等就是我们需要的脚本,但此时得到的js文件打开后是乱码,是经过加密的
    在这里插入图片描述
    在这里插入图片描述
  • 5.3 我们不采用直接解密main.js文件的方法,而是hook的方式,所以我们需要回到上一步(根目录)中,得到classes.dex文件
  • 5.4 cmd使用dex2jar将classes.dex文件转变为classes-dex2jar.jar文件(注意使用d2j-dex2jar.bat命令时的工作目录,否则会出现“d2j-dex2jar.bat不是内部或外部命令”)
<span style="color:#000000"><code class="language-cmd">d2j-dex2jar.bat classes.dex
</code></span>
  • 1

在这里插入图片描述

  • 5.5 使用jd-gui打开jar文件,反编译其中的class文件,得到java文件
    在这里插入图片描述
  • 5.6 找到和解密有关的关键词decrypt所在位置
    在这里插入图片描述
  • 5.7 确定decrypt是解密脚本文件的方法,记录下方法的全路径(com.stardust.autojs.engine.encryption.ScriptEncryption.decrypt)
  • 注:可以看到上面decrypt方法中返回值其实调用了另一个类中的decrypt方法,我们也可以点进去然后使用该方法的全路径,最终效果是一样的。

6、编写frida hook脚本以获得解密后的auto.js脚本文件

  • 6.1 根据上面得到的解密方法全路径(com.stardust.autojs.engine.encryption.ScriptEncryption.decrypt)编写frida hook脚本,下面代码保存为decrypt.js文件
<span style="color:#000000"><code class="language-javascript"><span style="color:#c678dd">if</span><span style="color:#999999">(</span>Java<span style="color:#999999">.</span>available<span style="color:#999999">)</span><span style="color:#999999">{</span>
    Java<span style="color:#999999">.</span><span style="color:#61aeee">perform</span><span style="color:#999999">(</span><span style="color:#c678dd">function</span><span style="color:#999999">(</span><span style="color:#999999">)</span><span style="color:#999999">{</span>
		<span style="color:#c678dd">function</span> <span style="color:#61aeee">bytesToString</span><span style="color:#999999">(</span>bytes<span style="color:#999999">)</span><span style="color:#999999">{</span>
			<span style="color:#c678dd">var</span> str<span style="color:#669900">=</span><span style="color:#669900">"{"</span><span style="color:#999999">;</span>
			<span style="color:#c678dd">for</span><span style="color:#999999">(</span><span style="color:#c678dd">var</span> i <span style="color:#669900">=</span> <span style="color:#98c379">0</span><span style="color:#999999">;</span> i <span style="color:#669900"><</span> bytes<span style="color:#999999">.</span>length<span style="color:#999999">;</span> i<span style="color:#669900">++</span><span style="color:#999999">)</span> <span style="color:#999999">{</span>
				str <span style="color:#669900">+=</span>bytes<span style="color:#999999">[</span>i<span style="color:#999999">]</span><span style="color:#669900">+</span><span style="color:#669900">","</span>  
			<span style="color:#999999">}</span> 
			<span style="color:#c678dd">return</span> str<span style="color:#669900">+</span><span style="color:#669900">"0}"</span><span style="color:#999999">;</span>
		<span style="color:#999999">}</span>
		<span style="color:#c678dd">var</span> scriptEncryption<span style="color:#669900">=</span> Java<span style="color:#999999">.</span><span style="color:#61aeee">use</span><span style="color:#999999">(</span><span style="color:#669900">"com.stardust.autojs.engine.encryption.ScriptEncryption"</span><span style="color:#999999">)</span><span style="color:#999999">;</span>
        scriptEncryption<span style="color:#999999">.</span>decrypt<span style="color:#999999">.</span><span style="color:#61aeee">overload</span><span style="color:#999999">(</span><span style="color:#669900">'[B'</span><span style="color:#999999">,</span><span style="color:#669900">"int"</span><span style="color:#999999">,</span><span style="color:#669900">"int"</span><span style="color:#999999">)</span><span style="color:#999999">.</span><span style="color:#61aeee">implementation</span><span style="color:#669900">=</span><span style="color:#c678dd">function</span><span style="color:#999999">(</span>paramArrayOfByte<span style="color:#999999">,</span>paramInt1<span style="color:#999999">,</span>paramInt2<span style="color:#999999">)</span><span style="color:#999999">{</span>
			<span style="color:#c678dd">var</span> bytes<span style="color:#669900">=</span><span style="color:#c678dd">this</span><span style="color:#999999">.</span><span style="color:#61aeee">decrypt</span><span style="color:#999999">(</span>paramArrayOfByte<span style="color:#999999">,</span>paramInt1<span style="color:#999999">,</span>paramInt2<span style="color:#999999">)</span><span style="color:#999999">;</span>
			<span style="color:#5c6370">//最终得到的结果是一个十进制的byte数组</span>
            console<span style="color:#999999">.</span><span style="color:#61aeee">log</span><span style="color:#999999">(</span><span style="color:#669900">"bytes is:"</span><span style="color:#669900">+</span><span style="color:#61aeee">bytesToString</span><span style="color:#999999">(</span>bytes<span style="color:#999999">)</span><span style="color:#999999">)</span><span style="color:#999999">;</span>
			<span style="color:#c678dd">return</span> bytes
        <span style="color:#999999">}</span>
    <span style="color:#999999">}</span><span style="color:#999999">)</span><span style="color:#999999">;</span>
<span style="color:#999999">}</span>
</code></span>
  •  
  • 6.2 cmd启动手机端的frida-server服务器,开启成功后会一直处于等待状态(停止为Ctrl+c
<span style="color:#000000"><code class="language-cmd">adb shell '/data/local/tmp/frida-server'
</code></span>
  • 1

若之前的adb root失败,则这里需要修改为

<span style="color:#000000"><code class="language-cmd">adb shell 'su -c /data/local/tmp/frida-server'
</code></span>
  • 1

在这里插入图片描述

  • 6.3 手机端运行目标脚本app
  • 6.4 在frida所在目录中启动一个新的cmd窗口,注入编写好的decrypt.js脚本(com.nys.fridatest是目标脚本app的包名,可用auto.js悬浮窗分析得到)
<span style="color:#000000"><code class="language-cmd">frida -U -l decrypt.js com.nys.fridatest --no-pause
</code></span>
  • 1

在这里插入图片描述

  • 6.5 手机端退出app后再重新启动,即可查看到目标app解密后的js脚本文件(十进制byte数组)
    在这里插入图片描述
    将byte数组转为utf-8的String方法就很多了,才疏学浅没能用js搞定这个问题,所以使用java解析后的结果:
<span style="color:#000000"><code class="language-java"><span style="color:#c678dd">public</span> <span style="color:#c678dd">class</span> Bytes2String <span style="color:#999999">{</span>
	<span style="color:#c678dd">public</span> <span style="color:#c678dd">static</span> <span style="color:#c678dd">void</span> <span style="color:#61aeee">main</span><span style="color:#999999">(</span>String<span style="color:#999999">[</span><span style="color:#999999">]</span> args<span style="color:#999999">)</span> <span style="color:#c678dd">throws</span> UnsupportedEncodingException <span style="color:#999999">{</span>
		<span style="color:#c678dd">byte</span><span style="color:#999999">[</span><span style="color:#999999">]</span> b <span style="color:#669900">=</span> <span style="color:#999999">{</span> <span style="color:#98c379">34</span><span style="color:#999999">,</span> <span style="color:#98c379">117</span><span style="color:#999999">,</span> <span style="color:#98c379">105</span><span style="color:#999999">,</span> <span style="color:#98c379">34</span><span style="color:#999999">,</span> <span style="color:#98c379">59</span><span style="color:#999999">,</span> <span style="color:#98c379">13</span><span style="color:#999999">,</span> <span style="color:#98c379">10</span><span style="color:#999999">,</span> <span style="color:#98c379">118.</span><span style="color:#999999">.</span><span style="color:#999999">.</span><span style="color:#999999">}</span><span style="color:#999999">;</span>
		System<span style="color:#999999">.</span>out<span style="color:#999999">.</span><span style="color:#61aeee">println</span><span style="color:#999999">(</span><span style="color:#999999">(</span><span style="color:#c678dd">new</span> String<span style="color:#999999">(</span>b<span style="color:#999999">,</span> <span style="color:#669900">"utf-8"</span><span style="color:#999999">)</span><span style="color:#999999">)</span><span style="color:#999999">.</span><span style="color:#61aeee">toString</span><span style="color:#999999">(</span><span style="color:#999999">)</span><span style="color:#999999">)</span><span style="color:#999999">;</span>
	<span style="color:#999999">}</span>
<span style="color:#999999">}</span>
</code></span>
  •  

在这里插入图片描述

lyb269
关注
专栏目录
frida加密参数通杀hook代码(免脱壳)
云霄IT的博客
06-20 2565
【代码】frida加密参数通杀hook代码(免脱壳)
Android逆向之旅---破解某应用加密算法(动态调试so和frida hook so代码)
尼古拉斯.赵四的博客
04-19 9409
一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ​ 这个应用不知道干嘛的,但是他的防护做的还挺厉害的,之前我们介绍过小黄车应用内部也用了这...
autojs(android)脚本解密,autojs脚本教程解密工具app
weixin_42635064的博客
05-31 2068
上述功能,不论用VC、Delphi、VB,还是PB等任何一种高级编程语言都是比较容易实现的修改IPcmd /c netsh interface ip set address name=" 本地连接" source=static addr=211.82.56.253 mask=255.255.255.0 gateway=211.82.56.1 gwmetric=1修改DNScmd /c netsh ...
Frida Hook Java层的加密算法 通杀自吐脚本
杰孑的博客
04-07 1679
1.找到App软件的包名,填入程序中启动 2.找到需要hook的位置运行程序 3.分析打印结果(输出较多,一般直接搜索加密生成的值)
Android Spider Frida - App逆向 JavaScript代码注入 基本语法以及数据类型介绍_frida js
最新发布
2401_84166258的博客
06-20 496
Frida可以通过将JavaScript 脚本插入到APP的内存中来对APP的逻辑进行跟踪和监视乃至修改原程序的逻辑,实现逆向开发和分析人员想要实现的功能称之为HOOK(钩子 即通过钩子机制与钩子函数建立联系);提示:以下是本篇文章正文内容,下面案例可供参考重载(overloading) 是在一个类里面,方法名字相同,而参数不同,返回类型可以相同也可以不同;每个重载的方法(或者构造函数)都必须有一个独一无二的参数类型列表,根据参数类型以及参数的数量调用不同的同名函数(function);
【保姆级教学】某金融app FRIDA hook解密算法+jsrpc=乱杀
Adminxe的博客
03-16 3761
注意:抓取https的包需要安装证书,需要注意的是,安卓7.0以下,系统信任用户安装的证书,而安卓7.0以上,系统不会信任用户安装的证书,导致无法抓取https的包,建议使用magisk+Move Certificates将证书移动到系统路径下。通过抓包,发现请求包和返回包都被加密了,但是通过观察多个请求包会发现请求体的内容都是以“#01开头”,而这正是突破口,我们可以通过反编译代码,全局搜索“#01”,来寻找加密的地方。加固的话,也是有对策的,可以使用脱壳机脱壳,使用hluda绕过frida检测。
获取指定时间点的微信电脑版本地文件夹保存的图片
yyxgs的博客
11-17 512
保存图片的文件夹: 这个目录就是保存图片的,打开后发现很多,但是并不是图片格式,而且我想要17号的,而文件夹放了整个11月的,所以我想要今天下午以后的: String dir = "...\\2020-11\\" // 目录路径 TimeStr ts = null; StringBuffer oldPath = null; StringBuffer newPath = null; int number = 0; ArrayList<StringBuffer> list = File
frida-js:一些适用于fridajs脚本
05-13
frida的一些有用的hook脚本和文档 参考 说明: 排名不分先后
Frida hook.js 通用加密解密脚本
12-15
Frida hook.js 通用加密解密脚本
frida hook java 函数_使用 FridaHook Java 类中的构造函数(构造函数带重载),获取解密后的js脚本...
weixin_34517745的博客
02-16 919
一个APP使用了Auto.js加密脚本。我们的任务是将其加密脚本进行解密并dump出来。在 https://www.52pojie.cn/thread-1112407-1-1.html 一文中,介绍了 Auto.js 脚本解密的过程,并使用了 Xposed 对解密后的脚本进行了提取。但当前所使用的手机并没有 Xposed , 只好通过 Frida 来自力更生进行提取。话不多说,通过 jadx...
Frida Hook 常用函数、java 层 hook、so 层 hook、RPC、群控
墨鱼菜鸡
07-11 4097
From:Frida hook 常用函数分享:https://www.52pojie.cn/thread-1196917-1-1.html From:Frida Hook Android 常用方法:https://blog.csdn.net/zhy025907/article/details/89512096 Frida 使用:https://z...
AutoJs解密工具
10-27
用于解密js文件
FridaHook:记录学习Frida Hook时的知识点和小脚本
04-13
FridaHook 记录学习Frida Hook时的知识点和小脚本 参考 学习Frida首推这个项目 Frida脱壳推荐这个项目 ADB调试命令相关必推荐 编写hook脚本练习 实战 Brida插件加解密实战
Auto.js 压缩 解压 加密文件
qq_25226575的博客
11-15 1582
log("加密="+加密()) log("解密="+解压()) function 加密() { try { let dir = '/sdcard/脚本/模块/'; // 2.加密压缩文件夹 let encryptedZipFile = '/sdcard/项目.zip'; $files.remove(encryptedZipFile); $zip.zipDir(dir, encryptedZipFile, {
frida hook解密函数
问题很多的小明
11-02 3163
0x01 定位关键函数 取消勾选反混淆,否则影响关键函数定位 尝试搜索AES,DES,RSA,加密,encode,decode等关键字,也可以仔细跟进http等请求发起过程定位加解密函数 分析实现加密解密的函数: 加密函数:传入了公钥以及需要加密的字节数组 解密函数:传入了私钥以及需要解密的字节数组 0x02 编写hook.js function main() { if (Java.available) { console.log("********
分享一个破解js加密的方法
mxd01848的博客
10-08 5783
分享一个破解js加密的方法
记一次重大突破 - 破解js参数加密
老鹰的博客
09-15 441
前言 前几天应公司要求,需要爬取平安好医生APP,发现数据存在sign签名算法加密,如下图 本来想通过js逆向解析分析出 ‘_sig=’ 出来,通过 F12 开发者工具发现其生成方法如下 只知道用md5加密,但具体加密参数缺用 c、g、m这样的参数给掩盖掉了,通过关键词搜索等于大海捞针,js看着也头大,随即就放弃用seleium自动化抓取。 但后几...
autojs的AES和RSA加解密。全方位保护您的源码
九黎AJ的博客
07-05 2553
QQ群698307198欢迎加入,和各位大神一同交流 正文部分 //来源于QQ群698307198群友 let message = "未加密字符串"; log("明文: ", message); // 密钥,由于AES等算法要求是16位的倍数,我们这里用一个16位的密钥 let key = new $crypto.Key("password12345678"); log("密钥: ", key); // AES加密 let aes = $crypto.encrypt(message, key, "AES.
Frida frida-agent.js如何写
06-09
Frida Agent是一个用于在安卓App中注入Frida的JavaScript脚本。它的作用是启动Frida Agent进程并与Frida Server进行通信。 以下是一个简单的frida-agent.js脚本示例: ```js Java.perform(function () { console.log("Agent start..."); // 注入成功后会执行此函数 var MainActivity = Java.use("com.example.app.MainActivity"); MainActivity.onCreate.implementation = function (savedInstanceState) { console.log("onCreate called."); this.onCreate(savedInstanceState); }; }); ``` 这个脚本的作用是在注入到com.example.app.MainActivity类时,将其onCreate方法进行hook,并在方法被调用时打印一条日志。 在这个脚本中,我们使用了Java.perform函数来获取应用程序中的Java类。然后,我们使用Java.use函数来获取com.example.app.MainActivity类并hook它的onCreate方法。最后,我们在方法被调用时使用console.log函数来打印一条日志。 需要注意的是,frida-agent.js脚本的编写需要具备一定的JavaScript和Java语言基础,同时也需要对Frida的API有一定的了解。Frida提供了丰富的API来操作应用程序,包括Java、Objective-C和JavaScript等语言,可以根据不同的需求选择不同的API进行使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值