frida hook so层常用的方法

已于 2023-03-07 18:28:26 修改
阅读量3.8k 收藏 22
点赞数 1
分类专栏: 安卓逆向分析 文章标签: javascript 开发语言 python
于 2023-03-06 11:56:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38819889/article/details/129355443
版权

1.toInt32()

toInt32()是Frida中的一个函数,用于将传入的值转换为32位有符号整数。如果无法转换,则返回0。该函数需要传入一个参数,返回要转换的值。

适用于需要对整数数据类型进行转换的场景,如果参数是整数类型,可以使用toInt32()函数将其转换为32位有符号整数。以下是一个示例代码:

Interceptor.attach(Module.findExportByName("libexample.so", "example_func"), {
    onEnter: function(args) {
        // 将第一个参数转换为32位有符号整数
        var intValue = toInt32(args[0]);
        console.log("example_func entered with arg0 = " + intValue);
    },
    onLeave: function(retval) {
        console.log("example_func returned with retval = " + retval);
    }
});

在以上示例代码中,使用Interceptor.attach()函数hook了libexample.so库中的example_func函数,并在onEnter回调函数中获取了第一个参数,并使用toInt32()函数将其转换为32位有符号整数。

需要注意的是,在使用toInt32()函数时需要确保传入的参数是合法的整数类型,并且要避免越界访问。如果传入的参数无法转换为32位有符号整数,则toInt32()函数会返回0。如果需要转换其他类型的数据,可以使用Frida提供的其他类型转换函数。

其他进制和类型的转换,比如:

// 将十六进制字符串转换为32位有符号整数
var intValue = toInt32("0x12345678");
console.log(intValue);

// 将十进制数字转换为32位有符号整数
var intValue = toInt32(12345678);
console.log(intValue);

// 将字符串转换为32位有符号整数
var intValue = toInt32("12345678");
console.log(intValue);

这里分别将十六进制字符串、十进制数字和字符串转换为32位有符号整数,并将其打印出来。

2.readCString()

在Frida的JavaScript API中,readCString()方法是从给定的内存地址开始读取 并以空字符('\0')结尾的C字符串,例如"Hello, World!\0"。并返回javascript字符串。

该方法的实现原理是从目标进程的内存中读取连续的字节,直到读到null字符为止。在Frida层级钩子中经常被使用,用于在目标进程中定位并读取字符串类型的参数、函数返回值、全局变量等。

例子1:

Interceptor.attach(Module.findExportByName("libfoo.so", "some_function"), {
    onEnter: function(args) {
        var strArgPtr = args[0];
        var strArg = Memory.readCString(strArgPtr);
        console.log("String argument: " + strArg);
    }
});

在这个例子中,我们使用Interceptor.attach()函数创建了一个函数钩子,并钩住了名为"some_function"的函数。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。

例子2:读取目标进程中的密码参数

假设目标进程中的某个函数需要用户输入密码作为参数,并且密码是以C风格字符串的形式进行传递的。我们可以使用Frida层级钩子来获取这个密码参数的值。下面是一段示例代码:

Interceptor.attach(Module.findExportByName("libfoo.so", "some_function"), {
    onEnter: function(args) {
        var passwordPtr = args[0];
        var password = Memory.readCString(passwordPtr);
        console.log("Password: " + password);
    }
});

在这个例子中,我们使用Interceptor.attach()函数创建了一个函数钩子,并指定了要钩住的函数名。在onEnter回调函数中,我们从函数参数中获取了一个指向密码字符串的指针,并使用readCString()方法读取了该指针所指向的字符串。最后,我们将读取到的密码打印到控制台上。

例子3:读取目标进程中的全局变量

假设目标进程中有一个全局变量,存储了某个字符串类型的配置信息,我们可以使用Frida层级钩子来读取该全局变量的值。下面是一段示例代码:

Interceptor.attach(Module.findExportByName("libfoo.so", "some_function"), {
    onEnter: function(args) {
        var configAddr = Module.findExportByName("libfoo.so", "config");
        var configValue = Memory.readCString(configAddr);
        console.log("Config value: " + configValue);
    }
});

在这个例子中,我们使用Interceptor.attach()函数创建了一个函数钩子,并指定了要钩住的函数名。在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。最后,我们将读取到的配置信息打印到控制台上。

3.readByteArray()

在Frida层级钩子中,如果我们需要读取目标进程中的二进制数据,可以使用readByteArray()方法。这个方法可以从目标进程中读取一段内存的数据,并将其作为一个字节数组(ByteArray)返回。

readByteArray()方法需要两个参数:内存地址和数据长度。下面是一个例子:

Interceptor.attach(Module.findExportByName("libfoo.so", "some_function"), {
    onEnter: function(args) {
        var bufferAddr = args[0];
        var bufferLength = args[1].toInt32();
        var bufferData = Memory.readByteArray(bufferAddr, bufferLength);
        console.log("Buffer data: " + bufferData);
    }
});

在这个例子中,我们使用Interceptor.attach()函数创建了一个函数钩子,并钩住了名为"some_function"的函数。在onEnter回调函数中,我们从函数参数中获取了一个指向缓冲区的指针,以及缓冲区的长度。

接着,我们使用Memory.readByteArray()方法从目标进程中读取了该指针所指向的内存段,并将其作为一个字节数组返回。最后,我们将字节数组打印到控制台上。

需要注意的是,由于readByteArray()方法返回的是一个字节数组,因此我们需要使用一些方法来将其转换为其他格式,例如字符串或数字。例如,如果我们要将一个字节数组转换为一个字符串,可以使用TextDecoder对象的decode()方法:

var bufferData = Memory.readByteArray(bufferAddr, bufferLength);
var textDecoder = new TextDecoder("utf-8");
var bufferString = textDecoder.decode(bufferData);
console.log("Buffer data as string: " + bufferString);

在这个例子中,我们使用TextDecoder对象的decode()方法将字节数组转换为字符串,并将其打印到控制台上。

其他使用场景举例:

1.拦截xx数据

在某些情况下,我们可能需要从目标进程中获取xxx数据,例如用户的密码、会话令牌等等。如果这些数据存储在内存中,我们可以使用readByteArray()方法来读取它们。例如,我们可以使用Frida层级钩子来拦截应用程序中的登录请求,并从内存中读取用户的密码:

Interceptor.attach(Module.findExportByName("libfoo.so", "login"), {
    onEnter: function(args) {
        var passwordAddr = args[1];
        var passwordLength = args[2].toInt32();
        var passwordData = Memory.readByteArray(passwordAddr, passwordLength);
        console.log("Password: " + passwordData);
    }
});

在这个例子中,我们钩住了名为"login"的函数,并从函数参数中获取了一个指向密码缓冲区的指针,以及缓冲区的长度。接着,我们使用Memory.readByteArray()方法从目标进程中读取了该指针所指向的内存段,并将其作为一个字节数组返回。最后,我们将字节数组打印到控制台上。

2.解密加密数据

如果目标进程中的某些数据是加密的,我们可以使用Frida层级钩子来拦截解密函数,并读取解密后的数据。例如,假设目标进程中有一个加密的字符串,我们可以使用Frida层级钩子来拦截解密函数,并读取解密后的字符串:

Interceptor.attach(Module.findExportByName("libfoo.so", "decrypt"), {
    onEnter: function(args) {
        var encryptedDataAddr = args[0];
        var encryptedDataLength = args[1].toInt32();
        var encryptedData = Memory.readByteArray(encryptedDataAddr, encryptedDataLength);
        console.log("Encrypted data: " + encryptedData);
    },
    onLeave: function(retval) {
        var decryptedData = Memory.readByteArray(retval, retval.toInt32());
        var textDecoder = new TextDecoder("utf-8");
        var decryptedString = textDecoder.decode(decryptedData);
        console.log("Decrypted string: " + decryptedString);
    }
});

在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。接着,我们使用Memory.readByteArray()方法从目标进程中读取了加密数据,并将其作为一个字节数组返回。在onLeave回调函数中,我们从解密函数的返回值中获取了解密后的数据,并将其转换为字符串。

4.hexdump()

hexdump()函数来将二进制数据以十六进制的形式打印到控制台上,从而方便我们查看目标进程中的内存数据。

该函数有两个参数,第一个参数是要打印的数据,可以是Buffer类型或者指向数据的指针。第二个参数是一个可选的配置对象,可以指定打印的偏移量、长度、标题等。

hexdump()函数的可选参数及其含义:

  • offset:指定要打印的数据的起始位置在缓冲区中的偏移量,默认为0。
  • length:指定要打印的数据的长度,默认为整个缓冲区的长度。
  • ansi:指定是否在控制台中使用ANSI转义序列来改变打印输出的颜色,默认为true。
  • prefix:指定每一行的前缀,默认为空字符串。
  • indent:指定每一行的缩进量,默认为0。
  • uppercase:指定是否将十六进制数字显示为大写字母,默认为true。
  • width:指定每一行显示的字节数,默认为16。

下面是一个例子,演示如何使用hexdump()函数,并传递一些可选参数:

var data = Memory.readByteArray(ptr(address), length);
console.log(hexdump(data, {
  offset: 0,
  length: length,
  prefix: '[+] ',
  indent: 4,
  width: 32,
  uppercase: false,
  ansi: true
}));

在这个例子中,我们使用Memory.readByteArray()函数读取了一段内存数据,并将其保存到data变量中。然后,我们调用hexdump()函数,并传递了一些可选参数。其中,我们指定了打印输出的前缀为’[+] ',每一行的缩进为4个空格,每行显示的字节数为32,我们还将十六进制数字的字母大小写设置为小写,并启用了ANSI颜色序列。执行以上代码,会将data数组以指定的格式打印到控制台上。

结合onEnter和onLeave举个例子:

Interceptor.attach(Module.findExportByName(null, "function_name"), {
  onEnter: function(args) {
    console.log("[+] function_name called with arguments:");
    hexdump(args[0], {
      offset: 0,
      length: args[1].toInt32(),
      header: false
    });
    this.start = new Date();
  },

  onLeave: function(retval) {
    var end = new Date();
    console.log("[+] function_name returned:");
    hexdump(retval, {
      offset: 0,
      length: retval.toInt32(),
      header: false
    });
    console.log("[+] Execution time: " + (end - this.start) + "ms");
  }
});

在这个例子中,我们使用Interceptor.attach()函数来拦截名为"function_name"的函数。在onEnter事件中,我们使用hexdump()函数打印了函数的第一个参数,然后记录了函数开始执行的时间;在onLeave事件中,我们使用hexdump()函数打印了函数的返回值,并计算了函数执行的时间。

需要注意的是,在onEnter事件中获取的参数可能会被修改,因此在onLeave事件中打印返回值时,可能需要再次获取一次返回值。另外,由于函数的返回值可能是一个指针,因此需要使用toInt32()方法将其转换为整数。

埃菲尔没有塔尖
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓逆向frida之sohook分析关键函数定位探究
云霄IT的博客
07-28 1204
【代码】安卓逆向frida之sohook分析关键函数定位探究。
frida-script:储存自己的FRIDA HOOK脚本
07-24
frida-script 储存自己的FRIDA HOOK脚本
移动安全-Frida hook安卓So函数实战
道阻且长,行则将至。
04-10 6712
文章目录前言Hook So有导出sohook无导出sohookSo实战hook脚本的编写hook脚本的效果总结 前言 我在前面的一篇博客 CTF逆向-EasySo攻防世界SO反汇编 中记录了对一道 CTF 逆向题目的 Android APP 的 So 函数进行基础的逆向分析的过程,通过 IDA 反汇编查看 So 代码并分析获得了 Flag 值。 生命在于折腾~本文将记录尝试通过 Frida hook 目标 APP 的 So 函数并直接修改返回值(如同以前熟悉的 hook Java 的函数一
frida native hook 技术( frida hook so函数)
m0_52484587的博客
12-28 493
hook,中文译作”钩子“,”挂钩“,看起来好像和钓鱼有点关系,其实它更像一张网。想象这样一个场景:我们在河流上筑坝,只留一个狭窄的通道让水流通过,在这个通道上设一张网,对流经的水进行过滤,那么,想从这里游过去的鱼虾自然就被网住了。在计算机中,当程序执行时,指令流也像水流一样,只要在适当的位置下网,就可以对程序的运行流程进行监控,拦截。Hook的关键就是通过一定的手段埋下”钩子“,钩住我们关心的重要流程,然后根据需要对执行过程进行干预。
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩 一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持 作业系统 支持的 著名的 苹果系统 :check_mark_button: 主要的 Linux :check_mark_button: 子 视窗 :check_mark_button: 子 兼容于 的iOS 弗里达 支持的 13.2.3 14.2.13 :check_mark_button: 14.4.2 14.2.13 :check_mark_button: 特征 使用python3.x运行 同时支持生成和附加脚本进行处理。 [+] Options: -p(--package) Identifier of application ex: com.apple.AppStore -n(--name) Name of application ex: AppStore -s(--script) Using script format script.js -c(--check-
frida hook so方法大全
热门推荐
菜鸡小白的成长记录
01-17 1万+
文章转载,仅供学习,如有需要请支持原文章创作:https://kevinspider.github.io/fridahookso/ 1.感谢 2. frida env https://github.com/frida/frida-java-bridge/blob/master/lib/env.js 3.IDA 判断 Thumb 指令集和 Arm 指令集 IDA - Options - General - number of opcode bytes - 设置为 4 此时查看 IDA VIew 中 op.
3、frida入门教程-api的使用
键盘的起始页
03-06 3462
常用API 1.JAVA (1)Java.perform(fn) frida的main,注意:所有的脚本必须放在这里面,示例: Java.perform(function () { var Activit...
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 2549
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
frida学习笔记
as664870911的博客
03-01 1679
准备工作 #以python3.7为列,frida版本12.8.0(据说是最稳定的版本) #创建虚拟环境 conda create --name frida-object python=3.7.0 #进入虚拟环境 conda activate frida-object #安装fida pip install frida==12.8.0 #安装frida-tools pip install frida-tools==5.3.0 #注意安装顺序,一定要安装frida,因为frida-tool包括frida,.
Frida API使用(2)
helloworlddm的博客
08-09 1894
Frida
Frida_Windows_Hook
04-13
Frida_Windows_Hook Frida_Windows_Hook是一个开源工具,主要针对渗透测试人员和开发人员。 Frida_Windows_Hook正在使用Windows渗透。 用法 如何: usage: Frida_Windows_Hook_v0.1.py 先决条件 要使用Web_Brute_Force_Attack,您需要在python环境中安装frida。 在您的python上安装frida的最简单方法是使用pip: pip install frida 有关如何安装frida的更多信息,请参见 免责声明 这是该软件的版本,所以我预计不是我的开发人员,但会出现一些错误,因此我的编码技能可能不是最好的。此工具已在Windows 10上进行了测试。 欢迎任何建议和评论! 例子:
frida hook的一些尝试
01-03
frida 真的是app逆向的神器,当你遇上他的时候,就会爱上他。 这篇文章主要是通过自己写个app的demo,然后一步步的hook它。之后会有系列的文章介绍frida对其他app的应用。 知识准备 如何让app不走代理? 如何在子线程中更新ui Handler详解 环境 as android开发工具 pycharm 小米手机一步 (root) android和pythonfrida环境 描述 之前在如何让app不走代理的文章中写了一个小的app的demo。现在我准备一步一步的hook这个demo。以便能加深对frida 的理解。 图 appdemo 源码 public void onC
小肩膀安卓逆向frida专题sohook HookTestDemo hooktestdemo 实战练习用的例子
12-04
小肩膀安卓逆向frida专题sohook HookTestDemo hooktestdemo 实战练习用的例子 看课程学习的时候没有个好用的例子,非常的不方便,分享给大家
vue2---修饰符
weixin_45503872的博客
04-24 1059
此时有一个问题,如果我们设置了系统修饰符,并不希望有其他的按键组合,比如我们设置ctrl修饰符,此时如果按住ctrl和其他键,然后再点击鼠标,此时也会触发事件监听,所以我需要使用其他的修饰符来设置精确匹配事件。此时People的data返回的是一个对象,不是一个地址,每一个实例拿到的都是个独立,个体的对象,互相不会数据冲突,这个就是vue组件data为什么是函数的原因。data是一个函数,返回的是一个对象,目的是为了让每个组件数据隔离,这个是JavaScript的原理,并不是vue去设计的。
《ElementUI 基础知识》el-tabs header 监听鼠标中键滚动时左右滑动(ElementPlus同样适用)
前端技术
04-29 450
监听 el-tabs 头在鼠标 hover 时。滑动鼠标中键,可左右滑动!
Redux 状态持久化之 redux-persist 使用示例
笔记、经验、日常分享
04-24 355
同vuex一样,redux中的状态会在刷新浏览器后状态又恢复到初始状态,有些数据想在浏览器刷新后仍然是在最新的状态,不会丢失,就需要借助一些插件实现。本文通过 redux-persist 插件来实现Redux状态的持久化。
用Typescript写自动化工作流
联蔚盘云的博客
04-29 693
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新中,后续也会支持更多的预设,web ui 的操作方式也在计划中小伙伴想参与预设的开发也欢迎 pr 呀。
JavaScript函数的作用域
猿码互联
04-23 220
JavaScript函数的作用域指的是变量的可访问范围。在JavaScript中,函数作用域是基于词法作用域(也称为静态作用域)的,意味着函数的作用域在函数被创建时就确定了,而不是在函数被调用时。这样创建的匿名函数会立即执行,并且其中的变量只能在函数内部访问,外部无法访问。这种方式在旧版本的JavaScript中很常见,但在ES6之后,可以直接使用块级作用域来实现同样的效果。需要注意的是,在ES6之前,JavaScript中并没有块级作用域的概念,只有函数作用域和全局作用域。
redux快速入门
最新发布
qq_73270720的博客
04-29 208
简单的加减案例,学会redux快速入门
frida hook so
03-31
Sorry, I am an AI language model and I do not understand what you mean by "frida hook so". Could you please provide more context or clarify your question?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值