frida工具Jnitrace | Objection | r0tracer

已于 2022-09-30 13:51:22 修改
阅读量1.1w 收藏 114
点赞数 75
分类专栏: App逆向工具 文章标签: android
于 2022-09-30 11:20:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927522/article/details/127120012
版权

pip install objection

pip install jnitrace

要求是frida版本大于14点多,目前推荐使用 14.2.18

Frida Version : pip install frida==14.2.18

Jnitrace:

JNItrace是一个基于Frida框架的Hook jni方法的库。https://github.com/chame1eon/jnitrace

直接按照上面的pip安装。

jnitrace -l xxx.so 包名 --ignore-vm

注意:
在这里插入图片描述
如果出现这种错误就是用了面具的隐藏 hide ;

Spawn模式及 jnitrace 都是需要关闭面具隐藏( Magisk Hide )
在这里插入图片描述
不得不说 这真的是个神器。

另外博主有一些笔记,记录如下,方便后续观看:

加密函数定位:

jni| unicorn | androidemu | frida_hook

https://codeooo.blog.csdn.net/article/details/127105204

https://github.com/lasting-yang/frida_hook_libart.git

dump 脚本修复加密so

https://github.com/lasting-yang/frida_dump

frida hook模板:

so :https://codeooo.blog.csdn.net/article/details/122124012

java:

https://codeooo.blog.csdn.net/article/details/120025814

遍历so方法:

https://codeooo.blog.csdn.net/article/details/120033269

hook 常见算法

https://codeooo.blog.csdn.net/article/details/120025814

r0tracer:

安卓Java层多功能追踪脚本

AKA:精简版 objection + Wallbreaker

比objection增加延时spawn
比objection增加批量hook类\方法\构造函数
Wallbreaker在frida14上还是一直崩
比Wallbreaker增加hook看instance的fields
inspectObject函数可以单独拿出去使用

使用方法:
修改r0tracer.js文件最底部处的代码,开启某一个Hook模式。
在这里插入图片描述

var isLite = false;
var ByPassTracerPid = function () {
    var fgetsPtr = Module.findExportByName("libc.so", "fgets");
    var fgets = new NativeFunction(fgetsPtr, 'pointer', ['pointer', 'int', 'pointer']);
    Interceptor.replace(fgetsPtr, new NativeCallback(function (buffer, size, fp) {
        var retval = fgets(buffer, size, fp);
        var bufstr = Memory.readUtf8String(buffer);
        if (bufstr.indexOf("TracerPid:") > -1) {
            Memory.writeUtf8String(buffer, "TracerPid:\t0");
            console.log("tracerpid replaced: " + Memory.readUtf8String(buffer));
        }
        return retval;
    }, 'pointer', ['pointer', 'int', 'pointer']));
};
setImmediate(ByPassTracerPid);

(function(){
    let Color = {RESET: "\x1b[39;49;00m", Black: "0;01", Blue: "4;01", Cyan: "6;01", Gray: "7;11", "Green": "2;01", Purple: "5;01", Red: "1;01", Yellow: "3;01"};
    let LightColor = {RESET: "\x1b[39;49;00m", Black: "0;11", Blue: "4;11", Cyan: "6;11", Gray: "7;01", "Green": "2;11", Purple: "5;11", Red: "1;11", Yellow: "3;11"};    
    var colorPrefix = '\x1b[3', colorSuffix = 'm'
    for (let c in Color){
        if (c  == "RESET") continue;
        console[c] = function(message){
            console.log(colorPrefix + Color[c] + colorSuffix + message + Color.RESET);
        }
        console["Light" + c] = function(message){
            console.log(colorPrefix + LightColor[c] + colorSuffix + message + Color.RESET);
        }
    }
})();
function uniqBy(array, key) {
    var seen = {};
    return array.filter(function (item) {
        var k = key(item);
        return seen.hasOwnProperty(k) ? false : (seen[k] = true);
    });
}
function hasOwnProperty(obj, name) {
    try {
        return obj.hasOwnProperty(name) || name in obj;
    } catch (e) {
        return obj.hasOwnProperty(name);
    }
}
function getHandle(object) {
    if (hasOwnProperty(object, '$handle')) {
        if (object.$handle != undefined) {
            return object.$handle;
        }
    }
    if (hasOwnProperty(object, '$h')) {
        if (object.$h != undefined) {
            return object.$h;
        }
    }
    return null;
}
//查看域值
function inspectObject(obj, input) {
    var isInstance = false;
    var obj_class = null;
    if (getHandle(obj) === null) {
        obj_class = obj.class;
    } else {
        var Class = Java.use("java.lang.Class");
        obj_class = Java.cast(obj.getClass(), Class);
        isInstance = true;
    }
    input = input.concat("Inspecting Fields: => ", isInstance, " => ", obj_class.toString());
    input = input.concat("\r\n")
    var fields = obj_class.getDeclaredFields();
    for (var i in fields) {
        if (isInstance || Boolean(fields[i].toString().indexOf("static ") >= 0)) {
            // output = output.concat("\t\t static static static " + fields[i].toString());
            var className = obj_class.toString().trim().split(" ")[1];
            // console.Red("className is => ",className);
            var fieldName = fields[i].toString().split(className.concat(".")).pop();
            var fieldType = fields[i].toString().split(" ").slice(-2)[0];
            var fieldValue = undefined;
            if (!(obj[fieldName] === undefined))
                fieldValue = obj[fieldName].value;
            input = input.concat(fieldType + " \t" + fieldName + " => ", fieldValue + " => ", JSON.stringify(fieldValue));
            input = input.concat("\r\n")
        }
    }
    return input;
}

// trace单个类的所有静态和实例方法包括构造方法 trace a specific Java Method
function traceMethod(targetClassMethod) {
    var delim = targetClassMethod.lastIndexOf(".");
    if (delim === -1) return;
    var targetClass = targetClassMethod.slice(0, delim)
    var targetMethod = targetClassMethod.slice(delim + 1, targetClassMethod.length)
    var hook = Java.use(targetClass);
    var overloadCount = hook[targetMethod].overloads.length;
    console.Red("Tracing Method : " + targetClassMethod + " [" + overloadCount + " overload(s)]");
    for (var i = 0; i < overloadCount; i++) {
        hook[targetMethod].overloads[i].implementation = function () {
            //初始化输出
            var output = "";
            //画个横线
            for (var p = 0; p < 100; p++) {
                output = output.concat("==");
            }
            //域值
            if (!isLite) { output = inspectObject(this, output); }
            //进入函数
            output = output.concat("\n*** entered " + targetClassMethod);
            output = output.concat("\r\n")
            // if (arguments.length) console.Black();
            //参数
            var retval = this[targetMethod].apply(this, arguments);
            if (!isLite) {
                for (var j = 0; j < arguments.length; j++) {
                    output = output.concat("arg[" + j + "]: " + arguments[j] + " => " + JSON.stringify(arguments[j]));
                    output = output.concat("\r\n")
                }
                //调用栈
                output = output.concat(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));
                //返回值
                output = output.concat("\nretval: " + retval + " => " + JSON.stringify(retval));
            }
            // inspectObject(this)
            //离开函数
            output = output.concat("\n*** exiting " + targetClassMethod);
            //最终输出
            // console.Black(output);
            var r = parseInt((Math.random() * 7).toFixed(0));
            var i = r;
            var printOutput = null;
            switch (i) {
                case 1:
                    printOutput = console.Red;
                    break;
                case 2:
                    printOutput = console.Yellow;
                    break;
                case 3:
                    printOutput = console.Green;
                    break;
                case 4:
                    printOutput = console.Cyan;
                    break;
                case 5:
                    printOutput = console.Blue;
                    break;
                case 6:
                    printOutput = console.Gray;
                    break;
                default:
                    printOutput = console.Purple;
            }
            printOutput(output);
            return retval;
        }
    }
}

function traceClass(targetClass) {
    //Java.use是新建一个对象哈,大家还记得么?
    var hook = Java.use(targetClass);
    //利用反射的方式,拿到当前类的所有方法
    var methods = hook.class.getDeclaredMethods();    
    //建完对象之后记得将对象释放掉哈
    hook.$dispose;
    //将方法名保存到数组中
    var parsedMethods = [];
    var output = "";    
    output = output.concat("\tSpec: => \r\n")
    methods.forEach(function (method) {
        output = output.concat(method.toString())
        output = output.concat("\r\n")
        parsedMethods.push(method.toString().replace(targetClass + ".", "TOKEN").match(/\sTOKEN(.*)\(/)[1]);
    });
    //去掉一些重复的值
    var Targets = uniqBy(parsedMethods, JSON.stringify);
    // targets = [];
    var constructors = hook.class.getDeclaredConstructors();
    if (constructors.length > 0) {
        constructors.forEach(function (constructor) {
            output = output.concat("Tracing ", constructor.toString())
            output = output.concat("\r\n")
        })
        Targets = Targets.concat("$init")
    }
    //对数组中所有的方法进行hook,
    Targets.forEach(function (targetMethod) {
        traceMethod(targetClass + "." + targetMethod);
    });
    //画个横线
    for (var p = 0; p < 100; p++) {
        output = output.concat("+");
    }
    console.Green(output);
}
function hook(white, black, target = null) {
    console.Red("start")
    if (!(target === null)) {
        console.LightGreen("Begin enumerateClassLoaders ...")
        Java.enumerateClassLoaders({
            onMatch: function (loader) {
                try {
                    if (loader.findClass(target)) {
                        console.Red("Successfully found loader")
                        console.Blue(loader);
                        Java.classFactory.loader = loader;
                        console.Red("Switch Classloader Successfully ! ")
                    }
                }
                catch (error) {
                    console.Red(" continuing :" + error)
                }
            },
            onComplete: function () {
                console.Red("EnumerateClassloader END")
            }
        })
    }
    console.Red("Begin Search Class...")
    var targetClasses = new Array();
    Java.enumerateLoadedClasses({
        onMatch: function (className) {
            if (className.toString().toLowerCase().indexOf(white.toLowerCase()) >= 0 &&
               (black == null || black == '' || className.toString().toLowerCase().indexOf(black.toLowerCase()) < 0)) {
                console.Black("Found Class => " + className)
                targetClasses.push(className);
                traceClass(className);
            }
        }, onComplete: function () {
            console.Black("Search Class Completed!")
        }
    })
    var output = "On Total Tracing :"+String(targetClasses.length)+" classes :\r\n";
    targetClasses.forEach(function(target){
        output = output.concat(target);
        output = output.concat("\r\n")        
    })
    console.Green(output+"Start Tracing ...")
}
function main() {
    Java.perform(function () {
        console.Purple("r0tracer begin ... !")
        //0. 增加精简模式,就是以彩虹色只显示进出函数。默认是关闭的,注释此行打开精简模式。
        //isLite = true;
        /*
        //以下三种模式,取消注释某一行以开启
        */
        //A. 简易trace单个函数
        traceClass("javax.crypto.Cipher")
        //B. 黑白名单trace多个函数,第一个参数是白名单(包含关键字),第二个参数是黑名单(不包含的关键字)
        // hook("javax.crypto.Cipher", "$");
        //C. 报某个类找不到时,将某个类名填写到第三个参数,比如找不到com.roysue.check类。(前两个参数依旧是黑白名单)
        // hook("com.roysue.check"," ","com.roysue.check");        
    })
}
/*
//setImmediate是立即执行函数,setTimeout是等待毫秒后延迟执行函数
//二者在attach模式下没有区别
//在spawn模式下,hook系统API时如javax.crypto.Cipher建议使用setImmediate立即执行,不需要延时
//在spawn模式下,hook应用自己的函数或含壳时,建议使用setTimeout并给出适当的延时(500~5000)
*/
setImmediate(main)
//
// setTimeout(main, 2000);


// 玄之又玄,众妙之门
// Frida的崩溃有时候真的是玄学,大项目一崩溃根本不知道是哪里出的问题,这也是小而专的项目也有一丝机会的原因
// Frida自身即会经常崩溃,建议多更换Frida(客/服要配套)版本/安卓版本,我自己常用的组合是两部手机,Frida12.8.0全家桶+安卓8.1.0,和Frida14.2.2全家桶+安卓10

肉佬:https://github.com/r0ysue/r0tracer

推荐使用Frida14版本,并且将日志使用-o参数进行输出保存

frida -U -f com.r0ysue.example -l r0tracer.js --no-pause -o saveLog5.txt

“-f” 为 Spawn模式,去掉"-f" 为Attach模式

Frida版本=<12时,要加上–runtime=v8选项

frida -U com.r0ysue.example -l r0tracer.js --runtime=v8 --no-pause -o
saveLog6.txt

objection:

objection 启动界面:
在这里插入图片描述
使用objection需要在手机上启动frida-sesver,再使用objection注入需要hook的应用

objection -g <包名> explore

下面指令中,有hook类,hook方法,前进程模块,导出函数等

Memory 指令
    memory list modules               //枚举当前进程模块
    memory list exports [lib_name]    //查看指定模块的导出函数
    memory list exports libart.so --json /root/libart.json //将结果保存到json文件中
    memory search --string --offsets-only                  //搜索内存

android heap 指令
    //堆内存中搜索指定类的实例, 可以获取该类的实例id
    search instances search instances com.xx.xx.class
     
    //直接调用指定实例下的方法
    android heap execute [ins_id] [func_name]
     
    //自定义frida脚本, 执行实例的方法
    android heap execute [ins_id]

android 指令
    android root disable   //尝试关闭app的root检测
    android root simulate  //尝试模拟root环境
    
    android ui screenshot [image.png]    //截图
    android ui FLAG_SECURE false         //设置FLAG_SECURE权限

内存漫游
    android hooking list classes    //列出内存中所有的类
     
    //在内存中所有已加载的类中搜索包含特定关键词的类
    android hooking search classes [search_name] 
     
    //在内存中所有已加载的方法中搜索包含特定关键词的方法
    android hooking search methods [search_name] 
     
    //直接生成hook代码
    android hooking generate simple [class_name]

hook 方式
    /*
        hook指定方法, 如果有重载会hook所有重载,如果有疑问可以看
        --dump-args : 打印参数
        --dump-backtrace : 打印调用栈
        --dump-return : 打印返回值
    */
    android hooking watch class_method com.xxx.xxx.methodName --dump-args --dump-backtrace --dump-return
     
    //hook指定类, 会打印该类下的所有调用
    android hooking watch class com.xxx.xxx
     
    //设置返回值(只支持bool类型)
    android hooking set return_value com.xxx.xxx.methodName false

Spawn 方式 Hook
    objection -g packageName explore --startup-command '[obejection_command]'

activity 和 service 操作
    android hooking list activities                   //枚举activity
    android intent launch_activity [activity_class]   //启动activity
    android hooking list services                     //枚举services
    android intent launch_service [services_class]    //启动services

任务管理器
    jobs list            // 查看任务列表
    jobs kill [task_id]  // 关闭任务

关闭 app 的 ssl 校验
    android sslpinning disable

监控系统剪贴板
    // 获取Android剪贴板服务上的句柄并每5秒轮询一次用于数据。 
    // 如果发现新数据,与之前的调查不同,则该数据将被转储到屏幕上。
    help android  clipboard

执行命令行
    help android shell_exec [command]

查看当前可用的activity或者service:

android hooking list activities/services

这个也可以使用adb查看:

(1)查看当前Activity :adb shell "dumpsys window w | grep name="

(2)查看当前栈顶的Activity :adb shell "dumpsys activity | grep mFocusedActivity"

或者:adb shell dumpsys activity activities | grep mResumedActivity

(3)查看当前栈顶的Activity的Fragment :adb shell dumpsys activity 包名
Codeooo
关注
  • 75
    点赞
  • 114
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Frida 使用指南
dafan0的博客
05-04 1600
当出现上述报错时,使用以下手段解决:https://pypi.doubanio.com/simple/frida/ 放入指定目录 再次安装 需要借助adb查看,abd在之前安装Android Studio的时候就已经下载并添加到系统环境变量了启动adb 查看连接到adb的设备:手机需要用USB线连接电脑 参看CPU架构(只有一个设备时,可以不写设备名) 下载链接:https://github.com/frida/frida/releases 下载的是一个压缩包,需要将压缩包解压,然后将解压出来的文件上传
新书速览|Frida Android SO逆向深入实践
quanzhankaifaqua的博客
01-26 1492
此外,还将介绍ARM/ELF的文件格式和反编译工具IDA,Frida/Jnitrace Hook/Invoke JNIJNI与反射及简单风控案例设计分析,onCreate的Native化,分析Android源码追踪JNI的绑定流程。在看雪、安全客、Freebuf发表大量技术文章,目前就职于看雪科技,负责移动应用安全研究,看雪《安卓高级研修班》负责人,著有《安卓Frida逆向与抓包实战》、《安卓Frida逆向与协议分析》第7章 逆向分析:ELF文件结构、节/区/表/段/符号/链接器111。
JniTraceAndroid JNI调试利器
最新发布
gitblog_00015的博客
03-25 332
JniTraceAndroid JNI调试利器 项目地址:https://gitcode.com/chame1eon/jnitrace JniTrace 是一个强大的工具,专为Android开发者设计,用于追踪和理解Java Native Interface (JNI) 的调用。此项目利用了Android的系统调试特性,帮助开发者在本地代码与Java代码之间穿行,清晰地查看和理解交互过程。 技术...
FridaHook整理】Frida安装及Hook安卓常用脚本
热门推荐
杰孑的博客
04-06 2万+
1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
Frida常用api大全
onejane
12-04 3502
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 动静态函数主动调用 静态函数 use function static() { Java.perform(function () {//只要是java的代码都要跑在Java.perform里面 Java.use("com.example.junior.util.Utils").dip2px.implementation = function (context, float) {
js hook 改进
大数据安全技术学习
09-26 515
js批量hook 参考hook 我们可以更改上次的脚本,用来遍历所有的函数来找出其中是否有以加密命名的函数,来尝试找到js中的加密函数,参考自http://bbs.nightteam.cn/thread-210.htm 我们用它的代码测试一下,我们自己的网站 (function() { 'use strict'; !function () { 'use strict'; var source = ['alert','decodeData','String.fr
攻防世界 mobile 新手 app2
weixin_44626823的博客
06-06 522
直接使用r0tracer 动态查看下整个包的执行流程,定位到核心 doRawData 函数发现是native函数,直接对apk解包,IDA查看so 2. 通过 ReisterNative 追到函数的动态注册地址 3. doRawData 分析此函数主要主要功能是AES加密,同时也能看到 key,IV不是必须的,模式ECB Hook 结果在图3中,可以看到类中还定义了 decode 函数,我们在so中验证是否是解密函数 那我们尝试使用此函数来解密,但是他要构造一个对象,比较复杂,那这也难不倒我们,直接用do
r0gson.dex,frida hook时数据转换包
07-31
r0gson.dex,frida hook时数据转换包
objection基本使用+ Wallbreaker
04-14
Android hook frida objection基本使用+ Wallbreaker
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具,首次运行会初始化环境,暂不支持真机,需要设备ROOT权限,后续可能会更新支持真机! 软件介绍 不能用中文目录、、中文目录会报编码错误。。应该是PY
frida-server-14.2.18-android.zip
06-24
测试,安全,爬虫工程师
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
r0tracer:安卓Java层多功能追踪脚本
03-05
r0示踪剂 安卓Java层多功能追踪脚本 AKA:精简版异议+ Wallbreaker 功能: 根据黑白名单批量追踪类的所有方法 hook(“ javax.crypto.Cipher”,“ $”); 在命中方法后打印出该类或对象的所有域值,参数,调用栈和返回值 极简的文本保存日志机制,易于搜索的关键参数 针对加壳应用找不到类时可以切换Classloader 使用方法: 修改r0tracer.js文件最底部处的代码,开启某人的挂钩模式。 推荐使用Frida14版本,并且将日志使用-o参数进行输出保存 $ frida -U -f com.r0ysue.example -l r0tracer.js --no-pause -o saveLog5.txt “ -f”为Spawn模式,去掉“ -f”为附加模式 Frida版本= <12时,要加上--runtime=v8选项 $ frida -U co
检测frida工具app
02-22
检测当前环境是否存在frida调试
TracerPid反调试实现与逆向
明风的博客
11-01 6407
经常会在一些脱壳文章里面看到TracerPid,ptrace什么的,那这些都是什么意思呢? 我们来查看本程序的/proc/{PID}/status文件 C:\Users\wangz>adb shell root@jflte:/ # ps |grep "wnagzihxain" u0_a123 29139 281 960944 31468 ffffffff 4005a8e0 S com.
Jni使用小结
huangling07031190的专栏
07-03 913
什么是JNI 3 1.1. JNI 编程中的优点 3 1.2. JNI 编程中的弊端 3 1.3. Jni加载方法 3 Java、Jni、C之间的数据类型对应关系 4 2.1. 基本类型 4 2.2. 数组类型 4 2.3. 对象类型 5 2.4. 方法的签名 5 JNIJNIEnv、jobject和jclass是什么? 6 3.1. JNIEnv指针 6 3.1.1. 常用的Jni函数列表 8 3.2. Jni接口参数jobject和jclass的区别 11 常用的Jni函数说明 12 4.1. 获得.
JNI的基本使用一
zhujm320的专栏
05-29 2276
介绍 JNI即Java Native Interface的简称,java本地方法接口,通过JNI Java可以和C相互调用。Java语言也是通过JNI接口来调用系统的功能,只不过JNI的实现部分在JDK中,这样可以增加Java的功能。同样用户程序也可以通过实现JNI接口来调用本地方法。如: 如: windows和linux上Java程序需要调用外设驱动,就需要使用JNIandroid上NDK也是通过JNI进行调用。本文主要讲解在windows上java通过jni调用本地方法,测试效果和在a...
检测安卓App是否能被Frida工具动态注入
06-09
可以通过以下方法检测安卓App是否能被Frida工具动态注入: 1. 使用安卓模拟器或真机安装待检测App和Frida Server。 2. 运行Frida命令行工具,使用以下命令连接到安卓设备: ``` frida-ps -U ``` 如果连接正常,则会列出安卓设备上所有运行的进程。 3. 找到待检测App的进程ID,使用以下命令启动Frida Attach进程: ``` frida -U -l frida-agent.js {App的进程ID} ``` 其中,frida-agent.js是一个JavaScript脚本,用于启动Frida Agent进程。如果启动成功,则Frida Agent进程会注入到待检测App中。 4. 在待检测App中执行一些操作,例如点击按钮或输入文本等。如果Frida Agent进程能够捕获到这些操作,则说明待检测App可以被Frida工具动态注入。 需要注意的是,有些App会采取一些防护措施来防止被动态注入,例如使用SSL Pinning等技术。在这种情况下,需要使用一些专门的工具或技术来绕过这些防护措施,才能够进行动态注入测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Codeooo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值