frida native端使用笔记

最新推荐文章于 2024-01-11 11:38:15 发布
最新推荐文章于 2024-01-11 11:38:15 发布
阅读量2.3k 收藏 3
点赞数 1
分类专栏: frida 爬虫 安卓逆向 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43357549/article/details/122865034
版权

frida native端使用笔记:

注意:frida hook native端的一个宗旨就是拿到内存地址 有了地址就可以操作
hexdump(ptr(this.arg2).add(Process.pointerSize).readPointer())
ptr(retval).readCString() 
hexdump(args[1], { length: parseInt(args[2]) })
hexdump(ptr(this.arg8).add(Process.pointerSize * 2).readPointer())
ptr(Java.vm.tryGetEnv().getByteArrayElements(args[i])).readCString(parseInt(args[i + 1]))


特别重点:
	1.获取上下文context
		var context = Java.use("android.app.ActivityThread").currentApplication().getApplicationContext();
	2.获取JNIEnv函数
		Java.vm.tryGetEnv().getStringUtfChars() 可以代替hook JNIEnv的函数

打印调用栈:
	//打印调用栈
	console.log('addr_GetStringUTFChars onEnter called from:\n' +
	Thread.backtrace(this.context, Backtracer.FUZZY)
	.map(DebugSymbol.fromAddress).join('\n') + '\n');

重点一:frida hook JNIEnv的函数
	因为JNIEnv的函数都在libart.so文件中 所以枚举libart.so文件 
	var module_libart = Process.findModuleByName("libart.so");
	var symbols = module_libart.enumerateSymbols();     // enumerateSymbols函数的作用就是枚举模块的所有符号
	var addr_GetStringUTFChars = null;
	for (var i = 0; i < symbols.length; i++) {
		var name = symbols[i].name;  // name获取符号的名字
		if (name.indexOf("art") >= 0) {
			if ((name.indexOf("CheckJNI") == -1) && (name.indexOf("JNI") >= 0)) {
				if (name.indexOf("GetStringUTFChars") >= 0) {
					console.log(name);
					addr_GetStringUTFChars = symbols[i].address;  // address获取符号的地址
				} 
			}
		}
	}
	
	// 拿到地址后就可以进行hook
	if (addr_GetStringUTFChars) {
		Interceptor.attach(addr_GetStringUTFChars, {
			onEnter: function (args) {
				
			}, onLeave: function (retval) {
				// retval const char*
				console.log("addr_GetStringUTFChars onLeave:", ptr(retval).readCString(), "\r\n");
			}
		});
	}
	
重点二:frida hook libc.so文件的函数
	function hook_libc() {
		//hook libc的函数
		var strcmp = Module.findExportByName("libc.so", "strcmp");  // 获取libc.so文件中的strcmp函数
		console.log("strcmp:", strcmp);
		Interceptor.attach(strcmp, {
			onEnter: function (args) {
				var str_2 = ptr(args[1]).readCString();
				if (str_2 == "EoPAoY62@ElRD") {
					console.log("strcmp:", ptr(args[0]).readCString(),
						ptr(args[1]).readCString());
				}
			}, onLeave: function (retval) {
			}
		});

	}
	
重点三:frida native 主动写文件的两种方式
	通过frida file api来写文件
		function write_reg_dat() {
			//frida 的api来写文件
			var file = new File("/sdcard/reg.dat", "w");
			file.write("EoPAoY62@ElRD");
			file.flush();
			file.close();
		}
		
	通过把C函数定义为NativeFunction来写文件
	function write_reg_dat2() {
		//把C函数定义为NativeFunction来写文件
		var addr_fopen = Module.findExportByName("libc.so", "fopen");
		var addr_fputs = Module.findExportByName("libc.so", "fputs");
		var addr_fclose = Module.findExportByName("libc.so", "fclose");

		var fopen = new NativeFunction(addr_fopen, "pointer", ["pointer", "pointer"]);
		var fputs = new NativeFunction(addr_fputs, "int", ["pointer", "pointer"]);
		var fclose = new NativeFunction(addr_fclose, "int", ["pointer"]);

		var filename = Memory.allocUtf8String("/sdcard/reg.dat");  // 这里是需要注意的点 需要使用Memory api 来将字符串转为native可用格式
		var open_mode = Memory.allocUtf8String("w+");
		var file = fopen(filename, open_mode);  // 打开文件 返回一个文件指针
		
		var buffer = Memory.allocUtf8String("EoPAoY62@ElRD");
		fputs(buffer, file);  // 写入文件 fputs函数有两个参数 参数1:buffer 为需要写入的值 参数2:file 为需要写入的文件指针
		
		fclose(file);  // 关闭文件
	}
	
	
重点四:frida hook dlopen 一开始就获取加载的so文件
	function hook_dlopen() {
		// 低版本Android系统使用diopen
		var dlopen = Module.findExportByName(null, "dlopen");
		Interceptor.attach(dlopen, {
			onEnter: function (args) {
				this.call_hook = false;
				var so_name = ptr(args[0]).readCString();  // 获取加载的so文件
				if (so_name.indexOf("libhello-jni.so") >= 0) {
					console.log("dlopen:", ptr(args[0]).readCString());
					this.call_hook = true;
				}

			}, onLeave: function (retval) {
				if (this.call_hook) {
					inline_hook();
				}
			}
		});
		// 高版本Android系统使用android_dlopen_ext
		var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
		Interceptor.attach(android_dlopen_ext, {
			onEnter: function (args) {
				this.call_hook = false;
				var so_name = ptr(args[0]).readCString();  // 获取加载的so文件
				if (so_name.indexOf("libhello-jni.so") >= 0) {
					console.log("android_dlopen_ext:", ptr(args[0]).readCString());
					this.call_hook = true;
				}

			}, onLeave: function (retval) {
				if (this.call_hook) {
					inline_hook();
				}
			}
		});
	}
清(淞)
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
frida-ex-nativefunction:为您提供功能更加强大的NativeFunction for frida
04-28
星期五的本机功能 该模块为您提供了扩展的NativeFunction类。 它应在frida脚本内使用。 参见例如: 例子 const ExNativeFunction = require('frida-ex-nativefunction') const openAddr = Module.findExportByName('libc.so', 'open') const open = new ExNativeFunction(openAddr, 'int', ['pointer', 'int']) console.log(open.address) // The provided openAddr console.log(open.retType) // The provided return type console.log(open.argTypes) // The provid
Frida使用NativeFunction主动调用so中的函数
someby的博客
05-24 2713
function printJavaStack(name) { Java.perform(function () { var Exception = Java.use("java.lang.Exception"); var ins = Exception.$new("Exception"); var straces = ins.getStackTrace(); if (straces != undefined && s.
2、frida入门教程-hook
键盘的起始页
03-04 9967
frida常见命令 --------------------------------------------------------------------------------- 方式一、frida直接关联 js脚本hook 1、编写js hook函数 test.js源码: Interceptor.attach(Module.findExportByName("libc.so"...
FridaHook(二)——Native层函数
0nc3的博客
01-11 1150
下面是学习用Frida hook Native层的导出函数和未导出函数的记录。demo下载链接:https://pan.baidu.com/s/1ZCIeJXzeTpQ8uJ9Ew5nnGQ提取码:z94iHook导出函数主要是根据so文件中函数名来确定被Hook的函数,较为简单。而Hook 未导出函数是根据函数偏移量来确定被Hook的函数,但是一定要注意在使用工具反编译时要选对架构。也可以用Hook 未导出函数的方法来Hook导出函数。
安卓逆向入门之使用frida框架简单Hook native层的函数
muzico425的博客
09-06 417
公众号:菜鸟学Python编程作者:悦来客栈的老板请读者先完成第一篇中的例子再来学习这一篇,初探安卓逆向神器Frida‍都是比较简单的东西,像我这种初学者先找找逆向...
安卓逆向学习笔记使用frida改进FART.docx
最新发布
03-29
安卓逆向学习笔记使用frida改进FART.docx
使用Frida抓包okhttp请求的dex文件
07-19
使用Frida抓包okhttp请求的dex文件,目前测试该文件能正常实现抓包,配合frida可以实现所有http请求的拦截。具体可以参考github地址完成抓包。前提是手机需要root。
修改了一些frida相关的文件名,避免frida被检测的frida server
01-30
修改了一些frida相关的文件名,避免frida被检测的frida server
frida检测
05-24
hluda版frida 抹掉frida特征 过检测必备 过frida检测
自用存档 打印frida使用过程中出现的复杂类型
02-25
自用存档 打印frida使用过程中出现的复杂类型
3.frida Native层Hook
高新园养鸡场
03-12 2198
测试用例 本次的hook代码都用 frida-tools方式 书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改,不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml
Android逆向之旅---Hook神器家族的Frida工具使用详解
zhangmiaoping23的专栏
02-23 3444
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个是Hook Java层的时候最常用的Xposed和Hook Native层的SubstrateCydia,可以看我之前的文章比如写微信插件等都采用了Xposed工具,因为个人觉得Xposed用起来比较爽,写代码比较方便。而对于Su...
Frida Hook 学习记录】Frida Hook Android 常用方法
卦星的专栏
10-18 1万+
Frida hook 常用方法 1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅 参考文章 Android逆向之旅—Hook神器家族的Frida工具使用详解 2 待测试案例 xxxxx 3 方法汇总 3.1 Hook 构造函数—使用$init 3.2 Hook 构造对象—使用$new 3.3 Hook 一般函数—使...
Android安全】Frida Native hook汇总
Juruo@Security
03-30 1171
Android安全】Frida Native hook汇总
常用Frida hook android代码
bncmjnmlp的博客
12-02 581
Android逆向常用hook代码
Frida hook/invoke iOS以及内存搜刮和黑盒调用
热门推荐
大数据安全技术学习
07-27 1万+
终于学到了Frida的部分,在本篇中我们将从objection这款自动化hook框架的源码出发,学习使用Frida内置的ApiResolver搜刮器来枚举内存中的所有符号,包括所有类/所有方法/所有重载,再对其进行hook后输出参数调用栈返回值,并且对参数与返回值进行修改,以实现修改函数逻辑的目的。
使用Frida rpc抓取酷安app
公过水蚊的博客
11-09 1891
示例APP酷安 用Fiddler进行抓包,多次抓取进行对比。 用jadx打开APP,看有没有加固,有加固就脱壳 搜索请求头X-App-Token看有没有线索 在组装参数,看一下每个变量的由来 点进方法,看一下怎么生成as的 这里就可以直接使用rpc进行方法调用,传进两个参数一个是上下文,一个是uuid,就不用去管它是怎么实现的。 import frida import sys import os import uuid0 hook_code = """ rpc.export
native方法_使用Frida调用native方法
weixin_39805644的博客
12-05 3138
今天以某个可爱的App为例,使用Frida调用一下这里面的native方法。我们有时候想分析一个App的网络通讯协议时,又不想(主要是懒)从so文件内复原出加密方法,这时候使用Frida调用一下native方法,简单又方便~先看看这个native方法:三百行的伪代码,属实难受,我们使用Frida的rpc调用导出函数的方法搞一下,文档在这:rpc.exports: empty object...
使用frida获取jni动态注册函数的地址
weixin_42486644的博客
05-18 7779
众所周知,frida是一款跨平台的(适用于Windows,Android,IOS等等)的Hook框架,由于其使用的是ptrace注入方法,所以相比于Xposed框架,优点是Hook代码写完或修改后,不需要重启手机。由于使用的是js,python脚本语言,所以支持代码热更新(更新Hook代码时不需要重启应用)。 而我这次使用frida目的是获取Android应用里jni动态注册函数的地址,大家都知...
frida hook native
07-28
你好!Frida是一个强大的动态代码注入和调试工具,可以用于hook和修改应用程序的行为。如果你想要hook Native代码,可以使用Frida的JavaScript API来实现。 首先,你需要在设备上安装Frida,并确保设备已经越狱(iOS)或者已经root(Android)。 接下来,你需要编写一个JavaScript脚本来进行hook。在脚本中,你可以使用Frida提供的一些函数来定位和修改Native函数。 例如,下面的代码可以用来hook一个Native函数并修改它的行为: ```javascript // 导入Frida模块 const frida = require('frida'); // 目标进程的名称 const targetProcessName = 'your_target_process_name'; // 要hook的函数名称 const targetFunctionName = 'your_target_function_name'; // Frida attach到目标进程 frida.attach(targetProcessName) .then(session => { // 创建一个脚本对象 const script = session.createScript(` // 找到目标函数 const targetFunction = Module.findExportByName(null, "${targetFunctionName}"); // 替换目标函数的实现 Interceptor.replace(targetFunction, new NativeCallback(() => { // 修改函数的行为,这里可以写你想要的逻辑 console.log("Function ${targetFunctionName} hooked!"); // 调用原始函数 const originalFunction = new NativeFunction(targetFunction, 'void', []); originalFunction.call(); // 可以在这里添加你的自定义代码 }, 'void', [])); }); // 加载并运行脚本 script.load() .then(() => { console.log("Script loaded successfully!"); }) .catch(error => { console.log(`Script error: ${error}`); }); }) .catch(error => { console.log(`Attach error: ${error}`); }); ``` 在上面的代码中,我们首先导入了Frida模块,然后指定了目标进程的名称和要hook的函数名称。然后我们使用`frida.attach()`函数来连接到目标进程,并创建一个脚本对象。在脚本中,我们使用`Module.findExportByName()`函数来找到目标函数,然后使用`Interceptor.replace()`函数替换目标函数的实现。在替换的实现中,我们可以添加一些自定义的逻辑以修改函数的行为。 最后,我们使用`script.load()`函数加载并运行脚本。如果一切顺利,你应该能看到"Script loaded successfully!"的输出。 这只是一个简单的例子,你可以根据你的需求进行更复杂的hook和修改。希望对你有所帮助!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值