安卓运行原理以及hook so库,hook启动阶段和重载

最新推荐文章于 2024-05-19 17:33:36 发布
最新推荐文章于 2024-05-19 17:33:36 发布
阅读量1.4k 收藏 5
点赞数 1
分类专栏: 安卓逆向 文章标签: android java frida hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44154094/article/details/120028774
版权

1.原理

在这里插入图片描述

2.常用模块

hook so库

Module模块

Module.findExportByName(moduleName|null, exportName)
	moduleName:lib名字
	exportName:函数名字
	返回exportName的地址
Module.findBaseAddress(moduleName)
	moduleName:lib名字
	返回lib的基地址

Process模块

Process.findModuleByAddress(address)
	address:lib的指针地址
	返回一个Module对象

Momery模块

Memory.readCString(pointer)
	pointer:指针地址
	把pointer还原成字符串
Memory.readUtf8String(pointer);
Memory.readAnsiString(pointer)

Interceptor模块:监听

.attach(target, callbacks)
	target:指针地址
	callbacks:回调函数
		onEnter
		onLeave

Hook的系统so

libc.so常调用的函数:

void * dlopen(const char *filename, int flag)加载动态链接库

hook app启动阶段

思路是先hook住包,然后重启

jscode= """
Java.perform(
	function(){
		var TestSig = Java.use('com.yaotong.crackme.MainActivity');
		TestSig.onCreate.overload('android.os.Bundle').implementation = function(){
			send('i am here')
			return true;
		}
	}
)

"""
device = frida.get_usb_device()
//先hook住
pid = device.spawn(['com.yaotong.crackme'])
process = device.attach(pid)

script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running CTF')
script.load()
、、 然后重启
device.resume(pid)
sys.stdin.read()

打印地址js代码

//打印基地址
var base_address = Module.findBaseAddress('libc.so')
send('base_address:'+base_address)
//打印dlopen地址
var mod_address = Module.findExportByName('libc.so', 'dlopen');
send('mod_address:'+ mod_address);
//打印module地址
var lib_module = Process.findModuleByAddress(base_address);
send('lib_module_name:' + lib_module.name)
//监听
Interceptor.attach(mod_address, {
	onEnter: function(args){
		send("open(" + Memory.readUtf8String(args[0]) + "," + args[1] + ")")
	},
	onLeave:function(retval){
		send("retval:" + retval)
	}
})

如何进行重载

function printstack(){
	send(Java.use('android.util.Log').getStackString(Java.use('java.lang.Exception').$new()))
}
function array2string(array){
	var buffer = Java.array('byte', array)
	var result = ""
	for(var i=0;i<buffer.length;i++){
		result += (String.fromCharCode(buffer[i]))
	}
	return result
}

Java.perform(
	function(){
		var MessageDigest = Java.use('java.security.MessageDigest');
		//重载
		MessageDigest.update.overload('[B').implementation = function(bytesarray){
			send('i am here 0')
			send('orig:' + array2string(bytesarray))
			printstack()
			this.update(bytesarray)
		},
		MessageDigest.update.overload('byte').implementation = function(bytesarray){
			send('i am here 1')
			send('orig:' + array2string(bytesarray))
			printstack()
			this.update(bytesarray)
		},
		MessageDigest.update.overload('java.nio.ByteBuffer').implementation = function(bytesarray){
			send('i am here 2')
			send('orig:' + array2string(bytesarray))
			printstack()
			this.update(bytesarray)
		},
		MessageDigest.update.overload('[B', 'int', 'int').implementation = function(bytesarray){
			send('i am here 3')
			send('orig:' + array2string(bytesarray))
			printstack()
			this.update(bytesarray)
		},
		MessageDigest.getInstance.overloads[0].implementation = function(algorithm){
			send('i am here 4');
			send('call ->getInstance for:' + algorithm)
			return this.getInstance.overloads[0].apply(this, arguments)
		}
	}
)

getExportByName: 返回名为 exportName 的导出的绝对地址。 如果找不到这样的导出,找不到抛出异常

findExportByName: 返回名为 exportName 的导出的绝对地址。 如果找不到这样的导出,找不到就返回null

小生听雨园
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android native hook
03-31
android hook 源码 自己都没有c币去下载了,所以就要1分吧
安卓逆向Hook So层方法
weixin_43169858的博客
05-12 1465
Android逆向工程中,对so层(共享层)的hook是一种常见的技术手段。对so层的hook常常使用的工具是frida和Xposed。下面是一个关于如何使用FridaAndroid应用的so文件进行hook的简单教程。
Frida框架 -So-API(常用函数总结)
最新发布
SXXYNHHXX的博客
05-19 462
Hook libart 来Hook jni相关函数。inlineHook与寄存器Hookfrida API 写文件。Hook libc 写文件。so层主动调用任意函数。
HOOK安卓so的至少5个函数
唐伯虎点蚊香
11-14 2635
open popen fopen system JNI中的FindClass
linux 子进程hook,hookso: hookso是一个Linux动态链接的注入修改查找工具,用来修改其他进程的动态链接行为...
weixin_29055137的博客
04-30 302
hooksohookso是一个linux动态链接的注入修改查找工具,用来修改其他进程的动态链接行为。功能让某个进程执行系统调用让某个进程执行.so的某个函数给某个进程挂接新的.so卸载某个进程的.so把旧.so的函数替换为新.so的函数复原.so的函数替换查找.so的函数地址编译git clone代码,运行脚本,生成hookso以及测试程序# ./build.sh# cd test &...
小肩膀安卓逆向frida专题so层hook HookTestDemo hooktestdemo 实战练习用的例子
12-04
安卓系统中,`SO`文件(也称为`.so`)是用C/C++编写的,它们在运行时被加载到进程内存中,提供Java层无法直接实现的原生功能。通过`hook`这些`SO`中的函数,我们可以监控或修改应用的行为,这对于逆向工程、安全...
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
标题“IDT hook_hookidt_idtHook_重载IDT中断表_hook_”暗示了我们将探讨如何挂钩(hook)IDT来重载中断处理程序。在Windows和Linux等操作系统中,通过改变IDT中的条目,我们可以替换默认的中断处理程序,达到拦截...
qidong.rar_启动dll线程_线程HOOK
09-23
总的来说,理解和掌握DLL线程的启动以及线程HOOK的使用,对于Windows平台的软件开发人员来说至关重要。通过这样的技术,开发者能够更灵活地管理代码,实现复杂的功能,并对系统的运行状态进行深入洞察。在实际项目中...
python学习之hook钩子的原理和使用
09-20
主要为大家详细介绍了python学习之hook钩子的原理和使用,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Android Hook Activity 启动劫持
02-27
总的来说,Android Hook Activity启动劫持是一种深度定制Android系统行为的技术,它依赖于动态代理和AMS的Binder机制。正确且谨慎地使用这一技术,可以帮助开发者更深入地理解和控制Android系统的运行
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
android pie so文件,Android实现so的hookAndroid-Inline-Hook的使用)
weixin_39616367的博客
05-27 581
需求:给一个目标apk,要求hook它的native层代码,但是不能修改它原本的so文件。实现方法:通过/proc/pid/maps查看目标so文件加载到内存的基址,然后利用ida查看目标函数在so文件的内存偏移,两个数字相加得到目标函数的内存地址,然后利用Android-Inline-Hook框架编写c文件,编译生成so文件,再修改apk中的smali文件,加载我们的so文件,从而达到hook的...
手把手讲解 Android Hook-Activity的启动流程
feelinghappy的专栏
10-24 823
前言 手把手讲解系列文章,是我写给各位看官,也是写给我自己的。文章可能过分详细,但是这是为了帮助到尽量多的人,毕竟工作5,6年,不能老吸血,也到了回馈开源的时候. 这个系列的文章: 1、用通俗易懂的讲解方式,讲解一门技术的实用价值 2、详细书写源码的追踪,源码截图,绘制类的结构图,尽量详细地解释原理的探索过程 3、提供Github 的 可运行的Demo工程,但是我所提供代码,更多是提供思路,抛砖引玉,请酌情cv 4、集合整理原理探索过程中的一些坑,或者demo的运行过程中的注意事项 5、用gif图,最直
python hook app_HOOK框架---frida---hookappso文件的使用案例
weixin_39641103的博客
12-16 513
Apple iPhone 11 (A2223) 128GB 黑色 移动联通电信4G手机 双卡双待4999元包邮去购买 >这才是现在爬虫,博客园那些发的是什么垃圾玩意一.起因今天爬取app时候他的加密aes秘钥在so层没办法只有hook他二.代码+注释js代码Java.perform(function(){var soAddr = Module.findBaseAddress("libJNIE...
简单进行曲/Android对so进行简单hook_0基础白帽子教程
程序员三九的博客
05-17 973
1、什么是HookHook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为
移动安全-Frida hook安卓So层函数实战
道阻且长,行则将至。
04-10 7241
文章目录前言Hook So有导出so层hook无导出so层hookSo层实战hook脚本的编写hook脚本的效果总结 前言 我在前面的一篇博客 CTF逆向-EasySo攻防世界SO层反汇编 中记录了对一道 CTF 逆向题目的 Android APP 的 So 层函数进行基础的逆向分析的过程,通过 IDA 反汇编查看 So 层代码并分析获得了 Flag 值。 生命在于折腾~本文将记录尝试通过 Frida hook 目标 APP 的 So 层函数并直接修改返回值(如同以前熟悉的 hook Java 层的函数一
Android逆向之破解某应用加密算法(动态调试so和hook so代码)
Tomes.V.White
03-31 4879
转载自:http://www.520monkey.com/archives/1310 一、样本静态分析 最近有位同学发了一个样本给我,主要是有一个解密方法,把字符串加密了,加解密方法都放在so中,所以之前也没怎么去给大家介绍arm指令和解密算法等知识,正好借助这个样本给大家介绍一些so加密方法的破解,首先我们直接在Java层看到加密信息,这个是这位同学直接告诉我这个类,我没怎么去搜了: ...
学习笔记-libc框架层的Hook利用
人饭子的博客
11-11 621
系统框架层native hook libc函数符号hook libc函数参数、返回值打印和替换 主动调用libc读写文件 hook linker dlopen frida-trace 引入例子,先hook pthread这个libc函数,流程个人理解是,先看函数是否导出,如果导出可以直接使用frida api获得函数地址,至于是否导出,objection安排上,没导出,那就直接枚举so的...
运行hook 动态
10-28
运行hook 动态是一种动态修改程序运行过程中函数行为的技术。在运行时,动态通过修改函数的代码或者替换函数的入口地址来改变函数的行为。这在许多场景中非常有用,比如在调试程序、分析程序行为或者实现动态插桩等方面。 要实现运行hook 动态,一般需要以下步骤: 1. 加载目标程序和目标函数所在的动态。可以使用诸如`dlopen()`函数之类的函数来加载动态,并使用`dlsym()`函数获取目标函数的地址。 2. 修改目标函数的代码或者替换函数的入口地址。可以通过修改函数的二进制代码来实现,也可以通过将目标函数的入口地址替换为自定义的函数地址来完成。这样,在程序执行到目标函数时,将会跳转到我们自己的代码中执行。 3. 编写自定义的代码来替代目标函数的行为。自定义的代码可以实现各种功能,比如记录函数调用信息、修改函数参数或返回值等。 4. 执行目标程序。当目标程序执行到目标函数时,会跳转到自定义的代码中执行。我们可以在自定义的代码中改变函数的行为,或者在执行完自定义代码后再调用原始的目标函数来实现原功能。 总之,运行hook 动态是一种强大的技术,可以在不修改目标程序源代码的情况下改变程序的行为。通过加载目标程序和动态,并修改目标函数的代码或替换入口地址,可以实现自定义的功能。这为调试、分析和插桩等应用场景提供了很大的便利。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值