安卓逆向高阶之frida hook java层

最新推荐文章于 2024-04-07 16:06:52 发布
最新推荐文章于 2024-04-07 16:06:52 发布
阅读量1.3k 收藏 6
点赞数 1
分类专栏: 安卓逆向 文章标签: java android 安卓逆向
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/weixin_44327634/article/details/129716041
版权

文章目录

1. 初次hook Java 层函数

在这里插入图片描述

登录走else if 逻辑,hook a 方法

function hook_java() {
    Java.perform(function () {
        console.log('进入hook。。。')
        var LoginActivity = Java.use("com.example.androiddemo.Activity.LoginActivity");
        console.log(LoginActivity);
        LoginActivity.a.overload('java.lang.String', 'java.lang.String').implementation = function (str, str2) {
        // LoginActivity.a.implementation = function(str, str2) {
            var result = this.a(str, str2);     //调用原来的函数
            console.log("LoginActivity.a:", str, str2, result);
            return result;
        };
    

        console.log("hook_java");
    });
}

手机端随便输入用户名和密码:
在这里插入图片描述

frida

在这里插入图片描述

发现a方法的两个入参都是用户名,后面那个就是加密后的密码

可以复制一下这个密码登录,还用111做用户名:

在这里插入图片描述

成功进入第一关。

2. hook 修改函数返回值

点击第一关显示 Check Failed! 还进不了下一关,
在这里插入图片描述

跳到FridaActivity1声明:

在这里插入图片描述

我们还需要hook这里面的a方法的返回值让它恒等于那串字符串就ok了,接着往下写

function hook_java() {
    Java.perform(function () {
        console.log('进入hook。。。')
        var LoginActivity = Java.use("com.example.androiddemo.Activity.LoginActivity");
        console.log(LoginActivity);
        LoginActivity.a.overload('java.lang.String', 'java.lang.String').implementation = function (str, str2) {
        // LoginActivity.a.implementation = function(str, str2) {
            var result = this.a(str, str2);     //调用原来的函数
            console.log("LoginActivity.a:", str, str2, result);
            return result;
        };
        console.log('aaaaaaaa66666')

        var FridaActivity1 = Java.use("com.example.androiddemo.Activity.FridaActivity1");
        console.log(FridaActivity1);

        //hook函数,没有调用原来的函数,直接返回值
        FridaActivity1.a.implementation = function (barr) {
            console.log("FridaActivity1.a");
            return "R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=";
        };

        console.log("hook_java");
    });
}

运行后再点击成功进入第2关,

在这里插入图片描述

3. hook调用静态函数和非静态函数

进入第三关同理,需要我们跳到FridaActivity2的声明里看代码逻辑:

在这里插入图片描述

静态函数直接use class然后调用方法,非静态函数需要先choose实例然后调用。

hook代码:

function call_FridaActivity2() {
    //主动调用函数
    Java.perform(function () {
        console.log('进入hook FridaActivity2。。。')
        var FridaActivity2 = Java.use("com.example.androiddemo.Activity.FridaActivity2");
        FridaActivity2.setStatic_bool_var();    //调用静态函数
        
		// 调用非静态函数
        Java.choose("com.example.androiddemo.Activity.FridaActivity2", {
            onMatch: function (instance) {
                instance.setBool_var();
            },
            onComplete: function () {

            }
        });
        console.log('hook FridaActivity2结束')
    });
}

运行frida:

在这里插入图片描述

手机端点击一下就可以进入下一关了:

在这里插入图片描述

4. hook设置成员变量

跳转到下一关即第3关声明代码:
在这里插入图片描述

这里可以看出我们需要hook的是: static_bool_var 、bool_var和same_name_bool_var 三个成员变量。

注意:

设置成员变量的值,写法是xx.value = yy,其他方面和函数一样。

如果有一个成员变量和成员函数的名字相同,则在其前面加一个下划线

function call_FridaActivity3() {
    Java.perform(function () {
        console.log('进入hook call_FridaActivity3 ...')
        var FridaActivity3 = Java.use("com.example.androiddemo.Activity.FridaActivity3");
        FridaActivity3.static_bool_var.value = true;        //设置静态成员变量

        console.log('当前FridaActivity3.static_bool_var的值:',FridaActivity3.static_bool_var.value);

        Java.choose("com.example.androiddemo.Activity.FridaActivity3", {
            onMatch: function (instance) {
                //设置非静态成员变量的值
                instance.bool_var.value = true;
                //设置有相同函数名的成员变量的值 (成员变量和成员函数的名字相同,则在其前面加一个下划线)
                instance._same_name_bool_var.value = true;
                console.log('当前same_name_bool_var的值:', instance._same_name_bool_var.value);
                console.log('当前bool_var的值:',instance.bool_var.value);
            },
            onComplete: function () {

            }
        });
        console.log('hook call_FridaActivity3完成')
    });
}

运行frida:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cV6ouLCT-1679480288662)(npm install frida.assets/image-20230322145216804.png)]

手机再点击就可以进入第四关了:

在这里插入图片描述

5. hook内部类

跳转到第四关的声明:

在这里插入图片描述

这里需要hook内部类的check1() - check6()

hook代码:

function hook_InnerClasses() {
    Java.perform(function () {
        console.log('hook进入 hook_InnerClasses')
        //hook内部类
        var InnerClasses = Java.use("com.example.androiddemo.Activity.FridaActivity4$InnerClasses");
        console.log('innerClasses',InnerClasses);
        InnerClasses.check1.implementation = function () {
            return true;
        };
        InnerClasses.check2.implementation = function () {
            return true;
        };
        InnerClasses.check3.implementation = function () {
            return true;
        };
        InnerClasses.check4.implementation = function () {
            return true;
        };
        InnerClasses.check5.implementation = function () {
            return true;
        };
        InnerClasses.check6.implementation = function () {
            return true;
        };
        console.log('hook_InnerClasses完成')
    });
}

或者枚举

function hook_mul_function() {
    Java.perform(function () {
        //hook 类的多个函数
        var class_name = "com.example.androiddemo.Activity.FridaActivity4$InnerClasses";
        var InnerClasses = Java.use(class_name);
        var all_methods = InnerClasses.class.getDeclaredMethods();
        for (var i = 0; i < all_methods.length; i++) {
            var method = (all_methods[i]);
            var methodStr = method.toString();
            var substring = methodStr.substr(methodStr.indexOf(class_name) + class_name.length + 1);
            var methodname = substring.substr(0, substring.indexOf("("));
            console.log(methodname);

            InnerClasses[methodname].implementation = function () {
                console.log("hook_mul_function:", this);
                return true;
            }

        }

    });
}

运行后成功hook,手机就可点击进入下一关:

在这里插入图片描述

6. hook 动态加载dex

跳转到第5关的声明:

在这里插入图片描述

想通过就走else if 逻辑,getDynamicDexCheck().check() 这个是动态加载dex ,调用check()方法,返回参数满足条件语句则通关成功。

可以通过enumerateClassLoaders来枚举加载进内存的classloader,再loader.findClass(xxx)寻找是否包括我们想要的interface的实现类,最后通过Java.classFactory.loader = loader来切换classloader,从而加载该实现类。

hook代码:

function hook_dyn_dex() {
    Java.perform(function () {
        console.log('hook进入 FridaActivity5...')
        var FridaActivity5 = Java.use("com.example.androiddemo.Activity.FridaActivity5");
        Java.choose("com.example.androiddemo.Activity.FridaActivity5", {
            onMatch: function (instance) {
                console.log('instance.getDynamicDexCheck().$className-->',instance.getDynamicDexCheck().$className);
            }, onComplete: function () {

            }
        });


        //hook 动态加载的dex
        Java.enumerateClassLoaders({
            onMatch: function (loader) {
                try {
                    if (loader.findClass("com.example.androiddemo.Dynamic.DynamicCheck")) {
                        console.log('loader-->',loader);
                        Java.classFactory.loader = loader;      //切换classloader
                    }
                } catch (error) {

                }

            }, onComplete: function () {

            }
        });

        var DynamicCheck = Java.use("com.example.androiddemo.Dynamic.DynamicCheck");
        console.log('DynamicCheck--->',DynamicCheck);
        DynamicCheck.check.implementation = function () {
            console.log("进入DynamicCheck.check");
            return true;
        }
        console.log("hook dex完成");
    });
}

在这里插入图片描述

接着点击就可以进入下一关了:

在这里插入图片描述

7. 枚举class

跳转到第6关的声明:

在这里插入图片描述

Frida6Class0、Frida6Class1、Frida6Class2都是下面这种形式
在这里插入图片描述

可以挨个hook静态函数

function hook_FridaActivity6() {
    Java.perform(function () {
        console.log('进入hook_FridaActivity6')
        var Frida6Class0 = Java.use("com.example.androiddemo.Activity.Frida6.Frida6Class0");
        Frida6Class0.check.implementation = function () {
            return true;
        };
        var Frida6Class1 = Java.use("com.example.androiddemo.Activity.Frida6.Frida6Class1");
        Frida6Class1.check.implementation = function () {
            return true;
        };
        var Frida6Class2 = Java.use("com.example.androiddemo.Activity.Frida6.Frida6Class2");
        Frida6Class2.check.implementation = function () {
            return true;
        };
        console.log('hook_FridaActivity6 完成!')
    });
}

或者枚举class

function hook_mul_class() {
    Java.perform(function () {
        console.log('hook 进入枚举类')
        Java.enumerateLoadedClasses({
            onMatch: function (name, handle) {
                if (name.indexOf("com.example.androiddemo.Activity.Frida6") >= 0) {
                    console.log(name);
                    var fridaclass6 = Java.use(name);
                    fridaclass6.check.implementation = function () {
                        console.log("frida 6 check:", this);
                        return true;
                    };
                }

            }, onComplete: function () {

            }
        })
        console.log('hook6 完成!')
    });
}

在这里插入图片描述

之后再点击就可以进入下一关了:

在这里插入图片描述

到第7关结束。

冰履踏青云
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
小肩膀安卓逆向frida专题so层hook HookTestDemo hooktestdemo 实战练习用的例子
12-04
小肩膀安卓逆向frida专题so层hook HookTestDemohooktestdemo 实战练习用的例子看课程学习的时候没有个好用的例子,非常的不方便,分享给大家
5、frida-Android逆向之旅---Hook神器家族的Frida工具使用详解
热门推荐
键盘的起始页
03-07 1万+
本文转载自:https://www.cnblogs.com/qwangxiao/p/9255328.html 一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个...
Frida Hook Java
qq_45414878的博客
12-19 2074
hook简述 Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。 要实现钩子函数,有两个步骤:  1. 利用系统内部提供的接口,通过实现该接口,然后注入进系统(特定场景下使用)  2. 动态代理(使用所有场景) 本次测试用到的工具有: ​ 夜神模拟器 ​ frida15.0.9 ​ GDA ​ adb Ja
Frida Hook Java层的加密算法 通杀自吐脚本
杰孑的博客
04-07 473
1.找到App软件的包名,填入程序中启动 2.找到需要hook的位置运行程序 3.分析打印结果(输出较多,一般直接搜索加密生成的值)
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 6525
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
Frida-API之JavaHook
qq_41733095的博客
08-13 1388
使用Java.array(“类型”,[实例对象,实例对象])/*** 可省略描述符 [name,age] == Java.array('java.lang.Object',[name,age])* 可变参数本质上就是数组,按数组处理即可* 基本数据类型数据要使用其包装类构造 Java.use('java.lang.Integer').$new(18)* 类型可以是"java.lang.Object",也可以是"Ljava/lang/Object;*/});
Frida-JavaHook
github_38641765的博客
06-08 466
Frida使用
Frida Android hook
freeking101的博客
07-19 9198
本篇文章学到的内容来自且完全来自r0ysue的知识星球,推荐一下。 Frida 环境 github 地址:https://github.com/frida/frida pyenv python 全版本随机切换,这里提供macOS上的配置方法 brew update brew install pyenv echo -e 'if command -v pyenv 1>/dev/null 2>&1; then\n eval "$(p...
安卓逆向学习笔记之Frida Stalker Trace算法.docx
03-19
安卓逆向学习笔记之Frida Stalker Trace算法.docx
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
03-09
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
安卓逆向学习笔记之Frida Stalker 还原OLLVM AES.docx
最新发布
04-26
安卓逆向学习笔记之Frida Stalker 还原OLLVM AES.docx
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
03-10
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
安卓逆向——Frida hook java
Hacker_by_V的博客
09-18 401
各位爱好安卓逆向的大佬们早上好,今天呢小弟不才在这里拙劣的给大家讲解一下咱们frida hook java层,望不嫌弃! 目录 1、分析目标app程序 2、编写hook代码 3、运行命令开始hook 分析目标app程序 首先呢我们来了解一下分析目标app程序一个目的。为什么要去分析目标app代码逻辑呢?原因是我们要找到hook的具体类以及方法名,参数等这些基本信息,这样才能达到我们的hook目的。 编写hook代码 编写hook代码的时候,我们此处列举了: A、普通方法 B、构造方法 C、重载方法 D、构造
frida hook java 函数_Frida Hook的使用方法
weixin_33318791的博客
02-23 1019
一、Frida支持的功能及作用1二、安装和搭建Python环境1三、安装和搭建Frida环境21.安装pip22.安装frida23.验证frida是否安装成功34.卸载frida35.获取frida安装版本对应的frida-server版本36.验证frida是否能正常使用37.Frida JavaScript API的官网48.Ubuntu环境修改系统默认python版本...
Frida hook Java
YJJYXM的博客
12-17 1185
Frida hook Java层包括Hook普通方法(包含静态方法)、构造方法、重载方法、以及构造对象参数和修改对象属性象参数。
使用frida工具对Android应用进行Hook
heppyshow_myself的博客
08-05 856
Frida hook Android Java函数 Frida 环境搭建介绍 1、首先需要去github下载frida server文件,下载链接如下https://github.com/frida/frida/releases,根据Android手机不同的CPU架构选择合适的frida-server文件 2、通过adb push 命令将下载好的frida-server文件传到手机设备中,设置frida-server文件的执行权限 3、电脑安装python pip 4、使用pip安装frida (pip i
frida hook java 函数_使用 FridaHook Java 类中的构造函数(构造函数带重载),获取解密后的js脚本...
weixin_34517745的博客
02-16 884
一个APP使用了Auto.js 的加密脚本。我们的任务是将其加密脚本进行解密并dump出来。在 https://www.52pojie.cn/thread-1112407-1-1.html 一文中,介绍了 Auto.js 脚本解密的过程,并使用了 Xposed 对解密后的脚本进行了提取。但当前所使用的手机并没有 Xposed , 只好通过 Frida 来自力更生进行提取。话不多说,通过 jadx...
frida hook java 函数_frida hook常用函数分享
weixin_39542742的博客
02-23 1046
本帖最后由 骇客之技术 于 2020-6-12 13:33 编辑1. 免写参数[JavaScript] 纯文本查看 复制代码// 函数原型 encodeRequest(int i, String str, String str2, String str3, String str4, String str5, byte[] bArr, int i2, int i3, String str6, byt...
frida hook java层aes代码
06-07
以下是使用Frida hook Java层AES加密函数的JavaScript代码示例: ```javascript Java.perform(function() { // 找到目标类 var targetClass = Java.use("com.example.MyClass"); // hook目标函数 targetClass...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冰履踏青云

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值