Frida的相关API学习记录

最新推荐文章于 2023-06-13 10:07:56 发布
最新推荐文章于 2023-06-13 10:07:56 发布
阅读量628 收藏 3
点赞数
分类专栏: 点点滴滴在成长 文章标签: 学习 javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44589776/article/details/128371029
版权

01 静态方法和实列方法的Hook

不需要区分修饰符,也不需要区分静态和实列方法,Hook代码的写法一模一样的

var money = Java.use("com.xiaojianbang.hook.Money");
    //hook实例方法
    money.getInfo.implementation = function () {
        var result = this.getInfo();
        console.log("money.getInfo result: ", result)
        return result;
    }
    //hook静态方法
    money.setFlag.implementation = function (a) {
        console.log("money.setFlag param: ", a);
        return this.setFlag(a);
    }

02函数参数和返回值的修改

var money = Java.use("com.xiaojianbang.hook.Money");
    var str = Java.use("java.lang.String");
    money.getInfo.implementation = function () {
        var result = this.getInfo();
        console.log("money.getInfo result: ", result);
     `  return str.$new("xiaojianbang");`
        //上述字符串"xiaojianbang"是JS的string,而被hook的Java方法返回值是Java的String
        //因此,可以主动调用Java方法转成Java的String
        //但是为了方便起见,通常会直接直接返回JS的string,这时frida会自动处理,代码类似如下
        //return "xiaojianbang";
        //Java的类型可以调用Java的方法,JS的类型可以调用JS的方法
        //区分清楚何时是Java的类型,何时是JS的类型,有助于代码的编写
        //frida在参数传递的处理上也类似
    }
    money.setFlag.implementation = function (a) {
        console.log("money.setFlag param: ", a);
        return this.setFlag("xiaojianbang");
    }

03构造方法的hook $init

 var money=Java.use("类名全路径");
	 money.$init.implementation=function(a,b){
 		return this.$init("参数1","参数2")
 	 }

04 对象参数的构造与修改 $new

 var wallet=Java.use("类名全路径");
 var money=Java.use("类名全路径");
 //对象修改
wallet.deposit.implementation=function(a){
     return this.deposit(money.$new("1","2"));
}
//参数修改
 var wallet = Java.use("com.xiaojianbang.hook.Wallet");
    wallet.deposit.implementation = function (a) {
      `  a.setAmount(2000);`
        console.log("wallet.deposit param: ", a.getInfo());
        return this.deposit(a);
    }

05HashMap打印

var utils = Java.use("com.xiaojianbang.hook.Utils");
    var stringBuilder = Java.use("java.lang.StringBuilder");
    utils.shufferMap.implementation = function (a) {
        var key = a.keySet();
        var it = key.iterator();
        var result = stringBuilder.$new();
        while(it.hasNext()){
            var keystr = it.next();
            var valuestr = a.get(keystr);
            result.append(valuestr);
        }
        console.log("utils.shufferMap param: ", result.toString());
        var result = this.shufferMap(a);
        console.log("utils.shufferMap result: ", result);
        return result;
    }

06 方法重载的Hook

var utils = Java.use("com.xiaojianbang.hook.Utils");
    utils.getCalc.overload('int', 'int').implementation = function (a, b) {
        console.log("utils.getCalc param: ", a, b);
        return this.getCalc(a, b);
    }
    utils.getCalc.overload('int', 'int', 'int').implementation = function (a, b, c) {
        console.log("utils.getCalc param: ", a, b, c);
        return this.getCalc(a, b, c);
    }
    utils.getCalc.overload('int', 'int', 'int', 'int').implementation = function (a, b, c, d) {
        console.log("utils.getCalc param: ", a, b, c, d);
        return this.getCalc(a, b, c, d);
    }

07 hook方法的所有加载

 var utils = Java.use("com.xiaojianbang.hook.Utils");
   ` var overloadsArr = utils.getCalc.overloads;`
    for (var i = 0; i < overloadsArr.length; i++) {
        overloadsArr[i].implementation = function () {
            showStacks();
            var params = "";
            for (var j = 0; j < arguments.length; j++) {
                params += arguments[j] + " ";
            }
            console.log("utils.getCalc is called! params is: ", params);
            // if(arguments.length == 2){
            //     return this.getCalc(arguments[0], arguments[1]);
            // }else if(arguments.length == 3){
            //     return this.getCalc(arguments[0], arguments[1], arguments[2]);
            // }else if(arguments.length == 4){
            //     return this.getCalc(arguments[0], arguments[1], arguments[2], arguments[3]);
            // }
            console.log(this);
            return this.getCalc.apply(this, arguments);
        }
    }

08 主动调用

  1. 静态方法,直接调用
 var money = Java.use("com.xiaojianbang.hook.Money");
 money.setFlag("xiaojianbang");
  1. 实列方法,方法1为创建新对象(一般不用)\
var moneyObj = money.$new("卢布", 1000);
    console.log(moneyObj.getInfo());
  1. 实列方法,获取已有对象(Java.choose)
    Java.choose
  Java.choose("类名全路径",{
	  onMatch: function (obj){
            console.log(obj.getInfo());
        },
        onComplete: function (){
            console.log("内存中的Money对象搜索完毕");
        }
    });

09 获取和修改类的字段名

  1. 静态字段
    value
var money = Java.use("com.xiaojianbang.hook.Money");
        console.log(money.flag.value);
        money.flag.value = "VX: xiaojianbang8888";
        console.log(money.flag.value);
  1. 实例字段 创建新对象(一般不用)
 var moneyObj = money.$new("欧元", 2000);
        console.log(moneyObj.currency.value);
        moneyObj.currency.value = "xiaojianbang currency";
        console.log(moneyObj.currency.value);
  1. 实列字段,获取已有对象(正常用)
Java.choose("com.xiaojianbang.hook.Money", {
            onMatch: function (obj) {
                console.log("Java.choose Money: ", obj.currency.value);
            }, onComplete: function () {
            }
        });
        // 如果字段名和方法名一样 需要加下划线前缀
        ` Java.choose`
        Java.choose("com.xiaojianbang.hook.BankCard", {
            onMatch: function (obj) {
                console.log("Java.choose BankCard: ", obj._accountName.value);
            }, onComplete: function () {

            }
        });

10 hook内部类与匿名类

$ 内部类

Java.choose("com.xiaojianbang.hook.Wallet$InnerStructure", {
            onMatch: function (obj) {
				console.log(
							"Java.choose Wallet$InnerStructure: ", obj.bankCardsList.value
					);
        	    }, onComplete: function () {
            }
        });

$1 匿名类

 var money$1 = Java.use("com.xiaojianbang.app.MainActivity$1");
        money$1.getInfo.implementation = function () {
            var result = this.getInfo();
            console.log("money.getInfo result: ", result);
            return result;
        }

11 枚举所有已加载的类与枚举类的所有方法

   1. 枚举的是已经加载的类,没有加载的类不会出现
   2. 出现的类,你也不一定能够hook到,原因是类加载器的关系
`Java.enumerateLoadedClassesSync()`
console.log(Java.enumerateLoadedClassesSync().join("\n"));
        var wallet = Java.use("com.xiaojianbang.hook.Wallet");
        var methods = wallet.class.getDeclaredMethods();
        var constructors = wallet.class.getDeclaredConstructors();
        var fields = wallet.class.getDeclaredFields();
        var classes = wallet.class.getDeclaredClasses();

12 hook类的所有方法

.overloads

 function hookFunc(methodName) {
        console.log(methodName);
        var overloadsArr = utils[methodName].overloads;
        for (var j = 0; j < overloadsArr.length; j++) {
            overloadsArr[j].implementation = function () {
                var params = "";
                for (var k = 0; k < arguments.length; k++) {
                    params += arguments[k] + " ";
                }
                console.log("utils." + methodName + " is called! params is: ", params);
                return this[methodName].apply(this, arguments);
            }
        }
    }
    var utils = Java.use("com.xiaojianbang.hook.Utils");
    var methods = utils.class.getDeclaredMethods();
    for (var i = 0; i < methods.length; i++) {
        var methodName = methods[i].getName();
        hookFunc(methodName);
    }

13 注入类 Java.registerClass(一般不用这个)

 const MyWeirdTrustManager = Java.registerClass({
        name: 'com.xiaojianbang.app.MyRegisterClass',
        implements: [Java.use("com.xiaojianbang.app.TestRegisterClass")],
        fields: {
            description: 'java.lang.String',
            limit: 'int',
        },
        methods: {
            $init() {
                console.log('Constructor called');
            },
            test1: [{
                returnType: 'void',
                argumentTypes: [],
                implementation() {
                    console.log('test1 called');
                }
            }, {
                returnType: 'void',
                argumentTypes: ['java.lang.String', 'int'],
                implementation(str, num) {
                    console.log('test1(str, num) called', str, num);
                }
            }],
            test2(str, num) {
                console.log('test2(str, num) called', str, num);
                return null;
            },
        }
    });
    var myObj = MyWeirdTrustManager.$new();
    myObj.test1();
    myObj.test1("xiaojianbang1", 100);
    myObj.test2("xiaojianbang2", 200);
    myObj.limit.value = 10000;
    console.log(myObj.limit.value);

14 Frida 注入dex

   Java.openClassFile("/data/local/tmp/patch.dex").load();
    var test = Java.use("com.xiaojianbang.myapplication.Test");
    var utils = Java.use("com.xiaojianbang.hook.Utils");
    utils.shufferMap.implementation = function (map) {
        var result = test.print(map);
        console.log(result);
        return result;
    }

15 hook枚举类(Java.choose)

Java.choose("com.xiaojianbang.app.Season", {
        onMatch: function (obj) {
            console.log(obj.ordinal());
        }, onComplete: function () {

        }
    })
    console.log(Java.use("com.xiaojianbang.app.Season").values());

16 Frida写文件

var ios = new File("/sdcard/xiaojianbang.txt", "w");
ios.write("xiaojianbang is very good!!!\n");
ios.flush();
ios.close();

17 Java.cast

向上转型的,不能用toString直接得到结果,比如Map、List类型的打印
    var utils = Java.use("com.xiaojianbang.hook.Utils");
    utils.shufferMap2.implementation = function (map) {
        console.log("map: ", map);
        var result = Java.cast(map, Java.use("java.util.HashMap"));
        console.log("map: ", result);
        return this.shufferMap2(result);
    }

18 数组的构建

//Java.array("Ljava.lang.Object;", ...)
var utils = Java.use("com.xiaojianbang.hook.Utils");
//console.log(
//	utils.myPrint(["xiaojianbang", "QQ:24358757", "VX:xiaojianbang8888", "公众号:非攻code"])
//);
var strarr = Java.array(
	"Ljava.lang.String;", 
	["xiaojianbang", "QQ:24358757", "VX:xiaojianbang8888", "公众号:非攻code"]
);
console.log(utils.myPrint(strarr));

19 Object数组的构建

可变参数本质上就是数组,按数组处理即可
    只需要处理基本数据类型的包装,其他的Frida会处理
var utils = Java.use("com.xiaojianbang.hook.Utils");
var bankCard = Java.use("com.xiaojianbang.hook.BankCard");
var bankCardObj = bankCard.$new("xiaojianbang", "123456789", "CBDA", 1, "15900000000");
var integer = Java.use("java.lang.Integer");
var boolean = Java.use("java.lang.Boolean");
//var objarr = Java.array(
//	"Ljava.lang.Object;", 
//	["xiaojianbang", integer.$new(30), boolean.$new(true), bankCardObj]
//);
console.log(
utils.myPrint(["xiaojianbang", integer.$new(30), boolean.$new(true), bankCardObj])
);

20 ArrayList的主动调用

var arrayList = Java.use("java.util.ArrayList").$new();
    var integer = Java.use("java.lang.Integer");
    var boolean = Java.use("java.lang.Boolean");
    var bankCard = Java.use("com.xiaojianbang.hook.BankCard");
    var bankCardObj = bankCard.$new("xiaojianbang", "123456789", "CBDA", 1, "15900000000");
    arrayList.add("xiaojianbang");
    arrayList.add(integer.$new(30));
    arrayList.add(boolean.$new(true));
    arrayList.add(bankCardObj);
    var utils = Java.use("com.xiaojianbang.hook.Utils");
    console.log(utils.myPrint(arrayList));

21 hook动态加载的dex(Java.enumerateClassLoaders)

Java.enumerateLoadedClassesSync()枚举已加载类的结果中有,但是hook报错找不到类,可以尝试枚举ClassLoader,切换ClassLoader来hook
可以查看加载的dex所在路径
Java.enumerateClassLoaders({
    onMatch: function (loader) {
        try {
            Java.classFactory.loader = loader;
            var dynamic = Java.use("com.xiaojianbang.app.Dynamic");
            console.log("dynamic: ", dynamic);
            //console.log(dynamic.$new().sayHello());
            dynamic.sayHello.implementation = function () {
                console.log("hook dynamic.sayHello is run!");
                return "xiaojianbang";
            }
        } catch (e) {
            console.log(loader);
        }
    },
    onComplete: function () {}
});

22 让hook只在指定函数内生效

 var mainActivity = Java.use("com.xiaojianbang.app.MainActivity");
    var stringBuilder = Java.use('java.lang.StringBuilder');
    mainActivity.generateAESKey.implementation = function () {
        console.log("mainActivity.generateAESKey is called!");
        stringBuilder.toString.implementation = function () {
            var result = this.toString();
            console.log(result);
            return result;
        };
        var result = this.generateAESKey.apply(this, arguments);
        stringBuilder.toString.implementation = null;  //取消hook
        return result;
    };
明天开始写博客
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(三)主动调用静态函数和非静态函数
kfyzjd2008的博客
02-16 2690
本节接上一节课,APP进入第二关。 本节知识点为主动调用静态函数和非静态函数的实现: 观察代码可以发现关键判断点为两个变量的值是否为True,有两个改变值得函数可以调用。 hook代码: function call_FridaActivity2() { //主动调用函数 Java.perform(function () { var FridaActivity2 = Java.use("com.example.androiddemo.Activity.FridaA
10、frida主动调用函数
csweldn520的专栏
09-05 332
frida主动调用函数
Frida API进阶-文件操作
helloworlddm的博客
09-06 4380
在前面的文章中介绍了数据库的操作,这篇文章主要介绍文件的操作。 当你在使用程序的时候,可以动态修改程序的文件操作,其实是很恐怖的,比如,本来是往文件中写入100元钱,但是经过动态修改后变成了0元,据此可以脑洞大开一下。 文章目录文件和流文件File 文件和流 文件File new File(filePath, mode): open or create the file at filePath with the mode string specifying how it should be opened.
【Android】Frida Hook 文件读写操作
HWHXY的博客
06-13 2795
在挖掘客户端漏洞的时候,通常会关注应用对什么文件进行了读写操作,当我们能控制被读的文件或观测到敏感写入的文件,通常可以造成一定危害。本文详细介绍了如何通过frida监控文件读写操作。
frida复杂类型参数打印、参数转换、调用栈打印
weixin_35762183的博客
06-17 1万+
Frida是一款基于Python + JavaScript的Hook与调试框架。从Java层到Native层的Hook无所不能。我们分析app的参数加密的时候,经常使用他来帮助分析我们分析调试。 在hook我们的关键函数的时候,我们经常会把参数打和函数调用栈印出来,方便我们分析app的加密行为。 下面是总结的一些常用的方法: 参数打印问题 当参数是不是string类型的时候(HashMap、Map等),那我们打印出来查看的时候很可能显示[object Object]。 下面的一些方法可以帮助我们把他们转成s
安卓逆向学习笔记之Frida Stalker Trace算法.docx
最新发布
03-19
### 安卓逆向学习笔记之Frida Stalker Trace算法 #### 一、引言 在安卓逆向工程领域,动态分析工具如Frida因其灵活性和强大的功能备受推崇。其中,Frida Stalker作为Frida的一个重要插件,能够帮助开发者和安全...
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
03-09
### 安卓逆向学习笔记之Frida 辅助分析ollvm指令替换 #### 一、概述 本文档旨在探讨如何使用Frida工具辅助进行Android应用逆向工程中的ollvm指令替换技术。逆向工程是软件安全领域的一个重要组成部分,通过分析二...
frida 视频教程
06-30
1. **官方文档**:Frida的官方文档是学习的首要资料,详细介绍了所有API和使用方法。 2. **GitHub仓库**:Frida的GitHub页面包含最新的源码和示例脚本。 3. **社区论坛**:Frida社区论坛是提问和交流的最佳场所,...
study-of-frida:frida的脚本记录学习总结
05-08
在“study-of-frida”项目中,我们对Frida进行了深入的学习和实践,积累了丰富的脚本记录,现在就来详细解析Frida的核心概念和使用技巧。 1. **Frida简介** Frida由OllyDbg开发者 Oleksandr Mirochnyc 创建,它...
Frida 视频讲解
09-16
2. **API hooking**:通过钩子函数,Frida能够捕获并修改应用程序对特定API调用,这对于理解和控制软件的行为非常有用,特别是在逆向工程中。 3. **跨平台支持**:Frida支持多种操作系统和架构,包括Windows、...
Frida-实战】EA游戏平台的文件监控(PsExec.exe提权)
kinghzking的专栏
05-06 934
PsExec.exe 利用这个组件启动一个新的服务,该服务的权限可以被设置为 LocalSystem,这是 Windows 系统中最高的权限级别之一。一旦服务被启动,PsExec.exe 就可以在该服务的上下文中启动进程,从而获得了更高的权限。EA平台使用了很多技术,如protobuf、rpc、各种加密等,有需要分析的,可以一起探讨。,这次看清楚了,支持Android、ios、mac,唯独不支持windows!,代码下好,编译好了,结果发现,只是个文件操作的库。
dex文件格式及Frida脱壳
weixin_44154094的博客
09-04 642
Frida`脱壳 文件格式 盗用一张大佬做的图 dex 文件头包含以下各个字段: magic: 包含了 dex 文件标识符以及版本,从 0x00 开始,长度为 8 个字节 checksum: dex 文件校验码,偏移量为: 0x08,长度为 4 个字节。 signature: dex sha-1签名,偏移量为 0x0c, 长度为 20 个字节 file_szie: dex文件大小,偏移量为 0x20,长度为 4 个字节 header_size: dex文件头大小,偏移量为0x24,长度为 4 个字节,一
JS写入txt文件
热门推荐
m0_37488170的博客
07-05 2万+
一. 写入 FileSystemObject可以将文件翻译成文件流。 第一步:创建一个可以将文件翻译成文件流的对象。 var fso=new ActiveXObject(Scripting.FileSystemObject); 第二步:用于创建一个textStream 对象 Var f=fso.createtextfile(“C:\a.txt”,2,true); 参...
手把手教你使用更多的原生安卓开发app的框架frida API
pdcfighting的博客
06-21 779
点击上方“Python爬虫与数据挖掘”,进行关注回复“书籍”即可获赠Python从入门到进阶共10本电子书今日鸡汤蜡烛有心还惜别,替人垂泪到天明。大家好,我是码农星期八!本教程只用于学习探讨,不允许任何人使用技术进行违法操作,阅读教程即表示同意!前言上节课学习了如何hook关键代码定位,本节课来继续学习如何学习更多的frida API吧!官方文档frida的官方JavaS...
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2164
一、简介: 本节为延伸内容, 本节使用APP为攻防世界: APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选中代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
python之frida安卓逆向之hook大法好
云霄IT的博客
06-03 4558
pip install frida-tools pip install frida 运行以上代码安装frida
Frida简单使用
qingemengyue的博客
04-09 7765
1.得到android手机当前最前端Activity所在的进程 python文件 exampleFrida.py import frida rdev = frida.get_remote_device() front_app = rdev.get_frontmost_application() print (front_app) 2.枚举android手机所有的进程 python文件...
frida小记)学习frida中文文档
akswyh的博客
04-09 6253
Frida的动态代码执行功能,主要是在它的核心引擎Gum中用C语言来实现的。 执行脚本: import frida session = frida.attach("cat") print([x.name for x in session.enumerate_modules()]) 输出 [u'cat', …, u'ld-2.15.so'] 其中: enumerate_modules() 函数枚举当前进程中所有加载的模块。 模块枚举 enumerate_modules() 枚举内存块 enumerat
Frida JAVA API 文档
禅与计算机程序设计艺术
05-09 9482
Java Java.available: a boolean specifying whether the current process has the a Java VM loaded, i.e. Dalvik or ART. Do not invoke any other Java properties or methods unless this ...
fridaapi有哪些
03-01
Frida 是一款逆向工具,它可以用于 Android、iOS、Windows、macOS 和 Linux 等多个平台,可以对应用程序进行动态分析。以下是 Frida API 的一些常见用法: 1. Interceptor API:用于拦截和修改函数调用 2. Script API:用于编写 JavaScript 脚本,实现自定义的操作和逻辑 3. Memory API:用于读写进程的内存 4. Module API:用于获取并操作进程加载的模块 5. NativePointer API:用于表示和操作原生指针 6. Java API:用于在 Android 应用程序中调用 Java 方法 7. Objective-C API:用于在 iOS 应用程序中调用 Objective-C 方法 还有很多其他的 API 可以用于实现不同的功能,这里只是列举了一些常见的用法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值