frida之hook_RegisterNatives.js两种

已于 2024-03-19 17:35:59 修改
阅读量264 收藏 1
点赞数
文章标签: java javascript 开发语言
于 2023-05-31 12:09:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51111267/article/details/130966293
版权

目录

第一


function find_RegisterNatives(params) {
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addrRegisterNatives = null;
    for (var i = 0; i < symbols.length; i++) {
        var symbol = symbols[i];
        
        //_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi
        if (symbol.name.indexOf("art") >= 0 &&
                symbol.name.indexOf("JNI") >= 0 && 
                symbol.name.indexOf("RegisterNatives") >= 0 && 
                symbol.name.indexOf("CheckJNI") < 0) {
            addrRegisterNatives = symbol.address;
            console.log("RegisterNatives is at ", symbol.address, symbol.name);
            hook_RegisterNatives(addrRegisterNatives)
        }
    }

}

function hook_RegisterNatives(addrRegisterNatives) {

    if (addrRegisterNatives != null) {
        Interceptor.attach(addrRegisterNatives, {
            onEnter: function (args) {
                console.log("[RegisterNatives] method_count:", args[3]);
                var env = args[0];
                var java_class = args[1];
                var class_name = Java.vm.tryGetEnv().getClassName(java_class);
                //console.log(class_name);

                var methods_ptr = ptr(args[2]);

                var method_count = parseInt(args[3]);
                for (var i = 0; i < method_count; i++) {
                    var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
                    var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
                    var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));

                    var name = Memory.readCString(name_ptr);
                    var sig = Memory.readCString(sig_ptr);
                    var find_module = Process.findModuleByAddress(fnPtr_ptr);
                    console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr,  " fnOffset:", ptr(fnPtr_ptr).sub(find_module.base), " callee:", DebugSymbol.fromAddress(this.returnAddress));

                }
            }
        });
    }
}

setImmediate(find_RegisterNatives);

第二

// hook register 打印动态注册的函数地址
function hook_register(){
    // libart.so 所有导出函数表
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addr_register = null;
    for(var i = 0; i < symbols.length; i++){
        var symbol = symbols[i];
        var method_name = symbol.name;
        if(method_name.indexOf("art") >= 0){

            if(method_name.indexOf("_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi") >= 0){
                addr_register = symbol.address;
            }
        }
    }

    // 开始hook
    if(addr_register){
        Interceptor.attach(addr_register, {
            onEnter: function(args){
                var methods = ptr(args[2]);
                var method_count = args[3];
                var java_class = args[1];
                var class_name = Java.vm.tryGetEnv().getClassName(java_class);
                console.log("[RegisterNatives] method_count:", method_count);
                for(var i = 0; i < method_count; i++){
                    var fn_ptr = methods.add(i * Process.pointerSize * 3 + Process.pointerSize * 2).readPointer();
                    var find_module = Process.findModuleByAddress(fn_ptr);
                    if(i == 0){
                        console.log("module name", find_module.name);
                        console.log("module base", find_module.base);
                    }
                    console.log("\t method_name:",class_name+'.'+methods.add(i * Process.pointerSize * 3).readPointer().readCString(), "method_sign:", methods.add(i * Process.pointerSize * 3 + Process.pointerSize).readPointer().readCString(), "method_fnPtr:", fn_ptr, "method offset:", fn_ptr.sub(find_module.base));
                }
            }, onLeave(retval){

            }
        })
    }

}
setImmediate(hook_register);
云霄IT
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 3110
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
hook_ArtMethod_RegisterNative:挂钩艺术方法
05-03
hook_ArtMethod_RegisterNative 将libext.so 和libext64.so 放到 /data/app 目录下, chmod 777 , 并setenforce 0 frida -U -f 包名 -l hook_artmethod_register.js --no-pause 包含yang神的hook RegisterNatives 可以比较是否相同 参考 yang神的hook artmethod.js 来打印 ArtMethod* 得到函数的方法和签名 hook ArtMethod::RegisterNative 可以得到更多的信息,动态注册无法逃离这个函数,防止某些app自实现动态注册,不走jni的registerNatives
Frida hook_RegisterNatives方法
Codeoooo 博客
06-15 1696
Java层分析某个协议 -> 校验字段 -> 加载so 调用native函数生成 -> IDA分析对应so 找到RegisterNative的第三参数地址。app可以动态调试 用frida脚本去hook 打印出函数地址 == 在libart.so中 RegisterNatives函数下断获取想要的信息。某一个函数中有反调试并且函数体积不是很大 -> 尝试把整个函数的调用掉给NOP掉。情况1: 动态注册函数的name sig被加密 函数地址可以正常得到。一般不会在反调试函数中做一些重要的运算。
Frida hook Android so RegisterNatives
iris的博客
05-03 1203
从看雪上面看了篇文章:https://bbs.pediy.com/thread-252520.htm 于是自己动手写了一个简单的动态注册的app来实验一下: so层: mainactivity.java: 直接找到了native注册函数的地址,如果jni_onload做了混淆的话非常有用。 ...
frida- registernatives获取so层动态注册函数
weixin_38387147的博客
02-28 1492
有大哥分享了代码: ​​​​​​https://github.com/lasting-yang/frida_hook_libart 使用方式如下: frida -U -f 包名 -l hook.js --no-pause 第一种: function hook_RegisterNatives() { var symbols = Module.enumerateSymbolsSync("libart.so"); var addrRegisterNatives = null;.
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
2. **frida_hook**:表示使用Frida进行hook操作,这是Frida的核心功能之一,它能够拦截并控制目标进程中的函数调用。 3. **hook_enum**:这里的“hook枚举”指的是遍历并hook一组函数,比如一个.so库中的所有导出...
wework_hook_art.log
08-10
frida 对企业微信的hook脚本hook_art.js 的运行日志 [RegisterNatives] java_class: com.tencent.wcdb.CursorWindow name: nativeDispose sig: (J)V fnPtr: 0x8c84d2f5 module_name: libwcdb.so module_base: 0x8c...
frida_hook_fridahook_FRIDA_pen6k5_
09-30
frida_hook_fridahook_FRIDA_pen6k5_》——frida简单hook实践教程 在移动设备安全分析和逆向工程领域,Frida是一个不可或缺的工具。本教程将深入探讨如何利用Frida进行简单的hook操作,这对于逆向学习和软件调试...
frida-scripts:我的Frida.re工具脚本的集合,以促进移动应用程序的反向工程
02-02
raptor_frida_ios_trace.js 。 iOS的全功能ObjC和模块跟踪器。 raptor_frida_ios_enum.js 。 枚举ObjC类和方法的函数集合。 ios-snippets / raptor_frida_ios _ *。js 。 适用于iOS的其他脚本片段。 安卓 raptor_...
frida-server-14.2.18-android.zip
06-24
标签中的"爬虫 frida hook android"进一步强调了Frida在Android环境下的hook功能对于爬虫开发的重要性。Hook技术可以拦截并修改应用内部函数调用,这对于理解和操纵APP的内部逻辑非常有用,特别是在数据抓取和分析中...
使用frida获取jni动态注册函数的地址
weixin_42486644的博客
05-18 7804
众所周知,frida是一款跨平台的(适用于Windows,Android,IOS等等)的Hook框架,由于其使用的是ptrace注入方法,所以相比于Xposed框架,优点是Hook代码写完或修改后,不需要重启手机。由于使用的是js,python脚本语言,所以支持代码热更新(更新Hook代码时不需要重启应用)。 而我这次使用frida目的是获取Android应用里jni动态注册函数的地址,大家都知...
【Android安全】Frida Native hook汇总
Juruo@Security
03-30 1200
【Android安全】Frida Native hook汇总
Object类中的registerNatives方法的作用深入介绍
yygr的博客
01-11 519
一直以来,对Object类中的registerNatives()方法感到十分好奇,想知道它的作用到底是什么。但查阅了不少博客,目前还没找到全面彻底且浅显易懂地介绍该方法作用的博客。于是就有了写本文的想法。本文不会直接给出结论,而是按照探索的过程为线索,娓娓道来。 其实,细心的你可能会发现,不光是Object类,甚至System类、Class类、ClassLoader类、Unsafe类等等,都能在类代码中找到如下代码: private static native void registerNatives();
记录一些逆向思路
No Title
11-18 277
记录一些逆向思路 hook registerNatives 当一些关键函数写在so库中,而so做了混淆和加固,无法通过jni_onload简单找出注册的native函数时,可通过hook registerNatives打印native函数的注册情况,帮助定位。frida hook脚本如下: github-frida_hook_libart hook call_array 当一个so被加固/加密,相关判断/解密代码很有可能写在构造函数里,因为它比库的其他函数执行都要早。如果我们要分析库的构造函数,可以hoo
app安全之安卓native层安全分析(一):frida 与unidbg
最新发布
m0_61869253的博客
02-20 1015
unidbg 是一个基于 unicorn 的安全分析工具,可以实现黑盒调用安卓和 iOS 中的 so 文件unidbg是凯神写的一个开源的java项目静态注册(又叫静态绑定),就是,so的方法名直接export导出表里,且命名格式为【java_app包名_方法名】,比如动态注册(又叫动态绑定)就是export到处表里没有的就是动态注册。那么这里我们的目标方法就是动态注册的了,那咋办,看看JNI_load方法:!按下【tab】键,会由上面的汇编代码反编译为c代码:!
native层函数没有导出时,如何获得相应函数地址?
学海无涯
05-26 648
每次App重新运行后native函数加载的绝对地址是会变化的,唯一不变的是函数相对于基地址的偏移,因此我们可以在获取模块的基地址后加上固定的偏移地址获取相应函数的地址,Frida中也正好提供了这种方式:先通过Module.findBaseAddress(name)或Module.getBaseAddress(name)两个API函数获取对应模块的基地址,然后通过add(offset)函数传入固定的偏移offset获取最后的函数绝对地址。以下使用中的作为具体案例讲解下思路和注意的点。
学习笔记-JNI框架层的Hook利用
人饭子的博客
11-11 637
系统框架native hook JNI函数符号hook JNI函数参数、返回值打印和替换 动态注册JNI_Onload hook RegisterNatives jnitrace 引入一个例子,hook GetStringUTFChars这个jni函数,实际上看安卓源码会很明显 发现是在libart.so文件中,我们可以像objection一样将模块枚举出来,然后再把符号给枚举出来 ,发...
某种草电商App签名算法解析(一)
fenfei331的博客
12-19 1810
一、目标 今天我们的目标是某种草电商App的签名问题,这个shield早些年就搞过,最新的版本做了一次升级。(v6.73.0) 之前shield是个类似md5的字串,这次看上去像base64 二、步骤 老规矩,先上jadx全局搜索下shield 结果在意料之中,没啥有用的信息,其实这也是心理安慰,目前这些稍微有点理想的App都不可能把签名放到java层了。 既然已经感觉不是java层了,hook Base64也没有什么意义了。这里使用一个大佬的新玩具 frida_hook_libart https://g
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云霄IT

感谢感谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值