安卓逆向frida之so层hook分析关键函数定位探究

已于 2024-03-08 22:23:13 修改
阅读量1.8k 收藏 16
点赞数 2
文章标签: android javascript 开发语言
于 2023-07-28 13:55:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51111267/article/details/131010916
版权

一、基础hook

(1)获取指定 so 文件的基地址

function hook_module() {
    var baseAddr = Module.findBaseAddress("libxxx-lib.so");
    console.log("baseAddr", baseAddr);
}

二、通过函数偏移hook函数

(1)标准hook

function main() {
    Java.perform(function () {
        
        var str_name_so = "libxxx.so";    //要hook的so名
        var n_addr_func_offset = 0x162C4;         //要hook的函数在函数里面的偏移

        var n_addr_so = Module.findBaseAddress(str_name_so);
        var n_addr_func = parseInt(n_addr_so, 16) + n_addr_func_offset;

        var Func = new NativePointer(n_addr_func);
        console.log("找到函数地址:",Func);
        Interceptor.attach(Func, {
        onEnter: function(args) {
            console.log('输出调用栈:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("============================= 输入 ===============================","\n")
            for(let i = 0; i < 8; i++) {
                console.log("arg",i,": ", "\n");
                try {
                    console.log(hexdump(args[i],{length: 0x200}), "\r\n");  
                    console.log("arg",i,": ",ptr(args[i]).readCString()); 
                } catch (error) {
                    console.log((args[i]), "\r\n");
                }

            }

            
        },
        onLeave: function(retval) {
            console.log('输出调用栈:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("============================= 结果 ===============================","\n")
            try {
                console.log(hexdump(retval,{length: 0x130}), "\r\n"); 
                console.log("result:",ptr(retval).readCString()); 
            } catch (error) {
                console.log((retval), "\r\n");
            }

              }
          });



});
    
}
   
setTimeout(main,20);

(2)无返回,指针取值hook

function main() {
    Java.perform(function () {
        var str_name_so = "libxxx.so";    //要hook的so名
        var n_addr_func_offset = 0x2C90;         //关键位置 0x168C4 
        var n_addr_so = Module.findBaseAddress(str_name_so);
        var n_addr_func = parseInt(n_addr_so, 16) + n_addr_func_offset;
        var Func = new NativePointer(n_addr_func);
        console.log("找到函数地址:",Func);
        Interceptor.attach(Func, {
        onEnter: function(args) {
            console.log('输出调用栈:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("============================= 输入 ===============================","\n")
            for(let i = 0; i < 8; i++) {
                console.log("arg",i,": ", "\n");
                try {
                    console.log(hexdump(args[i],{length: 0x200}), "\r\n");  
                    console.log("arg",i,": ",ptr(args[i]).readCString()); 
                } catch (error) {
                    console.log((args[i]), "\r\n");
                }
            }
            this.result = args[8];   // 取入参指针
        },
        onLeave: function(retval) {
            console.log('输出调用栈:\n' + Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
            console.log("============================= 结果 ===============================","\n")
            try {
                console.log(hexdump(this.result,{length: 0x130}), "\r\n"); 
                console.log("result:",Memory.readCString(this.result)); 
            } catch (error) {
                console.log((this.result), "\r\n");
            }
              }
          });

});
}
setTimeout(main,20);

三、参数类型输出

(一)输出字符串

console.log(ptr(args[0]).readCString()); 
console.log(Memory.readCString(args[0]));

(二)输出byte数组

var data = Memory.readByteArray(args[0], args[1].toInt32());
console.log('args[0] byte[]:',new Uint8Array(data));

(三)输出base64

function bytesToBase64(e){
        var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
        var r,a,c,h,o,t;
        for (c = e.length, a = 0, r = ''; a < c; ) {
            if (h = 255 & e[a++], a == c) {
                r += base64EncodeChars.charAt(h >> 2),
                r += base64EncodeChars.charAt((3 & h) << 4),
                r += '==';
                break
            }
            if (o = e[a++], a == c) {
                r += base64EncodeChars.charAt(h >> 2),
                r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),
                r += base64EncodeChars.charAt((15 & o) << 2),
                r += '=';
                break
            }
            t = e[a++],
            r += base64EncodeChars.charAt(h >> 2),
            r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),
            r += base64EncodeChars.charAt((15 & o) << 2 | (192 & t) >> 6),
            r += base64EncodeChars.charAt(63 & t)
        }
        return r
}

var data = Memory.readByteArray(args[0], 0x520);   // 0x520为长度,或通过 args[1].toInt32() 获取
console.log('args[0] byte[]:',bytesToBase64(new Uint8Array(data)))

(四)输出缓冲区的hex

function print_hex(retval,length) {   // retval为缓冲区,length字节长度
    var buffer = Memory.readByteArray(retval,length);
    const byteArray = new Uint8Array(buffer);
    const hexParts = [];
    for(let i = 0; i < byteArray.length; i++) {
      const hex = byteArray[i].toString(16);
      const paddedHex = ('00' + hex).slice(-2);
      hexParts.push(paddedHex);
    }
    return hexParts.join('');
  }
console.log('args[0] hex:',print_hex(args[0],64));
云霄IT
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安卓逆向_21 --- Java和so的反调试( IDA 动态调试 JNI_OnLoad、init_array下断)
墨鱼菜鸡
07-11 1284
1. 安卓程序动态调试条件 安卓程序动态调试条件 ( 2个满足1个即可 ): 1. 在 AndroidMainfest.xml ---> application 标签下,设置或者添加属性android:debuggable="true" 2. 系统默认模式,在 build.prop(boot.img),ro.debuggable=1 And...
小肩膀安卓逆向frida专题sohook HookTestDemo hooktestdemo 实战练习用的例子
12-04
在安卓应用逆向工程中,`Frida`是一个强大的动态代码插桩工具,它允许开发者在运行时对目标应用程序进行交互式脚本调试和分析。`小肩膀`(Xiaojianb)是一个专注于安卓逆向工程和安全研究的社区,提供了许多教程和...
frida hook so常用的方法
菜鸡小白的成长记录
03-06 4320
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
Android逆向——过frida检测+so算法逆向
weixin_43889136的博客
11-07 1万+
frida检测 sodes算法分析 somd5算法分析
Frida框架 -So-API(常用函数总结)
最新发布
SXXYNHHXX的博客
05-19 462
Hook libart 来Hook jni相关函数。inlineHook与寄存器Hookfrida API 写文件。Hook libc 写文件。so主动调用任意函数
Frida hook/invoke iOS以及内存搜刮和黑盒调用
热门推荐
大数据安全技术学习
07-27 2万+
终于学到了Frida的部分,在本篇中我们将从objection这款自动化hook框架的源码出发,学习使用Frida内置的ApiResolver搜刮器来枚举内存中的所有符号,包括所有类/所有方法/所有重载,再对其进行hook后输出参数调用栈返回值,并且对参数与返回值进行修改,以实现修改函数逻辑的目的。
安卓逆向Hook So方法
weixin_43169858的博客
05-12 1465
Android逆向工程中,对so(共享库)的hook是一种常见的技术手段。对sohook常常使用的工具是frida和Xposed。下面是一个关于如何使用FridaAndroid应用的so文件进行hook的简单教程。
Frida Hook scripts
qq314000558的专栏
11-02 2216
Frida Hook - Hook Dlopen //第一种方式(针对较老的系统版本) var dlopen = Module.findExportByName(null, "dlopen"); console.log(dlopen); if(dlopen != null){ Interceptor.attach(dlopen,{ onEnter: function(args){ var soName = args[0].readCString();
基于frida的so-hook经验总结
菜鸡小白的成长记录
01-26 3011
文章转载于: https://blog.csdn.net/hao5335156/article/details/113475875 方便以后自己学习,回顾知识点。 1.so源码实例 #include <string.h> #include <jni.h> #include"test.h" jstring JNICALL Java_com_example_mi_demoso_JNITest_getStringFromJNI(JNIEnv* env, jobject jo) { .
移动安全-Frida hook安卓So函数实战
道阻且长,行则将至。
04-10 7241
文章目录前言Hook So有导出sohook无导出sohookSo实战hook脚本的编写hook脚本的效果总结 前言 我在前面的一篇博客 CTF逆向-EasySo攻防世界SO反汇编 中记录了对一道 CTF 逆向题目的 Android APP 的 So 函数进行基础的逆向分析的过程,通过 IDA 反汇编查看 So 代码并分析获得了 Flag 值。 生命在于折腾~本文将记录尝试通过 Frida hook 目标 APP 的 So 函数并直接修改返回值(如同以前熟悉的 hook Java 函数
安卓逆向学习笔记之ART中的函数inline间接hook及反射实现frida fart.docx
04-05
安卓逆向学习笔记之ART中的函数inline间接hook及反射实现frida fart.docx
frida-ios-hook:一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值
04-27
Frida iOS挂钩一个脚本,可帮助您在iOS平台上跟踪类,函数和修改方法的返回值。 对于Android平台: : 环保操作系统支持作业系统支持的著名的苹果系统 :check_mark_button: 主要的Linux :check_mark_button: 子视窗 ...
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
【标题】"enum_func.zip_FRIDA_frida hook_hook enum_安卓hook" 是一个与Frida相关的压缩包,主要用于在安卓平台上实现动态代码插桩(hook)功能,特别是针对.so动态链接库中的导出函数进行枚举和hook。这个压缩包...
frida_wechat_hook
05-24
- 数据处理:解析被hook函数返回的消息数据,转化为可读格式。 6. **注意事项与风险** 非法使用此类工具可能会违反微信的服务条款,甚至触犯法律。只应将此类项目用于合法的学习和研究目的,切勿用于侵犯他人隐私...
frida hook so方法大全
菜鸡小白的成长记录
01-17 1万+
文章转载,仅供学习,如有需要请支持原文章创作:https://kevinspider.github.io/fridahookso/ 1.感谢 2. frida env https://github.com/frida/frida-java-bridge/blob/master/lib/env.js 3.IDA 判断 Thumb 指令集和 Arm 指令集 IDA - Options - General - number of opcode bytes - 设置为 4 此时查看 IDA VIew 中 op.
jnitrace、frida-trace、Stalker、sktrace、Frida Native Trace、r0tracer、strace、IDA trace、Unidbg Trace
freeking101的博客
03-19 4528
一个基于 frida 的工具,用来追踪安卓应用的 JNI API。jnitrace 是一个动态分析追踪工具,类似与 frida-trace 和 strace,但是jnitrace 只针对 JNI。
frida hook java和so函数常用脚本
寒梅独自开
01-18 4729
逆向时用frida hook java相对比较简单,找准hook点用objection就行!或则自己写脚本hook java常见的加密/编码也很简单,核心原因就是类名、函数名称得以保留,逆向人员能快速定位!java常见的加密/编码hook脚本这里有:https://www.cnblogs.com/theseventhson/p/14852458.html ; java的解决了? so怎么办了? 因为so用c/c++写的,编译后的release版本把变量名、函数名都去掉了,加密/编码算法单从名称上.
安卓逆向so篇(一):so文件调用
wsfsp_4的博客
08-23 8202
安卓逆向分析时偶尔会遇到签名算法在native的,想要调用该签名算法,可以采用以下三种方法:hook相关函数,逆向so文件,调用so文件
基于frida的so函数hook实战
Haward
01-31 1万+
一、环境 win10、python38、frida库、夜神模拟器 (1)安装frida环境 (a)frida python -m pip install frida //运行python38版本 //python -m module_name相当于python /path/to/module.py(当我们知道一个模块的名字,但不知道它的路径时,我们可以通过 -m 参数) 假如以上方法出错,建议本地下载frida包安装 https://pypi.org/project/frida/#files(选择f
frida 载入so
08-05
Frida 是一款常用于动态分析和修改应用程序的工具。它可以用来对应用程序中的.so(Shared Object)库进行载入和使用。所谓.so库,实际上就是编译好的可共享的动态链接库,类似于Windows平台上的.dll文件。 Frida 可以通过注入自己的代码到应用程序的进程中,实现对.so库的载入和调用。它可以在应用程序运行的过程中,动态地加载.so库,并与其交互。这样的动态分析方式,可以帮助开发者或研究人员更好地理解应用程序的行为,进行调试、逆向工程或安全分析等活动。在Android平台上,Frida可通过对Android应用程序进行hook,达到动态修改so库的目的。 载入.so库的过程,一般是通过在Frida脚本中使用frida.Library模块的方法来实现。开发者可以指定需要载入的.so库的名称,以及.so库中导出函数的名称和对应的参数。然后,Frida 将自动将这个.so库载入到目标应用程序的进程中,并执行指定的导出函数。 载入.so库后,可以通过Frida提供的API来与.so库进行交互和修改。这包括调用.so库中的导出函数、修改.so库中的变量或内存,以及监听和修改.so库中的函数调用。 总之,Frida 可以帮助我们在应用程序运行的过程中,对.so库进行动态载入,并与其交互。这为我们进行动态分析、调试和修改应用程序提供了便利。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云霄IT

感谢感谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值