frida进行hook的常用定位招数大全

已于 2025-02-07 11:38:33 修改
阅读量3.4k 收藏 18
点赞数 5
文章标签: 前端 javascript 开发语言
于 2023-07-13 22:39:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51111267/article/details/131712970
版权
本文详细介绍了使用Frida进行hook时的九大定位技巧,包括Base64、Toast、JSONObject、HashMap、EditText、ArrayList、System.loadLibrary、NewStringUTF定位以及文件路径定位,尤其在加密SO文件的定位上提供了实用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、Base64的定位

var base64 = Java.use("android.util.Base64");
base64.encodeToString.overload('[B', 'int').implementation = function (a, b) {
    console.log("base64.encodeToString: ", JSON.stringify(a));
    var result = this.encodeToString(a, b);
    console.log("base64.encodeToString result: ", result)
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    return result;
}

二、Toast显示的定位

var toast = Java.use("android.widget.Toast");
toast.show.implementation=function(){
   console.log("输出调用栈:")
   console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
   return this.show();
}

三、jSONObject的定位

var jSONObject = Java.use("org.json.JSONObject");
jSONObject.put.overload('java.lang.String', 'java.lang.Object').implementation = function (a, b) {
    //var result = Java.cast(a, Java.use("java.util.ArrayList"));
    console.log("jSONObject.put: ", a, b);
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    return this.put(a, b);
}
jSONObject.getString.implementation = function (a) {
    //var result = Java.cast(a, Java.use("java.util.ArrayList"));
    console.log("jSONObject.getString: ", a);
    var result = this.getString(a);
    console.log("jSONObject.getString result: ", result);
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    return result;
}

四、HashMap的定位

var hashMap = Java.use("java.util.HashMap");
hashMap.put.implementation = function (a, b) {
    //a=="username"和a.equals("username")一般都可以
    //如果不行换一下即可
    if (a.equals("username")) {
     console.log("hashMap.put: ", a, b);
        console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
 }
 return this.put(a, b);
}

五、EditText的getText方法定位


var editText = Java.use("android.widget.EditText");
editText.getText.overload().implementation = function () {
    var result = this.getText();
    result = Java.cast(result, Java.use("java.lang.CharSequence"));
    console.log("editText.getText: ", result.toString());
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    return result;
}

六、ArrayList的定位

var arrayList = Java.use("java.util.ArrayList");
arrayList.add.overload('java.lang.Object').implementation = function (a) {
    if (a.equals("username=12555")) {
        console.log("arrayList.add: ", a);
        console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    }
    //console.log("arrayList.add: ", a);
    return this.add(a);
}
arrayList.add.overload('int', 'java.lang.Object').implementation = function (a, b) {
    console.log("arrayList.add: ", a, b);
    return this.add(a, b);
}

七、System.loadLibrary的定位

Java.perform(function() {

let Systemclazz = Java.use("java.lang.System");
Systemclazz.loadLibrary.implementation = function(){  // loadLibrary、load、mapLibraryName等,都hook看看
    console.log('System.loadLibrary is called');
    console.log('library name:', arguments[0]);
    var retval = Systemclazz.loadLibrary.apply(this, arguments)
	
	//打印堆栈
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));
    return retval
};

});

八、NewStringUTF定位(通过密文定位so文件)

知道密文是so层加密的情况下,快速定位到是哪个so文件调用加密的

function hook_NewStringUTF(){
 
    var artModule = Process.findModuleByName("libart.so");
    var symbols = artModule.enumerateSymbols();
    var newStringUTF = null;
    for (let i = 0; i < symbols.length; i++) {
        let symbol = symbols[i];
        if(symbol.name.indexOf("NewStringUTF") != -1 && symbol.name.indexOf("Check") == -1){
            console.log(symbol.name);
            newStringUTF = symbol.address;
        }
        
    }
 
    Interceptor.attach(newStringUTF, {
        onEnter : function(args){
            if(args[1].readCString() && args[1].readCString().indexOf("*")!= -1 && args[1].readCString().indexOf("B")!= -1){  // 设置密文过滤规则
                console.log("\x1B[33m[加密字符串]:\x1B[0m",args[1].readCString());
                console.log("\x1B[33m[调用栈]:\x1B[0m\n",Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');

            }
        },onLeave : function(retval){
 
        }
    })
 
}

setTimeout(hook_NewStringUTF,1000);

九、文件路径定位

var File = Java.use("java.io.File");
File.$init.overload('java.lang.String').implementation=function(path){
   console.log("文件路径:",path)
   console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
   return File.apply(this, path);
}

十、打印日志输出

var javaClass = Java.use("android.util.Log");    // 修改类
var javFunc = javaClass.w.overload('java.lang.String', 'java.lang.String');           // 修改方法2
console.log(javFunc)
javFunc.implementation = function(){
    
    console.log("\x1B[33m[Call stack]:\x1B[0m",Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    for (var j = 0; j < arguments.length; j++) {
        console.log("\x1B[33m["+(j+1).toString()+"]:\x1B[0m",arguments[j] + "")
    }
    
    var result = javFunc.apply(this, arguments);
    console.log("\x1B[33m[result]:\x1B[0m", "" + result);
    console.log("\x1B[33m=======================================\x1B[0m");
    return result;
}
frida加密参数通杀hook代码(免脱壳)
云霄IT的博客
06-20 3823
【代码】frida加密参数通杀hook代码(免脱壳)
Frida使用指南(五)- Hook 定位加密位置
dafan0的博客
01-23 561
*运行以下 hook 脚本可以得到 Java 的 taget_class 类中的所有方法在 c 中对应的位置。**这个脚本大概知道逻辑就可以,想要具体了解,参考:https://www.apecome.com/video/XLSP16761x0x16761xXL100249xxx?如果字符串是在so中生成,可以去Hook内部:NewStringUTF 方法,该方法用于将C中的字符串转换为jstring,再返回给Java。**注意:**若加密算法定义在拦截器中,才采用这种方法寻找位置。
FridaHook_initarray 介绍
最新发布
SXXYNHHXX的博客
03-05 528
汇编程序通常分为几个段,每个段用于不同的目的。代码段(.text):存放程序的可执行指令。数据段(.data):存放已初始化的全局变量和静态变量。BSS 段(.bss):存放未初始化的全局变量和静态变量。堆栈段(.stack):用于存放函数调用时的局部变量和返回地址。_start:;程序入口.data:定义数据段,存放已初始化的变量。.data定义一个名为 myVar 的变量,初始值为 10.text:定义代码段,存放可执行指令。.text.equ:定义常量。定义常量 PI.byte。
FridaHook整理】Frida安装及Hook安卓常用脚本
热门推荐
杰孑的博客
04-06 3万+
1 概述 在逆向过程中,Frida是非常常用Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
frida定位网络请求位置
不仅仅是个程序员的博客
03-31 1286
本篇文章是阐述如何通过frida定位网络请求发送位置. 在iOS的网络请求中,发送网络请求经常会用到 [NSURL URLWithString:@“xxx”], 所以可以通过追踪此函数, 打印堆栈信息, 从而快速定位到网络请求发送的位置。 先打开应用, 然后在终端执行下面命令: frida -U -m “+[NSURL URLWithString:]” 应用名称 在handlers文件夹中修改 URLWithString_.js 内容, 然后重新执行上面的命令. { onEnter(log, ar
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用)
云霄IT的博客
05-31 3597
【代码】Frida Hook方法大全(普通、重载、构造)
Frida定位和还原简单参数
Xzike的博客
03-13 1601
分析其signature参数的生成逻辑: 首先使用jadx搜索大法,此处先搜索signature,发现有太多搜索结果: 考虑到生成的逻辑,有可能是通过比如"signature=加密参数"这样的方式来赋值的,那么我们尝试搜索一下**"signature**,发现定位到了关键代码: ...
Frida-快速定位思路及基本操作
Codeoooo 博客
06-27 2243
objection使用:objection -g 包名|pid exploreios sslpinning disable 关闭sslping认证。
frida动态调试入门01——定位关键代码
菜鸟学安全的博客
08-31 2050
frida是一款Python工具可以方便对内存进行hook修改代码逻辑在移动端安全和逆向过程中常用到。
Android逆向-frida hook 脚本- hook webview
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具是一款专为Android设备设计的高级调试和注入工具,主要用于对应用程序进行动态分析和代码篡改。v1.2版本是该工具的一个免费更新,但请注意,它可能不支持未ROOT的真机设备,也就是说你...
Frida_Windows_Hook
04-13
Frida_Windows_Hook Frida_Windows_Hook是一个开源工具,主要针对渗透测试人员和开发人员。 Frida_Windows_Hook正在使用Windows渗透。 用法 如何: usage: Frida_Windows_Hook_v0.1.py 先决条件 要使用Web_Brute_...
frida-script:储存自己的FRIDA HOOK脚本
07-24
总结来说,"frida-script:储存自己的FRIDA HOOK脚本"意味着创建并保存一组个性化的Frida JavaScript脚本,用于对目标应用程序的关键函数进行Hook操作,以实现动态分析、调试或其他特定目的。这种能力使得Frida成为一...
frida hook普通方法
weixin_33862188的博客
05-19 2590
import frida, sys jscode = """ Java.perform(function () { var utils = Java.use('com.xiaojianbang.app.Utils'); utils.getCalc.implementation = function (a, b) { console.log("Hook Start....
【逆向-快速定位关键代码】通过hook常用函数HashMap方法
哈哈哈哈哈哈哈
03-16 1758
通过利用Frida工具实现全局Hook,我们可以在运行时捕获到目标应用程序中关键信息的存储和使用过程。这种方法不仅简单高效,而且具有很高的灵活性,可以适用于各种安卓应用程序的逆向分析和安全审计工作中。然而,需要注意的是,在进行安全研究和逆向工作时,请务必遵守法律法规,并尊重用户隐私和数据保护。
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 7039
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
使用Frida 定位发送请求位置
ziyunLLL的博客
09-12 522
对于App逆向时,时常不知道如何定位网络请求代码的发出位置,部分情况都是使用自定义框架开发的,想要快速定位这部分就得使用Frida 对JNI的string函数进行hook,看看是不是能再调用栈的位置能够找到。以上方法试试,看能不能找到位置。
深入理解 Frida 中主动调用 Java 方法的 Hook 技术
beidideshu的博客
03-08 3262
此方法接受两个参数,第一个参数是要查找的目标类名,第二个参数是一个包含 onMatch 和 onComplete 回调函数的对象。以下代码展示了如何使用。在动态调试与插桩技术中,Frida 提供了一种强大的能力——通过 Hook 调用 Java 方法,不仅可以被动响应函数触发,还可以实现主动调用。综上所述,无论是静态方法还是实例方法,在 Frida 中进行主动调用都具有较高的灵活性,可以根据实际应用场景选择适合的方式来高效地执行目标方法。首先,对于静态方法的主动调用,我们需定位到目标类并直接调用该方法。
frida 精髓:hook 参数、修改结果、参数构造、方法重载、隐藏函数的处理、远程调用(RPC)、互联互通、动态修改
freeking101的博客
07-21 1万+
hook参数、修改结果、参数构造、方法重载、隐藏函数的处理、远程调用(RPC)、互联互通、动态修改
梆梆加固怎么用frida进行hook
06-08
梆梆加固是目前市面上比较流行的一种Android加固工具,而Frida是一款非常强大的应用程序动态分析工具,可以用于对应用程序进行Hook和注入代码等操作。下面是使用Frida对梆梆加固的应用程序进行Hook的步骤: 1. 首先,需要在Android设备上安装Frida-Server,可以在Frida官网上下载对应的Frida-Server版本,然后将Frida-Server安装到Android设备上。 2. 接着,在电脑上安装Frida,可以使用pip或者官网提供的安装包进行安装。 3. 使用adb连接到Android设备,启动要测试的应用程序,并且开启Frida-Server服务。 4. 在电脑上使用Frida的命令行工具frida-ps,查看设备上正在运行的进程,找到要Hook的应用程序的进程ID。 5. 编写JavaScript脚本,使用Frida的API进行Hook操作。例如,以下脚本可以Hook梆梆加固的应用程序,输出所有调用到的Java方法名: ```javascript Java.perform(function () { var BaseApplication = Java.use("com.tencent.bugly.beta.tinker.TinkerApplication"); BaseApplication.attach.implementation = function () { console.log("[*] Application attach called!"); this.attach(); var currentApplication = Java.use('android.app.ActivityThread').currentApplication(); var activeProcess = Java.use('android.os.Process').myPid(); console.log("[*] Current Application: " + currentApplication); console.log("[*] Active Process: " + activeProcess); Java.choose("java.lang.Class", { onMatch: function (instance) { console.log("[*] Found instance: " + instance.toString()); }, onComplete: function () { console.log("[*] Finished!"); } }); } }); ``` 可以使用以下命令行运行脚本: ```shell frida -U -f com.example.app -l hook.js --no-pause ``` 其中,-U选项表示连接到USB设备,-f选项指定要Hook的应用程序包名,-l选项指定JavaScript脚本的路径,--no-pause表示不暂停应用程序。 需要注意的是,FridaHook操作会对应用程序的性能和稳定性产生一定的影响,同时也有一定的风险,需要谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云霄IT

感谢感谢!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值