进阶Frida--Android逆向之Hook动态加载dex(三)(下篇)

最新推荐文章于 2024-07-21 17:40:44 发布
最新推荐文章于 2024-07-21 17:40:44 发布
阅读量1.9w 收藏 37
点赞数 9
分类专栏: Frida
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zouyuanxc/article/details/80922387
版权
本文详细介绍了如何使用Frida Hook DexClassLoader以实现动态加载的类的方法调用。通过Frida Spawn在应用启动前注入脚本,然后分析DexClassLoader的加载机制,利用Java反射和Frida的Java.cast、Java.array等方法,克服了动态加载类的hook难题。文章还展示了具体的JavaScript代码示例,帮助读者掌握Frida在Android逆向工程中的高级用法。
摘要由CSDN通过智能技术生成

上篇花了很多篇幅讲了Robust的原理,并以做题的思路去求解了这个示例ctf,其实这是一种思路的启示,当我们在不知道怎么hook动态加载的dex,jar时候,找找是否存在能够操作动态加载出来的类的方法。当然这不是重点,这篇我会重点给大家分享如何使用frida去hook DexclassLoader,怎么用反射直接调用类的方法,达到跟hook一般类一样的效果。

文章涉及内容及使用到的工具

0x00 使用到的工具

  • ADT(Android Developer Tools)
  • Jadx-gui
  • JEB
  • frida
  • apktool
  • android源码包
  • 天天模拟器(genymotion,实体机等亦可)

0x01 涉及知识点

  • Java 泛型
  • Java 反射机制
  • DexClassLoader 动态加载机制
  • Frida 基本操作
  • Frida 创建任意类型数组(Java.array)
  • Frida 类型转换(Java.cast)
  • Frida 方法重载(overload)
  • Frida Spawn

代码分析与构造

0x00 Frida Spawn的使用

经过上篇文章我们对Robust的原理学习和对app的分析,我们知道Robust的其实就是在正常的使用DexClassLoader去动态加载文件,随后通过反射的方式去调用类方法或成员变量。

同时在上篇文章中,我们也知道Robust调用DexClassLoader的类是在PatchExecutor中,而调用PatchExecutor类是在一个叫runRobust的方法中,这个方法就在MainActivity中,并且在onCreate方法中调用。
这里写图片描述

现在我们明白了一点是,app动态加载dex的地方是在onCreate中,也就是说app一启动就执行了动态加载,并不是在我们点击按钮的时候。所以这个地方,我们要执行py脚本的话,需要在app执行onCreate方法之前。frida有一个功能可以为我们生成一个进程而不是将它注入到运行中的进程中,它注入到Zygote中,生成我们的进程并且等待输入。

我们可以通过-f参数选项来实现。

frida -U -f app完整名

这里写图片描述
从上面可以看到,通过-f参数,frida会Spawned这个应用,在这个时候启动python脚本,再执行%resume命令,我们就可以在app执行onCreate方法前完成脚本的启动,这时候就能hook住onCreate中执行的一些方法。

0x01 DexClassLoader 动态加载机制

好,我们已经知道怎么hook住onCreate中执行的方法了,现在我们就来试试,第一个目标是能够获取到动态加载的dex中的类。在这之前我们来看看,直接去hook 动态加载的类会出现什么情况。
测试js代码如下,我们尝试获取dex中的MainActivityPatch类。

Java.perform(function(){
   
        console.log("test");
        Java.use("cn.chaitin.geektan.crackme.MainActivityPatch");
        console.log("test over");

});

完整代码:(后面的代码就只贴js_code =中的javascript代码了,因为这里面只有js_code的代码变化了)

# -*- coding: UTF-8 -*-
import frida,sys

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


js_code = '''
    Java.perform(function(){
        console.log("test");
        Java.use("cn.chaitin.geektan.crackme.MainActivityPatch");
        console.log("test over");

});
'''


session = frida.get_usb_device().attach("cn.chaitin.geektan.crackme")
script = session.create_script(js_code)
script.on('message',on_message)
script.load()
sys.stdin.read()

这里写图片描述

可以清晰的看到错误信息,未找到类。

java.lang.ClassNotFoundException: Didn\'t find class "cn.chaitin.geektan.crackme.MainActivityPatch

果不其然,这样去直接hook类肯定是不行的,但我们知道只要是从外部资源文件中动态加载dex,一般都是采用DexClassLoader动态加载的。学习过Java的同学应该知道,DexClassLoader动态加载的主要方法就是loadClass()。我们从Java源码上去分析一下,这里给大家一个java开发文档的查看地址:访问

我们看到DexClassLoader的构造函数有4个参数,这里没有loadClass(),我们继续查看它的父类BaseDexClassLoader。

public class DexClassLoader extends BaseDexClassLoader {
   
    public DexClassLoader(String dexPath, String optimizedDirectory,
            String librarySearchPath, ClassLoader parent) {
        super(dexPath, new File(optimizedDirectory), librarySearchPath, parent);
    }
}

同样BaseDexClassLoader也没有loadClass(),最终在它的父类ClassLoader中找到了loadClass()方法。
这里写图片描述

可以看到DexClassLoader加载的逻辑其实就是ClassLoader中的loadClass(),它的机制简单的了解到这里,现在我们来试试,通过这样的方式能不能hook我们想要的类。

我们先hook DexClassLoader的构造函数,看看传递进的参数值是什么。

Java.perform(function(){
   
        //创建一个DexClassLoader的wapper
        var dexclassLoader = Java.use("dalvik.system.DexClassLoader");
        //hook 它的构造函数$init,我们将它的四个参数打印出来看看。
        dexclassLoader.$init.implementation = function(dexPath,optimizedDirectory,librarySearchPath,parent){
   
            console.log("dexPath:"+dexPath);
            console.log("optimizedDirectory:"+optimizedDirectory);
            console.log("librarySearchPath:"+librarySearchPath);
            console.log("parent:"+parent);
            //不破换它原本的逻辑,我们调用它原本的构造函数。
          this.$init(dexPath,optimizedDirectory,librarySearchPath,parent);
        }
        console.log("down!");

});

执行看看:
这里写图片描述

我们获取到了构造函数的参数,简单看一下。

dexPath:/data/data/cn.chaitin.geektan.crackme/cache/GeekTan/patch_temp.jar
optimizedDirectory:/data/data/cn.chaitin.geektan.crackme/cache
librarySearchPath:null
parent:dalvik.system.PathClassLoader[DexPathList[[zip file "/data/app/cn.chaitin.geektan.crackme-2.apk"],nativeLibraryDirectories=[/data/app-lib/cn.chaitin.geektan.crackme-2, /system/lib, /system/lib/arm]]]

0x02 Frida 方法重载(overload)

接下来,就来尝试一下获取动态加载的类。

Java.perform(function(){
   
        var dexclassLoader = Java.
最低0.47元/天 解锁文章
GeorgerPig
关注
  • 9
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Frida Hook Java动态加载DEX方法
小龙在线
12-31 3109
Frida Hook动态加载DEX里的方法,需要切换到ClassLoader下。 Java package com.github.lastingyang.androiddemo.Activity; import android.content.Intent; import android.os.Bundle; import android.widget.Toast; import com.example.androiddemo.Dynamic.AbstractC0000CheckInterface; i
android方注入dex,进阶Frida--Android逆向Hook动态加载dex)(上篇)
weixin_28748867的博客
05-26 1273
前言:前段时间看到有朋友在问在怎么使用fridahook动态加载dex的问题,确实关于如何hook动态加载dex,网上的资料很少,更不用说怎么使用fridahook动态加载dex了。(frida的官方文档已经无力吐槽…)后来偶然的情况下发现了一道CTF题目可以作为很好的案例,所以花了很多心思将文章写下来分享给大家,涉及的内容比较多,我打算用上下篇frida hook动态加载dex...
逆向中 工具:Frida和 Xposed的Hook有什么区别?
最新发布
liuruiaaa的博客
07-21 657
逆向中 工具:Frida和 Xposed的Hook有什么区别?
Frida 进阶:脱壳、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、fridaUiTools
freeking101的博客
10-17 1万+
Frida 进阶:脱壳、自动化、objection 内存漫游、hook anywhere、Wallbreaker插件、fridaUiTools
Frida API进阶-网络
helloworlddm的博客
10-08 1345
文章目录SocketSocketListenerSocketConnection代码示例Nagle algorithmJavaScript判断数据型公众号 在聊天系统开发(1) 的文章中,对TCP/IP相关的网络编程进行了介绍。在Frida API进阶-文件 对文件描述符、输入输出流进行了介绍。本篇文章集于此介绍Frida中网络相关的API。 Socket Socket.listen([options]): open a TCP or UNIX listening socket. Returns a Pr
进阶Frida--Android逆向Hook动态加载dex)(上篇)
小猪乔治
07-04 8624
前言:前段时间看到有朋友在问在怎么使用fridahook动态加载dex的问题,确实关于如何hook动态加载dex,网上的资料很少,更不用说怎么使用fridahook动态加载dex了。(而且frida的官方文档写的真的无语,不想吐槽。)之后偶然的情况下发现了一道CTF题目可以作为很好的教案,于是有了这篇文章,分享给大家。 文章使用到的工具 apk的安装和分析 安装 分析 表格 ...
frida小记) 04 Hook的所有方法及Hook动态加载dex
akswyh的博客
04-09 4318
Hook的所有方法 示例 //hook的所有方法 function hooktest10(){ Java.perform(function(){ var md5Util=Java.use("com.alex.javahooktarget.HashUtil"); var methods=md5Util.class.getDeclaredMethods(); for(var j=0;j<methods.length;j++){
学习笔记-综合案例,hook时机 ,制作dex,算法还原思路
人饭子的博客
11-11 600
综合实战 spawn/attach时机的选择 各种主动调用/直接撸完 各种hook以及构造函数 动态加载自己的dex z3:约束求解/符号执行 0x01 通过案例来进行实战 1. 这里又放了个新的apk,直接开冲,一启动就发现骚的地方的,居然说不是Russian的就无法登陆,乌拉! 然后这里打开jadx,直接搜索这个提示框的字符串,肯定有地方做了检测,只要做了检测,我们就可以根据情况去h...
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 4276
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
frida hook InMemoryDexClassLoader内存加载实现dump dex文件
lb5761311的专栏
10-25 891
import frida, sys myflag = False def on_message(message, data): global myflag if message['type'] == 'send': print("data--------=",data) #print("[*] {0}".format(message['payload'])) print("type=",type(message['payload']))
Android安全】Frida 指定classloader | hook动态加载 | 安卓多apk hook
Juruo@Security
09-06 3932
Frida 指定classloader | hook动态加载 | 安卓多apk hook
进阶Frida--Android逆向动态加载dex Hook
omnispace的博客
08-09 2524
前段时间看到有朋友在问在怎么使用fridahook动态加载dex的问题,确实关于如何hook动态加载dex,网上的资料很少,更不用说怎么使用fridahook动态加载dex了。(frida的官方文档已经无力吐槽...)后来偶然的情况下发现了一道CTF题目可以作为很好的案例,所以花了很多心思将文章写下来分享给大家,涉及的内容比较多,我打算用上下篇frida hook动态加载dex的...
学习笔记-Frida构造数组,对象,Map和参数
人饭子的博客
11-11 2861
Frida构造数组,对象,Map和参数 数组/(字符串)对象数组/gson/Java.array 对象/多态,强转Java.cast 接口interface,Java.register 枚举,泛型,List,Map,Set,迭代打印 重要思路:开发时如何打印,frida中也是如何打印 non-ascii 方法名 hook 0x01 1.app代码: Log.d("SimpleArra...
frida复杂型参数打印、参数转换、调用栈打印
热门推荐
weixin_35762183的博客
06-17 1万+
Frida是一款基于Python + JavaScript的Hook与调试框架。从Java层到Native层的Hook无所不能。我们分析app的参数加密的时候,经常使用他来帮助分析我们分析调试。 在hook我们的关键函数的时候,我们经常会把参数打和函数调用栈印出来,方便我们分析app的加密行为。 下面是总结的一些常用的方法: 参数打印问题 当参数是不是string型的时候(HashMap、Map等),那我们打印出来查看的时候很可能显示[object Object]。 下面的一些方法可以帮助我们把他们转成s
android基于装载器DexClassloader设计“插件框架”
erthre的博客
04-02 737
为了方便有学习需要的朋友,我把资料都整理成了视频教程(实际上比预期多花了不少精力)当程序员容易,当一个优秀的程序员是需要不断学习的,从初级程序员到高级程序员,从初级架构师到资深架构师,或者走向管理,从技术经理到技术总监,每个阶段都需要掌握不同的能力。早早确定自己的职业方向,才能在工作和能力提升中甩开同龄人。无论你现在水平怎么样一定要 持续学习 没有鸡汤,别人看起来的毫不费力,其实费了很大力,这四个字就是我的建议!!我希望每一个努力生活的IT工程师,都会得到自己想要的,因为我们很辛苦,我们应得的。
Android插件化-Hook实现加载完整的插件
hongxue8888的博客
11-11 616
文章目录1 小实验 ClassLoader相关知识可以参考: 1、理解Java和Android的ClassLoader 2、Android ClassLoader源码分析 1 小实验 ClassLoader cl = getClassLoader(); Log.i("fuhongxue", "onCreate: "+cl); 打印: I/fuhongxue: onCreate: dalvi...
5、frida进阶-Android逆向之旅---Hook神器家族的Frida工具使用详解
键盘的起始页
03-07 1万+
本文转载自:https://www.cnblogs.com/qwangxiao/p/9255328.html 一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:AndroidHook神器Xposed工具介绍和AndroidHook神器SubstrateCydia工具介绍这两篇文章非常重要一个...
frida-server-15.2.2-android-x86
07-18
### 回答1: Frida-server-15.2.2-android-x86是一款适用于安卓x86架构的Frida服务器的版本。Frida是一种开源的动态插桩框架,可用于安卓设备上的应用程序逆向工程和安全性评估。 Frida-server是Frida框架中的一部分,用于在安卓设备上与Frida客户端通信。Frida-server是在设备上运行的服务,可以与Frida客户端(通常是运行在PC上的Frida工具)进行通信,并接收来自客户端的指令。 Frida-server-15.2.2-android-x86适用于安卓x86架构的设备。x86是一种PC上常见的处理器架构,而不是常用于移动设备的ARM架构。因此,如果你的安卓设备是基于x86架构的,那么你可以使用这个版本的Frida-server在设备上运行Frida服务。 通过在设备上运行Frida-server,你可以利用Frida的强大功能来分析、修改和控制应用程序。Frida允许你动态地插入JavaScript代码到应用程序中,以实时地跟踪和修改应用程序的行为。你可以使用Frida进行代码注入、函数钩子、网络流量捕获、数据修改等操作,以便进行应用程序逆向工程、漏洞挖掘、安全性评估等任务。 总而言之,Frida-server-15.2.2-android-x86是一种适用于安卓x86架构设备的Frida服务器版本,通过在设备上运行Frida-server,你可以利用Frida框架的功能对应用程序进行逆向工程和安全性评估。 ### 回答2: frida-server-15.2.2-android-x86是一款用于Android x86架构的Frida服务器。Frida是一种强大的开源工具,用于分析、修改和调试软件。它可以通过脚本语言来进行动态注入和操作,支持多种平台和架构。 通过使用frida-server-15.2.2-android-x86,我们可以在Android x86设备上安装和运行Frida服务器。安装frida-server时我们需要将其推送到设备上,并在设备上运行它。运行成功后,我们可以通过Frida客户端连接到该设备上的Frida服务器,并使用Frida的功能进行应用程序的分析、修改和调试。 Frida-server-15.2.2-android-x86版本适用于Android x86架构的设备。在使用时,我们首先需要确保设备已经以root权限运行,并且具备adb工具的连接。然后,我们可以通过命令行将frida-server-15.2.2-android-x86安装到设备上。在设备上运行frida-server时,它会监听指定的端口,并等待Frida客户端的连接。 通过与Frida服务器建立连接,我们可以使用JavaScript或Python等脚本语言来进行动态插桩、API Hook、函数跟踪等操作。Frida提供了强大的API,使得应用程序的分析和修改变得更加简单高效。使用Frida,我们可以实时监测应用程序的行为,获取关键信息,进行漏洞分析,甚至可以修改应用程序的逻辑和数据。 总之,frida-server-15.2.2-android-x86是一款用于Android x86平台的Frida服务器,它提供了强大的功能和API,用于动态分析、修改和调试应用程序。通过与Frida客户端的连接,我们可以通过脚本语言来操作和控制应用程序,使得应用程序的分析和修改变得更加高效和可靠。 ### 回答3: Frida-Server是一款功能强大的开源工具,用于在Android设备上进行动态代码注入和调试。frida-server-15.2.2-android-x86指的是适用于Android x86架构的Frida-Server版本15.2.2。 Frida-Server能够以服务的形式运行在目标Android设备上,通过与Frida桌面端或其他脚本进行通信,来实现对目标应用程序的动态分析和操作。它提供了一套JavaScript API,允许我们在运行时通过修改和执行目标应用程序中的代码来实现功能扩展,如函数拦截、数据修改等。 在具体使用时,首先需要在目标Android设备上安装Frida-Server,这个版本适用于x86架构的设备。其次,需要将Frida-Server与Frida桌面端或其他脚本工具配合使用,以实现与目标应用程序的通信。我们可以通过Frida提供的命令行工具或编写脚本的方式来进行代码注入和调试。 Frida-Server-15.2.2-android-x86版本对于使用x86架构的Android设备来说是必需的,因为它能够确保Frida-Server能在这样的设备上正确运行。使用适合设备架构的版本,可以保证性能和稳定性,并且避免兼容性问题。 总而言之,Frida-Server-15.2.2-android-x86是一款用于在Android x86架构设备上进行动态代码注入和调试的工具,通过与Frida桌面端或其他脚本进行通信来实现相关功能。它可以帮助安全研究人员、开发人员等对Android应用程序进行潜在威胁分析、性能优化以及功能增强等工作。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值