Fridump使用心得-踩过的坑

渗透过程中需要看某银行app软键盘输入的密码在内存中是否加密，找了半天资料发现中文的好少啊，写个心路历程吧，以便下次用到时候有得看。如果能帮助到其他小伙伴就更好了。肯定有不少错误的地方，也请大佬指正，小弟跪谢～

Fridump 简介

Fridump是一个开源的内存转储工具，用于从所有不同的设备和操作系统中检索存储在 RAM 中的数据。它用作基础Frida  （优秀的框架，如果你不知道它，你应该看看它！）从特定应用程序的访问级别扫描内存并将可访问的扇区转储到单独的文件。

环境准备：

1.root手机一部（本次使用的是nexus6P）

2.Frida版本

                        服务端：frida-server-15.1.11-android-arm64 

                        客户端：15.1.11  

3.mac （已安装adb命令）python环境必须3+！！系统自带的python不行！！

开始动手

1.首先adb连接手机并获取root权限，如果无线连接有小问题，可以参考adb无线连接踩过的坑这篇文章，有可能能帮助到您。

2.启动Frida服务端

./frida-server-15.1.11-android-arm64

3.启动要测试的app，这时候需要知道启动的这个app的包名。

方法一：用反编译的方法查看包名，把.apk拖进Jadx反编译下，找Resources下的AndroidManifest.xml文件

打开，一般第一行就会有package="com.XX.android.XXXXXXXX"，这个双引号里面的就是包名。

 

“有时候这个方法有巨坑，说是天坑都不为过，如果你也遇到了报错，欢迎回来（用方法二）。”

方法二：前提是执行完第二步启动Frida服务端且启动了app，用Frida命令查看当前运行的程序名称。

Frida-ps -U //查看通过数据线连接的设备当前运行的程序

这里是用数据线adb连接​​​​​​的，推荐用数据线连接，稳定。

​ 在查出来的进程中找到你打开的app，一般自己打开的app在最后几个，分辨出来记住Name名称，就是包名。

4.执行hook脚本

python fridump.py -U -s 进程名

报错一：

这个出现在有两个python环境的设备上，我的mac有自带的python2和自己装的python3，命令需要改成

python3 fridump.py -U -s 进程名

报错二：

python3 fridump.py -U -s 进程名

Can't connect to App. Have you connected the device?

这个问题折磨（浪费）了我半天时间，出现这个大概率是用了通过方法一反编译包得到的包名，放心包名没错，但是不知道为什么运行时候的进程名不是包名[打脸][打脸][打脸]，你得用方法二查当前运行程序的进程名!

这个报错还有一种情况，Frida服务端掉了也是报这个错，这时可以检查下起Frida服务端的黑窗口没有没退出。

这时候执行应该没有问题了吧

Current Directory（当前目录）: /Users/XXXXXXX/fridump/fridump-master

Output directory is set to（输出目录设置为）: /Users/XXXXXXX/fridump/fridump-master/dump

你要的内存信息就在输出目录里面！

执行完你想看内存的操作后，就可以杀掉app进程了，这时进度条猛跳，直到你看到Finished！

注意：hook过程中，在默认输出目录短时间内会生成大量文件，且下一次执行脚本如果不单独设置输出目录的话会覆盖上次的结果，所以建议命令加 -o dir 设置输出目录，每次设置不一样的目录。

 python3 fridump.py -U -s 进程名 -o /XXX/XXX/fridump/dump

 还有如果电脑空间不太够的同学，建议只在测试点的时候执行脚本，获取完数据及时杀进程，否则你会哭的。这是不到50秒的数据量😊。

 5.快打开你的输出目录看看吧，找到strings.txt，如果当前app没有防hook，里面有可能就有你操作时的明文数据了！

如果你真的看到这了，说明你肯定成功了，恭喜🎉

如果真的（凑巧）解决了您的问题，可否点个赞，谢谢啦～