安卓Frida Hook进阶
安卓Frida Hook进阶
用户1423082
发布于 2024-12-31 12:24:00
发布于 2024-12-31 12:24:00
代码可运行
运行总次数:0
代码可运行
实验环境
windows 10 vscode frida 16.2.1 jadx-gui jeb
实验
1.Frida写数据
//一般写在app的私有目录里,不然会报错:failed to open file (Permission denied)(实际上就是权限不足)
var file_path = "/data/user/0/com.zj.wuaipojie/test.txt";
var file_handle = new File(file_path, "wb");
if (file_handle && file_handle != null) {
file_handle.write(data); //写入数据
file_handle.flush(); //刷新
file_handle.close(); //关闭
}2.Frida_inlineHook与读写汇编
function inline_hook() {
var soAddr = Module.findBaseAddress("lib52pojie.so");
if (soAddr) {
var func_addr = soAddr.add(0x10428);
Java.perform(function () {
Interceptor.attach(func_addr, {
onEnter: function (args) {
console.log(this.context.x22); //注意此时就没有args概念了
this.context.x22 = ptr(1); //赋值方法参考上一节课
},
onLeave: function (retval) {
}
}
)
})
}
}- 将地址的指令解析成汇编
var soAddr = Module.findBaseAddress("lib52pojie.so");
var codeAddr = Instruction.parse(soAddr.add(0x10428));
console.log(codeAddr.toString());- Frida Api
直接改写汇编,改机器码
function patchCode(){
var soAddr = Module.findBaseAddress("lib52pojie.so");
var codeAddr = soAddr.add(0x10428);
var codeasm = Instruction.parse(codeAddr);
console.log(codeasm.toString());
Memory.patchCode(codeAddr, 4, function(code) {
const writer = new Arm64Writer(code, { pc: codeAddr });
writer.putBytes(hexToBytes("20008052")); // MOV W0, 1
// writer.putBytes(hexToBytes("200080D2")); // MOV X0, 1
writer.flush();
});
}
function hexToBytes(str) {
var pos = 0;
var len = str.length;
if (len % 2 != 0) {
return null;
}
len /= 2;
var hexA = new Array();
for (var i = 0; i < len; i++) {
var s = str.substr(pos, 2);
var v = parseInt(s, 16);
hexA.push(v);
pos += 2;
}
return hexA;
}3.普通函数与jni函数的主动调用
frida关于nativefunction的文档:https://frida.re/docs/javascript-api/#nativefunction
支持的参数类型如下:
void
pointer
int
uint
long
ulong
char
uchar
size_t
ssize_t
float
double
int8
uint8
int16
uint16
int32
uint32
int64
uint64
boolvar funcAddr = Module.findBaseAddress("lib52pojie.so").add(0x1054C);
//声明函数指针
//NativeFunction的第一个参数是地址,第二个参数是返回值类型,第三个[]里的是传入的参数类型(有几个就填几个)
var aesAddr = new NativeFunction(funcAddr , 'pointer', ['pointer', 'pointer']);
var encry_text = Memory.allocUtf8String("OOmGYpk6s0qPSXEPp4X31g=="); //开辟一个指针存放字符串
var key = Memory.allocUtf8String('wuaipojie0123456');
console.log(aesAddr(encry_text ,key).readCString());jni函数还是原来那一套,比如下面输出返回值,并修改返回值为true
function hooktest(){
Java.perform(function() {
var securityUtilClass = Java.use("com.zj.wuaipojie.util.SecurityUtil");
// 定义要调用的 JNI 方法
var checkVipMethod = securityUtilClass.checkVip.overload();
// 在 Frida 中调用 JNI 方法
checkVipMethod.implementation = function() {
console.log("Calling Java_com_zj_wuaipojie_util_SecurityUtil_checkVip method...");
// 在这里可以添加自定义逻辑
// 调用原始 JNI 方法
var result = this.checkVip();
// 输出结果
console.log("Result: " + result);
// 返回结果
return true;
};
});
}4.Trace
工具名称 | 描述 | 链接 |
|---|---|---|
jnitrace | 老牌,经典,信息全,携带方便 | jnitrace |
jnitrace-engine | 基于jnitrace,可定制化 | jnitrace-engine |
jtrace | 定制方便,信息全面,直接在_agent.js或者_agent_stable.js 里面加自己的逻辑就行 | jtrace |
hook_art.js | 可提供jni trace,可以灵活的增加你需要hook的函数 | hook_art.js |
JNI-Frida-Hook | 函数名已定义,方便定位 | JNI-Frida-Hook |
findhash | ida插件,可用于检测加解密函数,也可作为Native Trace库 | findhash |
Stalker | frida官方提供的代码跟踪引擎,可以在Native层方法级别,块级别,指令级别实现代码修改,代码跟踪 | Stalker |
sktrace | 类似 ida 指令 trace 功能 | sktrace |
frida-qbdi-tracer | 速度比frida stalker快,免补环境 | frida-qbdi-tracer |
### 4.1 frida-trace | ||
Frida-Trace 是 Frida 框架提供的一个功能强大的工具,用于追踪和监视目标应用程序中的函数调用。通过 Frida-Trace,用户可以轻松地跟踪函数的调用、参数和返回值,并实时查看这些信息。以下是 Frida-Trace 的一些主要特点和用法介绍: |
主要特点:
- 动态追踪:Frida-Trace 可以实时监视目标应用程序中的函数调用,无需重启应用或重新编译代码。
- 灵活性:用户可以根据需要选择要追踪的函数,包括系统库函数和自定义函数。
- 函数参数和返回值:除了函数调用,Frida-Trace 还可以显示函数的参数和返回值,帮助用户更好地理解函数的执行过程。
- 易用性:Frida-Trace 提供了简洁的命令行接口,用户可以通过命令轻松设置和启动函数追踪。
- `-i` / `-a`: 跟踪 C 函数或 so 库中的函数。
PS:-a 包含模块+偏移跟踪,一般用于追踪未导出函数,例子:-a "lib52pojie.so!0x4793c"
包含/排除模块或函数:
- `-I` : 包含指定模块。
- `-X` : 排除指定模块。
Java 方法跟踪:
- `-j JAVA_METHOD`: 包含 Java 方法。
- `-J JAVA_METHOD`: 排除 Java 方法。
附加方式:
- `-f`:通过 spwan 方式启动
- `-F`:通过 attach 方式附加当前进程
日志输出:
`-o`:日志输出到文件使用案例:
注意下面需要打开相应的app保持在屏幕上
#附加当前进程并追踪lib52pojie.so里的所有Java_开头的jni导出函数
frida-trace -U -F -I "lib52pojie.so" -i "Java_"
4.2 jnitrace
安装
pip install jnitrace==3.3.0使用
//attach模式附加52pojie.so并输出日志,其中wuaipojie是进程名,可以通过frida-ps -U查看
jnitrace -m attach -l lib52pojie.so wuaipojie -o trace.json
jnitrace -m spawn -l lib52pojie.so com.zj.wuaipojie`-l libnative-lib.so`- 用于指定要跟踪的库
`-m <spawn|attach>`- 用于指定要使用的 Frida 附加机制
`-i <regex>`- 用于指定应跟踪的方法名称,例如,`-i Get -i RegisterNatives`将仅包含名称中包含 Get 或 RegisterNatives 的 JNI 方法
`-e <regex>`- 用于指定跟踪中应忽略的方法名称,例如,`-e ^Find -e GetEnv`将从结果中排除所有以 Find 开头或包含 GetEnv 的 JNI 方法名称
`-I <string>`- 用于指定应跟踪的库的导出
`-E <string>`用于指定不应跟踪的库的导出
`-o path/output.json`- 用于指定`jnitrace`存储所有跟踪数据的输出路径
4.3 sktrace
地址:https://github.com/bmax121/sktrace.git
这个类似 ida 指令 trace 功能,显示每个执行的汇编的寄存器的值
python sktrace.py -m attach -l lib52pojie.so -i 0x103B4 wuaipojie
5.控制流混淆对抗新发现
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2024-03-18,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
![[1091]Frida的环境搭建及入门实战](https://ask.qcloudimg.com/http-save/yehe-4908043/16ea0dca815babd49323a2a8cd936d8e.png)
推荐阅读
相关推荐
安卓Frida Hook之Frida-Native-Hook
更多 >腾讯云开发者
