Frida Android hook

时间:2024-10-25 12:27:14

From:/2020/07/04/frida/

目录

1、r0ysue 大佬

2、Frida 环境

2.1 pyenv

2.2 frida 安装

2.3 安装 objection

2.4 frida 使用

frida 帮助 和 frida-server 帮助

2.5 frida 开发环境搭建

3、FRIDA 基础

3.1 frida 查看当前存在的进程

3.2 frida 打印参数和修改返回值

3.3 frida 寻找 instance,主动调用。

3.4 frida rpc

3.5 frida 动态修改

3.6 API List

4、Frida 动静态结合分析

4.1 Objection

objection -----> 启动、并注入内存

objection -----> memory 命令

memory list modules ( 查看加载的 so 库 )

memory list exports ( 查看 so 库的导出函数表 )

memory dump(dump 内存空间)       

memory search(搜索 内存空间)

objection -----> android 命令

android heap search instances 类名

android heap execute 实例ID 实例方法

android hooking list activities/services

android intent launch_activity/launch_service activity/服务

android hooking list classes

android hooking list class_methods 类名

android hooking search classes 关键字

android hooking search methods 关键字

hook 类的方法(hook 类里的所有方法 / 具体某个方法)

grep trick 和 文件保存( objection log )

4.2 案例学习

案例学习 1:《仿VX数据库原型取证逆向分析》

案例学习 2:主动调用爆破密码

5、Frida hook 基础(一)

5.1 Frida hook : 打印参数、返回值 / 设置返回值 / 主动调用

5.2 Frida hook : 主动调用静态/非静态函数 以及 设置静态/非静态成员变量的值

5.3 Frida hook : 内部类,枚举类的方法 并 hook,trace原型1

5.4 Frida hook : hook 动态加载的 dex,与查找 interface,

5.5 Frida hook : 枚举 class,trace原型2

5.6 Frida hook : 搜索 interface 的具体实现类

枚举 实现 接口的类

6、Frida hook 基础(二)

6.1 spawn / attach

6.2 Frida hook : hook构造函数/打印栈回溯

6.3 Frida hook : 打印栈回溯

6.4 Frida hook : 手动加载 dex 并调用

7、Frida 打印 与 参数构造

gson 打印 Java 对象的内容

char[] / [Object Object]

byte[] 类型 转 String

修改传递的参数 ( 示例: java array 构造 )

类的多态:强制类型转换 

interface /

成员内部类 / 匿名内部类

hook enum

HashMap 和 Map 类型 转 String

获得 context

打印 non-ascii

8、Frida native hook : NDK 开发入门

9、Frida native hook : JNIEnv 和 反射

9.1 以 jni字符串 来掌握基本的 JNIEnv用法

9.2 Java 反射

10、Frida 反调试 与 反反调试

11、Frida native hook : 符号 hook JNI、art&libc

11.1 Native函数的Java Hook及主动调用

11.2 头文件导入

11.3 JNI 函数符号 hook

11.4 JNI 函数参数、返回值打印和替换

12、Frida native hook : JNI_Onload / 动态注册 / inline_hook / native层调用栈打印

12.1 JNI_Onload / 动态注册原理

12.2 Frida hook RegisterNative

12.3 native 层调用栈打印

12.4 主动调用去进行方法参数替换

12.5 inline hook ( so库里面的函数 )

13、Frida native hook : Frida hook native app 实战

14、Frida trace 四件套

14.1 jni trace : trace jni

14.2 strace : trace syscall

14.3 frida-trace : trace libc(or more)

art trace

14.4 hook_artmethod : trace java 函数调用

14.5 修改AOSP源码打印

15、Frida native hook : init_array 开发和自动化逆向

15.1 init_array原理 ( so 加载、启动、执行 )

15.2 IDA静态分析 init_array

15.3 IDA 动态调试 so

15.4 init_array && JNI_Onload "自吐"

JNI_Onload

init_array

15.5 native层未导出函数主动调用(任意符号和地址)

16、C/C++ hook

16.1 Native/JNI层参数打印和主动调用参数构造

16.2 C/C++编成 so 并引入 Frida 调用其中的函数


1、r0ysue 大佬

这篇文章完全来源于 r0ysue 的知识星球,推荐下大佬的星球

2、Frida 环境

github 地址:/frida/frida

2.1 pyenv

python 全版本随机切换,这里提供 macOS上的配置方法

  1. brew update
  2. brew install pyenv
  3. echo -e 'if command -v pyenv 1>/dev/null 2>&1; then\n eval "$(pyenv init -)"\nfi' >> ~/.bash_profile
  4. 下载一个3.8.2,下载真的很慢,要慢慢等
  5. pyenv install 3.8.2
  6. pyenv versions
  7. sakura@sakuradeMacBook-Pro:~$ pyenv versions
  8. system
  9. * 3.8.2 (set by /Users/sakura/.python-version)
  10. 切换到我们装的
  11. pyenv local 3.8.2
  12. python -V
  13. pip -V
  14. 原本系统自带的
  15. python local system
  16. python -V

另外当你需要临时禁用 pyenv 的时候

把这个注释了然后另开终端就好了。关于卸载某个 python 版本

  1. Uninstalling Python Versions
  2. As time goes on, you will accumulate Python versions in your $(pyenv root)/versions directory.
  3. To remove old Python versions, pyenv uninstall command to automate the removal process.
  4. Alternatively, simply rm -rf the directory of the version you want to remove.
  5. You can find the directory of a particular Python version with the pyenv
  6. prefix command, . pyenv prefix 2.6.8.

2.2 frida 安装

如果直接按下述安装则会直接安装 frida 和 frida-tools 的最新版本。

  1. pip install frida
  2. pip install frida-tools
  3. frida --version
  4. frida-ps --version

也可以通过 版本号 安装旧版本的 frida,例如 12.8.0

  1. pyenv install 3.7.7
  2. pyenv local 3.7.7
  3. pip install frida==12.8.0
  4. pip install frida-tools==5.3.0

老版本 frida 和 对应关系,对应关系很好找:

2.3 安装 objection

安装命令:

  1. pyenv local 3.8.2
  2. pip install objection
  3. objection -h
  4. pyenv local 3.7.7
  5. pip install objection==1.8.4
  6. objection -h

2.4 frida 使用

下载 frida-server 并解压,在这里下载 frida-server :/frida/frida/releases

先 adb shell,然后切换到 root 权限,把之前 push 进来的 frida server 改个名字叫 fs,然后运行 frida

  1. adb push /tmp/frida-server-12.8.0-android-arm64 /data/local/tmp
  2. mv frida-server-12.8.0-android-arm64 fs
  3. chmod 777 fs
  4. ./fs

如果要监听端口,就

./fs -l 0.0.0.0:8888

frida 帮助 和 frida-server 帮助

frida --help

frida-server --help

2.5 frida 开发环境搭建

  1. 安装
            git clone /oleavr/
            cd frida-agent-example/
            npm install
  2. 使用 vscode 打开此工程,在 agent 文件夹下编写 js,会有智能提示。
  3. npm run watch 会监控代码修改自动编译生成 js 文件
  4. python 脚本或者 cli 加载 _agent.js 命令:frida -U -f --no-pause -l _agent.js

下面是测试脚本

  1. function main() {
  2. Java.perform(function x() {
  3. console.log("sakura")
  4. })
  5. }
  6. setImmediate(main)

  1. import time
  2. import frida
  3. device8 = frida.get_device_manager().add_remote_device("192.168.0.9:8888")
  4. pid = ("")
  5. (pid)
  6. (1)
  7. session = (pid)
  8. with open("") as f:
  9. script = session.create_script(())
  10. ()
  11. input() #等待输入

解释一下:这个脚本就是先通过 frida.get_device_manager().add_remote_device 来找到 device,然后以 spawn 方式启动 settings,然后 attach 到上面,并执行 frida 脚本。

当代码里面没有指定端口时,需要手动转发端口:adb forward tcp:27042 tcp:27042

  1. import sys
  2. import time
  3. import frida
  4. js_code = '''
  5. function main() {
  6. (function x() {
  7. ("sakura")
  8. })
  9. }
  10. setImmediate(main);
  11. '''
  12. def on_message(msg, data):
  13. if msg['type'] == 'send':
  14. print(f'[*] {msg["payload"]}')
  15. else:
  16. print(msg)
  17. if __name__ == '__main__':
  18. select = 1
  19. if 1 == select:
  20. # ########################### 会自动重启 app ###########################
  21. # 会自动重启 app
  22. device = frida.get_remote_device()
  23. pid = ([""])
  24. (pid)
  25. (1)
  26. process = ("")
  27. script = process.create_script(js_code)
  28. ()
  29. input('按任意键继续') # 等待输入
  30. elif 2 == select:
  31. # ############ 需要先手动启动 app , 然后才能执行脚本进行 hook #############
  32. # get_remote_device 获取远程设备 (get_usb_device)attach 附加进程
  33. process = frida.get_remote_device().attach('')
  34. script = process.create_script(js_code)
  35. ('message', on_message) # 绑定 js 回调
  36. ()
  37. ()
  38. pass

运行结果:

3、FRIDA 基础

3.1 frida 查看当前存在的进程

frida-ps 命令:

frida-ps -U 查看通过 usb 连接的 android 手机上的进程。可以通过 grep 过滤就可以找到我们想要的包名。

  1. sakura@sakuradeMacBook-Pro:~$ frida-ps -U
  2. PID Name
  3. ----- ---------------------------------------------------
  4. 3640 ATFWD-daemon
  5. 707 adbd
  6. 728 adsprpcd
  7. 26041 @2.0-service
  8. 741 @

3.2 frida 打印参数和修改返回值

  1. package .frida_demo;
  2. import .;
  3. import ;
  4. import ;
  5. public class MainActivity extends AppCompatActivity {
  6. private String total = "@@@###@@@";
  7. @Override
  8. protected void onCreate(Bundle savedInstanceState) {
  9. super.onCreate(savedInstanceState);
  10. setContentView(.activity_main);
  11. while (true){
  12. try {
  13. (1000);
  14. } catch (InterruptedException e) {
  15. ();
  16. }
  17. fun(50,30);
  18. ("" , fun("LoWeRcAsE Me!!!!!!!!!"));
  19. }
  20. }
  21. void fun(int x , int y ){
  22. ("" , (x+y));
  23. }
  24. String fun(String x){
  25. total +=x;
  26. return ();
  27. }
  28. String secret(){
  29. return total;
  30. }
  31. }

注入的 js 代码:

  1. function main() {
  2. console.log("Enter the Script!");
  3. Java.perform(function x() {
  4. console.log("Inside Java perform");
  5. var MainActivity = Java.use(".frida_demo.MainActivity");
  6. // 重载找到指定的函数
  7. MainActivity.fun.overload('').implementation = function (str) {
  8. //打印参数
  9. console.log("original call : str:" + str);
  10. //修改结果
  11. var ret_value = "sakura";
  12. return ret_value;
  13. };
  14. })
  15. }
  16. setImmediate(main);

查看设备。( -f 是通过 spawn,也就是重启 apk 注入 js )

  1. sakura@sakura:~$ frida-ps -U | grep frida
  2. 8738 frida-helper-32
  3. 8897 .frida_demo
  4. // -f 是通过 spawn,也就是重启 apk 注入 js
  5. sakura@sakura:~$ frida -U -f .frida_demo -l frida_demo.js
  6. ...
  7. original call : str:LoWeRcAsE Me!!!!!!!!!
  8. 12-21 04:46:49.875 9594-9594/.frida_demo D/sakura.string: sakura

3.3 frida 寻找 instance,主动调用。

  1. function main() {
  2. console.log("Enter the Script!");
  3. Java.perform(function x() {
  4. console.log("Inside Java perform");
  5. var MainActivity = Java.use(".frida_demo.MainActivity");
  6. // overload 选择被重载的对象
  7. MainActivity.fun.overload('').implementation = function (str) {
  8. //打印参数
  9. console.log("original call : str:" + str);
  10. //修改结果
  11. var ret_value = "sakura";
  12. return ret_value;
  13. };
  14. // 寻找类型为 classname 的实例
  15. Java.choose(".frida_demo.MainActivity", {
  16. onMatch: function (x) {
  17. console.log("find instance :" + x);
  18. console.log("result of secret func:" + x.secret());
  19. },
  20. onComplete: function () {
  21. console.log("end");
  22. }
  23. });
  24. });
  25. }
  26. setImmediate(main);

3.4 frida rpc

  1. function callFun() {
  2. Java.perform(function fn() {
  3. console.log("begin");
  4. Java.choose(".frida_demo.MainActivity", {
  5. onMatch: function (x) {
  6. console.log("find instance :" + x);
  7. console.log("result of fun(string) func:" + x.fun(Java.use("").$new("sakura")));
  8. },
  9. onComplete: function () {
  10. console.log("end");
  11. }
  12. })
  13. })
  14. }
  15. rpc.exports = {
  16. callfun: callFun
  17. };

Python 调用:

  1. import time
  2. import frida
  3. device = frida.get_usb_device()
  4. pid = ([".frida_demo"])
  5. (pid)
  6. (1)
  7. session = (pid)
  8. with open("frida_demo_rpc_call.js") as f:
  9. script = session.create_script(())
  10. def my_message_handler(message, payload):
  11. print(message)
  12. print(payload)
  13. ("message", my_message_handler)
  14. ()
  15. ()

执行:

  1. sakura@sakura:~/frida-agent-example/agent$ python frida_demo_rpc_loader.py
  2. begin
  3. find instance :myapplication..frida_demo.MainActivity@1d4b09d
  4. result of fun(string):sakura
  5. end

3.5 frida 动态修改

即将手机上的 app 的内容发送到 PC 上的 frida python 程序,然后处理后返回给 app,然后 app 再做后续的流程,核心是理解 send/recv 函数。

  1. <TextView
  2. android:id="@+id/textView"
  3. android:layout_width="wrap_content"
  4. android:layout_height="wrap_content"
  5. android:text="please input username and password"
  6. app:layout_constraintBottom_toBottomOf="parent"
  7. app:layout_constraintLeft_toLeftOf="parent"
  8. app:layout_constraintRight_toRightOf="parent"
  9. app:layout_constraintTop_toTopOf="parent" />
  10. <EditText
  11. android:id="@+id/editText"
  12. android:layout_width="fill_parent"
  13. android:layout_height="40dp"
  14. android:hint="username"
  15. android:maxLength="20"
  16. app:layout_constraintBottom_toBottomOf="parent"
  17. app:layout_constraintEnd_toEndOf="parent"
  18. app:layout_constraintHorizontal_bias="1.0"
  19. app:layout_constraintStart_toStartOf="parent"
  20. app:layout_constraintTop_toTopOf="parent"
  21. app:layout_constraintVertical_bias="0.095" />
  22. <EditText
  23. android:id="@+id/editText2"
  24. android:layout_width="fill_parent"
  25. android:layout_height="40dp"
  26. android:hint="password"
  27. android:maxLength="20"
  28. app:layout_constraintBottom_toBottomOf="parent"
  29. app:layout_constraintTop_toTopOf="parent"
  30. app:layout_constraintVertical_bias="0.239" />
  31. <Button
  32. android:id="@+id/button"
  33. android:layout_width="100dp"
  34. android:layout_height="35dp"
  35. android:layout_gravity="right|center_horizontal"
  36. android:text="提交"
  37. android:visibility="visible"
  38. app:layout_constraintBottom_toBottomOf="parent"
  39. app:layout_constraintEnd_toEndOf="parent"
  40. app:layout_constraintStart_toStartOf="parent"
  41. app:layout_constraintTop_toTopOf="parent"
  42. app:layout_constraintVertical_bias="0.745" />
  1. public class MainActivity extends AppCompatActivity {
  2. EditText username_et;
  3. EditText password_et;
  4. TextView message_tv;
  5. @Override
  6. protected void onCreate(Bundle savedInstanceState) {
  7. super.onCreate(savedInstanceState);
  8. setContentView(.activity_main);
  9. password_et = (EditText) this.findViewById(.editText2);
  10. username_et = (EditText) this.findViewById();
  11. message_tv = ((TextView) findViewById());
  12. this.findViewById().setOnClickListener(new View.OnClickListener() {
  13. @Override
  14. public void onClick(View v) {
  15. if (username_et.getText().toString().compareTo("admin") == 0) {
  16. message_tv.setText("You cannot login as admin");
  17. return;
  18. }
  19. //hook target
  20. message_tv.setText(
  21. "Sending to the server :" +
  22. (
  23. (username_et.getText().toString() + ":" + password_et.getText().toString()).getBytes(),
  24. )
  25. );
  26. }
  27. });
  28. }
  29. }

先分析问题,我的最终目标是让 message_tv.setText 可以”发送”username为admin的base64字符串。
那肯定是 hook 这个函数。

  1. console.log("Script loaded successfully ");
  2. Java.perform(function () {
  3. var tv_class = Java.use("");
  4. tv_class.setText.overload("").implementation = function (x) {
  5. var string_to_send = x.toString();
  6. var string_to_recv;
  7. send(string_to_send); // send data to python code
  8. recv(function (received_json_object) {
  9. string_to_recv = received_json_object.my_data
  10. console.log("string_to_recv: " + string_to_recv);
  11. }).wait(); //block execution till the message is received
  12. var my_string = Java.use("").$new(string_to_recv);
  13. this.setText(my_string);
  14. }
  15. });

Python 脚本:

  1. import time
  2. import frida
  3. import base64
  4. def my_message_handler(message, payload):
  5. print(message)
  6. print(payload)
  7. if message["type"] == "send":
  8. print(message["payload"])
  9. data = message["payload"].split(":")[1].strip()
  10. print( 'message:', message)
  11. #data = ("base64")
  12. #data = data
  13. data = str(base64.b64decode(data))
  14. print( 'data:',data)
  15. user, pw = (":")
  16. print( 'pw:',pw)
  17. #data = ("admin" + ":" + pw).encode("base64")
  18. data = str(base64.b64encode(("admin" + ":" + pw).encode()))
  19. print( "encoded data:", data)
  20. ({"my_data": data}) # send JSON object
  21. print( "Modified data sent")
  22. device = frida.get_usb_device()
  23. pid = ([".frida_demo"])
  24. (pid)
  25. (1)
  26. session = (pid)
  27. with open("frida_demo2.js") as f:
  28. script = session.create_script(())
  29. ("message", my_message_handler)
  30. ()
  31. input()

执行和输出:

  1. sakura@sakuradeMacBook-Pro:~/gitsource/frida-agent-example/agent$ python frida_demo_rpc_loader2.py
  2. Script loaded successfully
  3. {'type': 'send', 'payload': 'Sending to the server :c2FrdXJhOjEyMzQ1Ng==\n'}
  4. None
  5. Sending to the server :c2FrdXJhOjEyMzQ1Ng==
  6. message: {'type': 'send', 'payload': 'Sending to the server :c2FrdXJhOjEyMzQ1Ng==\n'}
  7. data: b'sakura:123456'
  8. pw: 123456'
  9. encoded data: b'YWRtaW46MTIzNDU2Jw=='
  10. Modified data sent
  11. string_to_recv: b'YWRtaW46MTIzNDU2Jw=='

参考链接:/Mind0xP/Frida-Python-Binding

3.6 API List

  • (className: string, callbacks: ): void
    通过扫描 Java VM 的堆来枚举 className类 的 live instance。

  • (className: string): <{}>
    动态为 className 生成 JavaScript Wrappe r,可以通过调用$new()来调用构造函数来实例化对象。
    在实例上调用 $dispose() 以对其进行显式清理,或者等待JavaScript对象被gc。

  • (fn: () => void): void
    附加到 VM 后要运行的 函数。确保当前线程连接到 VM 并调用 fn。
    如果应用程序的 " 类加载器 " 还不可用,将延迟调用 fn。
    如果不需要访问应用程序的类,请使用 () 

  • send(message: any, data?: ArrayBuffer | number[]): void
    将 JSON 序列化后的 message 发送到您的基于Frida 的应用程序,并包含(可选)一些原始二进制数据。The latter is useful if you . dumped some memory using NativePointer#readByteArray().

  • recv(callback: MessageCallback): MessageRecvOperation
    Requests callback to be called on the next message received from your Frida-based application. This will only give you one message, so you need to call recv() again to receive the next one.

  • wait(): void
    堵塞,直到 message 已经 receive 并且 callback 已经执行完毕并返回

4、Frida 动静态结合分析

4.1 Objection

  • 参考这篇文章:实用FRIDA进阶:内存漫游、hook anywhere、抓包/post/id/197657
  • objection:/project/objection/

objection -----> 启动、并注入内存

  1. 命令:objection -d -g package_name explore
  2. sakura@sakura:~$ objection -d -g explore
  3. [debug] Agent path is: /Users/sakura/.pyenv/versions/3.7.7/lib/python3.7/site-packages/objection/
  4. [debug] Injecting agent...
  5. Using USB device `Google Pixel`
  6. [debug] Attempting to attach to process: ``
  7. [debug] Process attached!
  8. Agent injected and responds ok!
  9. _ _ _ _
  10. ___| |_|_|___ ___| |_|_|___ ___
  11. | . | . | | -_| _| _| | . | |
  12. |___|___| |___|___|_| |_|___|_|_|
  13. |___|(object)inject(ion) v1.8.4
  14. Runtime Mobile Exploration
  15. by: @leonjza from @sensepost
  16. [tab] for command suggestions
  17. on (google: 8.1.0) [usb] #

objection -----> memory 命令

memory list modules ( 查看加载的 so 库 )

modules 就是指的 so 库

  1. 查看内存中加载的 module,命令:memory list modules
  2. on (google: 8.1.0) [usb] # memory list modules
  3. Save the output by adding `--json ` to this command
  4. Name Base Size Path
  5. ----------------------- ------------ -------------------- ------------------------------------
  6. app_process64 0x64ce143000 32768 (32.0 KiB) /system/bin/app_process64
  7. libandroid_runtime.so 0x7a90bc3000 1990656 (1.9 MiB) /system/lib64/libandroid_runtime.so
  8. 0x7a9379f000 557056 (544.0 KiB) /system/lib64/

memory list exports ( 查看 so 库的导出函数表 )

  1. 查看库的导出函数:memory list exports
  2. on (google: 8.1.0) [usb] # memory list exports
  3. Save the output by adding `--json ` to this command
  4. Type Name Address
  5. -------- ----------------------------------------------------- ------------
  6. function SSL_use_certificate_ASN1 0x7c8ff006f8
  7. function SSL_CTX_set_dos_protection_cb 0x7c8ff077b8
  8. function SSL_SESSION_set_ex_data 0x7c8ff098f4
  9. function SSL_CTX_set_session_psk_dhe_timeout 0x7c8ff0a754
  10. function SSL_CTX_sess_accept 0x7c8ff063b8
  11. function SSL_select_next_proto 0x7c8ff06a74

memory dump(dump 内存空间)       

  1. memory dump all 文件名
  2. memory dump from_base 起始地址 字节数 文件

memory search(搜索 内存空间)

用法:memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)

objection -----> android 命令

android heap search instances 类名

在内存堆上搜索类的实例 ,命令:android heap search instances 类名

  1. sakura@sakura:~$ objection -g .frida_demo explore
  2. Using USB device `Google Pixel`
  3. Agent injected and responds ok!
  4. [usb] # android heap search instances .frida_demo
  5. .MainActivity
  6. Class instance enumeration complete for .frida_demo.MainActivity
  7. Handle Class toString()
  8. -------- ------------------------------------------------- ---------------------------------------------------------
  9. 0x2102 .frida_demo.MainActivity .frida_demo.MainActivity@5b1b0af

android heap execute 实例ID 实例方法

  1. 调用实例的方法,
  2. 命令:android heap execute 实例ID 实例方法

android hooking list activities/services

  1. 查看当前可用的 activity 或者 service
  2. 命令:android hooking list activities/services
  3. on (google: 8.1.0) [usb] # android hooking list services

android intent launch_activity/launch_service activity/服务

  1. 直接启动 activity 或者服务
  2. 命令:android intent launch_activity/launch_service activity/服务
  3. 示例:这个命令比较有趣的是用在如果有些设计的不好,可能就直接绕过了密码锁屏等直接进去。
  4. android intent launch_activity

android hooking list classes

列出内存中所有的类 :android hooking list classes

android hooking list class_methods 类名

  1. 内存中搜索指定类的所有方法
  2. 命令:android hooking list class_methods 类名
  3. on (google: 8.1.0) [usb] # android hooking list class_methods
  4. private static (.String)
  5. private static .lookup2(.String)
  6. private static (.String)

android hooking search classes 关键字

在内存中所有已加载的类中搜索 包含特定关键词   
示例:android hooking search classes display    // 搜索 类 中包含 display

android hooking search methods 关键字

在内存中所有已加载的类的方法中搜索包含特定关键词的方法

命令:android hooking search methods display    // 搜索方法中包含 display 关键字的 方法

  1. on (google: 8.1.0) [usb] # android hooking search methods display
  2. Warning, searching all classes may take some time and in some cases, crash the target application.
  3. Continue? [y/N]: y
  4. Found 5529 classes, searching methods (this may take some time)...

hook 类的方法(hook 类里的所有方法 / 具体某个方法)

  • android hooking watch class 类名
        这样就可以 hook 这个类里面的所有方法,每次调用都会被 log 出来。
  • android hooking watch class 类名 --dump-args --dump-backtrace --dump-return
        在上面的基础上,额外 dump 参数,栈回溯,返回值
        示例:android hooking watch class --dump-args --dump-backtrace --dump-return
  • android hooking watch class_method 方法名
            // 可以直接 hook 到所有重载
            android hooking watch class_method --dump-args --dump-backtrace --dump-return

hook 单个方法

  • android hooking watch class_method "参数1, 参数2" --dump-args --dump-backtrace --dump-return

grep trick 和 文件保存( objection log )

objection log 默认是不能用 grep 过滤的,但是可以通过 objection run xxx | grep yyy 的方式,从终端通过管道来过滤。用法如下

  1. sakura@sakura:~$ objection -g run memory list modules | grep libc
  2. Warning: Output is not to a terminal (fd=1).
  3. 0x7a94a1c000 81920 (80.0 KiB) /system/lib64/
  4. libc++.so 0x7a9114e000 983040 (960.0 KiB) /system/lib64/libc++.so
  5. 0x7a9249d000 892928 (872.0 KiB) /system/lib64/
  6. 0x7a92283000 1155072 (1.1 MiB) /system/lib64/

有的命令后面可以通过 --json logfile 来直接保存结果到文件里。

有的可以通过查看 .objection (位置:C:\Users\用户名\.objection )文件里的输出 log 来查看结果。

  1. sakura@sakurade:~/.objection$ cat *log | grep -i display
  2. .display.DisplayManager
  3. .display.DisplayManager$DisplayListener
  4. .display.DisplayManagerGlobal

4.2 案例学习

案例学习 1:《仿VX数据库原型取证逆向分析

案例学习case1:《仿VX数据库原型取证逆向分析》

附件链接​:https:///?mod=viewthread&tid=1082706

android-backup-extractor工具链接:/nelenkov/android-backup-extractor

  1. sakura@sakurade:~/Desktop/frida_learn$ java -version
  2. java version "1.8.0_141"
  3. sakura@sakuradeMacBook-Pro:~/Desktop/frida_learn$ java -jar unpack 1.ab 1.tar
  4. 0% 1% 2% 3% 4% 5% 6% 7% 8% 9% 10% 11% 12% 13% 14% 15% 16% 17% 18% 19% 20% 21% 22% 23% 24% 25% 26% 27% 28% 29% 30% 31% 32% 33% 34% 35% 36% 37% 38% 39% 40% 41% 42% 43% 44% 45% 46% 47% 48% 49% 50% 51% 52% 53% 54% 55% 56% 57% 58% 59% 60% 61% 62% 63% 64% 65% 66% 67% 68% 69% 70% 71% 72% 73% 74% 75% 76% 77% 78% 79% 80% 81% 82% 83% 84% 85% 86% 87% 88% 89% 90% 91% 92% 93% 94% 95% 96% 97% 98% 99% 100%
  5. 9097216 bytes written to 1.tar.
  6. ...
  7. sakura@sakurade:~/Desktop/frida_learn/apps/$ ls
  8. _manifest a db

装个夜神模拟器玩

  1. sakura@sakura:/Applications//Contents/MacOS$ ./adb connect 127.0.0.1:62001
  2. * daemon not running. starting it now on port 5037 *
  3. adb E 5139 141210 usb_osx.cpp:138] Unable to create an interface plug-in (e00002be)
  4. * daemon started successfully *
  5. connected to 127.0.0.1:62001
  6. sakura@sakuradeMacBook-Pro:/Applications//Contents/MacOS$ ./adb shell
  7. dream2qltechn:/ # whoami
  8. root
  9. dream2qltechn:/ # uname -a
  10. Linux localhost 4.0.9+ #222 SMP PREEMPT Sat Mar 14 18:24:36 HKT 2020 i686

肯定还是先定位目标字符串 Wait a Minute,What was happend?

jadx 搜索字符串

重点在 a() 代码里,其实是根据明文的 name 和 password,然后 (a2 + (a2, ("password"))).substring(0, 7) 再做一遍复杂的计算并截取7位当做密码,传入 getWritableDatabase 去解密 数据库。

所以我们 hook一下 getWritableDatabase 即可。

  1. // 首先查看要注入的进程
  2. frida-ps -U
  3. ...
  4. 5662
  5. ...
  6. // 使用 objection 注入
  7. objection -d -g explore

看一下源码

  1. package ;
  2. ...
  3. public abstract class SQLiteOpenHelper {
  4. ...
  5. public synchronized SQLiteDatabase getWritableDatabase(char[] cArr) {

也可以 objection search 一下这个 method

  1. (samsung: 7.1.2) [usb] # android hooking search methods getWritableDatabase
  2. Warning, searching all classes may take some time and in some cases, crash the target application.
  3. Continue? [y/N]: y
  4. Found 4650 classes, searching methods (this may take some time)...
  5. ...

hook 一下这个 method

  1. [usb] # android hooking watch class_method net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase --dump-args --dump-backtrace --dump-return
  2. - [incoming message] ------------------
  3. {
  4. "payload": "Attempting to watch class \u001b[\u001b[39m and method \u001b[32mgetWritableDatabase\u001b[39m.",
  5. "type": "send"
  6. }
  7. - [./incoming message] ----------------
  8. (agent) Attempting to watch class net.sqlcipher.database.SQLiteOpenHelper and method getWritableDatabase.
  9. - [incoming message] ------------------
  10. {
  11. "payload": "Hooking \u001b[\u001b[39m.\u001b[92mgetWritableDatabase\u001b[39m(\u001b[\u001b[39m)",
  12. "type": "send"
  13. }
  14. - [./incoming message] ----------------
  15. (agent) Hooking net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase()
  16. - [incoming message] ------------------
  17. {
  18. "payload": "Hooking \u001b[\u001b[39m.\u001b[92mgetWritableDatabase\u001b[39m(\u001b[31m[C\u001b[39m)",
  19. "type": "send"
  20. }
  21. - [./incoming message] ----------------
  22. (agent) Hooking net.sqlcipher.database.SQLiteOpenHelper.getWritableDatabase([C)
  23. - [incoming message] ------------------
  24. {
  25. "payload": "Registering job \u001b[94mjytq1qeyllq\u001b[39m. Type: \u001b[92mwatch-method for: \u001b[39m",
  26. "type": "send"
  27. }
  28. - [./incoming message] ----------------
  29. (agent) Registering job jytq1qeyllq. Type: watch-method for:
  30. ... on (samsung: 7.1.2) [usb] #

hook 好之后再打开这个 apk

  1. (agent) [1v488x28gcs] Called (.String)
  2. ...
  3. (agent) [1v488x28gcs] Backtrace:
  4. (Native Method)
  5. (:55)
  6. (:42)
  7. (:6692)
  8. ...
  9. (agent) [1v488x28gcs] Arguments (ae56f99)
  10. ...
  11. ... on (samsung: 7.1.2) [usb] # jobs list
  12. Job ID Hooks Type
  13. ----------- ------- -----------------------------------------------------------------------------
  14. 1v488x28gcs 2 watch-method for:

找到参数 ae56f99

剩下的就是用这个密码去打开加密的 db。

然后base64解密一下就好了。

还有一种策略是主动调用,即自己去调用 a 函数以触发 getWritableDatabase 的数据库解密。先寻找 a 所在类的实例,然后 hook getWritableDatabase,最终主动调用 a。这里幸运的是 a 没有什么奇奇怪怪的参数需要我们传入。

  1. [usb] # android heap search instances
  2. Class instance enumeration complete for
  3. Handle Class toString()
  4. -------- -------------------------------------------------- ----------------------------------------------------------
  5. 0x20078a @1528f80
  6. [usb] # android hooking watch class_method --dump-args --dump-backtrace --dump-return
  7. [usb] # android heap execute 0x20078a a
  8. (agent) [taupgwkum4h] Arguments (ae56f99)

案例学习 2:主动调用爆破密码

附件链接:/

因为直接找 Unfortunately,note the right PIN :(找不到,可能是把字符串藏在什么资源文件里了。
review 代码之后找到校验的核心函数,逻辑就是将 input 编码一下之后和密码比较,这肯定是什么不可逆的加密。

  1. public static boolean verifyPassword(Context context, String input) {
  2. if (() != 4) {
  3. return false;
  4. }
  5. byte[] v = encodePassword(input);
  6. byte[] p = "09042ec2c2c08c4cbece042681caf1d13984f24a".getBytes();
  7. if ( != ) {
  8. return false;
  9. }
  10. for (int i = 0; i < ; i++) {
  11. if (v[i] != p[i]) {
  12. return false;
  13. }
  14. }
  15. return true;
  16. }

这里就爆破一下密码。

  1. // 查看 app 进程
  2. frida-ps -U | grep qualification
  3. 7660 17.
  4. // frida 命令执行 js 进行 hook
  5. frida -U -f 17. -l
  6. # 上面命令执行成功后,会进入 frida,再输入 %resume 然后回车,即可让程序继续执行

或者使用 -F 大写F 参数,frida -U -F . -l

js 脚本:

  1. function main() {
  2. Java.perform(function x() {
  3. console.log("In Java perform")
  4. var verify = Java.use(".")
  5. var stringClass = Java.use("")
  6. var p = stringClass.$new("09042ec2c2c08c4cbece042681caf1d13984f24a")
  7. var pSign = p.getBytes()
  8. // var pStr = stringClass.$new(pSign)
  9. // (parseInt(pStr))
  10. for (var i = 999; i < 10000; i++){
  11. var v = stringClass.$new(String(i))
  12. var vSign = verify.encodePassword(v)
  13. if (parseInt(stringClass.$new(pSign)) == parseInt(stringClass.$new(vSign))) {
  14. console.log("yes: " + v)
  15. break
  16. }
  17. console.log("not :" + v)
  18. }
  19. })
  20. }
  21. setImmediate(main)

 

 ...
not :9080
not :9081
not :9082
yes: 9083

这里注意 parseInt

5、Frida hook 基础(一)

  • 调用 静态函数非静态函数
  • 设置 (同名)成员变量
  • 内部类,枚举类的函数并hook,trace原型1
  • 查找接口,hook动态加载dex
  • 枚举class,trace原型2
  • objection 不能切换 classloader

5.1 Frida hook : 打印参数、返回值 / 设置返回值 / 主动调用

demo 就不贴了,还是先定位登录失败点,然后搜索字符串。

  1. public class LoginActivity extends AppCompatActivity {
  2. /* access modifiers changed from: private */
  3. public Context mContext;
  4. public void onCreate(Bundle bundle) {
  5. super.onCreate(bundle);
  6. this.mContext = this;
  7. setContentView((int) .activity_login);
  8. final EditText editText = (EditText) findViewById();
  9. final EditText editText2 = (EditText) findViewById();
  10. ((Button) findViewById()).setOnClickListener(new View.OnClickListener() {
  11. public void onClick(View view) {
  12. String obj = ().toString();
  13. String obj2 = ().toString();
  14. if ((obj) || (obj2)) {
  15. (LoginActivity.this.mContext,
  16. "username or password is empty.", 1).show();
  17. } else if ((obj, obj).equals(obj2)) {
  18. LoginActivity.this.startActivity(
  19. new Intent(LoginActivity.this.mContext, ));
  20. LoginActivity.this.finishActivity(0);
  21. } else {
  22. (LoginActivity.this.mContext, "Login failed.", 1).show();
  23. }
  24. }
  25. });
  26. }

(obj, obj).equals(obj2) 分析之后可得 obj2 来自 password,由从 username 得来的 obj,经过 a 函数运算之后得到一个值,这两个值相等则登录成功。所以这里关键是 hook a 函数的参数,最简脚本如下。

  1. //打印参数、返回值
  2. function Login(){
  3. Java.perform(function(){
  4. Java.use("").a.overload('', '').implementation = function (str, str2){
  5. var result = this.a(str, str2);
  6. console.log("args0:" + str + " args1:" + str2 + " result:" + result);
  7. return result;
  8. }
  9. })
  10. }
  11. setImmediate(Login)

观察输入和输出,这里也可以直接主动调用。

  1. function login() {
  2. Java.perform(function () {
  3. console.log("start")
  4. var login = Java.use("")
  5. var result = login.a("1234","1234")
  6. console.log(result)
  7. })
  8. }
  9. setImmediate(login)

输出:

  1. ...
  2. start
  3. 4e4feaea959d426155a480dc07ef92f4754ee93edbe56d993d74f131497e66fb
  4. 然后
  5. adb shell input text "4e4feaea959d426155a480dc07ef92f4754ee93edbe56d993d74f131497e66fb"

接下来是第一关

  1. public abstract class BaseFridaActivity extends AppCompatActivity implements View.OnClickListener {
  2. public Button mNextCheck;
  3. public void CheckSuccess() {
  4. }
  5. public abstract String getNextCheckTitle();
  6. public abstract void onCheck();
  7. /* access modifiers changed from: protected */
  8. public void onCreate(Bundle bundle) {
  9. super.onCreate(bundle);
  10. setContentView((int) .activity_frida);
  11. this.mNextCheck = (Button) findViewById(.next_check);
  12. this.(this);
  13. Button button = this.mNextCheck;
  14. (getNextCheckTitle() + ",点击进入下一关");
  15. }
  16. public void onClick(View view) {
  17. onCheck();
  18. }
  19. public void CheckFailed() {
  20. (this, "Check Failed!", 1).show();
  21. }
  22. }
  23. ...
  24. public class FridaActivity1 extends BaseFridaActivity {
  25. private static final char[] table = {'L', 'K', 'N', 'M', 'O', 'Q', 'P', 'R', 'S', 'A', 'T', 'B', 'C', 'E', 'D', 'F', 'G', 'H', 'I', 'J', 'U', 'V', 'W', 'X', 'Y', 'Z', 'a', 'b', 'c', 'o', 'd', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'e', 'f', 'g', 'h', 'j', 'i', 'k', 'l', 'm', 'n', 'y', 'z', '0', '1', '2', '3', '4', '6', '5', '7', '8', '9', '+', '/'};
  26. public String getNextCheckTitle() {
  27. return "当前第1关";
  28. }
  29. public void onCheck() {
  30. try {
  31. if (a(b("请输入密码:")).equals("R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=")) {
  32. CheckSuccess();
  33. startActivity(new Intent(this, ));
  34. finishActivity(0);
  35. return;
  36. }
  37. super.CheckFailed();
  38. } catch (Exception e) {
  39. ();
  40. }
  41. }
  42. public static String a(byte[] bArr) throws Exception {
  43. StringBuilder sb = new StringBuilder();
  44. for (int i = 0; i <= - 1; i += 3) {
  45. byte[] bArr2 = new byte[4];
  46. byte b = 0;
  47. for (int i2 = 0; i2 <= 2; i2++) {
  48. int i3 = i + i2;
  49. if (i3 <= - 1) {
  50. bArr2[i2] = (byte) (b | ((bArr[i3] & 255) >>> ((i2 * 2) + 2)));
  51. b = (byte) ((((bArr[i3] & 255) << (((2 - i2) * 2) + 2)) & 255) >>> 2);
  52. } else {
  53. bArr2[i2] = b;
  54. b = 64;
  55. }
  56. }
  57. bArr2[3] = b;
  58. for (int i4 = 0; i4 <= 3; i4++) {
  59. if (bArr2[i4] <= 63) {
  60. (table[bArr2[i4]]);
  61. } else {
  62. ('=');
  63. }
  64. }
  65. }
  66. return ();
  67. }
  68. public static byte[] b(String str) {
  69. try {
  70. ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
  71. GZIPOutputStream gZIPOutputStream = new GZIPOutputStream(byteArrayOutputStream);
  72. (());
  73. ();
  74. ();
  75. byte[] byteArray = ();
  76. try {
  77. ();
  78. return byteArray;
  79. } catch (Exception e) {
  80. ();
  81. return byteArray;
  82. }
  83. } catch (Exception unused) {
  84. return null;
  85. }
  86. }
  87. }

关键函数在  a(b("请输入密码:")).equals("R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=")

这里应该直接 hook a,让其返回值为 R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL=就可以进入下一关了。

  1. function ch1() {
  2. Java.perform(function () {
  3. ("start")
  4. Java.use(".FridaActivity1"). = function (x) {
  5. return "R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL="
  6. }
  7. })
  8. }

上面的代码 hook 了 类中的静态函数。在写 hook 的 js 代码时,静态 非静态 区别:

  • hook 静态函数时候,不需要 overload
  • hook 类的成员函数时,需要 overload

上面代码是 hook 并 实现函数,然后调用,

下面代码是 hook 但 不实现函数,只调用

5.2 Frida hook : 主动调用静态/非静态函数 以及 设置静态/非静态成员变量的值

总结:

  • 静态函数直接 use class 然后调用方法,非静态函数需要先 choose 实例然后调用
  • 设置成员变量的值,写法是  = yy,其他方面和函数一样。
  • 如果有一个成员变量和成员函数的名字相同,则在其前面加一个_,如 _xx.value = yy

然后是第二关

  1. public class FridaActivity2 extends BaseFridaActivity {
  2. private static boolean static_bool_var = false;
  3. private boolean bool_var = false;
  4. public String getNextCheckTitle() {
  5. return "当前第2关";
  6. }
  7. private static void setStatic_bool_var() {
  8. static_bool_var = true;
  9. }
  10. private void setBool_var() {
  11. this.bool_var = true;
  12. }
  13. public void onCheck() {
  14. if (!static_bool_var || !this.bool_var) {
  15. super.CheckFailed();
  16. return;
  17. }
  18. CheckSuccess();
  19. startActivity(new Intent(this, ));
  20. finishActivity(0);
  21. }
  22. }

这一关的关键在于下面的 if 判断要为 false,则 static_bool_var 和 this.bool_var 都要为 true。

  1. if (!static_bool_var || !this.bool_var) {
  2. super.CheckFailed();
  3. return;
  4. }

这样就要调用 setBool_var 和 setStatic_bool_var 两个函数了。

  1. function ch2() {
  2. Java.perform(function () {
  3. console.log("start")
  4. var FridaActivity2 = Java.use(".FridaActivity2")
  5. // hook 静态函数 直接调用
  6. FridaActivity2.setStatic_bool_var()
  7. // hook 动态函数,找到 instance 实例,从 实例中 调用函数方法
  8. Java.choose(".FridaActivity2", {
  9. onMatch: function (instance) {
  10. instance.setBool_var()
  11. },
  12. onComplete: function () {
  13. console.log("end")
  14. }
  15. })
  16. })
  17. }
  18. setImmediate(ch2)

接下来是第三关

  1. public class FridaActivity3 extends BaseFridaActivity {
  2. private static boolean static_bool_var = false;
  3. private boolean bool_var = false;
  4. private boolean same_name_bool_var = false;
  5. public String getNextCheckTitle() {
  6. return "当前第3关";
  7. }
  8. private void same_name_bool_var() {
  9. ("Frida", static_bool_var + " " + this.bool_var + " " + this.same_name_bool_var);
  10. }
  11. public void onCheck() {
  12. if (!static_bool_var || !this.bool_var || !this.same_name_bool_var) {
  13. super.CheckFailed();
  14. return;
  15. }
  16. CheckSuccess();
  17. startActivity(new Intent(this, ));
  18. finishActivity(0);
  19. }
  20. }

关键是让 if (!static_bool_var || !this.bool_var || !this.same_name_bool_var)为 false,则三个变量都要为 true

  1. function ch3() {
  2. Java.perform(function () {
  3. console.log("start")
  4. var FridaActivity3 = Java.use(".FridaActivity3")
  5. FridaActivity3.static_bool_var.value = true
  6. Java.choose(".FridaActivity3", {
  7. onMatch: function (instance) {
  8. instance.bool_var.value = true
  9. instance._same_name_bool_var.value = true
  10. },
  11. onComplete: function () {
  12. console.log("end")
  13. }
  14. })
  15. })
  16. }

注意:类里有一个 成员函数成员变量 都叫做  same_name_bool_var ,这种时候在成员变量前加一个 _,修改值的形式为   = yy

5.3 Frida hook : 内部类,枚举类的方法 并 hook,trace原型1

总结:

  • 对于内部类,通过 类名$内部类名 use 或者 choose
  • 对 use 得到的 clazz 应用反射,如 () 可以得到 类里面声明的所有方法,即 可以枚举类里面的所有函数

接下来是第四关

  1. public class FridaActivity4 extends BaseFridaActivity {
  2. public String getNextCheckTitle() {
  3. return "当前第4关";
  4. }
  5. private static class InnerClasses {
  6. public static boolean check1() { return false;}
  7. public static boolean check2() { return false;}
  8. public static boolean check3() { return false;}
  9. public static boolean check4() { return false;}
  10. public static boolean check5() { return false;}
  11. public static boolean check6() { return false;}
  12. private InnerClasses() {}
  13. }
  14. public void onCheck() {
  15. if (!InnerClasses.check1() || !InnerClasses.check2() || !InnerClasses.check3()
  16. || !InnerClasses.check4() || !InnerClasses.check5() || !InnerClasses.check6())
  17. {
  18. super.CheckFailed();
  19. return;
  20. }
  21. CheckSuccess();
  22. startActivity(new Intent(this, ));
  23. finishActivity(0);
  24. }
  25. }

这一关的关键是让 if (!InnerClasses.check1() || !InnerClasses.check2() || !InnerClasses.check3() || !InnerClasses.check4() || !InnerClasses.check5() || !InnerClasses.check6()) 中的所有 check 全部返回 true。

其实这里唯一的问题就是寻找内部类 InnerClasses,对于内部类的 hook,通过 类名$内部类名 去 use。

  1. function ch4() {
  2. Java.perform(function () {
  3. var InnerClasses = Java.use(".FridaActivity4$InnerClasses")
  4. console.log("start")
  5. InnerClasses.check1.implementation = function () { return true }
  6. InnerClasses.check2.implementation = function () { return true }
  7. InnerClasses.check3.implementation = function () { return true }
  8. InnerClasses.check4.implementation = function () { return true }
  9. InnerClasses.check5.implementation = function () { return true }
  10. InnerClasses.check6.implementation = function () { return true }
  11. })
  12. }

利用反射,获取类中的所有 method 声明,然后字符串拼接去获取到方法名,例如下面的 check1,然后就可以批量 hook,而不用像我上面那样一个一个写。

  1. var inner_classes = Java.use(".FridaActivity4$InnerClasses")
  2. var all_methods = inner_classes.class.getDeclaredMethods();
  3. ...
  4. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check1(),
  5. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check2(),
  6. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check3(),
  7. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check4(),
  8. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check5(),
  9. public static boolean com.example.androiddemo.Activity.FridaActivity4$InnerClasses.check6()

hook 类方法 的 所有 重载

方法 1:

  1. //目标类
  2. var hook = Java.use(targetClass);
  3. //重载次数
  4. var overloadCount = hook[targetMethod].overloads.length;
  5. //打印日志:追踪的方法有多少个重载
  6. console.log("Tracing " + targetClassMethod + " [" + overloadCount + " overload(s)]");
  7. //每个重载都进入一次
  8. for (var i = 0; i < overloadCount; i++) {
  9. //hook每一个重载
  10. hook[targetMethod].overloads[i].implementation = function() {
  11. console.warn("\n*** entered " + targetClassMethod);
  12. //可以打印每个重载的调用栈,对调试有巨大的帮助,当然,信息也很多,尽量不要打印,除非分析陷入僵局
  13. Java.perform(function() {
  14. var bt = Java.use("").getStackTraceString(Java.use("").$new());
  15. console.log("\nBacktrace:\n" + bt);
  16. });
  17. // 打印参数
  18. if (arguments.length) console.log();
  19. for (var j = 0; j < arguments.length; j++) {
  20. console.log("arg[" + j + "]: " + arguments[j]);
  21. }
  22. //打印返回值
  23. var retval = this[targetMethod].apply(this, arguments); // rare crash (Frida bug?)
  24. console.log("\nretval: " + retval);
  25. console.warn("\n*** exiting " + targetClassMethod);
  26. return retval;
  27. }
  28. }

方法 2:

  1. function hookOneClassAllMethod(clsName) {
  2. console.log("开始 hook 一个类的所有方法");
  3. // var NetContent = ("");
  4. var clazz = Java.use(clsName); // 得到 class
  5. var all_method = clazz.class.getDeclaredMethods(); // 得到类的所有方法
  6. all_method.forEach(function (mth) { // 遍历类的所有方法
  7. var mthName = mth.getName(); // 得到 方法名
  8. var all_overload = clazz[mthName].overloads;
  9. all_overload.forEach(function (olad) {
  10. // hook 重载 argumentTypes
  11. olad.implementation = function () {
  12. console.log("\r")
  13. // printStack()
  14. for (var i = 0; i < arguments.length; i++) {
  15. var arg_type = olad.argumentTypes[i].className;
  16. var arg_val = arguments[i];
  17. var arg_fmt = JSON.stringify(arg_val);
  18. var msg = mthName + " ---> " + "arg[" + i + ":"+ arg_type +"]:" + arg_fmt;
  19. console.log(msg);
  20. }
  21. var retVal = this[mthName].apply(this, arguments);
  22. console.log(mthName + " ---> 返回值:" + retVal);
  23. return retVal;
  24. }
  25. })
  26. })
  27. }
  28. function main() {
  29. Java.perform(() => {
  30. Java.enumeratteClassLoaders({
  31. onMatch: function(loader){
  32. console.log("ClassLoader start");
  33. try {
  34. if(loader.findClass("")){
  35. console.log("Successfully found loader")
  36. console.log(loader);
  37. Java.classFactory.loader = loader ;
  38. hookOneClassAllMethod("")
  39. }
  40. }
  41. catch(error){
  42. console.log("find error:" + error)
  43. }
  44. },
  45. onComplete: function (){
  46. console.log("ClassLoader end");
  47. }
  48. });
  49. });
  50. }
  51. setImmediate(main)

执行结果: 

5.4 Frida hook : hook 动态加载的 dex,与查找 interface,

总结:

  • 通过 enumerateClassLoaders 来枚举加载进内存的 classloader
  • 再 (xxx) 寻找是否包括我们想要的 interface 的实现类,
  • 最后通过  = loader 来切换 classloader,从而加载该实现类。

第五关比较有趣,它的 check 函数是动态加载进来的。

java 里有 interface 的概念,是指一系列抽象的接口,需要类来实现。

  1. package ;
  2. public interface CheckInterface { boolean check(); }
  3. ...
  4. public class DynamicCheck implements CheckInterface {
  5. public boolean check() { return false; }
  6. }
  7. ...
  8. public class FridaActivity5 extends BaseFridaActivity {
  9. private CheckInterface DynamicDexCheck = null;
  10. ...
  11. public CheckInterface getDynamicDexCheck() {
  12. if (this.DynamicDexCheck == null) {
  13. loaddex();
  14. }
  15. return this.DynamicDexCheck;
  16. }
  17. /* access modifiers changed from: protected */
  18. public void onCreate(Bundle bundle) {
  19. super.onCreate(bundle);
  20. loaddex();
  21. // = (CheckInterface) new DexClassLoader(
  22. // str, (), (String) null, getClassLoader()
  23. // ).loadClass("").newInstance();
  24. }
  25. public void onCheck() {
  26. if (getDynamicDexCheck() == null) {
  27. (this, "onClick loaddex Failed!", 1).show();
  28. } else if (getDynamicDexCheck().check()) {
  29. CheckSuccess();
  30. startActivity(new Intent(this, ));
  31. finishActivity(0);
  32. } else {
  33. super.CheckFailed();
  34. }
  35. }
  36. }

这里有个 loaddex 其实就是先从资源文件加载 classloader 到内存里,再 loadClass DynamicCheck,创建出一个实例,最终调用这个实例的 check。

所以现在我们就要先枚举 class loader,找到能实例化我们要的 class 的那个 class loader,然后把它设置成 Java 的默认 class factory 的 loader。

现在就可以用这个 class loader 来使用 .use 去 import 一个给定的类。

  1. function ch5() {
  2. Java.perform(function () {
  3. // (".FridaActivity5",{
  4. // onMatch:function(x){
  5. // (().$className)
  6. // },onComplete:function(){}
  7. // })
  8. console.log("start")
  9. Java.enumerateClassLoaders({
  10. onMatch: function (loader) {
  11. try {
  12. if(loader.findClass("")){
  13. console.log("Successfully found loader")
  14. console.log(loader);
  15. Java.classFactory.loader = loader ;
  16. }
  17. }
  18. catch(error){
  19. console.log("find error:" + error)
  20. }
  21. },
  22. onComplete: function () {
  23. console.log("end1")
  24. }
  25. })
  26. Java.use("").check.implementation = function () {
  27. return true
  28. }
  29. console.log("end2")
  30. })
  31. }
  32. setImmediate(ch5)

todo有一个疑问:/frida/frida/issues/1049

5.5 Frida hook : 枚举 class,trace原型2

总结: 通过  枚举类,然后 (str) 过滤一下并 hook。

接下来是第六关

  1. import .Frida6.Frida6Class0;
  2. import .Frida6.Frida6Class1;
  3. import .Frida6.Frida6Class2;
  4. public class FridaActivity6 extends BaseFridaActivity {
  5. public String getNextCheckTitle() {
  6. return "当前第6关";
  7. }
  8. public void onCheck() {
  9. if (!() || !() || !()) {
  10. super.CheckFailed();
  11. return;
  12. }
  13. CheckSuccess();
  14. startActivity(new Intent(this, ));
  15. finishActivity(0);
  16. }
  17. }

这关是 import 了一些类,然后 调用类里的静态方法,所以我们枚举所有的类,然后过滤一下,并把过滤出来的结果 hook 上,改掉其返回值。

  1. function ch6() {
  2. Java.perform(function () {
  3. Java.enumerateLoadedClasses({
  4. onMatch: function (class_name, handle){
  5. if (class_name.indexOf(".Frida6") != -1) {
  6. console.log("class_name:" + class_name + " handle:" + handle)
  7. Java.use(class_name).check.implementation = function () {
  8. return true
  9. }
  10. }
  11. },
  12. onComplete: function () {
  13. console.log("end")
  14. }
  15. })
  16. })
  17. }

5.6 Frida hook : 搜索 interface 的具体实现类

利用反射得到类里面实现的 interface 数组,并打印出来。

  1. function more() {
  2. Java.perform(function () {
  3. Java.enumerateLoadedClasses({
  4. onMatch: function (class_name){
  5. if (class_name.indexOf("") < 0) {
  6. return
  7. }
  8. else {
  9. var hook_cls = Java.use(class_name)
  10. var interfaces = hook_cls.class.getInterfaces()
  11. if (interfaces.length > 0) {
  12. console.log(class_name + ": ")
  13. for (var i in interfaces) {
  14. console.log("\t", interfaces[i].toString())
  15. }
  16. }
  17. }
  18. },
  19. onComplete: function () {
  20. console.log("end")
  21. }
  22. })
  23. })
  24. }

枚举 实现 接口的类

  1. import sys
  2. import frida
  3. '''
  4. frida rpc 枚举类
  5. '''
  6. def on_message(message, data):
  7. if message['type'] == 'send':
  8. print("[*] {message['payload']}")
  9. else:
  10. print(message)
  11. hook = """
  12. (function(){
  13. ({
  14. "onMatch" : function(classname){
  15. if(("") < 0){
  16. return;
  17. }
  18. // 实现类 implements
  19. try{
  20. var hookCls = (classname)
  21. var interFaces = ();
  22. if ( > 0) {
  23. (classname)
  24. for (var i in interFaces) {
  25. // 接口类 interFaces
  26. ("\t", interFaces[i].toString())
  27. }
  28. }
  29. }catch(e){
  30. (e)
  31. }
  32. },
  33. "onComplete" : function(){}
  34. })
  35. })
  36. """
  37. process = frida.get_usb_device().attach('')
  38. script = process.create_script(hook)
  39. ('message', on_message)
  40. print('[*] Running CTF')
  41. ()
  42. ()

6、Frida hook 基础(二)

  • spawn / attach
  • 各种主动调用
  • hook函数 和 hook构造函数
  • 调用栈  /简单脚本
  • 动态加载自己的 dex

题目下载地址:/tlamb96/kgb_messenger

6.1 spawn / attach

firda 的 -f 参数代表 span 启动:frida -U -f com. -l frida_russian.js --no-pause

上面命令执行完后,会进入 frida ,然后在输入 %resume 恢复程序运行

  1. /* access modifiers changed from: protected */
  2. public void onCreate(Bundle bundle) {
  3. super.onCreate(bundle);
  4. setContentView((int) .activity_main);
  5. String property = ("");
  6. String str = ("USER");
  7. if (property == null || () || !("Russia")) {
  8. a("Integrity Error", "This app can only run on Russian devices.");
  9. } else if (str == null || () || !(getResources().getString())) {
  10. a("Integrity Error", "Must be on the user whitelist.");
  11. } else {
  12. (this);
  13. startActivity(new Intent(this, ));
  14. }
  15. }
  16. }

这个题目比较简单,但是因为这个 check 是在 onCreate 里,所以 app 刚启动就自动检查,所以这里需要用 spawn 的方式去启动 frida 脚本 hook,而不是 attach。

这里有两个检查,一个是检查 property 的值,一个是检查 str 的值。分别从  和  里获取,hook 住这两个函数就行。

这里要注意从资源文件里找到 User 的值。

frida_russian.js 

  1. function main() {
  2. Java.perform(function () {
  3. Java.use("").getProperty.overload('').implementation = function (str) {
  4. return "Russia";
  5. }
  6. Java.use("").getenv.overload('').implementation = function(str){
  7. return "RkxBR3s1N0VSTDFOR180UkNIM1J9Cg==";
  8. }
  9. })
  10. }
  11. setImmediate(main)

运行结果截图:

接下来进入到 login 功能

  1. public void onLogin(View view) {
  2. EditText editText = (EditText) findViewById(.login_username);
  3. EditText editText2 = (EditText) findViewById(.login_password);
  4. this.n = ().toString();
  5. this.o = ().toString();
  6. if (this.n != null && this.o != null && !this.() && !this.()) {
  7. if (!this.(getResources().getString())) {
  8. (this, "User not recognized.", 0).show();
  9. ("");
  10. ("");
  11. } else if (!j()) {
  12. (this, "Incorrect password.", 0).show();
  13. ("");
  14. ("");
  15. } else {
  16. i();
  17. startActivity(new Intent(this, ));
  18. }
  19. }
  20. }
  21. ...
  22. private boolean j() {
  23. String str = "";
  24. for (byte b : this.(this.())) {
  25. str = str + ("%x", new Object[]{(b)});
  26. }
  27. return (getResources().getString());
  28. }
  29. ...
  30. private void i() {
  31. char[] cArr = {'(', 'W', 'D', ')', 'T', 'P', ':', '#', '?', 'T'};
  32. cArr[0] = (char) (cArr[0] ^ this.(1));
  33. cArr[1] = (char) (cArr[1] ^ this.(0));
  34. cArr[2] = (char) (cArr[2] ^ this.(4));
  35. cArr[3] = (char) (cArr[3] ^ this.(4));
  36. cArr[4] = (char) (cArr[4] ^ this.(7));
  37. cArr[5] = (char) (cArr[5] ^ this.(0));
  38. cArr[6] = (char) (cArr[6] ^ this.(2));
  39. cArr[7] = (char) (cArr[7] ^ this.(3));
  40. cArr[8] = (char) (cArr[8] ^ this.(6));
  41. cArr[9] = (char) (cArr[9] ^ this.(8));
  42. (this, "FLAG{" + new String(cArr) + "}", 1).show();
  43. }

从资源文件里找到 username,密码则是要算一个 j() 函数,要让它返回 true,顺便打印一下 i 函数 toast 到界面的 flag。

( github 代码中 不是 j() 函数,而是 checkPassword() 函数 )

  1. var clazz = Java.use("com.")
  2. clazz.j.implementation = function (){return true}
  3. ...
  4. var clazz = Java.use("")
  5. clazz.makeText.overload('', '', 'int').implementation = function (x, y, z) {
  6. var flag = Java.use("").$new(y)
  7. console.log(flag)
  8. }
  9. ...
  10. [Google Pixel::com.tlamb96.spetsnazmessenger]-> FLAG{G&qG13 R0}

代码:

  1. Java.perform(function () {
  2. Java.use("com.").checkPassword.implementation = function () {
  3. return true
  4. };
  5. Java.use("").makeText.overload('', '', 'int').implementation = function (x, y, z) {
  6. var flag = Java.use("").$new(y);
  7. console.log(flag);
  8. return this.makeText(x, y, z);
  9. }
  10. })

执行结果:

6.2 Frida hook : hook构造函数/打印栈回溯

总结:hook 构造函数 是通过 取得类,然后clazz.$ = callback hook 构造函数。

我们先学习一下怎么 hook 构造函数。

  1. add(new 96.(R.string.katya, "Archer, you up?", "2:20 am", true));
  2. ...
  3. package 96.;
  4. public class a {
  5. ...
  6. public a(int i, String str, String str2, boolean z) {
  7. 448a = i;
  8. = str;
  9. = str2;
  10. = z;
  11. }
  12. ...
  13. }

用 $init 来 hook 构造函数

  1. function printstack() {
  2. console.log(Java.use("").getStackTraceString(Java.use("").$new()));
  3. }
  4. Java.use("com.").$init.implementation = function (i, str1, str2, z) {
  5. this.$init(i, str1, str2, z)
  6. console.log(i, str1, str2, z)
  7. printStack("com.")
  8. }

打印堆栈:

  1. function printstack() {
  2. console.log(Java.use("").getStackTraceString(Java.use("").$new()));
  3. }

6.3 Frida hook : 打印栈回溯

打印栈回溯

  1. function printStack(name) {
  2. Java.perform(function () {
  3. var Exception = Java.use("");
  4. var instanceTemp = Exception.$new("Exception");
  5. var straces = instanceTemp.getStackTrace();
  6. if (straces != undefined && straces != null) {
  7. var strace = straces.toString();
  8. var replaceStr = strace.replace(/,/g, "\\n");
  9. console.log("=============================" + name + " Stack strat=======================");
  10. console.log(replaceStr);
  11. console.log("=============================" + name + " Stack end=======================\r\n");
  12. Exception.$dispose();
  13. }
  14. });
  15. }

输出就是这样

  1. [Google Pixel::96.spetsnazmessenger]-> 2131558449 111 02:27 下午 false
  2. =============================96. Stack strat=======================
  3. 96..<init>(Native Method)
  4. 96.(Unknown Source:40)
  5. .Method.invoke(Native Method)
  6. 7.$(Unknown Source:25)
  7. (:6294)
  8. $PerformClick.run(:24770)
  9. (:790)
  10. (:99)
  11. (:164)
  12. (:6494)
  13. .Method.invoke(Native Method)
  14. $MethodAndArgsCaller.run(:438)
  15. (:807)
  16. =============================96. Stack end=======================

6.4 Frida hook : 手动加载 dex 并调用

总结:编译出 dex 后,通过 ("").load() 加载,就可以正常通过 调用里面的方法了。

现在我们来继续解决这个问题。

  1. public void onSendMessage(View view) {
  2. EditText editText = (EditText) findViewById(.edittext_chatbox);
  3. String obj = ().toString();
  4. if (!(obj)) {
  5. this.(new com.(, obj, j(), false));
  6. this.();
  7. if (a(()).equals(this.p)) {
  8. ("MessengerActivity", "Successfully asked Boris for the password.");
  9. this.q = ();
  10. this.(new com.(, "Only if you ask nicely", j(), true));
  11. this.();
  12. }
  13. if (b(()).equals(this.r)) {
  14. ("MessengerActivity", "Successfully asked Boris nicely for the password.");
  15. this.s = ();
  16. this.(new com.(, "Wow, no one has ever been so nice to me! Here you go friend: FLAG{" + i() + "}", j(), true));
  17. this.();
  18. }
  19. this.(this.().a() - 1);
  20. ("");
  21. }
  22. }

新的一关是一个聊天框。分析一下代码可知,obj 是我们输入的内容,输入完了之后,加到一个 的 ArrayList 里。关键的 if 判断就是 if (a(()).equals()) 和 if (b(()).equals()),所以 hook a函数b函数,让它们的返回值等于下面的字符串即可。

  1. private String p = "V@]EAASB\u0012WZF\u0012e,a$7(&am2(3.\u0003";
  2. private String q;
  3. private String r = "\u0000dslp}oQ\u0000 dks$|M\u0000h +AYQg\u0000P*!M$gQ\u0000";
  4. private String s;

但实际上这题比我想象中的还要麻烦,这题的逻辑上是如果通过了 a 和 b 这两个函数的计算,等于对应的值之后,会把用来计算的 obj 的值赋值给 q 和 s,然后根据这个 q 和 s 来计算出最终的 flag。
所以如果不逆向算法,通过 hook 的方式通过了 a和b 的计算,obj 的值还是错误的,也计算不出正确的 flag。

这样就逆向一下算法好了,先自己写一个 apk,用 java 去实现注册机。

可以直接把 class 文件转成 dex,不复述,我比较懒,所以我直接解压 apk 找到 ,并 push 到手机上。
然后用 frida 加载这个 dex,并调用里面的方法。

  1. var dex = Java.openClassFile("/data/local/tmp/").load();
  2. console.log("decode_P:"+Java.use("").decode_P());
  3. console.log("r_to_hex:"+Java.use("").r_to_hex());
  4. ...
  5. ...
  6. decode_P:Boris, give me the password
  7. r_to_hex:0064736c707d6f510020646b73247c4d0068202b4159516700502a214d24675100

6.5  Frida Hook Android 加固应用 方法

要 hook 加固的应用分为三步,

  • 第一步:拿到加载应用本身 dex 的 classloader;
  • 第二步:通过这个 classloader 去找到被加固的类;
  • 第三步:通过这个类去 hook 需要 hook 的方法

示例:使用 Frida 给 apk 脱壳并穿透加固 Hook 函数:/t/7670

Android 加固应用 Hook 方式 

  1. Java.perform(function () {
  2. var application = Java.use('');
  3. application.attach.overload('').implementation = function (context) {
  4. var result = this.attach(context);
  5. var classloader = context.getClassLoader();
  6. Java.classFactory.loader = classloader;
  7. var yeyoulogin = Java.classFactory.use('.主窗口');
  8. console.log("yeyoulogin:" + yeyoulogin);
  9. yeyoulogin.按钮_用户登录$被单击.implementation = function (arg) {
  10. console.log("retval:" + this.返回值);
  11. }
  12. }
  13. });

获取 构造函数参数

  1. Java.perform(function () {
  2. //创建一个DexClassLoader的wapper
  3. var dexclassLoader = Java.use("");
  4. //hook 它的构造函数$init,我们将它的四个参数打印出来看看。
  5. dexclassLoader.$init.implementation = function (dexPath, optimizedDirectory, librarySearchPath, parent) {
  6. console.log("dexPath:" + dexPath);
  7. console.log("optimizedDirectory:" + optimizedDirectory);
  8. console.log("librarySearchPath:" + librarySearchPath);
  9. console.log("parent:" + parent);
  10. //不破换它原本的逻辑,我们调用它原本的构造函数。
  11. this.$init(dexPath, optimizedDirectory, librarySearchPath, parent);
  12. }
  13. console.log("down!");
  14. });

获取 动态加载 的 类

  1. Java.perform(function () {
  2. var dexclassLoader = Java.use("");
  3. var hookClass = undefined;
  4. var ClassUse = Java.use("");
  5. dexclassLoader.loadClass.overload('').implementation = function (name) {
  6. //定义一个String变量,指定我们需要的类
  7. var hookname = "";
  8. //直接调用第二个重载方法,跟原本的逻辑相同。
  9. var result = this.loadClass(name, false);
  10. //如果loadClass的name参数和我们想要hook的类名相同
  11. if (name === hookname) {
  12. //则拿到它的值
  13. hookClass = result;
  14. //打印hookClass变量的值
  15. console.log(hookClass);
  16. send(hookClass);
  17. return result;
  18. }
  19. return result;
  20. }
  21. });

处理 泛型方法

( JAVA 中 Class<?> 表示 泛型 ),再调用动态加载方法

  1. Java.perform(function(){
  2. var hookClass = undefined;
  3. var ClassUse = Java.use("");
  4. var dexclassLoader = Java.use("");
  5. var constructorclass = Java.use("");
  6. var objectclass= Java.use("");
  7. dexclassLoader.loadClass.overload('').implementation = function(name){
  8. var hookname = "";
  9. var result = this.loadClass(name,false);
  10. if(name == hookname){
  11. var hookClass = result;
  12. console.log("-------------------CAST--------------------------")
  13. //类型转换
  14. var hookClassCast = Java.cast(hookClass,ClassUse);
  15. //调用getMethods()获取类下的所有方法
  16. var methods = hookClassCast.getMethods();
  17. console.log(methods);
  18. console.log("------------------NOT CAST----------------------")
  19. //未进行类型转换,看看能否调用getMethods()方法
  20. var methodtest = hookClass.getMethods();
  21. console.log(methodtest);
  22. console.log("-------------------OVER-----------------------")
  23. return result;
  24. }
  25. return result;
  26. }
  27. });

getDeclaredConstructor

利用 getDeclaredConstructor() 获取具有指定参数列表构造函数的 Constructor 并实例化

  1. Java.perform(function () {
  2. var hookClass = undefined;
  3. var ClassUse = Java.use("");
  4. var objectclass = Java.use("");
  5. var dexclassLoader = Java.use("");
  6. var orininclass = Java.use("");
  7. var Integerclass = Java.use("");
  8. //实例化MainActivity对象
  9. var mainAc = orininclass.$new();
  10. dexclassLoader.loadClass.overload('').implementation = function (name) {
  11. var hookname = "";
  12. var result = this.loadClass(name, false);
  13. if (name == hookname) {
  14. var hookClass = result;
  15. var hookClassCast = Java.cast(hookClass, ClassUse);
  16. console.log("---------------------BEGIN------------------------------");
  17. //获取构造器
  18. var ConstructorParam = Java.array(';', [objectclass.class]);
  19. var Constructor = hookClassCast.getDeclaredConstructor(ConstructorParam);
  20. console.log("Constructor:" + Constructor);
  21. console.log("orinin:" + mainAc);
  22. //实例化,newInstance的参数也是;
  23. var instance = Constructor.newInstance([mainAc]);
  24. console.log("patchAc:" + instance);
  25. send(instance);
  26. console.log("--------------------------------------------------------");
  27. return result;
  28. }
  29. return result;
  30. }
  31. });

getDeclaredMethods()

利用 getDeclaredMethods(),获取本类中的所有方法

  1. Java.perform(function(){
  2. var hookClass = undefined;
  3. var ClassUse = Java.use("");
  4. var objectclass= Java.use("");
  5. var dexclassLoader = Java.use("");
  6. var orininclass = Java.use("");
  7. var Integerclass = Java.use("");
  8. //实例化MainActivity对象
  9. var mainAc = orininclass.$new();
  10. dexclassLoader.loadClass.overload('').implementation = function(name){
  11. var hookname = "";
  12. var result = this.loadClass(name,false);
  13. if(name == hookname){
  14. var hookClass = result;
  15. var hookClassCast = Java.cast(hookClass,ClassUse);
  16. console.log("-----------------BEGIN-----------------------------");
  17. //获取构造器
  18. var ConstructorParam =Java.array(';',[objectclass.class]);
  19. var Constructor = hookClassCast.getDeclaredConstructor(ConstructorParam);
  20. console.log("Constructor:"+Constructor);
  21. console.log("orinin:"+mainAc);
  22. //实例化,newInstance的参数也是;
  23. var instance = Constructor.newInstance([mainAc]);
  24. console.log("MainActivityPatchInstance:"+instance);
  25. send(instance);
  26. console.log("-----------------Methods---------------------------");
  27. var func = hookClassCast.getDeclaredMethods();
  28. console.log(func);
  29. console.log("-----------------Need Method-----------------------");
  30. console.log(func[0]);
  31. var f = func[0];
  32. console.log("------------------ OVER----------------------------");
  33. return result;
  34. }
  35. return result;
  36. }
  37. });

调用 () 去执行方法

用法:(instance,Array);

invoke 方法的参数

  • 第一个参数:是执行这个方法的对象实例,
  • 第二个参数:是带入的实际值数组,
  • 返回值:是 Object,也既是该方法执行后的返回值

read-std-string

  1. /*
  2. * Note: Only compatible with libc++, though libstdc++'s std::string is a lot simpler.
  3. */
  4. function readStdString(str) {
  5. const isTiny = (str.readU8() & 1) === 0;
  6. if (isTiny) {
  7. return str.add(1).readUtf8String();
  8. }
  9. return str.add(2 * Process.pointerSize).readPointer().readUtf8String();
  10. }

where_is_native

  1. Java.perform(function () {
  2. var SystemDef = Java.use('');
  3. var RuntimeDef = Java.use('');
  4. var exceptionClass = Java.use('');
  5. var SystemLoad_1 = SystemDef.load.overload('');
  6. var SystemLoad_2 = SystemDef.loadLibrary.overload('');
  7. var RuntimeLoad_1 = RuntimeDef.load.overload('');
  8. var RuntimeLoad_2 = RuntimeDef.loadLibrary.overload('');
  9. var ThreadDef = Java.use('');
  10. var ThreadObj = ThreadDef.$new();
  11. SystemLoad_1.implementation = function (library) {
  12. send("Loading dynamic library => " + library);
  13. stackTrace();
  14. return SystemLoad_1.call(this, library);
  15. }
  16. SystemLoad_2.implementation = function (library) {
  17. send("Loading dynamic library => " + library);
  18. stackTrace();
  19. SystemLoad_2.call(this, library);
  20. return;
  21. }
  22. RuntimeLoad_1.implementation = function (library) {
  23. send("Loading dynamic library => " + library);
  24. stackTrace();
  25. RuntimeLoad_1.call(this, library);
  26. return;
  27. }
  28. RuntimeLoad_2.implementation = function (library) {
  29. send("Loading dynamic library => " + library);
  30. stackTrace();
  31. RuntimeLoad_2.call(this, library);
  32. return;
  33. }
  34. function stackTrace() {
  35. var stack = ThreadObj.currentThread().getStackTrace();
  36. for (var i = 0; i < stack.length; i++) {
  37. send(i + " => " + stack[i].toString());
  38. }
  39. send("--------------------------------------------------------");
  40. }
  41. });

7、Frida 打印 与 参数构造

  • 数组 / (字符串)对象数组 / gson /
  • 对象 / 多态、强转 / 接口
  • 泛型、List、Map、Set、迭代打印

打印 [object object]

  • 方法 1:先确认 object 是什么类型,比如要打印 p,先 (p.$className) 查看 p 是什么数据类型然后用 把 p 强制转为对应类型,强制转换之后,在调用转换后类型的输出方法,通常为 toString()
  • 方法 2:使用 js 里面的 json 类,尝试 ((p)),可能打印不出来字符串,一般能打印出 p 的字节数组
  • 方法 3:使用 objection 插件 wallbreak
  • 方法4:使用 gson 

$className 参看官方文档说明:

gson 打印 Java 对象的内容

Gson 是谷歌官方推出的支持 JSON 和 Java Object 相互转换的 Java 序列化/反序列化 库。

gson 基本用法:/chenrenxiang/article/details/80291224    /baiqiantao/p/

Android Gson使用详解:/p/0444693c2639

Frida 打印 [object] 解决 'gson' 包重名的问题:https:///

使用 Frida 时,想要打印 Java 对象的内容,可以使用谷歌的 gson包,可以非常优秀的将 Java 对象的内容,以 json 的格式打印出来。

  1. Java.openClassFile("/data/local/tmp/").load();
  2. const gson = Java.use('com.');
  3. console.log(gson.$new().toJson(xxx));

char[] / [Object Object]

  1. ("SimpleArray", "onCreate: SImpleArray");
  2. char arr[][] = new char[4][]; // 创建一个4行的二维数组
  3. arr[0] = new char[] { '春', '眠', '不', '觉', '晓' }; // 为每一行赋值
  4. arr[1] = new char[] { '处', '处', '闻', '啼', '鸟' };
  5. arr[2] = new char[] { '夜', '来', '风', '雨', '声' };
  6. arr[3] = new char[] { '花', '落', '知', '多', '少' };
  7. ("SimpleArray", "-----横版-----");
  8. for (int i = 0; i < 4; i++) { // 循环4行
  9. ("SimpleArraysToString", (arr[i]));
  10. ("SimpleStringBytes", ((arr[i]).getBytes()));
  11. for (int j = 0; j < 5; j++) { // 循环5列
  12. ("SimpleArray", (arr[i][j])); // 输出数组中的元素
  13. }
  14. if (i % 2 == 0) {
  15. ("SimpleArray", ",");// 如果是一、三句,输出逗号
  16. } else {
  17. ("SimpleArray", "。");// 如果是二、四句,输出句号
  18. }
  19. }

新建一个 Android 项目,把上面代码放到 onCreate 函数中,再导入缺失的包

  1. import ;
  2. import ;

 点击菜单栏上的 build ---> 生成 apk,成功生成 apk 后,手机安装 apk,在启动 frida-server 和端口转发

 执行命令:frida-ps -Ua 查看 apk 的包名

 

  1. function main() {
  2. Java.perform(function x() {
  3. Java.openClassFile("/data/local/tmp/").load();
  4. const gson = Java.use('com.');
  5. Java.use("").toString.overload('char').implementation = function (char) {
  6. var result = this.toString(char);
  7. console.log("char,result", char, result);
  8. return result;
  9. }
  10. Java.use("").toString.overload('[C').implementation = function (charArray) {
  11. var result = this.toString(charArray);
  12. console.log("charArray,result:", charArray, result)
  13. console.log("charArray Object Object:", gson.$new().toJson(charArray));
  14. return result;
  15. }
  16. })
  17. }
  18. setImmediate(main)

 在执行命令:frida -U -f -l .\ --no-pause 

这里的 [C 是 JNI 函数签名

byte[] 类型 转 String

方法1:使用 gson

  1. function main() {
  2. Java.perform(function x() {
  3. Java.openClassFile("/data/local/tmp/").load();
  4. const gson = Java.use('com.');
  5. Java.use("").toString.overload('[B').implementation = function (byteArray) {
  6. var result = this.toString(byteArray);
  7. console.log("byteArray,result):", byteArray, result)
  8. console.log("byteArray Object Object:", gson.$new().toJson(byteArray));
  9. return result;
  10. }
  11. })
  12. }
  13. setImmediate(main)

方法 2:通过 () 方法

  1. // byte[]类型 转 String
  2. var clazzArray = Java.use("");
  3. var JavaString = Java.use("");
  4. send("参数对应数组:" + clazzArray.toString(x))
  5. send("参数对应字符串:" + JavaString.$new(x))

方法 3:通过 String 类方法

  1. // byte[] bArray = "123abc".getBytes() // java 代码
  2. var strTemp = Java.use("").$new(bArray);
  3. console.log(strTemp)

修改传递的参数 ( 示例: java array 构造 )

如果不只是想打印出结果,而是要替换原本的参数,就要先自己构造出一个charArray,使用  这个API

  1. /**
  2. * Creates a Java array with elements of the specified `type`, from a
  3. * JavaScript array `elements`. The resulting Java array behaves like
  4. * a JS array, but can be passed by reference to Java APIs in order to
  5. * allow them to modify its contents.
  6. *
  7. * @param type Type name of elements.
  8. * @param elements Array of JavaScript values to use for constructing the
  9. * Java array.
  10. */
  11. function array(type: string, elements: any[]): any[];
  1. Java.use("").toString.overload('[C').implementation = function(charArray){
  2. var newCharArray = Java.array('char', [ '一','去','二','三','里' ]);
  3. var result = this.toString(newCharArray);
  4. console.log("newCharArray,result:",newCharArray,result)
  5. console.log("newCharArray Object Object:",gson.$new().toJson(newCharArray));
  6. var newResult = Java.use('').$new(Java.array('char', [ '烟','村','四','五','家']))
  7. return newResult;
  8. }

可以用来构造参数重发包,用在爬虫上。

类的多态:强制类型转换 

可以通过 getClass().getName().toString()来查看当前实例的类型。

找到一个 instance,通过  来强制转换对象的类型。

  1. /**
  2. * Creates a JavaScript wrapper given the existing instance at `handle` of
  3. * given class `klass` as returned from `()`.
  4. *
  5. * @param handle An existing wrapper or a JNI handle.
  6. * @param klass Class wrapper for type to cast to.
  7. */
  8. function cast(handle: Wrapper | NativePointerValue, klass: Wrapper): Wrapper;

java 示例代码( 定义一个 water 类 和 一个 Juice 类,同时 Juice 继承 water ):

  1. public class Water { // 水 类
  2. public static String flow(Water W) { // 水 的方法
  3. // SomeSentence
  4. ("2Object", "water flow: I`m flowing");
  5. return "water flow: I`m flowing";
  6. }
  7. public String still(Water W) { // 水 的方法
  8. // SomeSentence
  9. ("2Object", "water still: still water runs deep!");
  10. return "water still: still water runs deep!";
  11. }
  12. }
  13. ...
  14. public class Juice extends Water { // 果汁 类 继承了水类
  15. public String fillEnergy(){
  16. ("2Object", "Juice: i`m fillingEnergy!");
  17. return "Juice: i`m fillingEnergy!";
  18. }

js 示例代码:

  1. var JuiceHandle = null ;
  2. Java.choose("com.r0ysue.",{
  3. onMatch:function(instance){
  4. console.log("found juice instance",instance);
  5. console.log("juice instance call fill",instance.fillEnergy());
  6. JuiceHandle = instance;
  7. },onComplete:function(){
  8. console.log("juice handle search completed!")
  9. }
  10. })
  11. console.log("Saved juice handle :",JuiceHandle);
  12. var WaterHandle = Java.cast(JuiceHandle,Java.use("com.r0ysue."))
  13. console.log("call Waterhandle still method:",WaterHandle.still(WaterHandle));

示例:

  1. function printHashMap(param_hm){
  2.     var HashMap = Java.use('');
  3.     var args_map = Java.cast(param_hm, HashMap)
  4.     send('args_map:' + args_map.toString());
  5. }

interface /

  1. public interface liquid {
  2. public String flow();
  3. }

frida 提供能力去创建一个新的 java class

  1. /**
  2. * Creates a new Java class.
  3. *
  4. * @param spec Object describing the class to be created.
  5. */
  6. function registerClass(spec: ClassSpec): Wrapper;

首先获取要实现的 interface,然后调用 registerClass 来实现 interface。

  1. function main() {
  2. Java.perform(function(){
  3. var liquid = Java.use("com.r0ysue.");
  4. var beer = Java.registerClass({
  5. name: 'com.r0ysue.',
  6. implements: [liquid],
  7. methods: {
  8. flow: function () {
  9. console.log("look, beer is flowing!")
  10. return "look, beer is flowing!";
  11. }
  12. }
  13. });
  14. console.log(":",beer.$new().flow())
  15. })
  16. }
  17. setImmediate(main)

成员内部类 / 匿名内部类

看 smali 或者 枚举出来的类。

hook enum

关于 java 枚举,从这篇文章了解:/jingmoxukong/p/

  1. enum Signal {
  2. GREEN, YELLOW, RED
  3. }
  4. public class TrafficLight {
  5. public static Signal color = ;
  6. public static void main() {
  7. ("4enum", "enum "+ ().getName().toString());
  8. switch (color) {
  9. case RED:
  10. color = ;
  11. break;
  12. case YELLOW:
  13. color = ;
  14. break;
  15. case GREEN:
  16. color = ;
  17. break;
  18. }
  19. }
  20. }
  1. Java.perform(function(){
  2. Java.choose("com.r0ysue.",{
  3. onMatch:function(instance){
  4. console.log(":",instance.name());
  5. console.log(":",instance.getDeclaringClass());
  6. },onComplete:function(){
  7. console.log("search completed!")
  8. }
  9. })
  10. })

HashMap 和 Map 类型 转 String

方法 1: ( hashmap 有个 toString 函数,可以直接打印 )

  1. function printHashMap(param_hm){
  2. var ClazzHashMap = Java.use('');
  3. var args_map = Java.cast(param_hm, ClazzHashMap)
  4. send('args_map:' + args_map.toString());
  5. }

【深入Java基础】HashMap 的基本用法:/wxgxgp/article/details/79194360
Java集合之HashMap的用法:/weixin_43263961/article/details/86427533

​方法 2:通过 获取堆栈中指定类名的实例,获得实例后可以调用实例的函数。

  1. Java.perform(function(){
  2. Java.choose("",{
  3. onMatch:function(instance){
  4. if(instance.toString().indexOf("ISBN")!= -1){
  5. console.log(":",instance.toString());
  6. }
  7. },onComplete:function(){
  8. console.log("search complete!")
  9. }
  10. })
  11. })

frida 复杂类型参数打印、参数转换、调用栈打印:/weixin_35762183/article/details/106802647

方法 3:通过  hook 住 map或者 hashmap 重载的方法

  1. # -*- coding: UTF-8 -*-
  2. import frida, sys
  3. jsCode = """
  4. (function () {
  5. /*
  6. var clazz = ("xxx");
  7. ('').implementation = function (args1) {
  8. var result = "";
  9. var keyset = ();
  10. var it = ();
  11. while (()) {
  12. var keystr = ().toString();
  13. var valuestr = (keystr).toString();
  14. (keystr)
  15. (valuestr)
  16. result += valuestr;
  17. }
  18. var args = (args1)
  19. ("出参--", args)
  20. return args
  21. }
  22. */
  23. var HashMap = ('');
  24. var ShufferMap = ('');
  25. = function (map) {
  26. var hm = HashMap.$new();
  27. ("user","dajianbang");
  28. ("pass","87654321");
  29. ("code","123456");
  30. return (hm);
  31. }
  32. });
  33. """;
  34. def message(message, data):
  35. if message["type"] == 'send':
  36. print(u"[*] {0}".format(message['payload']))
  37. else:
  38. print(message)
  39. process = frida.get_remote_device().attach("")
  40. script= process.create_script(jsCode)
  41. ("message", message)
  42. ()
  43. ()

js_code:

  1. js_code = '''
  2. (function() {
  3. var clazz = ('');
  4. ('', '').implementation = function(arg_str, arg_map) {
  5. ('arg_str:', arg_str);
  6. ('arg_map:', arg_map);
  7. var result = "";
  8. var key_set = arg_map.keySet();
  9. var key_set_it = key_set.iterator();
  10. while(key_set_it.hasNext()){
  11. var key_str = key_set_it.next().toString();
  12. var value_str = arg_map.get(key_str).toString();
  13. (key_str)
  14. (value_str)
  15. }
  16. return (arg_str, arg_map)
  17. }
  18. });
  19. '''

获得 context

  1. var currentApplication= Java.use("").currentApplication();
  2. var context = currentApplication.getApplicationContext();

打印 non-ascii

/2019/03/30/frida-note/#non-ascii

类名非 ASCII 字符串时,先编码打印出来, 再用编码后的字符串去 hook。

  1. //场景 hook 寻找目标类的 classloader。
  2. cls.forName.overload('', 'boolean', '').implementation = function (arg1, arg2, arg3) {
  3. var clsName = cls.forName(arg1, arg2, arg3);
  4. console.log('oriClassName:' + arg1)
  5. var base64Name = encodeURIComponent(arg1)
  6. console.log('encodeName:' + base64Name);
  7. //通过日志确认base64后的非ascii字符串,下面对比并打印classloader
  8. //clsName为特殊字符o.ÎÉ«
  9. if ('o.%CE%99%C9%AB' == base64Name) {
  10. //打印classloader
  11. console.log(arg3);
  12. }
  13. return clsName;
  14. }

如果代码进行了混淆,一些函数、方法会变成 非ASCII、甚至有一些不可见的字符,所以可以先编码打印出来,再用编码后的字符串去 hook

  1. int ֏(int x) {
  2. return x + 100;
  3. }

JavaScript 代码:

  1. Java.perform(
  2. function x() {
  3. var targetClass = "";
  4. var hookCls = Java.use(targetClass);
  5. var methods = hookCls.class.getDeclaredMethods();
  6. for (var i in methods) {
  7. console.log(methods[i].toString());
  8. console.log(encodeURIComponent(methods[i].toString().replace(/^.*?\.([^\s\.\(\)]+)\(.*?$/, "$1")));
  9. }
  10. hookCls[decodeURIComponent("%D6%8F")]
  11. .implementation = function (x) {
  12. console.log("original call: fun(" + x + ")");
  13. var result = this[decodeURIComponent("%D6%8F")](900);
  14. return result;
  15. }
  16. }
  17. )

使用 objection 打印混淆的方法名

使用 objection 打印混淆的方法名,然后再 hook 打印的方法名即可 hook 对应的函数,objection 是基于 frida 的命令行 hook 工具,可以让你不写代码, 敲几句命令就可以对 java 函数的高颗粒度 hook, 还支持 RPC 调用。objection 目前只支持 Java层的 hook,但是 objection 有提供插件接口,可以自己写 frida 脚本去定义接口,

比如葫芦娃大佬的脱壳插件,实名推荐: FRIDA-DEXDump

官方仓库: objection

这里以 腾讯新闻.apk 为例:

通过 抓包分析可知,腾讯新闻 app 有三个参数需要破解:qn-rid、qn-sig、qn-newsig,通过 jadx-gui 分析源码可知,

  • qn-rid :是一个 uuid。
  • qn-sig :通过 qn-rid 加上一些别的参数,然后 md5 得到。
  • qn-newsig :通过请求中的一些参数组合,然后  sha-256 得到

这里分析  qn-newsig 参数:

这里分析  qn-newsig 参数:

双击,定位到 qn-newsig

找到真正的 加密方法

使用 objection 注入 ,命令:objection -g explore

列出 类 中的所有方法:

命令:android hooking list class_methods

在结合反编译后的源码,根据 函数返回值反编译后的注释函数参数的类型和个数 找出 真正要hook的函数

  1. public static .ʼ(byte[])
  2. public static .ʼ()
  3. public static .ʼ(,int)
  4. public static .ʼ(,)
  5. public static .ʼ(long)
  6. public static .ʼ(long,int)

public static .ʼ() 这个函数就是真正要 hook 的函数,直接 hook,打印参数、返回值。即可

Hook 数据库

  1. var SQLiteDatabase = Java.use('');
  2. var Set = Java.use("");
  3. var ContentValues = Java.use("");
  4. SQLiteDatabase.insert.implementation = function (arg1, arg2, arg3) {
  5. this.insert.call(this, arg1, arg2, arg3);
  6. console.log("[insert] -> arg1:" + arg1 + "\t arg2:" + arg2);
  7. var values = Java.cast(arg3, ContentValues);
  8. var sets = Java.cast(values.keySet(), Set);
  9. var arr = sets.toArray().toString().split(",");
  10. for (var i = 0; i < arr.length; i++) {
  11. console.log("[insert] -> key:" + arr[i] + "\t value:" + values.get(arr[i]));
  12. }
  13. };

8、Frida native hook : NDK 开发入门

/p/87ce6f565d37

Android JNI (一) --- NDK 与 JNI 基础

  • /p/87ce6f565d37

Android JNI学习 (二) --- 实战 JNI 之 "hello world"

  • /p/b4431ac22ec2

Android JNI学习 (三) --- Java 与 Native 相互调用

  • /p/b71aeb4ed13d

Android JNI学习 (四) --- JNI 的常用方法的中文 API

  • /p/67081d9b0a9c

Android JNI学习 (五) --- Demo 演示

  • /p/0f34c097028a

extern "C" 与 名称修饰 (name mangling)

  • 通过 C++ filt 工具可以直接还原得到原来的函数名 ( GCC详解 --- Binutils工具之c++filt:/sjwangjinbao/article/details/119086511 )
  • /zh-hans/名字修饰
  • 通过 extern "C" 导出的 JNI 函数不会被 name mangling
  • JNI 参数基本类型
  • 第一个 NDK程序
  • JNI log

  1. #define TAG "sakura1328"
  2. #define LOGI(...) __android_log_print(ANDROID_LOG_INFO,TAG,__VA_ARGS__)
  3. #define LOGD(...) __android_log_print(ANDROID_LOG_DEBUG, TAG, __VA_ARGS__)
  4. #define LOGE(...) __android_log_print(ANDROID_LOG_ERROR,TAG,__VA_ARGS__)
  5. extern "C" JNIEXPORT jstring JNICALL
  6. Java_myapplication_example_com_ndk_1demo_MainActivity_stringFromJNI(
  7. JNIEnv *env,
  8. jobject /* this */) {
  9. std::string hello = "Hello from C++";
  10. LOGD("sakura1328");
  11. return env->NewStringUTF(hello.c_str());
  12. }
  13. ...
  14. public class MainActivity extends AppCompatActivity {
  15. private static final String TAG = "sakura";
  16. // Used to load the 'native-lib' library on application startup.
  17. static {
  18. System.loadLibrary("native-lib");
  19. }
  20. @Override
  21. protected void onCreate(Bundle savedInstanceState) {
  22. super.onCreate(savedInstanceState);
  23. setContentView(.activity_main);
  24. // Example of a call to a native method
  25. TextView tv = (TextView) findViewById(.sample_text);
  26. tv.setText(stringFromJNI());
  27. Log.d(TAG, stringFromJNI());
  28. }
  29. /**
  30. * A native method that is implemented by the 'native-lib' native library,
  31. * which is packaged with this application.
  32. */
  33. public native String stringFromJNI();
  34. }

9、Frida native hook : JNIEnv反射

9.1 以 jni字符串 来掌握基本的 JNIEnv用法

  1. public native String stringWithJNI(String context);
  2. ...
  3. extern "C"
  4. JNIEXPORT jstring JNICALL
  5. Java_myapplication_example_com_ndk_1demo_MainActivity_stringWithJNI(
  6. JNIEnv *env, jobject instance, jstring context_) {
  7. const char *context = env->GetStringUTFChars(context_, 0);
  8. int context_size = env->GetStringUTFLength(context_);
  9. if (context_size > 0) {
  10. LOGD("%s\n", context);
  11. }
  12. env->ReleaseStringUTFChars(context_, context);
  13. return env->NewStringUTF("sakura1328");
  14. }
  15. 12-26 22:30:00.548 15764-15764/.ndk_demo D/sakura1328: sakura

9.2 Java 反射

总结:多去读一下 Java 的反射 API。

​Java高级特性 ----- 反射​:/p/9be58ee20dee

  • 查找调用各种 API 接口、JNI、frida/xposed原理的一部分
  • 反射基本 API
  • 反射修改访问控制、修改属性值
  • JNI so调用反射进入java世界
  • xposed/Frida hook原理

这里其实有一个伏笔,就是为什么我们要 trace artmethod,hook artmethod ?????

是因为有些 so 混淆得非常厉害,然后也就很难静态分析看出 so 里面调用了哪些 java 函数,也不是通过类似 JNI 的 GetMethodID 这样来调用的。

而是通过类似 findclass 这种方法先得到类,然后再反射调用 app 里面的某个 java 函数。

所以去 hook 它执行的位置,每一个 java 函数对于 Android 源码而言都是一个 artmethod 结构体,然后 hook 拿到 artmethod 实例后,再去调用类函数,打印这个函数的名称

  1. public class MainActivity extends AppCompatActivity {
  2. private static final String TAG = "sakura";
  3. // Used to load the 'native-lib' library on application startup.
  4. static {
  5. ("native-lib");
  6. }
  7. @Override
  8. protected void onCreate(Bundle savedInstanceState) {
  9. super.onCreate(savedInstanceState);
  10. setContentView(.activity_main);
  11. // Example of a call to a native method
  12. TextView tv = (TextView) findViewById(.sample_text);
  13. (stringWithJNI("sakura"));
  14. // (TAG, stringFromJNI());
  15. // (TAG, stringWithJNI("sakura"));
  16. try {
  17. testClass();
  18. } catch (ClassNotFoundException e) {
  19. ();
  20. } catch (NoSuchFieldException e) {
  21. ();
  22. } catch (IllegalAccessException e) {
  23. ();
  24. } catch (NoSuchMethodException e) {
  25. ();
  26. } catch (InvocationTargetException e) {
  27. ();
  28. }
  29. }
  30. public void testClass() throws ClassNotFoundException, NoSuchFieldException, IllegalAccessException, NoSuchMethodException, InvocationTargetException {
  31. Test sakuraTest = new Test();
  32. // 获得Class的方法(三种)
  33. Class testClazz = ().loadClass(".ndk_demo.Test");
  34. Class testClazz2 = (".ndk_demo.Test");
  35. Class testClazz3 = ;
  36. (TAG, "->" + testClazz);
  37. (TAG, "->" + testClazz2);
  38. (TAG, "->" + ());
  39. // 获得类中属性相关的方法
  40. Field publicStaticField = ("publicStaticField");
  41. (TAG, "->" + publicStaticField);
  42. Field publicField = ("publicField");
  43. (TAG, "->" + publicField);
  44. //对于Field的get方法,如果是static,则传入null即可;如果不是,则需要传入一个类的实例
  45. String valueStaticPublic = (String) (null);
  46. (TAG, "->" + valueStaticPublic);
  47. String valuePublic = (String) (sakuraTest);
  48. (TAG, "->" + valuePublic);
  49. //对于private属性,需要设置Accessible
  50. Field privateStaticField = ("privateStaticField");
  51. (true);
  52. String valuePrivte = (String) (null);
  53. (TAG, "modified before ->" + valuePrivte);
  54. (null, "modified");
  55. valuePrivte = (String) (null);
  56. (TAG, "modified after ->" + valuePrivte);
  57. Field[] fields = ();
  58. for (Field i : fields) {
  59. (TAG, "->" + i);
  60. }
  61. // 获得类中method相关的方法
  62. Method publicStaticMethod = ("publicStaticFunc");
  63. (TAG, "->" + publicStaticMethod);
  64. (null);
  65. Method publicMethod = ("publicFunc", );
  66. (TAG, "->" + publicMethod);
  67. (sakuraTest, " sakura");
  68. }
  69. /**
  70. * A native method that is implemented by the 'native-lib' native library,
  71. * which is packaged with this application.
  72. */
  73. public native String stringFromJNI();
  74. public native String stringWithJNI(String context);
  75. }
  76. ...
  77. public class Test {
  78. private static final String TAG = "sakura_test";
  79. public static String publicStaticField = "i am a publicStaticField";
  80. public String publicField = "i am a publicField";
  81. private static String privateStaticField = "i am a privateStaticField";
  82. private String privateField = "i am a privateField";
  83. public static void publicStaticFunc() {
  84. (TAG, "I`m from publicStaticFunc");
  85. }
  86. public void publicFunc(String str) {
  87. (TAG, "I`m from publicFunc" + str);
  88. }
  89. private static void privateStaticFunc() {
  90. (TAG, "I`m from privateFunc");
  91. }
  92. private void privateFunc() {
  93. (TAG, "I`m from privateFunc");
  94. }
  95. }
  96. ...
  97. ...
  98. 12-26 23:57:11.784 17682-17682/.ndk_demo I/sakura: ->class myapplication..ndk_demo.Test
  99. 12-26 23:57:11.784 17682-17682/.ndk_demo I/sakura: ->class myapplication..ndk_demo.Test
  100. 12-26 23:57:11.784 17682-17682/.ndk_demo I/sakura: ->.ndk_demo.Test
  101. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->public static .ndk_demo.
  102. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->public .ndk_demo.
  103. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->i am a publicStaticField
  104. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->i am a publicField
  105. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: modified before ->i am a privateStaticField
  106. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: modified after ->modified
  107. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->private .ndk_demo.
  108. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->public .ndk_demo.
  109. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->private static final .ndk_demo.
  110. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->private static .ndk_demo.
  111. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->public static .ndk_demo.
  112. 12-26 23:57:11.785 17682-17682/.ndk_demo I/sakura: ->public static void .ndk_demo.()
  113. 12-26 23:57:11.785 17682-17682/.ndk_demo D/sakura_test: I`m from publicStaticFunc
  114. 12-26 23:57:11.786 17682-17682/.ndk_demo I/sakura: ->public void .ndk_demo.()
  115. 12-26 23:57:11.786 17682-17682/.ndk_demo D/sakura_test: I`m from publicFunc sakura

memory list modules

流出加载的 so 库

10、Frida 反调试反反调试

这一节的主要内容就是关于反调试的原理和如何破解反调试,重要内容还是看文章理解即可。
因为我并不需要做反调试相关的工作,所以部分内容略过。

Frida 反调试反反调试 基本思路
(Java层API、Native层API、Syscall)

  • AntiFrida:/qtfreet00/AntiFrida
  • frida-detection-demo:/b-mueller/frida-detection-demo
  • 多种特征检测Frida:/
  • 来自高维的对抗 - 逆向TinyTool自制:/articles/71120
  • Unicorn 在 Android 的应用:/

11、Frida native hook : 符号 hook JNI、art&libc

11.1 Native函数的Java Hook及主动调用

对 native 函数的 java 层 hook 和主动调用和普通 java 函数完全一致,略过。

11.2 头文件导入

导入 ,先 search 一下这个文件在哪。

  1. Error /Users/sakura/Library/Android/sdk/ndk-bundle/sysroot/usr/include/,27: Can't open include file ''
  2. Total 1 errors
  3. Caching 'Exports'... ok

报错,所以拷贝一份 出来,将这两个头文件导入删掉

导入成功

现在就能识别_JNIEnv了,如图

11.3 JNI 函数符号 hook

先查看一下导出了哪些函数。

  1. extern "C" JNIEXPORT jstring JNICALL
  2. Java_myapplication_example_com_ndk_1demo_MainActivity_stringFromJNI(
  3. JNIEnv *env,
  4. jobject /* this */) {
  5. std::string hello = "Hello from C++";
  6. LOGD("sakura1328");
  7. return env->NewStringUTF(hello.c_str());
  8. }
  9. extern "C"
  10. JNIEXPORT jstring JNICALL
  11. Java_myapplication_example_com_ndk_1demo_MainActivity_stringWithJNI(JNIEnv *env, jobject instance,
  12. jstring context_) {
  13. const char *context = env->GetStringUTFChars(context_, 0);
  14. int context_size = env->GetStringUTFLength(context_);
  15. if (context_size > 0) {
  16. LOGD("%s\n", context);
  17. }
  18. env->ReleaseStringUTFChars(context_, context);
  19. return env->NewStringUTF("sakura1328");
  20. }

这里有几个需要的 API。

  • 首先是找到是否 so 被加载,通过 (),这个API可以枚举被加载到内存的 modules。
  • 然后通过(module name)来查找要hook的函数所在的so的基地址,如果找不到就返回null。
  • 然后可以通过findExportByName(moduleName: string, exportName: string): NativePointer来查找导出函数的绝对地址。如果不知道moduleName是什么,可以传入一个null进入,但是会花费一些时间遍历所有的module。如果找不到就返回null。
  • 找到地址之后,就可以拦截function/instruction的执行。通过。使用方法见下代码。
  • 另外为了将jstring的值打印出来,可以使用jenv的函数getStringUtfChars,就像正常的写native程序一样。().getStringUtfChars(args[2], null).readCString()

这里是循环调用的 string_with_jni,如果不循环调用,就要主动调用一下这个函数,或者 hook dlopen。

hook dlopen 的方法( /lasting-yang/frida_dump/blob/master/dump_dex.js )可以参考。

  1. function hook_native() {
  2. // ((()));
  3. var libnative_addr = Module.findBaseAddress("")
  4. console.log("libnative_addr is: " + libnative_addr)
  5. if (libnative_addr) {
  6. var string_with_jni_addr = Module.findExportByName("",
  7. "Java_myapplication_example_com_ndk_1demo_MainActivity_stringWithJNI")
  8. console.log("string_with_jni_addr is: " + string_with_jni_addr)
  9. }
  10. Interceptor.attach(string_with_jni_addr, {
  11. onEnter: function (args) {
  12. console.log("string_with_jni args: " + args[0], args[1], args[2])
  13. console.log(Java.vm.getEnv().getStringUtfChars(args[2], null).readCString())
  14. },
  15. onLeave: function (retval) {
  16. console.log("retval:", retval)
  17. console.log(Java.vm.getEnv().getStringUtfChars(retval, null).readCString())
  18. var newRetval = Java.vm.getEnv().newStringUtf("new retval from hook_native");
  19. retval.replace(ptr(newRetval));
  20. }
  21. })
  22. }
  1. libnative_addr is: 0x7a0842f000
  2. string_with_jni_addr is: 0x7a08436194
  3. [Google Pixel::.ndk_demo]-> string_with_jni args: 0x7a106cc1c0 0x7ff0b71da4 0x7ff0b71da8
  4. sakura
  5. retval: 0x75
  6. sakura1328

这里还写了一个 hook env 里的 GetStringUTFChars 的代码,和上面一样,不赘述了。

  1. function hook_art(){
  2. var addr_GetStringUTFChars = null;
  3. //( (()));
  4. var symbols = Process.findModuleByName("").enumerateSymbols();
  5. for(var i = 0;i<symbols.length;i++){
  6. var symbol = symbols[i].name;
  7. if((symbol.indexOf("CheckJNI")==-1)&&(symbol.indexOf("JNI")>=0)){
  8. if(symbol.indexOf("GetStringUTFChars")>=0){
  9. console.log(symbols[i].name);
  10. console.log(symbols[i].address);
  11. addr_GetStringUTFChars = symbols[i].address;
  12. }
  13. }
  14. }
  15. console.log("addr_GetStringUTFChars:", addr_GetStringUTFChars);
  16. Java.perform(function (){
  17. Interceptor.attach(addr_GetStringUTFChars, {
  18. onEnter: function (args) {
  19. console.log("addr_GetStringUTFChars OnEnter args[0],args[1]",args[0],args[1]);
  20. //(hexdump(args[0].readPointer()));
  21. //(().getStringUtfChars(args[0]).readCString());
  22. }, onLeave: function (retval) {
  23. console.log("addr_GetStringUTFChars OnLeave",ptr(retval).readCString());
  24. }
  25. })
  26. })
  27. }

11.4 JNI 函数参数、返回值打印和替换

  • libc 函数符号 hook
  • libc 函数参数、返回值打印和替换
    hook libc 的也和上面的完全一样,也不赘述了。
    所以看到这里,究其本质就是找到导出符号和它所在的so基地址了。
  1. function hook_libc(){
  2. var pthread_create_addr = null;
  3. var symbols = Process.findModuleByName("").enumerateSymbols();
  4. for(var i = 0;i<symbols.length;i++){
  5. var symbol = symbols[i].name;
  6. if(symbol.indexOf("pthread_create")>=0){
  7. //(symbols[i].name);
  8. //(symbols[i].address);
  9. pthread_create_addr = symbols[i].address;
  10. }
  11. }
  12. console.log("pthread_create_addr,",pthread_create_addr);
  13. Interceptor.attach(pthread_create_addr,{
  14. onEnter:function(args){
  15. console.log("pthread_create_addr args[0],args[1],args[2],args[3]:",args[0],args[1],args[2],args[3]);
  16. },onLeave:function(retval){
  17. console.log("retval is:",retval)
  18. }
  19. })
  20. }

12、Frida native hook : JNI_Onload / 动态注册 / inline_hook / native层调用栈打印

/android/ndk-samples

12.1 JNI_Onload / 动态注册原理

JNI_Onload / 动态注册 / Frida hook RegisterNative

  • JNI与动态注册:/
  • native 方法的动态注册:/2018/02/08/jni2/
  • Frida hook art:/lasting-yang/frida_hook_libart

详细的内容参见我写的文章,这里只给出例子。

  1. (TAG,stringFromJNI2());
  2. public native String stringFromJNI2();
  1. JNIEXPORT jstring JNICALL stringFromJNI2(
  2. JNIEnv *env,
  3. jclass clazz) {
  4. jclass testClass = env->FindClass("myapplication/example/com/ndk_demo/Test");
  5. jfieldID publicStaticField = env->GetStaticFieldID(testClass, "publicStaticField",
  6. "Ljava/lang/String;");
  7. jstring publicStaticFieldValue = (jstring) env->GetStaticObjectField(testClass,
  8. publicStaticField);
  9. const char *value_ptr = env->GetStringUTFChars(publicStaticFieldValue, NULL);
  10. LOGD("now content is %s", value_ptr);
  11. std::string hello = "Hello from C++ stringFromJNI2";
  12. return env->NewStringUTF(hello.c_str());
  13. }
  14. ...
  15. JNIEXPORT jint JNI_OnLoad(JavaVM *vm, void *reserved) {
  16. JNIEnv *env;
  17. vm->GetEnv((void **) &env, JNI_VERSION_1_6);
  18. JNINativeMethod methods[] = {
  19. {"stringFromJNI2", "()Ljava/lang/String;", (void *) stringFromJNI2},
  20. };
  21. env->RegisterNatives(env->FindClass("myapplication/example/com/ndk_demo/MainActivity"), methods,
  22. 1);
  23. return JNI_VERSION_1_6;
  24. }

12.2 Frida hook RegisterNative

使用下面这个脚本来打印出 RegisterNatives 的参数,这里需要注意的是使用了enumerateSymbolsSync,它是 enumerateSymbols 的同步版本。
另外和我们之前通过 ().getStringUtfChars来调用env里的方法不同。
这里则是通过将之前找到的getStringUtfChars函数地址和参数信息封装起来,直接调用,具体的原理我没有深入分析,先记住用法。
原理其实是一样的,都是 根据符号找到地址,然后hook符号地址,然后打印参数

  1. declare const NativeFunction: NativeFunctionConstructor;
  2. interface NativeFunctionConstructor {
  3. new(address: NativePointerValue, retType: NativeType, argTypes: NativeType[], abiOrOptions?: NativeABI | NativeFunctionOptions): NativeFunction;
  4. readonly prototype: NativeFunction;
  5. }
  6. ...
  7. var funcGetStringUTFChars = new NativeFunction(addrGetStringUTFChars, "pointer", ["pointer", "pointer", "pointer"]);
  1. var ishook_libart = false;
  2. function hook_libart() {
  3. if (ishook_libart === true) {
  4. return;
  5. }
  6. var symbols = Module.enumerateSymbolsSync("");
  7. var addrGetStringUTFChars = null;
  8. var addrNewStringUTF = null;
  9. var addrFindClass = null;
  10. var addrGetMethodID = null;
  11. var addrGetStaticMethodID = null;
  12. var addrGetFieldID = null;
  13. var addrGetStaticFieldID = null;
  14. var addrRegisterNatives = null;
  15. var addrAllocObject = null;
  16. var addrCallObjectMethod = null;
  17. var addrGetObjectClass = null;
  18. var addrReleaseStringUTFChars = null;
  19. for (var i = 0; i < symbols.length; i++) {
  20. var symbol = symbols[i];
  21. if (symbol.name == "_ZN3art3JNI17GetStringUTFCharsEP7_JNIEnvP8_jstringPh") {
  22. addrGetStringUTFChars = symbol.address;
  23. console.log("GetStringUTFChars is at ", symbol.address, symbol.name);
  24. } else if (symbol.name == "_ZN3art3JNI12NewStringUTFEP7_JNIEnvPKc") {
  25. addrNewStringUTF = symbol.address;
  26. console.log("NewStringUTF is at ", symbol.address, symbol.name);
  27. } else if (symbol.name == "_ZN3art3JNI9FindClassEP7_JNIEnvPKc") {
  28. addrFindClass = symbol.address;
  29. console.log("FindClass is at ", symbol.address, symbol.name);
  30. } else if (symbol.name == "_ZN3art3JNI11GetMethodIDEP7_JNIEnvP7_jclassPKcS6_") {
  31. addrGetMethodID = symbol.address;
  32. console.log("GetMethodID is at ", symbol.address, symbol.name);
  33. } else if (symbol.name == "_ZN3art3JNI17GetStaticMethodIDEP7_JNIEnvP7_jclassPKcS6_") {
  34. addrGetStaticMethodID = symbol.address;
  35. console.log("GetStaticMethodID is at ", symbol.address, symbol.name);
  36. } else if (symbol.name == "_ZN3art3JNI10GetFieldIDEP7_JNIEnvP7_jclassPKcS6_") {
  37. addrGetFieldID = symbol.address;
  38. console.log("GetFieldID is at ", symbol.address, symbol.name);
  39. } else if (symbol.name == "_ZN3art3JNI16GetStaticFieldIDEP7_JNIEnvP7_jclassPKcS6_") {
  40. addrGetStaticFieldID = symbol.address;
  41. console.log("GetStaticFieldID is at ", symbol.address, symbol.name);
  42. } else if (symbol.name == "_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi") {
  43. addrRegisterNatives = symbol.address;
  44. console.log("RegisterNatives is at ", symbol.address, symbol.name);
  45. } else if (symbol.name.indexOf("_ZN3art3JNI11AllocObjectEP7_JNIEnvP7_jclass") >= 0) {
  46. addrAllocObject = symbol.address;
  47. console.log("AllocObject is at ", symbol.address, symbol.name);
  48. } else if (symbol.name.indexOf("_ZN3art3JNI16CallObjectMethodEP7_JNIEnvP8_jobjectP10_jmethodIDz") >= 0) {
  49. addrCallObjectMethod = symbol.address;
  50. console.log("CallObjectMethod is at ", symbol.address, symbol.name);
  51. } else if (symbol.name.indexOf("_ZN3art3JNI14GetObjectClassEP7_JNIEnvP8_jobject") >= 0) {
  52. addrGetObjectClass = symbol.address;
  53. console.log("GetObjectClass is at ", symbol.address, symbol.name);
  54. } else if (symbol.name.indexOf("_ZN3art3JNI21ReleaseStringUTFCharsEP7_JNIEnvP8_jstringPKc") >= 0) {
  55. addrReleaseStringUTFChars = symbol.address;
  56. console.log("ReleaseStringUTFChars is at ", symbol.address, symbol.name);
  57. }
  58. }
  59. if (addrRegisterNatives != null) {
  60. Interceptor.attach(addrRegisterNatives, {
  61. onEnter: function (args) {
  62. console.log("[RegisterNatives] method_count:", args[3]);
  63. var env = args[0];
  64. var java_class = args[1];
  65. var funcAllocObject = new NativeFunction(addrAllocObject, "pointer", ["pointer", "pointer"]);
  66. var funcGetMethodID = new NativeFunction(addrGetMethodID, "pointer", ["pointer", "pointer", "pointer", "pointer"]);
  67. var funcCallObjectMethod = new NativeFunction(addrCallObjectMethod, "pointer", ["pointer", "pointer", "pointer"]);
  68. var funcGetObjectClass = new NativeFunction(addrGetObjectClass, "pointer", ["pointer", "pointer"]);
  69. var funcGetStringUTFChars = new NativeFunction(addrGetStringUTFChars, "pointer", ["pointer", "pointer", "pointer"]);
  70. var funcReleaseStringUTFChars = new NativeFunction(addrReleaseStringUTFChars, "void", ["pointer", "pointer", "pointer"]);
  71. var clz_obj = funcAllocObject(env, java_class);
  72. var mid_getClass = funcGetMethodID(env, java_class, Memory.allocUtf8String("getClass"), Memory.allocUtf8String("()Ljava/lang/Class;"));
  73. var clz_obj2 = funcCallObjectMethod(env, clz_obj, mid_getClass);
  74. var cls = funcGetObjectClass(env, clz_obj2);
  75. var mid_getName = funcGetMethodID(env, cls, Memory.allocUtf8String("getName"), Memory.allocUtf8String("()Ljava/lang/String;"));
  76. var name_jstring = funcCallObjectMethod(env, clz_obj2, mid_getName);
  77. var name_pchar = funcGetStringUTFChars(env, name_jstring, ptr(0));
  78. var class_name = ptr(name_pchar).readCString();
  79. funcReleaseStringUTFChars(env, name_jstring, name_pchar);
  80. //(class_name);
  81. var methods_ptr = ptr(args[2]);
  82. var method_count = parseInt(args[3]);
  83. for (var i = 0; i < method_count; i++) {
  84. var name_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3));
  85. var sig_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize));
  86. var fnPtr_ptr = Memory.readPointer(methods_ptr.add(i * Process.pointerSize * 3 + Process.pointerSize * 2));
  87. var name = Memory.readCString(name_ptr);
  88. var sig = Memory.readCString(sig_ptr);
  89. var find_module = Process.findModuleByAddress(fnPtr_ptr);
  90. console.log("[RegisterNatives] java_class:", class_name, "name:", name, "sig:", sig, "fnPtr:", fnPtr_ptr, "module_name:", find_module.name, "module_base:", find_module.base, "offset:", ptr(fnPtr_ptr).sub(find_module.base));
  91. }
  92. },
  93. onLeave: function (retval) { }
  94. });
  95. }
  96. ishook_libart = true;
  97. }
  98. hook_libart();

结果很明显的打印了出来,包括动态注册的函数的名字,函数签名,加载地址和在so里的偏移量,

[RegisterNatives] java_class: .ndk_demo.MainActivity name: stringFromJNI2 sig: ()Ljava/lang/String; fnPtr: 0x79f8698484 module_name:  module_base: 0x79f8691000 offset: 0x7484

最后测试一下 yang 开源的一个hook art的脚本,很有意思,trace 出了非常多的需要的信息。

  1. frida -U --no-pause -f package_name -l hook_art.js
  2. ...
  3. [FindClass] name:myapplication/example/com/ndk_demo/Test
  4. [GetStaticFieldID] name:publicStaticField, sig:Ljava/lang/String;
  5. [GetStringUTFChars] result:i am a publicStaticField
  6. [NewStringUTF] bytes:Hello from C++ stringFromJNI2
  7. [GetStringUTFChars] result:sakura

12.3 native 层调用栈打印

直接使用 frida 提供的接口打印栈回溯。

  1. Interceptor.attach(f, {
  2. onEnter: function (args) {
  3. console.log('RegisterNatives called from:\n' +
  4. Thread.backtrace(this.context, Backtracer.ACCURATE)
  5. .map(DebugSymbol.fromAddress).join('\n') + '\n');
  6. }
  7. });

效果如下,我加到了 hook registerNative 的地方。

  1. [Google Pixel::.ndk_demo]-> RegisterNatives called from:
  2. 0x7a100be03c !0xe103c
  3. 0x7a100be038 !0xe1038
  4. 0x79f85699a0 !_ZN7_JNIEnv15RegisterNativesEP7_jclassPK15JNINativeMethodi+0x44
  5. 0x79f85698e0 !JNI_OnLoad+0x90
  6. 0x7a102b9fd4 !_ZN3art9JavaVMExt17LoadNativeLibraryEP7_JNIEnvRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEP8_jobjectP8_jstringPS9_+0x638
  7. 0x7a08e3820c !JVM_NativeLoad+0x110
  8. 0x70b921c4 !oatexec+0xa81c4

12.4 主动调用去进行方法参数替换

使用 ,不赘述。主要目的还是为了改掉函数原本的执行行为,而不是仅仅打印一些信息。

12.5 inline hook ( so库里面的函数 )

inline hook 简单理解就是:不是 hook 函数开始执行的地方,而是 hook 函数中间执行的指令
整体来说没什么区别,就是把找函数符号地址改成从so里找到偏移,然后加到so基地址上就行,注意一下它的 attach 的 callback。

  1. /**
  2. * Callback to invoke when an instruction is about to be executed.
  3. */
  4. type InstructionProbeCallback = (this: InvocationContext, args: InvocationArguments) => void;
  5. type InvocationContext = PortableInvocationContext | WindowsInvocationContext | UnixInvocationContext;
  6. interface PortableInvocationContext {
  7. /**
  8. * Return address.
  9. */
  10. returnAddress: NativePointer;
  11. /**
  12. * CPU registers. You may also update register values by assigning to these keys.
  13. */
  14. context: CpuContext;
  15. /**
  16. * OS thread ID.
  17. */
  18. threadId: ThreadId;
  19. /**
  20. * Call depth of relative to other invocations.
  21. */
  22. depth: number;
  23. /**
  24. * User-defined invocation data. Useful if you want to read an argument in `onEnter` and act on it in `onLeave`.
  25. */
  26. [x: string]: any;
  27. }
  28. ...
  29. ...
  30. interface Arm64CpuContext extends PortableCpuContext {
  31. x0: NativePointer;
  32. x1: NativePointer;
  33. x2: NativePointer;
  34. x3: NativePointer;
  35. x4: NativePointer;
  36. x5: NativePointer;
  37. x6: NativePointer;
  38. x7: NativePointer;
  39. x8: NativePointer;
  40. x9: NativePointer;
  41. x10: NativePointer;
  42. x11: NativePointer;
  43. x12: NativePointer;
  44. x13: NativePointer;
  45. x14: NativePointer;
  46. x15: NativePointer;
  47. x16: NativePointer;
  48. x17: NativePointer;
  49. x18: NativePointer;
  50. x19: NativePointer;
  51. x20: NativePointer;
  52. x21: NativePointer;
  53. x22: NativePointer;
  54. x23: NativePointer;
  55. x24: NativePointer;
  56. x25: NativePointer;
  57. x26: NativePointer;
  58. x27: NativePointer;
  59. x28: NativePointer;
  60. fp: NativePointer;
  61. lr: NativePointer;
  62. }

我的 so 是自己编译的,具体的汇编代码如下,总之这里很明显在 775C 时,x0 里保存的是一个指向 "sakura" 这个字符串的指针。(其实我也不是很看得懂 arm64 了已经,就随便 hook 了一下)
所以 hook 这个指令,然后 (.x0);打印出来,结果如下

  1. .text:000000000000772C ; __unwind {
  2. .text:000000000000772C SUB SP, SP, #0x40
  3. .text:0000000000007730 STP X29, X30, [SP,#0x30+var_s0]
  4. .text:0000000000007734 ADD X29, SP, #0x30
  5. .text:0000000000007738 ; 6: v6 = a1;
  6. .text:0000000000007738 MOV X8, XZR
  7. .text:000000000000773C STUR X0, [X29,#var_8]
  8. .text:0000000000007740 ; 7: v5 = a3;
  9. .text:0000000000007740 STUR X1, [X29,#var_10]
  10. .text:0000000000007744 STR X2, [SP,#0x30+var_18]
  11. .text:0000000000007748 ; 8: v4 = (const char *)_JNIEnv::GetStringUTFChars(a1, a3, 0LL);
  12. .text:0000000000007748 LDUR X0, [X29,#var_8]
  13. .text:000000000000774C LDR X1, [SP,#0x30+var_18]
  14. .text:0000000000007750 MOV X2, X8
  15. .text:0000000000007754 BL ._ZN7_JNIEnv17GetStringUTFCharsEP8_jstringPh ; _JNIEnv::GetStringUTFChars(_jstring *,uchar *)
  16. .text:0000000000007758 STR X0, [SP,#0x30+var_20]
  17. .text:000000000000775C ; 9: if ( (signed int)_JNIEnv::GetStringUTFLength(v6, v5) > 0 )
  18. .text:000000000000775C LDUR X0, [X29,#var_8]
  19. .text:0000000000007760 LDR X1, [SP,#0x30+var_18]
  1. function inline_hook() {
  2. var libnative_lib_addr = Module.findBaseAddress("");
  3. if (libnative_lib_addr) {
  4. console.log("libnative_lib_addr:", libnative_lib_addr);
  5. var addr_775C = libnative_lib_addr.add(0x775C);
  6. console.log("addr_775C:", addr_775C);
  7. Java.perform(function () {
  8. Interceptor.attach(addr_775C, {
  9. onEnter: function (args) {
  10. var name = this.context.x0.readCString()
  11. console.log("addr_775C OnEnter :", this.returnAddress, name);
  12. },
  13. onLeave: function (retval) {
  14. console.log("retval is :", retval)
  15. }
  16. })
  17. })
  18. }
  19. }
  20. setImmediate(inline_hook())
  1. Attaching...
  2. libnative_lib_addr: 0x79fabe0000
  3. addr_775C: 0x79fabe775c
  4. TypeError: cannot read property 'apply' of undefined
  5. at [anon] (../../../frida-gum/bindings/gumjs/:56618)
  6. at frida/runtime/:55
  7. [Google Pixel::.ndk_demo]-> addr_775C OnEnter : 0x79fabe7758 sakura
  8. addr_775C OnEnter : 0x79fabe7758 sakura

到这里已经可以总结一下我目前的学习了,需要补充一些 frida api 的学习,比如 NativePointr 里居然有个 readCString,这些 API 是需要再看看的。

13、Frida native hook : Frida hook native app 实战

  • 破解 Frida 全端口检测的 native层反调试
    • hook libc 的 pthread_create 函数
  • 破解 TracePid 的 native 反调试
    • target:Android反调试技术整理与实践:/2017/06/25/Android-Anti-Debug/
    • solve : hook libc的fgets函数
  • native 层修改参数、返回值
  • 静态分析 JNI_Onload
  • 动态 trace 主动注册 & IDA溯源
  • 动态trace JNI、libc函数 & IDA溯源
  • native层主动调用、打调用栈
  • 主动调用 libc 读写文件

首先看下 logcat

  1. n/u0a128 for activity /.MainActivity
  2. 12-28 05:53:26.898 26615 26615 V : JNI_OnLoad()
  3. 12-28 05:53:26.898 26615 26615 V : RegisterNatives() --> nativeMethod() ok
  4. 12-28 05:53:26.898 26615 26615 D m=: 0
  5. 12-28 05:53:26.980 26615 26615 D m=: Xman

  1. sakura@sakuradeMacBook-Pro:~/gitsource/frida-agent-example/agent$ frida -U --no-pause -f -l hook_reg.js
  2. ...
  3. [Google Pixel::]-> [RegisterNatives] method_count: 0x3
  4. [RegisterNatives] java_class: name: initSN sig: ()V fnPtr: 0xd4ddf3b1 module_name: module_base: 0xd4dde000 offset: 0x13b1
  5. [RegisterNatives] java_class: name: saveSN sig: (Ljava/lang/String;)V fnPtr: 0xd4ddf1f9 module_name: module_base: 0xd4dde000 offset: 0x11f9
  6. [RegisterNatives] java_class: name: work sig: ()V fnPtr: 0xd4ddf4cd module_name: module_base: 0xd4dde000 offset: 0x14cd

initSN

感觉意思应该是从 /sdcard/ 里读一个值,然后和 EoPAoY62@ElRD 进行比较。
最后setValue,从导出函数看一下,最后推测第一个参数应该是JNIEnv *env,然后就看到了给字段m赋值。

aveSN

这个看上去就是根据str的值,去变换”W3_arE_whO_we_ARE”字符串,然后写入到/sdcard/

结合一下看,只要initSN检查到/sdcard/里是EoPAoY62@ElRD,应该就会给m设置成1。
只要m的值是1,就能走到work()函数的逻辑。

参考:​frida 的 file api:/docs/javascript-api/#file

  1. function main() {
  2. var file = new File("/sdcard/",'w')
  3. file.write("EoPAoY62@ElRD")
  4. file.flush()
  5. file.close()
  6. }
  7. setImmediate(main())

这样我们继续看 work 的逻辑

v2 是从 getValue 得到的,看上去就是 m字段的值,此时应该是1,一会 hook 一下看看。

[NewStringUTF] bytes:输入即是flag,格式为xman{……}!

callWork 里又调用了 work 函数,死循环了。

那看来看去最后还是回到了initSN,那其实我们看的顺序似乎错了。
理一下逻辑,n2执行完保存到文件,然后n1 check一下,所以最后还是要逆n2的算法,pass。

14、Frida trace 四件套

14.1 jni trace : trace jni

/chame1eon/jnitrace

  1. pip install jnitrace
  2. Requirement already satisfied: frida>=12.5.0 in /Users/sakura/.pyenv/versions/3.7.7/lib/python3.7/site-packages (from jnitrace) (12.8.0)
  3. Requirement already satisfied: colorama in /Users/sakura/.pyenv/versions/3.7.7/lib/python3.7/site-packages (from jnitrace) (0.4.3)
  4. Collecting hexdump (from jnitrace)
  5. Downloading https:///packages/55/b3/279b1d57fa3681725d0db8820405cdcb4e62a9239c205e4ceac4391c78e4/hexdump-3.3.zip
  6. Installing collected packages: hexdump, jnitrace
  7. Running install for hexdump ... done
  8. Running install for jnitrace ... done
  9. Successfully installed hexdump-3.3 jnitrace-3.0.8

usage: jnitrace [options] -l libname target
默认应该是 spawn 运行的,

  • -m 来指定是 spawn 还是 attach
  • -b 指定是 fuzzy 还是 accurate
  • -i <regex> 指定一个正则表达式来过滤出方法名,例如 -i Get -i RegisterNatives 就会只打印出名字里包含 Get 或者 RegisterNatives 的 JNI methods。
  • -e <regex> 和 -i 相反,同样通过正则表达式来过滤,但这次会将指定的内容忽略掉。
  • -I <string> trace 导出的方法,jnitrace 认为导出的函数应该是从 Java 端能够直接调用的函数,所以可以包括使用 RegisterNatives 来注册的函数,例如 -I stringFromJNI -I nativeMethod([B)V,就包括导出名里有 stringFromJNI,以及使用 RegisterNames 来注册,并带有 nativeMethod([B)V 签名的函数。
  • -o path/,导出输出到文件里。
  • -p path/to/,用于在加载 jnitrace 脚本之前将指定路径的 Frida 脚本加载到目标进程中,这可以用于在 jnitrace 启动之前对抗反调试。
  • -a path/to/,用于在加载 jnitrace 脚本之后将指定路径的 Frida 脚本加载到目标进程中
  • --ignore-env,不打印所有的 JNIEnv 函数
  • --ignore-vm,不打印所有的 JavaVM 函数
  1. sakura@sakura:~/Desktop/frida_learn/lib/armeabi-v7a$ jnitrace -l
  2. Tracing. Press any key to quit...
  3. Traced library "" loaded from path "/data/app/-X0HkzLhbptSc0tjGZ3yQ2g==/lib/arm".
  4. /* TID 28890 */
  5. 355 ms [+] JavaVM->GetEnv
  6. 355 ms |- JavaVM* : 0xefe99140
  7. 355 ms |- void** : 0xda13e028
  8. 355 ms |: 0xeff312a0
  9. 355 ms |- jint : 65542
  10. 355 ms |= jint : 0
  11. 355 ms ------------------------Backtrace------------------------
  12. 355 ms |-> 0xda13a51b: JNI_OnLoad+0x12 (:0xda139000)
  13. /* TID 28890 */
  14. 529 ms [+] JNIEnv->FindClass
  15. 529 ms |- JNIEnv* : 0xeff312a0
  16. 529 ms |- char* : 0xda13bdef
  17. 529 ms |: com/gdufs/xman/MyApp
  18. 529 ms |= jclass : 0x81 { com/gdufs/xman/MyApp }
  19. 529 ms ------------------------Backtrace------------------------
  20. 529 ms |-> 0xda13a539: JNI_OnLoad+0x30 (:0xda139000)
  21. /* TID 28890 */
  22. 584 ms [+] JNIEnv->RegisterNatives
  23. 584 ms |- JNIEnv* : 0xeff312a0
  24. 584 ms |- jclass : 0x81 { com/gdufs/xman/MyApp }
  25. 584 ms |- JNINativeMethod* : 0xda13e004
  26. 584 ms |: 0xda13a3b1 - initSN()V
  27. 584 ms |: 0xda13a1f9 - saveSN(Ljava/lang/String;)V
  28. 584 ms |: 0xda13a4cd - work()V
  29. 584 ms |- jint : 3
  30. 584 ms |= jint : 0
  31. 584 ms ------------------------Backtrace------------------------
  32. 584 ms |-> 0xda13a553: JNI_OnLoad+0x4a (:0xda139000)
  33. /* TID 28890 */
  34. 638 ms [+] JNIEnv->FindClass
  35. 638 ms |- JNIEnv* : 0xeff312a0
  36. 638 ms |- char* : 0xda13bdef
  37. 638 ms |: com/gdufs/xman/MyApp
  38. 638 ms |= jclass : 0x71 { com/gdufs/xman/MyApp }
  39. 638 ms -----------------------Backtrace-----------------------
  40. 638 ms |-> 0xda13a377: setValue+0x12 (:0xda139000)
  41. /* TID 28890 */
  42. 688 ms [+] JNIEnv->GetStaticFieldID
  43. 688 ms |- JNIEnv* : 0xeff312a0
  44. 688 ms |- jclass : 0x71 { com/gdufs/xman/MyApp }
  45. 688 ms |- char* : 0xda13be04
  46. 688 ms |: m
  47. 688 ms |- char* : 0xda13be06
  48. 688 ms |: I
  49. 688 ms |= jfieldID : 0xf1165004 { m:I }
  50. 688 ms -----------------------Backtrace-----------------------
  51. 688 ms |-> 0xda13a38d: setValue+0x28 (:0xda139000)

14.2 strace : trace syscall

strace 跟踪进程中的系统调用:/zh_CN/latest/tool/

14.3 frida-trace : trace libc(or more)

        frida-trace:/docs/frida-trace/

        Usage:frida-trace [options] target

  1. frida-trace -U -i "strcmp" -f
  2. ...
  3. 5634 ms strcmp(s1="fi", s2="es-US")
  4. 5635 ms strcmp(s1="da", s2="es-US")
  5. 5635 ms strcmp(s1="es", s2="es-US")
  6. 5635 ms strcmp(s1="eu-ES", s2="es-US")
  7. 5635 ms strcmp(s1="et-EE", s2="es-US")
  8. 5635 ms strcmp(s1="et-EE", s2="es-US")

art trace

hook artmethod:/lasting-yang/frida_hook_libart/blob/master/hook_artmethod.js

14.4 hook_artmethod : trace java 函数调用

/lasting-yang/frida_hook_libart/blob/master/hook_artmethod.js

14.5 修改AOSP源码打印

改 aosp 源码 trace 信息:/

15、Frida native hook : init_array 开发和自动化逆向

15.1 init_array原理 ( so 加载、启动、执行 )

常见的保护都会在 init_array 里面做,关于其原理,主要阅读以下文章即可。

  • IDA 调试 android so 的 .init_array 数组:/bingghost/p/
  • Android NDK中.init段和.init_array段函数的定义方式:/post/
  • Linker 学习笔记( so 加载、启动、执行):/drops/Android Linker学习笔记.html

15.2 IDA静态分析 init_array

  1. // 编译生成后在.init段 [名字不可更改]
  2. extern "C" void _init(void) {
  3. LOGD("Enter init......");
  4. }
  5. // 编译生成后在.init_array段 [名字可以更改]
  6. __attribute__((__constructor__)) static void sakura_init() {
  7. LOGD("Enter sakura_init......");
  8. }
  9. ...
  10. ...
  11. 2016-12-29 16:51:23.017 5160-5160/.ndk_demo D/sakura1328: Enter init......
  12. 2016-12-29 16:51:23.017 5160-5160/.ndk_demo D/sakura1328: Enter sakura_init......

IDA快捷键shift+F7找到segment,然后就可以找到.init_array段,然后就可以找到里面保存的函数地址。

15.3 IDA 动态调试 so

  • 打开要调试的 apk,找到入口

  1. sakura@sakura:~/.gradle/caches$ adb shell dumpsys activity top | grep TASK
  2. TASK id=29 userId=0
  3. TASK null id=26 userId=0
  4. TASK .ndk_demo id=161 userId=0
  • 启动 apk,并让设备将处于一个Waiting For Debugger的状态
            adb shell am start -D -n .ndk_demo/.MainActivity
  • 执行 android_server64
  1. sailfish:/data/local/tmp # ./android_server64
  2. IDA Android 64-bit remote debug server(ST) v1.22. Hex-Rays (c) 2004-2017
  3. Listening on 0.0.0.0:23946...
  • 新开一个窗口使用forward程序进行端口转发:adb forward tcp:23946 tcp:23946

adb forward tcp:<本地机器的网络端口号> tcp:<模拟器或是真机的网络端口号>

例:adb [-d|-e|-s ] forward tcp:6100 tcp:7100 表示把本机的6100端口号与模拟器的7100端口建立起相关,当模拟器或真机向自己的7100端口发送了数据,那们我们可以在本机的6100端口读取其发送的内容,这是一个很关键的命令,以后我们使用jdb调试apk之前,就要用它先把目标进程和本地端口建立起关联

  • 打开IDA,选择菜单Debugger -> Attach -> Remote ARM Linux/Android debugger

  • 打开IDA,选择菜单Debugger -> Process options, 填好,然后选择进程去attach。

  • 查看待调试的进程 adb jdwp
  1. sakura@sakuradeMacBook-Pro:~$ adb jdwp
  2. 10436
  • 转发端口adb forward tcp:8700 jdwp:10436,将该进程的调试端口和本机的8700绑定。

  • jdb连接调试端口,从而让程序继续运行 jdb -connect :hostname=127.0.0.1,port=8700

  • 找到断点并断下。

打开 module

找到 linker64

找到 call array 函数

下断,并按 F9 断下

最终我确实可以调试到 .init_array 的初始化,具体的代码分析见 Linker学习笔记 这里。

15.4 init_array && JNI_Onload "自吐"

JNI_Onload

目标是找到动态注册的函数的地址,因为这种函数没有导出。

  1. JNINativeMethod methods[] = {
  2. {"stringFromJNI2", "()Ljava/lang/String;", (void *) stringFromJNI2},
  3. };
  4. env->RegisterNatives(env->FindClass("com/example/ndk_demo/MainActivity"), methods, 1);

首先:jnitrace -m spawn -i "RegisterNatives" -l .ndk_demo

  1. 525 ms [+] JNIEnv->RegisterNatives
  2. 525 ms |- JNIEnv* : 0x7a106cc1c0
  3. 525 ms |- jclass : 0x89 { com/example/ndk_demo/MainActivity }
  4. 525 ms |- JNINativeMethod* : 0x7ff0b71120
  5. 525 ms |: 0x79f00d36b0 - stringFromJNI2()Ljava/lang/String;

然后:objection -d -g .ndk_demo run memory list modules explore | grep demo

  1. sakura@sakuradeMacBook-Pro:~$ objection -d -g .ndk_demo run memory list modules explore | grep demo
  2. [debug] Attempting to attach to process: `.ndk_demo`
  3. Warning: Output is not to a terminal (fd=1).
  4. 0x79f0249000 106496 (104.0 KiB) /data/app/.ndk_demo-HGAFhnKyKCSIpzn227pwXw==/oat/arm64/
  5. 0x79f00c4000 221184 (216.0 KiB) /data/app/.ndk_demo-HGAFhnKyKCSIpzn227pwXw==/lib/arm64/libnative...

offset = 0x79f00d36b0 - 0x79f00c4000 = 0xf6b0

这样就找到了

init_array

没有支持 arm64,可以在安装 app 的时候 adb install --abi armeabi-v7a 强制让 app 运行在32位模式

这个脚本整体来说就是 hook callfunction,然后打印出 init_array 里面的函数地址和参数等。

从源码看,关键就是 call_array 这里调用的 call_function,第一个参数代表这是注册的 init_array 里面的 function,第二个参数则是 init_array 里存储的函数的地址。

  1. template <typename F>
  2. static void call_array(const char* array_name __unused,
  3. F* functions,
  4. size_t count,
  5. bool reverse,
  6. const char* realpath) {
  7. if (functions == nullptr) {
  8. return;
  9. }
  10. TRACE("[ Calling %s (size %zd) @ %p for '%s' ]", array_name, count, functions, realpath);
  11. int begin = reverse ? (count - 1) : 0;
  12. int end = reverse ? -1 : count;
  13. int step = reverse ? -1 : 1;
  14. for (int i = begin; i != end; i += step) {
  15. TRACE("[ %s[%d] == %p ]", array_name, i, functions[i]);
  16. call_function("function", functions[i], realpath);
  17. }
  18. TRACE("[ Done calling %s for '%s' ]", array_name, realpath);
  19. }
  1. function LogPrint(log) {
  2. var theDate = new Date();
  3. var hour = theDate.getHours();
  4. var minute = theDate.getMinutes();
  5. var second = theDate.getSeconds();
  6. var mSecond = theDate.getMilliseconds()
  7. hour < 10 ? hour = "0" + hour : hour;
  8. minute < 10 ? minute = "0" + minute : minute;
  9. second < 10 ? second = "0" + second : second;
  10. mSecond < 10 ? mSecond = "00" + mSecond : mSecond < 100 ? mSecond = "0" + mSecond : mSecond;
  11. var time = hour + ":" + minute + ":" + second + ":" + mSecond;
  12. var threadid = Process.getCurrentThreadId();
  13. console.log("[" + time + "]" + "->threadid:" + threadid + "--" + log);
  14. }
  15. function hooklinker() {
  16. var linkername = "linker";
  17. var call_function_addr = null;
  18. var arch = Process.arch;
  19. LogPrint("Process run in:" + arch);
  20. if (arch.endsWith("arm")) {
  21. linkername = "linker";
  22. } else {
  23. linkername = "linker64";
  24. LogPrint("arm64 is not supported yet!");
  25. }
  26. var symbols = Module.enumerateSymbolsSync(linkername);
  27. for (var i = 0; i < symbols.length; i++) {
  28. var symbol = symbols[i];
  29. //LogPrint(linkername + "->" + + "---" + );
  30. if (symbol.name.indexOf("__dl__ZL13call_functionPKcPFviPPcS2_ES0_") != -1) {
  31. call_function_addr = symbol.address;
  32. LogPrint("linker->" + symbol.name + "---" + symbol.address)
  33. }
  34. }
  35. if (call_function_addr != null) {
  36. var func_call_function = new NativeFunction(call_function_addr, 'void', ['pointer', 'pointer', 'pointer']);
  37. Interceptor.replace(new NativeFunction(call_function_addr,
  38. 'void', ['pointer', 'pointer', 'pointer']), new NativeCallback(function (arg0, arg1, arg2) {
  39. var functiontype = null;
  40. var functionaddr = null;
  41. var sopath = null;
  42. if (arg0 != null) {
  43. functiontype = Memory.readCString(arg0);
  44. }
  45. if (arg1 != null) {
  46. functionaddr = arg1;
  47. }
  48. if (arg2 != null) {
  49. sopath = Memory.readCString(arg2);
  50. }
  51. var modulebaseaddr = Module.findBaseAddress(sopath);
  52. LogPrint("after load:" + sopath + "--start call_function,type:" + functiontype + "--addr:" + functionaddr + "---baseaddr:" + modulebaseaddr);
  53. if (sopath.indexOf('') >= 0 && functiontype == "DT_INIT") {
  54. LogPrint("after load:" + sopath + "--ignore call_function,type:" + functiontype + "--addr:" + functionaddr + "---baseaddr:" + modulebaseaddr);
  55. } else {
  56. func_call_function(arg0, arg1, arg2);
  57. LogPrint("after load:" + sopath + "--end call_function,type:" + functiontype + "--addr:" + functionaddr + "---baseaddr:" + modulebaseaddr);
  58. }
  59. }, 'void', ['pointer', 'pointer', 'pointer']));
  60. }
  61. }
  62. setImmediate(hooklinker)

我调试了一下 linker64,因为没有导出 call_function 的地址,所以不能直接 hook 符号名,而是要根据偏移去 hook,以后再说。
其实要看 init_array,直接 shift+F7 去 segment 里面找 .init_array 段就可以了,这里主要是为了反反调试,因为可能反调试会加在 init_array 里,hook call_function 就可以让它不加载反调试程序。

15.5 native层未导出函数主动调用(任意符号和地址)

现在我想要主动调用 sakura_add 来打印值,可以 ida 打开找符号,或者根据偏移,总之最终用这个 NativePointer 指针来初始化一个 NativeFunction 来调用。

  1. extern "C"
  2. JNIEXPORT jint JNICALL
  3. Java_com_example_ndk_1demo_MainActivity_sakuraWithInt(JNIEnv *env, jobject thiz, jint a, jint b) {
  4. // TODO: implement sakuraWithInt()
  5. return sakura_add(a,b);
  6. }
  7. ...
  8. int sakura_add(int a, int b){
  9. int sum = a+b;
  10. LOGD("sakura add a+b:",sum);
  11. return sum;
  12. }

  1. function main() {
  2. var libnative_lib_addr = Module.findBaseAddress("");
  3. console.log("libnative_lib_addr is :", libnative_lib_addr);
  4. if (libnative_lib_addr) {
  5. var sakura_add_addr1 = Module.findExportByName("", "_Z10sakura_addii");
  6. var sakura_add_addr2 = libnative_lib_addr.add(0x0F56C) ;
  7. console.log("sakura_add_addr1 ", sakura_add_addr1);
  8. console.log("sakura_add_addr2 ", sakura_add_addr2)
  9. }
  10. var sakura_add1 = new NativeFunction(sakura_add_addr1, "int", ["int", "int"]);
  11. var sakura_add2 = new NativeFunction(sakura_add_addr2, "int", ["int", "int"]);
  12. console.log("sakura_add1 result is :", sakura_add1(200, 33));
  13. console.log("sakura_add2 result is :", sakura_add2(100, 133));
  14. }
  15. setImmediate(main())
  16. ...
  17. ...
  18. libnative_lib_addr is : 0x79fa1c5000
  19. sakura_add_addr1 0x79fa1d456c
  20. sakura_add_addr2 0x79fa1d456c
  21. sakura_add1 result is : 233
  22. sakura_add2 result is : 233

16、C/C++ hook

//todo

16.1 Native/JNI层参数打印和主动调用参数构造

jni的基本类型要通过调用jni相关的api转化成c++对象,才能打印和调用。
jni主动调用的时候,参数构造有两种方式,一种是,另一种是hook获取env之后来调用jni相关的api构造参数。

16.2 C/C++编成 so 并引入 Frida 调用其中的函数